Informace o zpracování osobních údajů
Jazyková škola Lingua Centrum jakožto správce osobních údajů, tímto informuje o způsobu a rozsahu zpracování osobních údajů s ohledem na Všeobecné nařízení EU o ochraně osobních údajů (dále jen „GDPR“).
Cílem zásad zpracování osobních údajů je poskytnout informace o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, k jakým účelům je využíváme, komu je smíme poskytnout a kde můžete získat informace o vašich osobních údajích, které zpracováváme.
Jaké osobní údaje zpracováváme?
Zpracováváme osobní údaje v následujícím rozsahu:
- identifikační údaje: jméno a příjmení studenta, jméno a příjmení zákonného zástupce,
- kontaktní údaje: adresa bydliště, telefon, emailová adresa,
- fotografie pro marketingové a propagační účely (na základě souhlasu),
- další osobní údaje: hodnocení úrovně znalostí studenta, platební údaje.
Osobní údaje, které zpracováváme se souhlasem, jsou uvedeny v souhlasu se zpracováním osobních údajů, který nám můžete udělit.
Jak vaše osobní údaje využíváme?
Vaše osobní údaje shromažďujeme a zpracováváme pouze za stanoveným účelem a využíváme je pro:
- plnění smlouvy a poskytování služeb (poskytování jazykových a jiných kurzů),
- komunikaci se studenty, zákonnými zástupci,
- informování o změnách a novinkách v nabídce kurzů (oprávněný zájem),
- umožnění přístupu do online systému LAPort,
- plnění právní povinnosti,
- účetní a daňové účely,
- vedení zákaznické evidence,
- marketingové a propagační účely (na základě výslovného souhlasu).
Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány.
Jak chráníme vaše osobní údaje?
Pro zajištění bezpečnosti a důvěrnosti vašich osobních údajů využíváme technická a organizační opatření zejména na ochranu před neoprávněným přístupem k údajům a jejich zneužitím a zajištění bezpečnosti našich IT systémů. Kde je to vhodné, využíváme na ochranu vašich údajů šifrování.
Směrnice na ochranu osobních údajů
1. Úvodní ustanovení
1.1. Účel
Účelem této směrnice je stanovit všeobecně platnou metodiku pro nakládání a zpracování osobních údajů v jazykové škole tak, aby byly zajištěny podmínky ochrany stanovené NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen jako „Nařízení“), zákonem č. 101/2000 Sb., o ochraně osobních údajů, a to za účelem zajištění jejich řádné ochrany a zabránění jejich úniku, vyzrazení, zneužití, zničení a zamezení jejich ztrát.
Tato směrnice upravuje postupy jazykové školy a jejích zaměstnanců při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice stanovuje hlavní a jednoznačné zásady odpovědnosti, povinnosti a pravomoci při zpracování osobních údajů a nastavení ochrany osobních údajů.
S ohledem na Nařízení tato směrnice zejména stanovuje povinnost, aby se zpracovávaly pouze ty osobní údaje, které jsou potřeba k výkonu činností jazykové školy. Směrnice dále popisuje proces zpracování osobních údajů tak, aby se vynaložila veškerá péče na snížení rizik zneužití, nesprávného nakládání nebo neoprávněného zpracování osobních údajů.
1.2. Působnost
Tato směrnice je závazná pro všechny zaměstnance jazykové školy.
1.3. Základní pojmy a používané zkratky
| Bezpečnostní incident | Jedna nebo více nežádoucích nebo neočekávaných bezpečnostních událostí, při které došlo nebo mohlo dojít k porušení ochrany osobních údajů, bez ohledu na závažnost. |
| Dozorový úřad | V ČR Úřad na ochranu osobních údajů. |
| Nařízení | Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR). |
| Ochrana OÚ | Soubor opatření v oblasti personální, administrativní, fyzické ochrany a informační bezpečnosti potřebných pro zajištění ochrany OÚ. |
| Osobní údaj (OÚ) | Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen “subjekt údajů”); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. |
| Souhlas subjektu údajů | Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých OÚ. |
| Správce OÚ | Pro účely této směrnice je správcem jazyková škola – správce OÚ určuje účel a prostředky zpracování OÚ, provádí zpracování a odpovídá za něj. Správce může zmocnit nebo pověřit zpracováním OÚ Zpracovatele. |
| Subjekt údajů | Fyzická osoba, k níž se OÚ vztahují. Subjekt údajů se považuje za identifikovaný, nebo identifikovatelný, jestliže lze na základě jednoho či více OÚ přímo či nepřímo zjistit jeho identitu. |
| Zaměstnanec | Fyzická osoba, která vykonává práci v jazykové škole v pracovním poměru na základě uzavřené pracovní smlouvy nebo na základě dohod o pracích konaných mimo pracovní poměr. |
| ZOOÚ | Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. |
| Zpracovatel OÚ | Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává OÚ pro správce |
| Zpracování OÚ | Jakákoliv operace nebo soubor operací s OÚ nebo soubory OÚ, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. |
| Zpracovatel OÚ | Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává OÚ pro správce. |
| Zvláštní kategorie údajů (citlivé údaje) | OÚ, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. |
2. Odpovědnosti, povinnosti a pravomoci
2.1. Jazyková škola
Jazyková škola je povinna:
- vytvořit, udržovat a řídit systém ochrany osobních údajů v souladu s Nařízením a ZOOÚ,
- stanovit způsoby, účely, prostředky a místa zpracování osobních údajů,
- zajistit zpracovávání pouze přesných osobních údajů výhradně v souladu s účelem, k němuž byly shromážděny, a to v rozsahu nezbytném pro naplnění stanoveného účelu,
- zajistit informování subjektů údajů, popř. získat jejich souhlasy se zpracováním,
- zabezpečit smluvní zavázání spolupracujících právnických i fyzických osob (jako jsou např. dodavatelé, spolupracující společnosti), které v rámci své činnosti používají osobní údaje zpracovávané jazykovou školou a pro její potřeby zpracovávají, a zabezpečit dodržování Nařízení, ZOOÚ a souvisejících obecně závazných předpisů a požadavků na ochranu osobních údajů,
- zajistit dodržování technických a organizačních opatření zaměřených na zabezpečení a ochranu osobních údajů,
- zajistit posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob,
- zajistit ochranu a bezpečnost osobních údajů, a to od zahájení jejich zpracovávání až do chvíle, kdy jsou likvidovány,
- spolupracovat s dozorovým úřadem a působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů,
- vystupovat jako kontaktní místo pro subjekty údajů, které se na něj mohou obracet v případech, kdy došlo k porušení zpracování jejich osobních údajů a v případech výkonu jejich práv podle Nařízení a ZOOÚ,
- vést centrální evidenci požadavků subjektů údajů,
- vést centrální evidenci souhlasů se zpracováním osobních údajů,
- vést centrální evidenci neshod a bezpečnostních incidentů,
- řešit a vyšetřovat bezpečnostní incidenty vzniklé v souvislosti s ochranou osobních údajů, analyzovat jejich příčiny a zajišťovat nápravná opatření,
- informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji v jazykové škole, a to bez zbytečného odkladu,
- zajistit, aby zaměstnanci jazykové školy byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
- zajišťovat, aby zaměstnanci jazykové školy byli podle možností a potřeb vzděláváni nebo proškolováni o ochraně osobních údajů,
- provádět kontrolu dodržování Nařízení a ZOOÚ,
- zajistit, aby jazyková škola byla schopna řádně doložit plnění povinností při ochraně osobních údajů, které vyplývají z právních předpisů.
2.2. Zaměstnanec či smluvní pracovník jazykové školy
Každý zaměstnanec či smluvní pracovník jazykové školy je povinen:
- počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných jazykovou školou,
- zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, studentů, zákonných zástupců a dalších osob, které jazyková škola zpracovává,
- pokud zjistí porušení ochrany osobních údajů, neoprávněné použití či zneužití osobních údajů, nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost pověřenému zaměstnanci,
- zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních k jejich ochraně; povinnost mlčenlivosti trvá i po skončení pracovního poměru, práce konané mimo pracovní poměr nebo příslušných prací.
3. Zpracování osobních údajů
3.1. Subjekty údajů
Subjekty údajů jazykové školy jsou:
- studenti a jejich zákonní zástupci,
- fyzické osoby v zaměstnaneckém nebo obdobném vztahu (aktivní a bývalí),
- uchazeči o zaměstnání,
- obchodní partneři – fyzické osoby nebo zástupci právnických osob.
V souvislosti s identifikací subjektu údajů je třeba posoudit, jaký je účel zpracovávání a zda je ke zpracovávání nutný souhlas subjektu údajů nebo zda je zpracování osobních údajů možné na základě jiného právního titulu (uzavření nebo plnění smlouvy, plnění právní povinnosti, oprávněný zájem apod.).
Dále je nutné stanovit způsob získávání osobních údajů od subjektu, zejména s ohledem na to, aby nedocházelo k využívání údajů získaných k jinému účelu, případně ke slučování údajů získaných k jiným účelům, a způsob plnění informační povinnosti správce vůči subjektu údajů.
3.2. Účel zpracování osobních údajů
Jazyková škola odpovídá za stanovení účelu zpracovávání osobních údajů a rozsah využívaných údajů. Osobní údaje lze zpracovávat pouze s ohledem na platné právní předpisy ČR a Nařízení v souladu s účelem, k němuž byly shromážděny. Zpracovávat je k jinému účelu je možné jen tehdy, pokud o této změně zpracování byl subjekt údajů informován, a nelze-li takové zpracování provádět na základě právního titulu nevyžadujícího předchozí souhlas, pokud k tomu dal subjekt údajů souhlas.
V rámci jazykové školy jsou zpracovávány osobní údaje za následujícím účelem:
- studenti a jejich zákonní zástupci
-
- plnění smlouvy a poskytování služeb (poskytování jazykových a jiných kurzů),
- komunikace se subjekty údajů,
- informování o změnách a novinkách v nabídce kurzů (oprávněný zájem),
- umožnění přístupu do online systému Laport,
- splnění právní povinnosti,
- účetní a daňové účely,
- vedení zákaznické evidence,
- marketingové a propagační účely (na základě výslovného souhlasu),
- zaměstnanci a uchazeči o zaměstnání
- plnění pracovně právních povinností zaměstnavatele,
- umožnění přístupu do informačních systémů,
- nábor a výběr zaměstnance,
- obchodní partneři
- uzavření a plnění smlouvy,
- komunikace se subjekty údajů,
- splnění právní povinnosti,
- účetní a daňové účely.
Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány.
3.3. Rozsah zpracovávaných osobních údajů
Rozsah zpracovávaných osobních údajů musí být stanoven tak, aby splnil stanovený účel, a přitom nebyly shromažďovány a zpracovávány nadbytečné osobní údaje.
3.4. Zdroje osobních údajů
Osobní údaje jsou získávány především od subjektu údajů, zejména při uzavírání smlouvy a v průběhu smluvního vztahu.
3.5. Zpřístupnění osobních údajů a zpracování prostřednictvím zpracovatele
Osobní údaje mohou být pro zajištění výše popsaných účelů vedle jazykové školy a jejich zaměstnanců zpracovávány také některými dalšími externími společnostmi (tj. zpracovateli). Osobní údaje jsou těmto zpracovatelům předávány pouze v tom případě, že splňují definované organizační a technické podmínky k zajištění jejich náležité ochrany. Zpracovatel není oprávněn zpracovávat osobní údaje k jinému účelu a jiným způsobem než smluvně dohodnutým. Podmínkou pro využití externího zpracovatele je uzavření Smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem. Smlouva se zpravidla uzavírá jako samostatný dokument. Smlouva musí obsahovat veškeré náležitosti v souladu s čl. 28, odst. 3 Nařízení.
3.6. Souhlas se zpracováváním, informace o zpracovávání, ochrana a výkon práv subjektu údajů
3.6.1. Souhlas subjektu údajů
Pokud jsou osobní údaje zpracovávány na základě článku 6 Nařízení, odst. 1, písm.:
- b) – plnění smlouvy,
- c) – splnění právní povinnosti,
- d) – ochrana životně důležitých zájmů,
- e) – veřejný zájem nebo výkon veřejné moci,
- f) – oprávněný zájem, není nutný souhlas subjektu údajů, ale je nutné zajistit informační povinnost vůči subjektu údajů.
V ostatních případech může jazyková škola zpracovávat osobní údaje pouze s předchozím souhlasem subjektu údajů. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje, na konkrétní dobu a pro konkrétní účel. Subjekt údajů má právo svůj souhlas kdykoli odvolat.
3.6.2. Informování subjektu údajů
Jazyková škola je povinna včas a řádně v souladu s článkem 13 a 14 Nařízení ve stanoveném rozsahu informovat subjekt údajů o tom, že zpracovává jeho osobní údaje. Současně musí jazyková škola informovat subjekt údajů o jeho právech vyplývajících z Nařízení. Informační povinnost je naplněna zveřejněním dokumentu „Informace o zpracování osobních údajů“ na webových stránkách jazykové školy, případně jako součást smlouvy se subjektem údajů.
3.6.3. Práva subjektu údajů
V souvislosti se zpracováním osobních údajů mají subjekty údajů možnost uplatňovat svá práva (viz dále). Vyřízení žádostí je poskytováno bezplatně, pouze v případě, že jsou žádosti nedůvodné, nebo nepřiměřené, může být uložen přiměřený poplatek.
3.6.3.1.Právo na přístup k informacím
Subjekt údajů má právo na jasné, transparentní a srozumitelné informace o tom, jak jsou jeho osobní údaje zpracovávány a jaká jsou jeho práva. K tomuto účelu slouží dokument „Informace o zpracování osobních údajů“. Subjekt údajů má právo na přístup k osobním údajům.
3.6.3.2.Právo na opravu
Subjekt údajů má právo na opravu nesprávných a neúplných osobních údajů.
3.6.3.3.Právo na výmaz
Subjekt údajů má právo na vymazání svých osobních údajů, především pokud (a) již nejsou dále potřebné pro další zpracování; (b) byl odvolán souhlas k jejich zpracování; (c) subjekt vznese námitky vůči jejich zpracování; (d) byly zpracovány nezákonně; nebo (e) musejí být vymazány podle právních předpisů. Právo na výmaz nemůže být uplatněno v tom případě, že jazyková škola zpracovává osobní údaje na základě jiného právního titulu, než se souhlasem subjektu (např. pro plnění smlouvy) a pro zpracování osobních údajů stále existuje důvod a účel (např. držení osobních údajů po dobu stanovenou zákonem).
3.6.3.4.Právo na přenositelnost údajů
Subjekt údajů má právo získat své osobní údaje a přenést je k jinému poskytovateli služeb.
3.7. Využívání osobních údajů pro zasílání obchodních sdělení (přímý marketing)
Z důvodu informování o novinkách v nabídce kurzů zasílá jazyková škola obchodní sdělení subjektům údajů za dodržení následujících podmínek:
- sdělení se týkají pouze vlastních produktů a služeb,
- sdělení jsou zasílána formou poštovní korespondence, SMS a e-mailu,
Zpracování osobních údajů za tímto účelem (tj. přímý marketing) je považováno za zpracování prováděné z důvodu oprávněného zájmu jazykové školy. Pokud podá subjekt údajů námitku proti zpracování za účelem přímého marketingu, musí jazyková škola zabezpečit, že danému subjektu údajů již nebudou nadále zasílána obchodní sdělení.
4. Ochrana osobních údajů
Pro zajištění bezpečnosti a důvěrnosti osobních údajů jsou v rámci jazykové školy využívána vhodná technická a organizační opatření zejména na ochranu před neoprávněným přístupem k údajům a jejich zneužitím. Opatření jsou navržena tak, aby odpovídala stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.
4.1. Organizační opatření
Organizační opatření pro zajištění ochrany osobních údajů jsou následující.
- Jazyková škola všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Osobní údaje jsou uchovávány v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený, známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením pověřené osoby.
- Dokumenty obsahující osobní údaje studentů jsou trvale uloženy v uzamykatelných skříních. Dokumenty nelze předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.
- Osobní spisy zaměstnanců či smluvních pracovníků jsou uloženy v uzamykatelných skříních, přístup k nim má pouze pověřená osoba.
- Jazyková škola alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zjistí-li se, že některé postupy jsou zastaralé, zbytečné nebo se neosvědčily, učiní bezodkladně nápravu.
- Každý zaměstnanec či smluvní pracovník při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec či smluvní pracovník zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec či smluvní pracovník, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů.
- Jazyková škola ihned řeší každý bezpečnostní incident týkající se osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního studenta, zaměstnance, zákonného zástupce atd., jazyková škola tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu informuje jazyková škola dozorový úřad a to bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o něm dozvědělo, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
4.2. Technická opatření
Technická opatření pro zajištění ochrany osobních údajů jsou následující.
- Elektronická evidence osobních údajů je vedena v zabezpečeném informačním systému. Do tohoto systému mají přístup jednotliví zaměstnanci, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla a v případě nebezpečí jeho vyzrazení jej ihned změnit. Přístupy nastavuje pověřený zaměstnanec – správce počítačové sítě, který nastavuje potřebné zabezpečení dat.
- Zákonní zástupci studentů, případně samotní studenti, mají zajištěn zabezpečený dálkový přístup výhradně k vlastním údajům na základě přihlašovacího jména a hesla.
- U informačních systému musí být zajištěno logování, zálohování a obnova dat.