Oprávněné zájmy – Testy proporcionality

Příloha č.5 směrnice na ochranu osobních údajů 

Oprávněné zájmy - Testy proporcionality

originál Přílohy č.5 ke stažení zde

Název správce: Mateřská škola Trojlístek Nový Jičín, Máchova 62, příspěvková organizace, Máchova 1067/62, 741 01 Nový Jičín, tel: +420 733 143 800, Elektronická adresa podatelny: seifertovatrojlistek@gmail.com, Identifikátor datové schránky: 9na37yn, IČ: 62330101. Kontaktní údaje pověřence: Ing. Milan Jandora, milan.jandora@outlook.cz, tel: 602553813. ID datové schránky: b3shp9

Výše uvedený správce, každé zpracovávání osobních údajů, kde mohou být významně dotčena osobnostní práva, dokládá rozšířeným popisem zpracovávání osobních údajů - testem proporcionality. Testem proporcionality prokazuje správce oprávněnost zpracovávání v případě, že subjekt údajů vznese námitku nebo požádá o detailní informace k oprávněným zájmům správce. V rámci tohoto testu jsou vyhodnoceny práva subjektu údajů formou následujících otázek a odpovědí na ně. Popis, účely a zákonnost zpracování osobních údajů.

- Popis, účely a zákonnost zpracování osobních údajů.

- Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

- Posouzení rizik pro práva a svobody subjektů údajů.

- Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Při zpracovávání osobních údajů správce využívá následující oprávněné zájmy:

1. Kamerové systémy pro zvýšení bezpečnosti. ....................................................................... 1 

2. Řízení bezpečnosti informačních aktiv správce.................................................................... 2 

3. Povinné testování zaměstnanců.............................................................................................. 4 

4. Povinné testování žáků - dětí. ................................................................................................. 8 

5. Efektivita, kvalita a řízení práce zaměstnanců správce. ....................................................11 

6. Komunikace v rámci dodavatelsko odběratelských vztahů mimo smluvní vztahy. .......13 

7. Propagace a prezentace školky. ...........................................................................................14

1. Kamerové systémy pro zvýšení bezpečnosti.

1.1. Popis, účely a zákonnost zpracování osobních údajů.

V rámci tohoto oprávněného zájmu jsou pořizovány a zpracovávány podobizny zaměstnanců, občanů, zákonných zástupců formou nahrávaného videa po dobu 7 dní za účelem zvýšení bezpečnosti přístupu a ochrany majetku školky. Záznam slouží jen pro kontrolní činnost určeným zaměstncům školky.

1.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

Jsou monitorovány jen rizikové prostory z pohledu zabezpečení osob a majetku. Nejsou monitorovány soukromé prostory a pracovní prostory dětí a zaměstnanců. Nejsou tak narušeny osobní práva, zaměstnanců a dětí neustálým monitorováním jejich pracovního nebo soukromého prostoru nebo činnosti. Monitorování je přiměřené.

1.3. Posouzení rizik pro práva a svobody subjektů údajů.

V souvislosti se zpracováváním výše uvedených osobních údajů posuzujeme následující rizika:

Riziko č. 1 Nedostatečná informovanost, zaměstnanců a zákonných zástupců.

Riziko č. 2 Neoprávněný přístup k zařízení zobrazující podobiznu a zneužití pro jiné účely.

1.4. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost zaměstnanců a zákonných zástupců. Snížení rizika bude zajištěno formou následujících opatření:

  • Povinné informace na webových stránkách. Informování, zaměstnanců a zákonných zástupců bude provedeno následujícím způsobem. Správce informuje o záznamu videa na svých webových stránkách www.trojlistek.cz v rámci povinně zveřejňovaných informací v souvislosti se zpracováváním osobních údajů.
  • Informační nálepky. Informování je provedeno formou informačních nálepek umístěných na viditelných místech.
  • Popis oprávněných zájmů je součástí interní směrnice na ochranu osobních údajů, se kterou je zaměstnanec povinně seznamován při nástupu do zaměstnání a na každoročních pravidelných školeních a na oprávněné zájmy je odkazováno ve školním řádě.
  • Vznesení námitky proti zpracovávání osobních údajů. V případě, že jako subjekt údajů, kterého se zpracovávání osobních údajů v rámci tohoto oprávněného zájmu týká budete mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje vaše práva máte právo "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, kterou vám na vyžádání zašleme. V případě že vznesete námitku, máme povinnost vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů. V případě, že zdůvodnění správce bude pro vás stále nedostatečné máte právo se obrátit na Úřad na ochranu osobních www.uoou.cz a podat stížnost.
  • Provoz a chod kamerového systému je řízen samostatnou směrnici.

Riziko č. 2 Neoprávněný přístup k zobrazovanému přenosu a zneužití pro jiné účely. Snížení rizika bude zajištěno formou následujících opatření:

  • Poučení zaměstnanců. Správce pro potřeby provozování a technicko organizačního zabezpečení kamerového systému proškoluje pravidelně zaměstnance u využití jen pro bezpečnostní účely školky. Jakékoliv neoprávněné nahrávání nebo zprostředkování obrazu je zakázáno.
  • Řízení přístupů. Přístup k videozáznamům je řízen pomocí přístupového oprávnění. Přístup mají jen určení zaměstnanci školky. Provoz je organizačně a technicky řízen samostatnou směrnicí školky.

2. Řízení bezpečnosti informačních aktiv správce.

2.1. Popis, účely a zákonnost zpracování osobních údajů.

V souvislosti se zabezpečením informačních aktiv školky v rámci IT bezpečnosti a v případě podezření na jejich zneužívání jsou monitorovány u zaměstnanců přístupy na webové stránky a využití SW a IT prostředků, zda jsou využívány v souvislosti jen pro potřeby a účely spojené s pracovní náplní. Při monitorování mohou být nalezeny i přístupy na webové stránky, které jsou soukromé a nepřiměřené k účelu užití dané pracovním vztahem. Záznamy jsou ukládány po dobu 1 roku a případná porušení jsou řešeny v rámci pracovně právního vztahu.

2.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

Monitorování přístupů na webové stránky a využití SW a IT prostředků je prováděno za účelem kontroly z důvodu zajištění IT bezpečnosti proti škodlivému kódu a hybridním hrozbám a efektivního využití IT prostředků. Monitorování je přiměřené a v souladu se zákonem.

2.3. Posouzení rizik pro práva a svobody subjektů údajů.

V souvislosti se zpracováváním výše uvedených osobních údajů posuzujeme následující rizika:

Riziko č. 1 Nedostatečná informovanost zaměstnanců.

Riziko č. 2 Neoprávněný přístup ke statistikám přístupů a jejich zneužití pro jiné účely.

2.4. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost zaměstnanců. Snížení rizika bude zajištěno formou následujících opatření:

  • Povinné informace na webových stránkách. Informování zaměstnanců bude provedeno následujícím způsobem. Správce informuje o monitorování přístupů formou oprávněného zájmu na webových stránkách www.trojlistek.cz.
  • Pravidelné školení zaměstnanců. Zaměstnanci jsou pravidelně školeni a informování o monitorování přístupů na webové stránky a využívání svěřených IT prostředků na pravidelných školeních v souvislosti s ochranou osobních údajů.
  • Vznesení námitky proti zpracovávání osobních údajů. V případě, že jako subjekt údajů (zaměstnanec), kterého se zpracovávání osobních údajů v rámci tohoto oprávněného zájmu týká budete mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje vaše práva máte právo "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, kterou vám na vyžádání zašleme. V případě že vznesete námitku, máme povinnost vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů. V případě, že zdůvodnění správce bude pro vás stále nedostatečné máte právo se obrátit na Úřad na ochranu osobních www.uoou.cz a podat stížnost.

Riziko č. 2 Neoprávněný přístup ke statistikám přístupů a jejich zneužití pro jiné účely. Snížení rizika bude zajištěno formou následujících opatření:

  • Řízený přístup. Statistiky přístupů a využívaní IT prostředků jsou v rámci kontroly zasílány případně zobrazovány jen ředitelce školky, a to jen v případě na zneužívání

IT prostředků. Školka má nastaven systém řízení přístupových prav na jednotlivé uživatele. IT specialista má přístup ke statistikám a je vázán mlčenlivostí v rámci pracovněprávního vztahu nebo smluvního vztahu.

3. Povinné testování zaměstnanců.

3.1. Popis, účely a zákonnost zpracování osobních údajů.

V souvislosti s onemocněním COVID-19 správce povinně testuje své zaměstnance ve vlastních prostorách za dodržení epidemiologických opatření. Testování je prováděno přímo zaměstnavatelem (samoodběr zaměstnanců pomocí testů poskytnutých zaměstnavatelem nebo testování prováděné určenými zaměstnanci). V tomto případě se při zpracování osobních údajů zaměstnavatel stává správcem osobních údajů se všemi povinnostmi vyplývajícími z obecného nařízení. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování zaměstnanců zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých zaměstnanců je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.

Vlastní záznamy o provedení testů u zaměstnanců mohou obsahovat pouze základní identifikační údaje zaměstnance sloužící k identifikaci daného zaměstnance (jméno, příjmení, datum narození, které je možno interně nahradit identifikátorem, který zaměstnanci přidělil zaměstnavatel), údaje o přesném čase provedení testu a výsledek testu na přítomnost viru SARS-CoV-2, a to v mezích oprávněných požadavků příslušných orgánů. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování daného zaměstnance (identifikační údaje zaměstnance, důvod výjimky z testování dle nařízení jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost, doklad o jiných prokazatelných testech).

Výše uvedené osobní údaje musí být vedeny i pro potřebu kontrol a doložitelnosti provádění nařízení k povinnému testování pro "správní orgány" a orgány "ochrany veřejného zdraví".

  • Osobní údaje zaměstnanců jsou zpracovávány za účelem.

- předcházení dalšího šíření onemocnění COVID-19,

- zvýšení bezpečnosti pracovního prostředí,

- prokázání plnění a kontroly plnění povinností uložených správci právními předpisy správním orgánem,

  • Právní základ zpracování osobních údajů.

Koronavirus SARS-CoV-2 (COVID-19) a jeho mutace je nakažlivá choroba. Vláda České republiky přijala v rámci krizových opatření z důvodu ohrožení zdraví nařízení vlády č. 75/2020 Sb. kterým, se mění nařízení vlády č. 453/2009 Sb., kterým se pro účely trestního zákoníku stanoví, co se považuje za nakažlivé lidské nemoci. Touto novelou byla do přílohy č. 1 uvedeného nařízení doplněna jako další z nakažlivých lidských nemocí také nemoc "COVID-19". Od 13. 03. 2020 je trestným činem šíření nakažlivé lidské nemoci COVID-19, za který mohou být stíhány fyzické a právnické osoby.

Zpracování osobních údajů zaměstnanců vedených v evidenci provedených testů je plněním právní povinnosti uložené správci dle čl. 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví je při testování zpracovávána zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu dle čl. 9 odst. 2 písm. i) obecného nařízení. Testování je prováděno na základě mimořádného opatření Ministerstva zdravotnictví Testování je prováděno na základě

mimořádného opatření Ministerstva zdravotnictví ze dne 6.4.21 Č.j.: MZDR 14592/2021-2/MIN/KAN, (Mimořádné opatření testování zaměstnanců ve školách.pdf).

Pokud je výsledek preventivního antigenního testu na přítomnost antigenu viru SARS-CoV-2 prováděného na pracovišti zaměstnavatele podle čl. I pozitivní, je zaměstnanec povinen postupovat podle platného mimořádného opatření Ministerstva zdravotnictví upravujícího povinnosti zaměstnanců při testování na přítomnost antigenu viru SARS-CoV-2 prováděného laickou osobou prostřednictvím testu poskytnutého zaměstnavatelem. Čj. MZDR 47828/2020-27/MIN/KAN ze dne 22. 3. 2021 (samo testující se zaměstnanci a osoby samostatně výdělečně činné.pdf).

3.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

  • Doba uložení osobních údajů.

Zpracování osobních údajů bude probíhat a evidence provedených testů bude vedena do zrušení mimořádného opatření k provádění povinného testování zaměstnanců. Lhůta pro uchování osobních údajů a evidence provedených testů nebyla v rámci mimořádného opatření stanovena, avšak s ohledem na povinnosti, které jsou na správce kladeny výše uvedenými právními předpisy, bude maximální doba uchování osobních údajů a evidence provedených testů 3 roky od doby jejich pořízení. Tato lhůta se jeví jako nezbytná z důvodu nutnosti prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem. Doba uložení evidovaných údajů u orgánů veřejného zdraví je závislá na zákonných povinnostech a oprávněných požadavcích příslušných orgánů (zdravotních pojišťoven, orgánů veřejného zdraví či jiných orgánů na základě zákona).

  • Příjemci osobních údajů.

Orgány ochrany veřejného zdraví za účelem případné kontroly plnění uloženého opatření.

Zdravotní pojišťovny, pokud to bude nezbytné za účelem poskytnutí finančních prostředků k úhradě testů na onemocnění COVID-19.

  • Předání do zahraničí.

Správce nepředává osobní údaje mezinárodním organizacím či do třetích zemí.

  • Automatizované rozhodování, včetně profilování.

Správce nebude provádět automatizované rozhodování, včetně profilování.

  • Posouzení pověřence, zda provádět DPIA.

Pověřenec, v souladu s metodikou a s doporučením UOOU, "Pokyny k posouzení vlivu na ochranu osobních údajů a ke stanovení, zda zpracování bude pravděpodobně mít za následek vysoké riziko pro účely Nařízení 2016/679, WP29, 2017", provedl analýzu s ohledem na vlastní specifika prováděného zpracování, a konstatuje, že není nutno provést rozsáhlé posouzení vlivu na ochranu osobních údajů DPIA (Data Protection Impact Assessments). Klíčovou podmínkou ve specifikaci je, aby správce pověřil max 2 osoby které budou plně přistupovat k osobním údajům v analogové i digitální evidenci. Jinak by správce musel dle UOOU provádět "veliké hloubkové" DPIA. Pověřenec doporučuje pověřit na personálním oddělení pouze 2 osoby s přístupem k předmětným osobním údajům a zápisům do povinných aplikací.

  • Zákonnost a přiměřenost.

Správce osobních údajů je povinen na základě výše uvedených právních důvodů ve smyslu vydaných nařízení MZDR zajišťovat testování a evidovat osobní údaje pro potřeby evidence orgánu veřejného zdraví a případných kontrol. Veřejný zájem při ochraně zdraví obyvatelstva je prioritní a je v souladu s osobnostními právy subjektů údajů při pandemické

situaci, ve které se obyvatelé nachází. Podrobné zdůvodnění je provedeno ve výše uvedeném nařízení ze dne 6.4.21 Č.j.: MZDR 14592/2021-2/MIN/KAN Pro tyto účely správce zpracovává a ukládá osobní údaje zaměstnanců v nezbytně nutném rozsahu. Profilování zaměstnanců ani automatizované zpracovávání jejich osobních údajů správce neprovádí.

Zpracovávání osobních údajů je v tomto případě přiměřené a zákonné.

ad 3. Posouzení rizik pro práva a svobody subjektů údajů.

Riziko č. 1 Nedostatečná informovanost zaměstnanců.

Riziko č. 2 Neoprávněný přístup k osobním údajům zaměstnance.

3.3. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost zaměstnanců je snížena následujícími opatřeními:

  • Povinné informace na webových stránkách:

Správce informuje o zpracovávání osobních údajů z důvodu jeho oprávněného nebo veřejného zájmu na webových stránkách www.trojlistek.cz .

  • Pravidelné seznámení zaměstnanců se svými právy a povinnostmi:

Zaměstnanci jsou formou vnitřních směrnic a tohoto testu proporcionality ve vnitřním intranetovém systému nebo příkazem ředitele seznámení se zpracováváním osobních údajů pravidelně a při změně klíčových dokumentů.

  • Konzultace s pověřencem.

Zaměstnanec má právo kontaktovat pověřence školy a případné nejasnosti nebo svá práva s pověřencem konzultovat na výše uvedených kontaktních údajích pověřence.

  • Právo odmítnout testování.

Zaměstnanec má právo testování odmítnout, v tomto případě se musí prokázat jiným prokazatelným testem a postupovat v souladu s nařízením o povinném testování. Zaměstnavatel má povinnost neotestovaného zaměstnance nevpustit na pracoviště.

  • Právo na informace k osobním údajům.

Zaměstnanec má právo, dle čl. 15 obecného nařízení, údajů být informován o rozsahu údajů o něm zpracovávaných.

  • Právo na opravu osobních údajů.

Zaměstnanec má právo, dle čl. 16 obecného nařízení, požadovat opravu osobních údajů, pokud budou v evidenci provedených testů uvedeny nepřesné osobní údaje.

  • Právo na výmaz osobních údajů.

Právo na výmaz osobních údajů může subjekt údajů uplatnit, dle čl. 17 obecného nařízení pouze, pokud by ze strany správce docházelo ke zpracování osobních údajů, u nichž pominul účel jejich zpracování nebo bylo chybně zapsáno.

  • Právo na omezení zpracování.

Toto právo dle čl. 18 obecného nařízení, nelze uplatnit s výjimkou, pokud subjekt údajů osobní údaje potřebuje pro určení, výkon nebo obhajobu právních nároků

nebo vznesl námitku proti zpracovávání osobních údajů na základě žádosti na správce.

  • Právo vznesení námitky proti zpracovávání osobních údajů:

V případě, že subjekt údajů, kterého se zpracovávání osobních údajů v rámci tohoto oprávněného - veřejného zájmu týká, bude mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje jeho práva, má právo dle čl. 21 obecného nařízení "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, která je na vyžádání zaslána. V případě, že je vznesena námitka, je povinností Správce vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů tímto testem proporcionality. V případě, že zdůvodnění Správce bude pro subjekt údajů stále nedostatečné, má právo obrátit se na Úřad na ochranu osobních údajů www.uoou.cz a podat tam stížnost.

  • Právo podat stížnost u Úřadu jako dozorového úřadu.

Každý subjekt údajů, pokud se domnívá, že došlo k porušení obecného nařízení, dle čl.77 obecného nařízení, má právo podat stížnost Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, tel. +420 234 665 111, e-mail posta@uoou.cz.

Riziko č. 2 Neoprávněný přístup osobním údajům zaměstnance je snížen následujícími opatřeními:

  • Poučení zaměstnanců provádějící testování - samo testování.

Zaměstnanci provádějící testování nebo samo testování jsou poučení o nakládání s osobními údaji a výsledky testů sdělují jen oprávněným pověřeným osobám správce.

  • Poučení zaměstnanců.

- Správce pravidelně zaměstnance školy proškoluje a informuje je o opatřeních na ochranu osobních údajů a zaměstnanci správce mají povinnost seznamovat se s interními předpisy správce.

- Jakékoliv zveřejňování a informování o výsledcích testů je umožněno pouze oprávněným osobám správce určeným a zodpovědným za zpracovávání osobních údajů a kontrolu.

- V případě nepřítomnosti zaměstnance na pracovišti z důvodu pozitivního testu, je interně komunikováno jako o zaměstnanci na nemocenské.

- V případě zaměstnanců a žáků, kteří přišli nebo mohli pravděpodobně přijít do styku s pozitivním zaměstnancem je interně komunikováno jako o zaměstnanci s pozitivním testem, neboť správce má právní povinnost chránit zaměstnance a žáky a informovat zákonné zástupce.

- Externě je komunikována pouze nepřítomnost zaměstnance.

  • Zabezpečení přístupu.

Správce zajišťuje, aby osobní údaje (dokumentace) týkající se testování byly uchovávány v uzamykatelných skříňkách s přístupem jen správcem určeným osobám. V případě evidence v digitální podobě je přístup zajištěn jen správcem určeným a oprávněným osobám pod řízeným oprávněním, které je správcem řízeno a kontrolováno.

  • Vnitřní směrnice

Zaměstnanci se řídí vnitřním předpisem "Směrnicí k ochraně osobních údajů" a ostatními vnitřními předpisy upravujícími činnost Správce.

4. Povinné testování žáků - dětí.

4.1. Popis, účely a zákonnost zpracování osobních údajů.

V souvislosti s onemocněním na COVID 19 správce povinně dle nařízení MZD testuje žáky školy. Správce používá testovací sady dodané státem za dodržení epidemiologických opatření nebo jiné MZD doporučené testy.

Testování žáků je prováděno za dohledu určenými zaměstnanci školy a v případě výjimek stanovených v opatření MZD i za přítomnosti a asistence zákonných zástupců. Škola se při zpracování osobních údajů potřebných pro evidenci a administrativu testování žáků stává správcem osobních údajů se všemi povinnostmi vyplývajícími z obecného nařízení. Z důvodu veřejného zájmu v oblasti veřejného zdraví dle obecného nařízení je při testování žáků zpracovávána také zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu. Samotné záznamy o provedení testů u jednotlivých žáků je možno využívat pouze v přímé souvislosti s plněním povinností uložených mimořádným opatřením.

Vlastní záznamy o provedení testů u žáků mohou obsahovat pouze základní identifikační údaje žáků sloužící k identifikaci daného žáka (jméno, příjmení, třída, které je možno nahradit interně identifikátorem, který je žákovi přidělen školou a datum narození, údaje o přesném čase provedení testu a výsledek testu na přítomnost viru SARS-CoV-2), a to v mezích oprávněných požadavků příslušných orgánů. Stejné omezení rozsahu pouze na nezbytné osobní údaje platí i pro případné dokumenty prokazující výjimku z povinného testování žáků (identifikační údaje žáka, důvod výjimky z testování jako je prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, distanční výuka z důvodu jiného onemocnění nebo odmítnutí testování).

Škola bezodkladně zašle příslušné krajské hygienické stanici nebo Hygienické stanici hlavního města Prahy (dále jen "krajská hygienická stanice") seznam dětí, žáků nebo studentů, kteří byli ve škole v kontaktu ve dnech uvedených v čl. V s jiným dítětem, žákem, studentem nebo pedagogickým pracovníkem, který měl pozitivní výsledek RT-PCR testu na přítomnost viru SARS-CoV-2 nebo pozitivní výsledek POC antigenního testu na přítomnost antigenu viru SARS-CoV-2 a má příznaky onemocnění COVID-19. Krajská hygienická stanice nařídí dětem, žákům a studentům ze seznamu podle věty první karanténu a dále postupuje podle mimořádného opatření Ministerstva zdravotnictví o nařizování izolace a karantény.

Výše uvedené osobní údaje musí být vedeny i pro potřebu kontrol a doložitelnosti provádění nařízení k povinnému testování pro "správní orgány" a orgány "ochrany veřejného zdraví".

  • Osobní údaje žáků jsou zpracovávány za účelem.

- předcházení dalšího šíření onemocnění COVID-19,

- zvýšení bezpečnosti pracovního prostředí ve školách

- prokázání plnění a kontroly plnění povinností uložených správci právními předpisy,

  • Právní základ zpracování osobních údajů.

Koronavirus SARS-CoV-2 (COVID-19) a jeho mutace je nakažlivá choroba. Vláda České republiky přijala v rámci krizových opatření z důvodu ohrožení zdraví nařízení vlády č. 75/2020 Sb. kterým, se mění nařízení vlády č. 453/2009 Sb., kterým se pro účely trestního zákoníku stanoví, co se považuje za nakažlivé lidské nemoci. Touto novelou byla do přílohy č. 1 uvedeného nařízení doplněna jako další z nakažlivých lidských nemocí také nemoc

"COVID-19". Od 13. 03. 2020 je trestným činem šíření nakažlivé lidské nemoci COVID-19, za který mohou být stíhány fyzické a právnické osoby.

Zpracování osobních údajů žáků vedených v evidenci provedených testů je plněním právní povinnosti uložené správci dle čl. 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů. Z důvodu veřejného zájmu v oblasti veřejného zdraví je při testování zpracovávána zvláštní kategorie osobních údajů vypovídajících o zdravotním stavu dle čl. 9 odst. 2 písm. i) obecného nařízení. Testování je prováděno na základě mimořádného opatření Ministerstva zdravotnictví Č. j.: MZDR 14592/2021-3/MIN/KAN ze dne 6. 4. 2021 (Mimořádné opatření testování žáků ve školách.pdf).

4.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

  • Doba uložení osobních údajů.

Zpracování osobních údajů bude probíhat a evidence provedených testů bude vedena do zrušení mimořádného opatření k provádění povinného testování žáků - dětí. Lhůta pro uchování osobních údajů a evidence provedených testů nebyla v rámci mimořádného opatření stanovena, avšak s ohledem na povinnosti, které jsou na správce kladeny výše uvedenými právními předpisy, bude maximální doba uchování osobních údajů a evidence provedených testů 3 roky od doby jejich pořízení. Tato lhůta se jeví jako nezbytná z důvodu nutnosti prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem. Doba uložení evidovaných údajů u orgánů veřejného zdraví je závislá na zákonných povinnostech a oprávněných požadavcích příslušných orgánů (zdravotních pojišťoven, orgánů veřejného zdraví či jiných orgánů) na základě zákona.

  • Příjemci osobních údajů.

Orgány ochrany veřejného zdraví za účelem případné kontroly plnění uloženého opatření a povinností.

  • Předání do zahraničí.

Správce nepředává osobní údaje mezinárodním organizacím či do třetích zemí.

  • Automatizované rozhodování, včetně profilování.

Správce nebude provádět automatizované rozhodování, včetně profilování.

  • Posouzení pověřence, zda provádět DPIA.

Pověřenec, v souladu s metodikou a s doporučením UOOU, "Pokyny k posouzení vlivu na ochranu osobních údajů a ke stanovení, zda zpracování bude pravděpodobně mít za následek vysoké riziko pro účely Nařízení 2016/679, WP29, 2017", provedl analýzu s ohledem na vlastní specifika prováděného zpracování, a konstatuje, že není nutno provést rozsáhlé posouzení vlivu na ochranu osobních údajů DPIA (Data Protection Impact Assessments). Klíčovou podmínkou ve specifikaci je, aby správce pověřil max 2 osoby které budou plně přistupovat k osobním údajům v analogové i digitální evidenci. Jinak by správce musel dle UOOU provádět "veliké hloubkové" DPIA. Pověřenec doporučuje pověřit na personálním oddělení pouze 2 osoby s přístupem k předmětným osobním údajům.

  • Zákonnost a přiměřenost.

Správce osobních údajů je povinen na základě výše uvedených právních důvodů ve smyslu vydaných nařízení MZDR zajišťovat testování a evidovat osobní údaje pro potřeby evidence orgánu veřejného zdraví a případných kontrol. Veřejný zájem při ochraně zdraví obyvatelstva je prioritní a je v souladu s osobnostními právy subjektů údajů při pandemické situaci, ve které se obyvatelé nachází. Podrobné zdůvodnění je provedeno ve výše uvedeném nařízení ze dne 6.4.21 Č. j.: MZDR 14592/2021-3/MIN/KAN. Pro tyto účely správce zpracovává a ukládá osobní údaje zaměstnanců v nezbytně nutném rozsahu.

Profilování žáků, ani automatizované zpracovávání jejich osobních údajů správce neprovádí.

Zpracovávání osobních údajů je v tomto případě přiměřené a zákonné.

ad 3. Posouzení rizik pro práva a svobody subjektů údajů.

Riziko č. 1 Nedostatečná informovanost zákonných zástupců.

Riziko č. 2 Neoprávněný přístup k osobním údajům žáků.

4.3. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost zákonných zástupců je snížena následujícími opatřeními:

  • Povinné informace na webových stránkách:

Správce informuje o zpracovávání osobních údajů z důvodu jeho oprávněného nebo veřejného zájmu na webových stránkách www.trojlistek.cz.

  • Seznámení zákonných zástupců s právy a povinnostmi:

Zákonní zástupci jsou formou zveřejnění tohoto testu proporcionality na webových stránkách seznámeni se svými právy a povinnostmi.

  • Konzultace s pověřencem.

Zákonný zástupce má právo kontaktovat pověřence školy a případné nejasnosti nebo svá práva k ochraně osobních údajů s pověřencem konzultovat na výše uvedených kontaktních údajích pověřence.

  • Právo odmítnout testování.

Zákonný zástupce má právo testování žáka odmítnout, v tomto případě se musí prokázat jiným prokazatelným testem a postupovat v souladu s nařízením o povinném testování. Škola má povinnost neotestovaného žáka, za nedodržení postupu v nařízení, nevpustit do školy případně do příchodu zákonného zástupce žáka oddělit od otestovaných žáků.

  • Právo na informace k osobním údajům.

Zákonný zástupce má právo, dle čl. 15 obecného nařízení, údajů být informován o rozsahu zpracovávaných údajů o žákovi.

  • Právo na opravu osobních údajů.

Zákonný zástupce má právo, dle čl. 16 obecného nařízení, požadovat opravu osobních údajů, pokud budou v evidenci provedených testů uvedeny nepřesné osobní údaje.

  • Právo na výmaz osobních údajů.

Právo na výmaz osobních údajů může zákonný zástupce uplatnit, dle čl. 17 obecného nařízení pouze, pokud by ze strany správce docházelo ke zpracování osobních údajů, u nichž pominul účel jejich zpracování.

  • Právo na omezení zpracování.

Toto právo dle čl. 18 obecného nařízení, nelze uplatnit s výjimkou, pokud zákonný zástupce údajů osobní údaje potřebuje pro určení, výkon nebo obhajobu právních nároků nebo vznesl námitku proti zpracovávání osobních údajů na základě žádosti na správce.

  • Právo vznesení námitky proti zpracovávání osobních údajů:

V případě, že zákonný zástupce žáka, kterého se zpracovávání osobních údajů v rámci tohoto oprávněného - veřejného zájmu týká, bude mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje jeho práva, má právo dle čl. 21 obecného nařízení "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, která je na vyžádání zaslána. V případě, že je vznesena námitka, je povinností Správce vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů tímto testem proporcionality. V případě, že zdůvodnění Správce bude pro subjekt údajů stále nedostatečné, má právo obrátit se na Úřad na ochranu osobních údajů https://www.uoou.cz/ a podat tam stížnost.

  • Právo podat stížnost u Úřadu jako dozorového úřadu.

Každý zákonný zástupce, pokud se domnívá, že došlo k porušení obecného nařízení, dle čl.77 obecného nařízení, má právo podat stížnost Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, tel. +420 234 665 111, e-mail posta@uoou.cz.

Riziko č. 2 Neoprávněný přístup osobním údajům žáků je snížen následujícími opatřeními:

  • Poučení zaměstnanců provádějící dozorování - samo testování žáků.

Zaměstnanci provádějící testování nebo samo testování jsou poučení o nakládání s osobními údaji a výsledky testů žáků sdělují jen oprávněným pověřeným osobám správce a zákonným zástupcům.

  • Poučení zaměstnanců.

- Správce pravidelně zaměstnance školy proškoluje a informuje je o opatřeních na ochranu osobních údajů a zaměstnanci správce mají povinnost seznamovat se s interními předpisy správce.

- Jakékoliv zveřejňování a informování o výsledcích testů je umožněno pouze oprávněným osobám správce určeným a zodpovědným za zpracovávání osobních údajů a kontrolu.

- V případě nepřítomnosti žáka z důvodu pozitivního testu, je interně komunikováno jako o žákovi z nepřítomnosti z důvodu nemoci.

- V případě osob, které přišli nebo mohli pravděpodobně přijít do styku s pozitivním žákem je interně komunikováno jako o žákovi s pozitivním testem, neboť správce má právní povinnost chránit zaměstnance a ostatní žáky.

  • Zabezpečení přístupu.

Správce zajišťuje, aby osobní údaje týkající se testování byly uchovávány v uzamykatelných skříňkách s přístupem jen správcem určeným osobám. V případě evidence v digitální podobě je přístup zajištěn jen správcem určeným a oprávněným osobám pod řízeným oprávněním, které je správcem řízeno a kontrolováno.

  • Vnitřní směrnice

Zaměstnanci se řídí vnitřním předpisem "Směrnicí k ochraně osobních údajů" a ostatními vnitřními předpisy upravujícími činnost Správce.

5. Efektivita, kvalita a řízení práce zaměstnanců správce.

5.1. Popis, účely a zákonnost zpracování osobních údajů.

V souvislosti s kvalitou a efektivitou práce zaměstnanců školka zpracovává osobní údaje zaměstnanců jako je jméno, příjmení, videozáznam, podobizna a výkonnostní parametry spojené s kvalitou práce zaměstnance v rámci pracovního poměru a v rámci školení na které jsou zaměstnanci vysláni pro zvyšování kompetence a kvalifikace zaměstnance. Při zpracovávání dochází k vyhodnocování a profilování zaměstnance. Osobní údaje budou ukládány po dobu pracovního poměru a následné skartační lhůty, která činí 1 rok.

5.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

Zvyšování kvality zaměstnanců je neustálým cílem školky. Profilování je prováděno jen za účelem hodnocení zaměstnance v rámci pracovního poměru. V případě školení by muselo pokaždé vzhledem k rozdílným zpracovatelům být podepisován souhlas se zpracováním osobních údajů. Pokud je toto profilování vedeno jako oprávněný zájem správce, výrazně to zjednodušuje administrativu. Profilování a vyhodnocování je přiměřené a v souladu s pracovním právem.

5.3. Posouzení rizik pro práva a svobody subjektů údajů.

V souvislosti se zpracováváním výše uvedených osobních údajů posuzujeme následující rizika:

Riziko č. 1 Nedostatečná informovanost zaměstnanců.

Riziko č. 2 Neoprávněný přístup k výsledkům profilace výkonnostních a kvalitativních parametrů zaměstnance.

5.4. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost zaměstnanců. Snížení rizika bude zajištěno formou následujících opatření:

  • Povinné informace na webových stránkách. Informování zaměstnanců bude provedeno následujícím způsobem. Správce informuje o profilování výkonnostních parametrů v rámci svých oprávněných zájmů na webových stránkách www.trojlistek.cz v rámci povinně zveřejňovaných informací v souvislosti se zpracováváním osobních údajů.
  • Pravidelné školení zaměstnanců. Zaměstnanci jsou pravidelně školeni a informování o zpracovávání osobních údajů, profilování a vyhodnocování výkonnostních parametrů na pravidelných školeních v souvislosti s ochranou osobních údajů.
  • Vznesení námitky proti zpracovávání osobních údajů. V případě, že jako subjekt údajů (zaměstnanec), kterého se zpracovávání osobních údajů v rámci tohoto oprávněného zájmu týká budete mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje vaše práva máte právo "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, kterou vám na vyžádání zašleme. V případě že vznesete námitku, máme povinnost vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů. V případě, že

zdůvodnění správce bude pro vás stále nedostatečné máte právo se obrátit na Úřad na ochranu osobních www.uoou.cz a podat stížnost.

Riziko č. 2 Neoprávněný přístup k osobním údajům a výsledkům profilace výkonnostních a kvalitativních parametrů zaměstnance. Snížení rizika bude zajištěno formou následujících opatření:

  • Řízený přístup. Profilace a záznamy o vyhodnocení kvalifikovaných ukazatelů jsou zpřístupněny pouze přímému nadřízenému. Jsou uloženy v uzamykatelných skříních případně v datových souborech s řízeným přístupovým oprávněním.

6. Komunikace v rámci dodavatelsko odběratelských vztahů mimo smluvní vztahy.

6.1. Popis, účely a zákonnost zpracování osobních údajů.

V rámci tohoto oprávněného zájmu mohou zaměstnanci školky zpracovávat a uchovávat osobní údaje v rozsahu jméno, příjmení, telefonní číslo a emailovou adresu všech fyzických osob nabízejících služby, které jsou nutné pro zajištění chodu školky. S těmito osobami nemá školka uzavřenou dodavatelsko odběratelskou smlouvu a jejich kontaktování může být náhodné pro momentální potřebu školky. Osobní údaje jsou zpracovávány v rámci kontaktů jednotlivými zaměstnanci a jen za účelem poskytnutí služeb pro školku.

6.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

Pro práci zaměstnance školky je nezbytné pro některé činnosti spojené se zabezpečením chodu školky mít ve své databázi tyto kontakty. Tyto kontakty jsou ze strany fyzických osob nabízejících službu poskytovány za účelem kontaktování, často to jsou však osobní telefony a emaily. Zaměstnanec využívá tyto kontakty je pro účely zabezpečení chodu školky. Zpracovávání osobních údajů je přiměřené a v souladu se zákonem.

6.3. Posouzení rizik pro práva a svobody subjektů údajů.

V souvislosti se zpracováváním výše uvedených osobních údajů posuzujeme následující rizika:

Riziko č. 1 Nedostatečná informovanost fyzických osob poskytujících osobní údaje.

Riziko č. 2 Zneužití osobních údajů pro jiné účely.

6.4. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost fyzických osob poskytujících osobní údaje.

Snížení rizika bude zajištěno formou následujících opatření:

  • Povinné informace na webových stránkách. Informování fyzických osob poskytujících osobní údaje pro zajištění služeb chodu školky bude provedeno následujícím způsobem. Školka informuje o zpracovávání na svých webových stránkách www.trojlistek.cz v rámci povinně zveřejňovaných informací v souvislosti se zpracováváním osobních údajů v rámci oprávněných zájmů.
  • Vznesení námitky proti zpracovávání osobních údajů. V případě, že jako subjekt údajů (fyzická osoba poskytující osobní údaje), kterého se zpracovávání osobních

údajů v rámci tohoto oprávněného zájmu týká budete mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje vaše práva máte právo "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, kterou vám na vyžádání zašleme. V případě že vznesete námitku, máme povinnost vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů. V případě, že zdůvodnění správce bude pro vás stále nedostatečné máte právo se obrátit na Úřad na ochranu osobních www.uoou.cz a podat stížnost.

Riziko č. 2 Zneužití osobních údajů pro jiné účely. Snížení rizika bude zajištěno formou následujících opatření:

  • Pravidelné školení zaměstnanců. Zaměstnanci jsou pravidelně školeni a informování o možnosti zpracovávat jméno, příjmení, email a telefon fyzických osob nabízejících a poskytujících služeb pro účel zajištění chodu školky. Jakékoliv využití pro jiné účely musí být vždy předmětem jen zákonného způsobu zpracovávání osobních údajů. Zaměstnanci jsou pravidelně proškolováni, aby neposkytovali a nepoužívali osobní údaje pro jiné účely.
  • Zabezpečení. Kontakty jednotlivých zaměstnanců, kde jsou předmětné osobní údaje uloženy jsou chráněný přístupovým oprávněním a má k nim přístup jen zaměstnanec. IT administrátor má přístup ke kontaktům, jen pokud by převzal oprávnění za uživatele v rámci řízení přístupových práv.

7. Propagace a prezentace školky.

7.1. Popis, účely a zákonnost zpracování osobních údajů.

V rámci tohoto oprávněného zájmu mohou zaměstnanci školky zpracovávat fotografie a videozáznamy dětí a zaměstnanců pro potřebu prezentace a propagace školky v tiskových a TV médiích s novinářskou licencí na základě svobody projevu a právo na informace.

7.2. Posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelu.

Pro školku je nezbytná a důležitá prezentace a propagace její činnosti pro veřejnost. Zpracovávaní osobních údajů je přiměřené a v souladu se zákonem.

7.3. Posouzení rizik pro práva a svobody subjektů údajů.

V souvislosti se zpracováváním výše uvedených osobních údajů posuzujeme následující rizika:

Riziko č. 1 Nedostatečná informovanost dětí, zákonných zástupců a zaměstnanců.

Riziko č. 2 Zneužití osobních údajů pro jiné účely.

7.4. Plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Riziko č. 1 Nedostatečná informovanost dětí, zákonných zástupců a zaměstnanců:

  • Povinné informace na webových stránkách. Informování bude provedeno následujícím způsobem. Školka informuje o zpracovávání na svých webových stránkách www.trojlistek.cz v rámci povinně zveřejňovaných informací v souvislosti se zpracováváním osobních údajů v rámci oprávněných zájmů.
  • Vznesení námitky proti zpracovávání osobních údajů. V případě, že jako subjekt údajů (fyzická osoba poskytující osobní údaje), kterého se zpracovávání osobních údajů v rámci tohoto oprávněného zájmu týká budete mít pochybnost, že předmětné osobní údaje jsou zpracovány způsobem, který narušuje vaše práva máte právo "Vznést námitku proti zpracovávání těchto údajů" - dále jen námitka. Námitku je třeba vznést na adresu výše uvedeného správce postupem a formou uvedenou v žádosti, kterou vám na vyžádání zašleme. V případě že vznesete námitku, máme povinnost vysvětlit a zdůvodnit oprávněnost zpracovávání předmětných osobních údajů. V případě, že zdůvodnění správce bude pro vás stále nedostatečné máte právo se obrátit na Úřad na ochranu osobních www.uoou.cz a podat stížnost.

Riziko č. 2 Zneužití osobních údajů pro jiné účely. Snížení rizika bude zajištěno formou následujících opatření:

  • Pravidelné školení zaměstnanců. Zaměstnanci jsou pravidelně školeni a informování o možnosti zpracovávat fotografie a videozáznamy pro novinářské účely v rámci propagace a prezentace školky, jsou pravidelně proškolováni, aby neposkytovali a nepoužívali osobní údaje pro jiné účely.
  • Zabezpečení. Fotografie a videozáznamy jsou uchovávány pod přístupovými právy pověřenou osobou. Jejich zveřejnění je možno pouze se souhlasem ředitelky školky. Předávání pro tisk a média je řízeno interním procesem případně zpracovatelskou smlouvou garantující jejich zveřejnění jen v souvislosti s pozitivní propagací školky.