GDPR

 

III. Účely a zákonnost zpracování osobních údajů

Účely zpracování

Účelem zpracování je vytvoření statistik a jejich archivac  pro zlepšení služeb, tyto údaje slouží správci.

Právní základ pro zpracování

Právním základem pro zpracování osobních údajů subjektu údajů je skutečnost, že zpracování je nezbytné pro splnění právních povinností, které se podle platných právních předpisů vztahují na správce podle čl. 6 odst. 1 písm. c) Nařízení, dále že zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce podle čl. 6 odst. 1 písm. e) Nařízení a dále že zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů podle čl. 6 odst. 1 písm. b) Nařízení.

Právním základem pro zpracování osobních údajů subjektu údajů může být v konkrétním případu i souhlas se zpracováním osobních údajů subjektu údajů podle čl. 6 odst. 1 písm. a) Nařízení. Subjekt údajů má právo svůj souhlas kdykoliv odvolat.

Právo subjektu údajů na informace

Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne odpovědná osoba za správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

1. Totožnost a kontaktní údaje správce a jeho případného zástupce.
2. Kontaktní údaje pověřence pro ochranu osobních údajů.
3. Účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování.
4. Oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) Nařízení.
5. Případné příjemce nebo kategorie příjemců osobních údajů.
6. Případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise Evropské unie o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci Nařízení, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
7. Doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby.
8. Existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů.
9. Pokud je zpracování založeno na souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení, existence práva odvolat kdykoliv souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
10. Existence práva podat stížnost u dozorového úřadu.
11. Skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů.
12. Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne odpovědná osoba subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené výše v tomto článku.

Právo subjektu údajů na přístup k osobním údajům

Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

1. Účely zpracování
2. Kategorie dotčených osobních údajů.
3. Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích.
4. Plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby.
5. Existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování.
6. Právo podat stížnost u dozorového úřadu.
7. Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů.
8. Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46 Nařízení, které se vztahují na předání.

Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob. Právem získat kopii uvedenou v předchozí větě nesmějí být nepříznivě dotčena práva a svobody jiných osob.

Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, má možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

Zajištění a organizace výkonu práv a povinností podle čl. 4 u správce

Povinnosti správce podle tohoto bodu zajišťuje odpovědná osoba. Potvrzení či přístup k osobním údajům podle tohoto bodu je subjektu údajů zasláno či umožněno bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti správci. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Právo na výmaz („právo být zapomenut”)

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

1. Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány.
2. Subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení zpracovány, a neexistuje žádný další právní důvod pro zpracování.
3. Subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 Nařízení a čl. 7 vnitřního předpisu a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2 Nařízení a čl. 7 vnitřního předpisu.
4. Osobní údaje byly zpracovány protiprávně.
5. Osobní údaje musejí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje.
6. Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 Nařízení.

Jestliže správce osobní údaje zveřejnil a je povinen je podle výše uvedených důvodů vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

Povinnost správce vymazat osobní údaje podle tohoto bodu se neuplatní, pokud je zpracování nezbytné z některého z těchto důvodů:

1. Pro výkon práva na svobodu projevu a informace.
2. Pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
3. Z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3 Nařízení.
4. Pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 Nařízení, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování.
5. Pro určení, výkon nebo obhajobu právních nároků.

Právo na omezení zpracování

Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

1. Subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit.
2. Zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití.
3. Správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků.
4. Subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 Nařízení a čl. 7 vnitřního předpisu, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Pokud bylo zpracování omezeno podle výše uvedeného, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu.

Subjekt údajů, který dosáhl omezení zpracování podle výše uvedeného, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s odstavcem V. tohoto článku, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

1. Zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení nebo na smlouvě podle čl. 6 odst. 1 písm. b) Nařízení.
2. Zpracování se provádí automatizovaně.

Při výkonu svého práva na přenositelnost údajů podle výše uvedeného má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

Výkonem tohoto práva není dotčeno právo na výmaz dle bodu 2 tohoto článku. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

Právem uvedeným v tomto bodu nesmějí být nepříznivě dotčena práva a svobody jiných osob.

Zajištění a organizace výkonu práv a povinností podle čl. 5 u správce

Povinnosti správce podle tohoto článku zajišťuje správcem odpovědná osoba. Povinnosti správce podle tohoto článku jsou prováděny bez zbytečného odkladu od vzniku důvodu pro provedení povinnosti správce nebo zjištění oprávněnosti požadavku subjektu údajů, v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.

Subjekty údajů uplatňují svá práva podle tohoto článku žádostí nebo oznámením u odpovědné osoby. Každá žádost či oznámení subjektu údajů podle tohoto článku je bez zbytečného odkladu posouzena a odpovězena s vysvětlením subjektu údajů.

Právo vznést námitku

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoliv vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) Nařízení (tj. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce) nebo písm. f) (tj. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Subjekt údajů je na právo uvedené výše výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoliv jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

V souvislosti s využíváním služeb informační společnosti a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací, a to zasláním námitky na e-mail odpovědné osoby.

Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Nařízení, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Automatizované individuální rozhodování, včetně profilování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. V předchozí větě uvedené právo se nepoužije, pokud je rozhodnutí:

1. Nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem.
2. Povoleno právem Evropské unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.
3. Založeno na výslovném souhlasu subjektu údajů.

V případech uvedených v písm. a) a c) výše provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů. Tyto záruky zahrnují povinnost správce informovat subjekt údajů o použitém postupu, významu a předpokládaných důsledcích pro subjekt údajů, právo na lidský zásah ze strany správce, právo vyjádřit svůj názor a právo napadnout rozhodnutí. Uvedená práva subjektu údajů může subjekt údajů uplatnit u odpovědné osoby.

Při zpracování podle tohoto vnitřního přepisu dochází k automatizovanému zpracování (případně i profilování).

Zajištění a organizace výkonu práv a povinností podle čl. 6 u správce

Povinnosti správce podle tohoto článku zajišťuje správcem odpovědná osoba. Povinnosti správce podle tohoto článku jsou prováděny bez zbytečného odkladu od vzniku důvodu pro provedení povinnosti správce nebo zjištění oprávněnosti požadavku subjektu údajů, v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.

Subjekty údajů uplatňují svá práva podle tohoto článku žádostí nebo oznámením u odpovědné osoby. Každá žádost či oznámení subjektu údajů dle tohoto článku je bez zbytečného odkladu posouzena a odpovězena s vysvětlením subjektu údajů.

Správce vede ve smyslu čl. 30 Nařízení záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy je správce povinen na požádání poskytnout dozorovému úřadu. Záznamy jsou vedeny písemně nebo v elektronické formě.

Podle tohoto vnitřního předpisu vede záznamy o činnostech zpracování osobních údajů. Tyto záznamy obsahují tyto informace:

1. Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů.
2. Popis kategorií subjektů údajů a kategorií osobních údajů.
3. Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích.
4. Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk.
5. Je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů.
6. Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 Nařízení, kterými jsou.

A. Pseudonymizace a šifrování osobních údajů.

B. Schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování.

C. Schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů.

D. Proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Správce nevede záznamy o činnostech zpracování, jelikož se na něj povinnost vést záznamy nevztahuje v souladu s čl. 30 odst. 5 Nařízení.

Zabezpečení zpracování

Správce provádí zabezpečení osobních údajů a zabezpečení zpracování v souladu s pokyny podle tohoto vnitřního předpisu, v souladu s dalšími bezpečnostními směrnicemi správce a v souladu s pokyny odpovědné osoby. V případě pochybností nebo otázek při zabezpečení osobních údajů a zabezpečení zpracování je třeba se předem dotázat na správný postup odpovědné osoby a vyčkat jejího rozhodnutí.

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob provádí správce vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:

1. Pseudonymizace a šifrování osobních údajů.
2. Schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování.
3. Schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů.
4. Procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Správce dokládá soulad s požadavky stanovenými v odstavci 2 tohoto bodu dodržováním schváleného kodexu chování uvedeného v článku 40 Nařízení a čl. 2 bodu 22 vnitřního předpisu.

Správce dokládá soulad s požadavky stanovenými v odstavci 2 tohoto bodu uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42 Nařízení a v čl. 2 bodu 23 vnitřního předpisu.

Správce přijímá opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Evropské unie nebo členského státu.

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

Jakékoliv porušení zabezpečení osobních údajů správce prostřednictvím jím pověřené osoby bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musejí být současně s ním uvedeny důvody tohoto zpoždění.

Ohlášení podle odstavce 1 musí přinejmenším obsahovat:

1. Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.
2. Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
3. Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
4. Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně, bez dalšího zbytečného odkladu.

Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

Účetní oddělení spolupracuje podle pokynů odpovědné osoby na sestavování dokumentace o případy porušení zabezpečení osobních údajů.

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí odpovědná osoba za správce toto porušení bez zbytečného odkladu subjektu údajů.

V oznámení určeném subjektu údajů podle předchozího odstavce tohoto bodu se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším tyto informace a opatření:

1. Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
2. Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
3. Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Oznámení subjektu údajů uvedené v  odstavci prvním tohoto bodu se nevyžaduje, je-li splněna kterákoliv z těchto podmínek:

1. Správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoliv, kdo není oprávněn k nim mít přístup, jako je například šifrování.
2. Správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví.
3. Vyžadovalo by to nepřiměřené úsilí. V takovém případě musejí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Zjišťování případů porušení zabezpečení osobních údajů subjektu údajů v účetním oddělení

V případě, že správce zjistí nebo se dozví nebo jen získá podezření, že došlo nebo že mohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům subjektu údajů, k jejich zneužití nebo jejich jakémukoliv neoprávněnému zpracování, nebo zjistí vady v bezpečnostních opatřeních sloužících k zabezpečení osobních údajů, je povinen tuto skutečnost ihned ohlásit písemně či emailem odpovědné osobě.

Správce může předávat či zpřístupnit osobní údaje subjektu údajů třetí straně jen v souladu s pokyny podle tohoto vnitřního předpisu. V případě pochybností nebo otázek při předání či zpřístupnění je třeba se předem dotázat na správný postup odpovědné osoby a vyčkat jejího rozhodnutí.

Správce může předávat či zpřístupnit osobní údaje subjektu údajů třetí straně v rámci dodržování účelu zpracování z důvodu dodržení právních povinností správce, řídí se přitom pokyny odpovědné osoby. V takovém případě není třeba uzavírat smlouvu o zpracování osobních údajů podle čl. 28 Nařízení.

Mají-li být osobní údaje subjektu údajů předány či zpřístupnit třetí straně za jiným účelem, než za kterým byly shromážděny, mohou být správcem předány či zpřístupněny jen po předchozím písemném souhlasu odpovědné osoby a podle jejích pokynů.

Pokud správce pověří zpracováním osobních údajů zpracovatele předávají či zpřístupňují příslušné osobní údaje zpracovateli podle smlouvy se zpracovatelem a podle pokynů odpovědné osoby.

Mají-li být osobní údaje subjektu údajů předány či zpřístupněny třetí straně do jiných než členských států Evropské unie nebo do mezinárodních organizací, mohou být předány či zpřístupněny jen v souladu s čl. 11 tohoto vnitřního předpisu.

V souladu se zásadou omezení uložení podle čl. 5 odst. 1 písm. e) Nařízení lze uchovávat osobní údaje subjektu údajů pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Nařízení, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných Nařízením s cílem zaručit práva a svobody subjektu údajů. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, dodržovat zásadu minimalizace údajů a osobní údaje anonymizovat, jakmile je to možné.

Mají-li být osobní údaje podle tohoto vnitřního předpisu předány ke zpracování do třetí země, tj. mimo Evropskou unii nebo mezinárodní organizaci, odpovědná osoba předem posoudí možnost takového předání. Účetní nemohou předat jakékoliv zpracovávané osobní údaje do třetí země nebo mezinárodní organizace, dokud k tomu nedostanou písemnou instrukci a povolení od odpovědné osoby.

K jakémukoliv předání osobních údajů dle tohoto vnitřního předpisu, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na ustanoveních kapitoly V Nařízení podmínky stanovené v této kapitole V, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení kapitoly V Nařízení se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto Nařízením nebyla znehodnocena.

Předání osobních údajů je možné jen do třetí země či mezinárodní organizace, které byly povoleny pro předání osobních údajů Komisí Evropské unie rozhodnutím o odpovídající ochraně podle čl. 45 odst. 3 Nařízení nebo pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů, a to v souladu s čl. 46 Nařízení nebo v rámci závazných podnikových pravidel podle čl. 47 Nařízení nebo v rámci výjimek pro specifické situace podle čl. 49 Nařízení, nelze-li využít žádný z výše uvedených povolovacích mechanismů.

V souladu se zásadou omezení uložení podle čl. 5 odst. 1 písm. e) Nařízení lze uchovávat osobní údaje subjektu údajů pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Nařízení, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných Nařízením s cílem zaručit práva a svobody subjektu údajů. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, dodržovat zásadu minimalizace údajů a osobní údaje anonymizovat, jakmile je to možné.