1 / 9
Č.j.: MU-IS/235185/2024/2484770/FSpS
Směrnice Fakulty sportovních studií MU č. 1/2024
Ochrana a zpracování osobních údajů na FSpS MU
(ve znění účinném od 1. září 2024)
Podle § 28 odst. 1 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů
(zákon o vysokých školách), ve znění pozdějších předpisů (dále jen „zákon o vysokých školách“),
a v souladu s Organizačním řádem Fakulty sportovních studií vydávám tuto směrnici:
Článek 1
Předmět úpravy
(1) Tato směrnice stanoví zásady, pravidla a postupy při zpracování osobních údajů prováděných
Fakultou sportovních studií Masarykovy univerzity (dále jen „FSpS MU“).
(2) Předmětem úpravy této směrnice je zpracování osobních údajů vztahující se k FSpS MU, při němž
Masarykova univerzita vystupuje jako správce nebo zpracovatel.
(3) Tato směrnice vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“)
a zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon“), v návaznosti na směrnici
MU č. 1/2018 Ochrana a zpracování osobních údajů (dále jen „směrnice MU č. 1/2018“).
(4) S touto směrnicí souvisí zejména:
a) Metodický list Právního odboru Masarykovy univerzity (dále jen „PO MU“) Úprava smluvních
vztahů mezi Masarykovou univerzitou a zpracovateli osobních údajů,
b) Metodický list PO MU Souhlas se zpracováním osobních údajů,
c) Metodický list PO MU Používání fotografických a audiovizuálních záznamů fyzických osob.
(5) V oblastech a otázkách touto směrnicí neupravených se postupuje podle nařízení, zákona
a směrnice MU č. 1/2018.
Článek 2
Užití pojmů
(1) Pro účely této směrnice se pojmy „osobní údaj“, „zpracování osobních údajů“, „správce“,
„zpracovatel“, „třetí strana“, „evidence“, „souhlas“, „porušení zabezpečení osobních údajů“ a další
související pojmy užívají ve významu jejich definic provedených čl. 4 nařízení. Definice jsou
součástí přílohy č. 2 – Výklad některých pojmů.
(2) Pro účely této směrnice se dále rozumí:
a) „odpovědnou osobou“ osoba uvedená v čl. 3 a 4,
b) „Registrem“ registr činností zpracování osobních údajů ve smyslu čl. 4 odst. 4 této směrnice
a čl. 14 písm. b) směrnice MU č. 1/2018.
(3) Užitím pojmů uvedených v odst. 2 není dotčeno užití pojmů ve směrnici MU č. 1/2018, jedná se
o konkretizaci pojmů této směrnice pro použití na FSpS MU.
2 / 9
Článek 3
Odpovědné osoby – řídící pracovníci
(1) Děkan je vrcholným řídícím pracovníkem FSpS MU ve smyslu nařízení.
(2) Tajemnice odpovídá děkanovi za dodržování zásad, pravidel a postupů při zpracování osobních
údajů při výkonu své působnosti dle Organizačního řádu FSpS MU.
(3) Proděkan/proděkanka odpovídá děkanovi za dodržování zásad, pravidel a postupů při zpracování
osobních údajů při výkonu své působnosti dle Organizačního řádu FSpS MU.
Článek 4
Odpovědná osoba ‫ؘ‬– garant
(1) Garantem je osoba odpovědná namísto osob uvedených v čl. 3 za dodržování zásad, pravidel
a postupů při zpracování osobních údajů ve svěřeném rozsahu.
(2) Garanty pro svěřené oblasti FSpS MU ustanovuje příloha této směrnice.
(3) Garantem je rovněž vedoucí výzkumného úkolu ve smyslu směrnice MU č. 6/2013 – Výzkumná
data.
(4) V ostatních případech garanta ustanovuje prostřednictvím Registru:
a) děkan v případě zpracování osobních údajů s celofakultním dopadem nebo nedojde-li
k dohodě dle písm. b),
b) dohodou určený vedoucí pracoviště FSpS MU v případě společného zpracování osobních
údajů více pracovišti FSpS MU.
Článek 5
Osoby oprávněné k přístupu k osobním údajům
(1) Osobní údaje je vedle odpovědné osoby oprávněna zpracovávat:
a) osoba pověřená odpovědnou osobou k přístupu k osobním údajům nebo ke splnění
pracovního úkolu vyžadujícího přístup k osobním údajům,
b) osoba nadřízená osobě uvedené v písm. a),
c) osoba určená správcem prvku IT MU (ve smyslu směrnice MU č. 9/2017 – Správa informačních
technologií) k obsluze prvku IT MU, jehož prostřednictvím dochází ke zpracování osobních
údajů.
(2) Odpovědná osoba je povinna zajistit seznámení osob dle odstavce 1 písm. a) s povinnostmi
k ochraně osobních údajů vyplývajícími z právních předpisů a předpisů univerzity.
(3) Správce prvku IT MU je povinen zajistit seznámení osoby dle odstavce 1 písm. c) s povinnostmi
k ochraně osobních údajů vyplývajícími z právních předpisů a předpisů univerzity.
Článek 6
Povinnost mlčenlivosti
(1) Každý, kdo získal přístup k osobním údajům zpracovávaným ve smyslu čl. 1 odst. 2 nebo
k bezpečnostním opatřením přijatým k ochraně osobních údajů, je povinen zachovávat o tom
mlčenlivost, vyjma případů, kdy to vylučují obecně závazné právní předpisy nebo povinnost uložená
na jejich základě.
(2) Povinnost dle odstavce 1 trvá i po skončení pracovněprávního vztahu, studia nebo jiného vztahu
s univerzitou.
3 / 9
Článek 7
Dokumentace zpracování osobních údajů
(1) Odpovědná osoba je povinna na vyžádání nadřízeného nebo pověřence prokázat dodržování
zásad, pravidel a postupů při zpracování osobních údajů.
(2) Za účelem splnění povinnosti dle odstavce 1 je odpovědná osoba povinna doložit následující:
a) právní důvod zpracování osobních údajů,
b) účel zpracování osobních údajů,
c) způsob zpracování osobních údajů,
d) bezpečnostní opatření k omezení rizik zpracování osobních údajů,
e) právní jednání související se zpracováním osobních údajů (např. smlouvy, souhlas, dokumenty
o vyřízení stížností a podnětů apod.).
(3) Jsou-li osobní údaje předávány třetím stranám za jiným účelem, než je splnění zákonné povinnosti,
je odpovědná osoba povinna posoudit a zajistit dokumentaci prokazující způsob třetích stran
dodržovat při ochraně zpracování osobních údajů právní předpisy i vnitřní a ostatní předpisy
univerzity.
(4) Odpovědná osoba je povinna zajistit dostupnost dokumentace dle odstavců 2, 3 po dobu nejméně
pěti let od ukončení zpracování osobních údajů.
Článek 8
Zásady zpracování osobních údajů dle čl. 5 nařízení
(1) Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem
(„zákonnost, korektnost a transparentnost“),
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále
zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely
archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro
statistické účely se podle čl. 89 odst. 1 nařízení nepovažuje za neslučitelné s původními účely
(„účelové omezení“),
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou
zpracovávány („minimalizace údajů“),
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby
osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly
bezodkladně vymazány nebo opraveny („přesnost“),
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro
účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se
zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či
historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 nařízení, a to za
předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto
nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“),
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich
ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či
protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita
a důvěrnost“);
(2) Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit
(„odpovědnost“).
4 / 9
Článek 9
Zákonnost zpracování dle čl. 6 nařízení
(1) Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze
v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více
konkrétních účelů,
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro
provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické
osoby,
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu
veřejné moci, kterým je pověřen správce,
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě
případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu
údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Článek 10
Podmínky vyjádření souhlasu dle čl. 7 nařízení
(1) Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů
udělil souhlas se zpracováním svých osobních údajů.
(2) Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných
skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných
skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných
a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení
tohoto nařízení, není závazná.
(3) Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost
zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu
o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
(4) Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je
mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním
osobních údajů, které není pro plnění dané smlouvy nutné.
Článek 11
Zpracování osobních údajů ve výuce
(1) Je-li zpracování osobních údajů součástí výuky, plnění studijních povinností nebo přípravy
závěrečných nebo kvalifikačních prací, je příslušný vyučující, vedoucí práce nebo školitel povinen
seznámit studenta s povinnostmi k ochraně osobních údajů vyplývajícími z právních předpisů
a předpisů univerzity. Ke zpracování osobních údajů jako součásti výuky, plnění studijních
povinností nebo přípravy závěrečných nebo kvalifikačních prací, by mělo docházet pouze v míře
nezbytně nutné.
(2) Příslušný vyučující, vedoucí práce nebo školitel ve smyslu odst. 1, je povinen posoudit riziko
dopadu zpracování osobních údajů na práva subjektů údajů a oznámit zpracování osobních údajů
a míru jeho rizika odpovědné osobě.
5 / 9
Článek 12
Zpracování zvláštních kategorií osobních údajů
(1) Dle čl. 9 nařízení je možné zpracovávat osobní údaje, které vypovídají o rasovém či etnickém
původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství
v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace
fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické
osoby pouze v případech uvedených v tomto čl. nařízení, z nichž mohou být na FSpS MU
relevantní zejména:
a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo
více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že
zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen,
b) zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo
subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální
ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle
práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů
subjektu údajů,
c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické
osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
d) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
e) zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy
jednají v rámci svých soudních pravomocí,
f) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení
pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální
péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva
Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění
podmínek a záruk uvedených v odstavci 4 a,
g) zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či
historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 na základě práva
Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na
ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů
subjektu údajů.
Článek 13
Zabezpečení osobních údajů
(1) Každý, kdo získal přístup k osobním údajům zpracovávaným ve smyslu čl. 1 odst. 2 nebo
k bezpečnostním opatřením přijatým k ochraně osobních údajů, je povinen počínat si tak, aby
předcházel porušení povinností při zpracování osobních údajů vyplývajících z právních předpisů
a předpisů univerzity.
(2) Za účelem zabezpečení osobních údajů je každý výše uvedený povinen:
a) chránit datové nosiče a listiny obsahující osobní údaje před neoprávněným přístupem
uzamčením ve vhodných prostorách na pracovištích univerzity nebo jiným vhodným způsobem
včetně šifrování,
b) zabezpečit počítače a jiné technické prostředky, jejichž prostřednictvím se zpracovávají osobní
údaje, před neoprávněným přístupem a
c) v případech, na které se nevztahuje směrnice MU č. 2/2016 – Spisový řád, vymazat/skartovat
osobní údaje, k jejichž zpracování pominul účel nebo právní důvod.
6 / 9
Článek 14
Závěrečná ustanovení
(1) Kontrolu dodržování této směrnice vykonává tajemnice FSpS MU.
(2) Výkladem jednotlivých ustanovení této směrnice a aktualizací je pověřena tajemnice FSpS MU.
(3) Tato směrnice nabývá platnosti zveřejněním.
(4) Tato směrnice nabývá účinnosti dnem 1. 9. 2024.
Jan Cacek
děkan
podepsáno elektronicky
Přílohy:
1. Garanti zpracování osobních údajů
2. Výklad některých pojmů
7 / 9
Příloha ke směrnici FSpS MU č. 1/2024 – Garanti zpracování
osobních údajů
Oblast zpracování Garant
Personální záležitosti Vedoucí oddělení – Personální oddělení (PO)
Ekonomické záležitosti Vedoucí oddělení – Ekonomické oddělení (EO)
Studijní záležitosti Vedoucí oddělení – Studijní oddělení (SO)
Záležitosti vědy, výzkumu
a projektové podpory
Vedoucí oddělení – Oddělení vědy, výzkumu
a projektové podpory (OVVPP)
Technicko-provozní záležitosti
Vedoucí oddělení – Technicko-provozní oddělení
(TPO)
Záležitosti celoživotního vzdělávání
Vedoucí oddělení – Centrum celoživotního
vzdělávání (CŽV)
Záležitosti vnějších vztahů
a zahraničních vztahů
Vedoucí oddělení – Oddělení vnějších vztahů (OVV)
Záležitosti kontroly, spisové služby
a právní
Tajemnice Fakulty sportovních studií
Záležitosti laboratoří a ambulancí
FSpS MU
Proděkan odpovědný za pracoviště dle
organizačního řádu
Záležitosti výuky, vědy, výzkumu
a třetí role realizované na
katedrách/IKV
Vedoucí kateder/vedoucí IKV
8 / 9
Příloha ke směrnici FSpS MU č. 1/2024 – Výklad některých pojmů
podle nařízení
Osobní údaj
Osobním údajem jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen
„subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo
identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační
údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické,
psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Zpracování osobních údajů
Zpracování osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory
osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je
shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění,
vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení
či zkombinování, omezení, výmaz nebo zničení.
Správce
Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám
nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky
tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce
nebo zvláštní kritéria pro jeho určení.
Zpracovatel
Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který
zpracovává osobní údaje pro správce.
Třetí strana
Třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který
není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo
zpracovateli, jež je oprávněna ke zpracování osobních údajů.
Evidence
Evidencí je jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je
centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
Souhlas
Souhlasem je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt
údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Genetický údaj
Genetickým údajem jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické
osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy
biologického vzorku dotčené fyzické osoby.
9 / 9
Biometrický údaj
Biometrickým údajem jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se
fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje
jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.
Údaj o zdravotním stavu
Údajem o zdravotním stavu jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby,
včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
Pseudonymizace
Pseudonimizace je zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu
údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně
a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny
identifikované či identifikovatelné fyzické osobě.
Porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo
protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených,
uložených nebo jinak zpracovávaných osobních údajů.