1 / 4
Opatření Masarykovy univerzity č. 4/2018
Mapování procesů zpracování osobních údajů
(ve znění účinném od 15. února 2018)
Podle § 10 odst. 1 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění
dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů (dále jen
„zákon“), vydávám toto opatření:
Část první
Základní ustanovení
Článek 1
Předmět úpravy
(1) Toto opatření stanovuje pravidla a postup při identifikaci všech osobních údajů a
procesů zpracování osobních údajů na Masarykově univerzitě (dále jen „MU“),
způsob vyhodnocení zjištěných informací a dalších podkladů, které následně umožní
nápravu zjištěných nedostatků a naplňování elektronického registru činnosti
zpracování osobních údajů v souladu se Směrnicí MU – Ochrana a zpracování
osobních údajů.
(2) Předmětem úpravy tohoto opatření je proces mapování činností, souvisejících se
zpracováním osobních údajů, jehož výsledkem bude podklad pro provedení
sebehodnocení a následnou GAP analýzu.
Článek 2
Výklad vybraných souvisejících pojmů
(1) Mapování - Provedení mapování všech procesů zpracování osobních údajů a
datových toků v rámci MU a identifikace všech osobních údajů.
(2) Analytik osobních údajů - Osoba provádějící mapování dle odstavce 1.
(3) Pracovní skupina – Osoby poskytující odbornou podporu analytikům osobních
údajů. Podrobně upraveno v čl. 3.
(4) Formulář pro záznam výsledků mapování – slouží jako podklad pro
zaznamenání výstupů za jednotlivé součásti MU/rektorát MU. Údaje zjištěné v rámci
procesu mapování budou zaznamenány do formuláře, který bude vydán
metodickým listem Právního odboru rektorátu MU.
(5) Směrnice - Směrnice MU – Ochrana a zpracování osobních údajů.
(6) Osobní údaj - Veškeré informace o identifikované nebo identifikovatelné fyzické
osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či
nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno,
identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních
prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo
společenské identity této fyzické osoby.
(7) Zpracování osobních údajů - Jakákoliv operace nebo soubor operací s osobními
údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci
automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání,
strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí,
použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či
zkombinování, omezení, výmaz nebo zničení.
2 / 4
(8) Registr - elektronický registr činnosti zpracování osobních údajů na MU.
(9) Pověřenec - Pověřenec pro ochranu osobních údajů dle čl. 9 až 12 Směrnice.
(10) GAP analýza - vstupní analýza popisu činností získaných v rámci procesu
mapování a posouzení jejich souladu s požadavky kladenými legislativou.
Část druhá
Odpovědnost osob zajišťujících mapování
Článek 3
Ustanovení pracovní skupiny
(1) Pro koordinaci mapování a následné zpracování získaných údajů ustanoví rektor
pracovní skupinu.
(2) Pracovní skupina zejména:
a) poskytuje součinnost jednotlivým součástem MU při procesu mapování,
b) zodpovídá dotazy a poskytuje stanoviska k jednotlivým otázkám vzniknuvším při
mapování. Týkají-li se dotazy obsahu formuláře pro záznam výsledků mapování,
jsou tato stanoviska závazná,
c) koordinuje postupy, setkává se s analytiky osobních údajů a stanovuje dílčí
termíny,
d) shromažďuje vyplněné formuláře pro záznam výsledků mapování.
Článek 4
Ustanovení analytiků osobních údajů
(1) Analytiky osobních údajů pro jednotlivé součásti MU ustanovují vedoucí daných
součástí MU. Vedoucí součástí zároveň oznámí všem zaměstnancům dané součásti,
že byl ustanoven analytik osobních údajů a všichni zaměstnanci jsou povinni
spolupracovat na uskutečňovaném mapování a poskytovat analytikovi osobních
údajů potřebné informace. Vedoucí jednotlivých součásti MU jsou odpovědní za
ustanovení analytika osobních údajů pro danou součást MU a oznámení jejich
jména pracovní skupině nejpozději do 21. února 2018.
(2) Pro rektorát MU včetně případů osobních údajů a procesů zpracování osobních
údajů realizovaných na centrální úrovni MU ustanovuje analytika osobních údajů
rektor. Rektor ustanoví analytika osobních údajů nejpozději do 21. února 2018.
Článek 5
Odpovědnost analytiků osobních údajů
(1) Analytik průběžně konzultuje dílčí kroky mapování s pracovní skupinou.
(2) Analytik osobních údajů je odpovědný za provedení mapování na dané součásti MU/
rektorátu MU a předání kompletně vyplněného formuláře pro záznam výsledků
mapování pracovní skupině, nejpozději do 15. března 2018.
(3) Formulář pro záznam výsledků mapování, včetně dalších podpůrných materiálů
dodá analytikovi pracovní skupina.
3 / 4
Část třetí
Identifikace stávajících/existujících činností, při nichž dochází ke
zpracování osobních údajů
Článek 6
Způsob zjišťování výskytu osobních údajů
(1) Analytik osobních údajů zjistí na dané součásti/rektorátu MU výskyt jakýchkoliv
osobních údajů (čl. 2 odst. 6) a to jak v elektronické tak i listinné podobě.
Takovými osobními údaji mohou být zejména:
a) jméno,
b) adresa,
c) trvalé bydliště,
d) doručovací adresa,
e) pohlaví,
f) věk,
g) datum narození,
h) místo narození,
i) rodné číslo,
j) osobní stav,
k) zdravotní stav,
l) zdravotní znevýhodnění,
m) fotografický záznam,
n) video záznam,
o) audio záznam,
p) e-mailová adresa (zvláště pokud obsahuje například jméno),
q) telefonní číslo – soukromé i pracovní,
r) IP adresa,
s) různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského
průkazu, číslo řidičského průkazu, číslo cestovního pasu,
t) vzdělání,
u) příjem ze zaměstnání (mzda, plat), příjem z důchodu,
v) kulturní profil.
(2) Analytik osobních údajů provede soupis veškerých takto zjištěných osobních údajů
do formuláře pro záznam výsledků mapování.
Článek 7
Vyhodnocení jednotlivých činností
(1) U každé činnosti, která je v rámci součásti MU/rektorátu MU prováděna je potřeba
vyhodnotit zejména:
a) jaké oblasti se činnost týká,
b) název (popis činnosti),
c) účel/ důvod zpracování – tedy to, proč potřebuji zpracovávat osobní údaje,
d) právní titul ke zpracování,
4 / 4
e) nástroje pro zpracování – systémy, úložiště, v nichž jsou v rámci dané činnosti
osobní údaje zpracovávány,
f) jaké osobní údaje zpracovávám (zejména obsahují-li rodné číslo),
g) údaj o tom, zda poskytuji osobní údaje mimo MU,
h) údaj o tom, komu osobní údaje poskytuji,
i) údaje o tom, zda mám či nemám danou činnost, resp. její výstupy ošetřeny
skartačním řízením.
(2) K zaznamenání výše uvedeného slouží formulář pro záznam výsledků mapování,
který zároveň obsahuje Legendu, jíž je potřeba se řídit. V nejasnostech má analytik
možnost obrátit se na pracovní skupinu.
Část čtvrtá
Závěrečná ustanovení
Článek 8
Závěrečná ustanovení
(3) Toto opatření provádí ustanovení Směrnice MU – Ochrana a zpracování osobních
údajů.
(4) Výkladem jednotlivých ustanovení tohoto opatření pověřuji Právní odbor rektorátu
MU.
(5) Toto opatření náleží do oblasti metodického řízení „Legislativa a právní činnost“.
(6) Kontrolu dodržování tohoto opatření vykonává pověřenec.
(7) Toto opatření nabývá platnosti dnem podpisu.
(8) Toto opatření nabývá účinnosti 15. února 2018.
V Brně dne 15. února 2018
Mikuláš Bek
rektor