Směrnice rektora č. 3/2010 Ochrana osobních údajů na Masarykově univerzitě (ve znění účinném od 8. 4. 2010) Podle § 10 odst. 1 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), dále jen „zákon“, vydávám tuto směrnici: Článek 1 Předmět úpravy (1) Směrnice stanoví postup při zpracování osobních údajů v rámci Masarykovy univerzity (dále jen „MU“) a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzických i právnických osob účastnících se činností souvisejících se zpracováním těchto údajů. (2) Osobním údajem se rozumí jakákoliv informace týkající se určené nebo určitelné fyzické osoby (dále jen „subjektu údajů“), tj. osoby, jíž lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. (3) Zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které jsou systematicky prováděny s osobními údaji, bez ohledu na to, zda automatizovaně nebo jinými prostředky. Zejména se jedná o shromažďování, ukládání na nosiče informací, zpřístupňování, úpravu nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměnu, třídění nebo kombinování, blokování a likvidaci takových údajů. (4) Předmětem ochrany podle této směrnice jsou všechna zpracování osobních údajů realizovaná zaměstnanci a studenty MU při plnění jejich pracovních či studijních povinností, případně dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s MU (dále jen „pověřené osoby“). (5) Tato směrnice vychází ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, s tím, že doplňuje a rozpracovává některá jeho ustanovení a stanovuje organizační řešení v rámci MU, směřující k jeho realizaci. Článek 2 Citlivé údaje (1) Na MU nelze zpracovávat osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů. (2) Výjimkami ze zákazu v odstavci 1 jsou údaje o: a) zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např. mají vliv na přijetí ke studiu, ubytování v kolejích nebo výpočet jeho daňové povinnosti či jiných zákonných dávek); b) členství v odborových organizacích působící na MU uvedené v osobních a mzdových evidencích zaměstnanců za předpokladu, že byly subjektem údajů do zmíněné evidence dobrovolně předány a slouží pro placení členských příspěvků či jiných dávek, včetně účtování o těchto platbách a c) biometrické údaje, které umožňují přímou identifikaci nebo autentizaci subjektu údajů. (3) Zpracování údajů podle odst. 2 může probíhat pouze na základě výslovného souhlasu subjektu údajů. Tento souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem poučen o svých právech. Pověřené osoby, které jsou podle charakteristiky příslušného zpracování dat dle čl. 6 určeny ke vkládání a likvidaci uvedených údajů, jsou povinny být schopny existenci tohoto souhlasu prokázat po celou dobu jejich zpracovávání. (4) Zpracování údajů podle odst. 2 písm. c) může být používáno pouze tehdy, pokud paralelně existuje možnost dosáhnout daného účelu užitím jiných identifikačních nebo autentizačních prostředků, které nebudou na biometrických údajích závislé, a subjekt údajů bude mít možnost volby mezi nimi. Článek 3 Zveřejňování osobních údajů (1) Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu (např. na veřejných www-stránkách). (2) Osobní údaje chráněné podle této směrnice lze zveřejňovat nejvýše v rozsahu: a) jméno; b) příjmení; c) tituly; d) fotografie; e) pracovní zařazení na MU; f) zařazení v organizační struktuře MU; g) zastávané funkce na MU; h) na MU zapsané studijní programy a obory, včetně jejich typů, forem a délky trvání studia; i) kontaktní údaje v souvislosti s MU (adresy pracovišť, telefony, FAXy, e-mailové adresy); j) životopis; k) průběh jejich akademické kvalifikace; l) podíl na jednotlivých formách tvůrčí činnosti MU; m) vydané publikace; n) výuka uskutečňovaná na MU; o) akademické osobní www-stránky (tj. WWW-stránky zaměstnanců a studentů MU související s jejich akademickým anebo studijním působením na MU), p) případně další údaje, které si zde subjekt o sobě zveřejnil sám. Subjekt údajů má právo zvolit si konkrétní rozsah zveřejňovaných údajů ad d), j), m) a o), případně tyto údaje nezveřejnit vůbec. (3) Údaje uvedené v odst. 2 lze zveřejňovat pouze o subjektech údajů, jež a) jsou zaměstnanci MU; b) jsou studenty MU zapsanými ke studiu a toto studium nebylo přerušeno či ukončeno; c) aktuálně působí v orgánech MU; d) aktuálně působí na MU a nelze je zahrnout pod případy a) až c) (např. zahraniční subjekty údajů v rámci výměnných pobytů). Článek 4 Pověřené osoby (1) S osobními údaji nad rámec uvedený v čl. 3 mohou přicházet do styku pouze: a) osoby, které jsou podle charakteristiky příslušného zpracování údajů dle čl. 6 pověřeny vkládáním a likvidací osobních údajů; b) osoby, které jsou nadřízeny osobám uvedeným v odst. a) po organizační či metodické linii; c) osoby, které zabezpečují organizační, funkční a technickou správu příslušného zpracování údajů (zpravidla analytici, programátoři, správci systémů, sítí apod.); d) další osoby, které jsou podle charakteristiky příslušného zpracování údajů dle čl. 6 pověřeny, aby tyto osobní údaje využívaly k plnění svých úkolů. (2) Podmínkou přijetí či přeřazení osob na místa s pověřením dle odst. 1 je jejich předchozí průkazné seznámení s touto směrnicí a dalšími relevantními právními normami upravujícími její předmět. (3) Pověřené osoby jsou povinny zpracovávat osobní údaje vždy jen v rozsahu charakteristiky příslušného zpracování údajů dle čl. 6. (4) Pověřené osoby jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání, studia nebo výkonu příslušných prací. Článek 5 Zabezpečení osobních údajů (1) Písemnosti a technické nosiče informací, jimiž disponuje MU a které obsahují osobní údaje chráněné podle této směrnice, musí být uchovávány pouze v uzamykatelných skříních na pracovištích MU, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů dle čl. 6, nebo zabezpečeny kryptováním. (2) Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle této směrnice, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla přístupovými hesly, kryptováním či uzamčením. (3) Kopie osobních údajů chráněných podle této směrnice musí být pořizovány na technické nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uzamykatelných skříních na pracovištích MU, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů dle čl. 6, nebo zabezpečeny kryptováním. Musí být ukládány zásadně vždy v jiné místnosti než originální údaje. Článek 6 Registrace a evidence zpracování osobních údajů (1) Organizační složky (případně zaměstnanci či studenti) MU, kteří hodlají zpracovávat osobní údaje chráněné touto směrnicí, resp. chtějí změnit dosavadní způsob zpracování osobních údajů, oznámí tuto skutečnost manažeru vnitřní správy MU. (2) Oznámení dle odst. 1 musí obsahovat úplnou charakteristiku příslušného zpracování osobních údajů v rozsahu: a) účel zpracování; b) kategorie subjektů údajů a osobních údajů, které se těchto subjektů údajů týkají; c) zdroje osobních údajů; d) popis způsobu zpracování osobních údajů, včetně stanovení odpovědnosti jednotlivých pověřených osob, pracovních funkcí či pracovišť, která budou realizovat jednotlivé fáze zpracování; e) příjemce nebo kategorie příjemců, kterým mohou být uvedené osobní údaje zpřístupněny či sdělovány; f) způsob získávání souhlasu subjektů údajů se zpracováváním jejich osobních údajů; g) způsob informování subjektu údajů, že jsou o nich určité údaje shromažďovány; h) způsob ověřování pravdivosti a přesnosti osobních údajů; i) způsob, jak budou subjektům údajů poskytovány informace o osobních údajích o nich zpracovávaných; j) předpokládaná předávání osobních údajů do jiných států; k) popis opatření k zajištění ochrany osobních údajů. (3) Manažer vnitřní správy zkompletuje předložené podklady a na základě nich zpracuje a odešle příslušné oznámení na Úřad pro ochranu osobních údajů. (4) Navrhovatel má právo zahájit nové, resp. změnit dosavadní zpracování osobních údajů, až poté, kdy od manažera vnitřní správy obdrží oficiální kladné stanovisko na základě výsledku oznámení dle odst. 3. (5) Manažer vnitřní správy vede a na www-stránkách přístupných zaměstnancům a studentům MU zveřejňuje evidenci všech zpracování osobních údajů na MU minimálně ve struktuře dle odst. 2. Článek 7 Závěrečná ustanovení (1) Výkladem této směrnice pověřuji manažera vnitřní správy. (2) Kontrolu dodržování této směrnice vykonává manažer vnitřní správy. (3) Tato směrnice zrušuje směrnici č. 5/2007 Ochrana osobních údajů na Masarykově univerzitě. (4) Tato směrnice nabývá platnosti dnem podpisu, účinnosti nabývá dnem zveřejnění. V Brně 8. dubna 2010 Petr Fiala rektor