Směrnice rektora č. 4/2000 Ochrana osobních údajů na Masarykově univerzitě (ve znění účinném od 1.10.2000) Podle § 10 odst. 1 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), dále jen „zákon“, vydávám tuto směrnici: Článek 1 Předmět úpravy (1) Směrnice stanoví postup při zpracování osobních údajů v rámci Masarykovy univerzity (dále jen MU) a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzických i právnických osob účastnících se činností souvisejících se zpracováním těchto údajů. (2) Osobním údajem se rozumí jakýkoliv údaj týkající se určené nebo určitelné fyzické osoby (dále jen subjektu údajů), tj. osoby, jejíž identitu lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit. (3) Zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které jsou systematicky prováděny s osobními údaji, bez ohledu na to, zda automatizovaně nebo jinými prostředky. Zejména se jedná o shromažďování, ukládání na nosiče informací, zpřístupňování, úpravu nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměnu, třídění nebo kombinování, blokování a likvidaci takových údajů. (4) Předmětem ochrany podle této směrnice jsou všechna zpracování osobních údajů realizovaná zaměstnanci a studenty MU při plnění jejich pracovních či studijních, povinností, případně dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s MU (dále je pověřené osoby). (5) Tato směrnice vychází ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, s tím, že doplňuje a rozpracovává některá jeho ustanovení a stanovuje organizační řešení v rámci MU, směřující k jeho realizaci. Článek 2 Citlivé údaje (1) Na MU nelze zpracovávat osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. (2) Výjimkami ze zákazu v odstavci 1 jsou údaje o: a) zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např. mají vliv na přijetí ke studiu, ubytování v kolejích nebo výpočet jeho daňové povinnosti či jiných zákonných dávek); b) členství v odborových organizacích působící na MU uvedené v osobních a mzdových evidencích zaměstnanců za předpokladu, že byly subjektem údajů do zmíněné evidence dobrovolně předány a slouží pro placení členských příspěvků či jiných dávek, včetně účtování o těchto platbách. (3) Zpracování údajů podle odst. 2 může probíhat pouze na základě výslovného souhlasu subjektu údajů. Tento souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem poučen o svých právech, zejména pak o možnosti svůj souhlas kdykoliv odvolat. Pověřené osoby, které jsou podle charakteristiky příslušného zpracování dat dle čl. F určeny ke vkládání a likvidaci uvedených údajů, jsou povinny tento souhlas uschovat po celou dobu jejich zpracovávání. Článek 3 Zveřejňování osobních údajů (1) Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu (např. na veřejných www-stránkách ve smyslu směrnice MU č. 5/98). (2) Osobní údaje chráněné podle této směrnice lze zveřejňovat nejvýše v rozsahu: a) jméno; b) příjmení; c) tituly; d) fotografie; e) pracovní zařazení na MU; f) zařazení v organizační struktuře MU; g) zastávané funkce na MU; h) na MU zapsané studijní programy a obory, včetně jejich typů, forem a délky trvání studia; i) kontaktní údaje v souvislosti s MU (adresy pracovišť, telefony, FAXy, e-mailové adresy); j) životopis; k) průběh jejich akademické kvalifikace; l) podíl na jednotlivých formách tvůrčí činnosti MU; m) vydané publikace; n) výuka uskutečňovaná na MU; o) akademické osobní www-stránky (ve smyslu směrnice MU č. 5/98). Subjekt údajů má právo zvolit si konkrétní rozsah zveřejňovaných údajů ad d), j), m) a o), případně tyto údaje nezveřejnit vůbec. (3) Údaje uvedené v odst. 2 lze zveřejňovat pouze o subjektech, jež a) jsou zaměstnanci MU; b) jsou studenty MU zapsanými ke studiu a toto studium nebylo přerušeno či ukončeno; c) aktuálně působí v orgánech MU; d) aktuálně působí na MU a nelze je zahrnout pod případy a) až c) (např. zahraniční subjekty v rámci výměnných pobytů). Článek 4 Pověřené osoby (1) S osobními údaji nad rámec uvedený v čl. C mohou přicházet do styku pouze: a) osoby, které jsou podle charakteristiky příslušného zpracování údajů dle čl. F pověřeny vkládáním a likvidací osobních údajů; b) osoby, které jsou nadřízeny osobám uvedeným v odst. a) po organizační či metodické linii; c) osoby, které zabezpečují organizační, funkční a technickou správu příslušného zpracování údajů (zpravidla analytici, programátoři, správci systémů, sítí apod.); d) další osoby, které jsou podle charakteristiky příslušného zpracování údajů dle čl. F pověřeny, aby tyto osobní údaje využívaly k plnění svých úkolů. (2) Podmínkou přijetí či přeřazení osob na místa s pověřením dle odst. 1 je jejich předchozí průkazné seznámení s touto směrnicí a dalšími relevantními právními normami upravujícími její předmět. (3) Pověřené osoby jsou povinny zpracovávat osobní údaje vždy jen v rozsahu charakteristiky příslušného zpracování údajů dle čl. F. (4) Pověřené osoby jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání, studia nebo výkonu příslušných prací. Článek 5 Zabezpečení osobních údajů (1) Písemnosti a technické nosiče informací, jimiž disponuje MU a které obsahují osobní údaje chráněné podle této směrnice, musí být uchovávány pouze v uzamykatelných skříních na pracovištích MU, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů dle čl. F, nebo zabezpečeny kryptováním. (2) Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle této směrnice, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla přístupovými hesly, kryptováním či uzamčením. (3) Kopie osobních údajů chráněných podle této směrnice musí být pořizovány na technické nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v zamykatelných skříních na pracovištích MU, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů dle čl. F, nebo zabezpečeny kryptováním. Musí být ukládány zásadně vždy v jiné místnosti než originální údaje. Článek 6 Registrace a evidence zpracování osobních údajů (1) Organizační složky (případně zaměstnanci či studenti) MU, kteří hodlají zpracovávat osobní údaje chráněné touto směrnicí, resp. chtějí změnit dosavadní způsob zpracování osobních údajů, oznámí tuto skutečnost Útvaru systémového řízení a organizace RMU (dále jen ÚSŘO). (2) Oznámení dle odst. 1 musí obsahovat úplnou charakteristiku příslušného zpracování osobních údajů v rozsahu: a) účel zpracování; b) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají; c) zdroje osobních údajů; d) popis způsobu zpracování osobních údajů, včetně stanovení odpovědnosti jednotlivých pověřených osob, pracovních funkcí či pracovišť, která budou realizovat jednotlivé fáze zpracování; e) příjemce nebo kategorie příjemců, kterým mohou být uvedené osobní údaje zpřístupněny či sdělovány; f) způsob získávání souhlasu subjektů údajů se zpracováváním jejich osobních údajů; g) způsob informování subjektu údajů, že jsou o nich určité údaje shromažďovány; h) způsob ověřování pravdivosti a přesnosti osobních údajů; i) způsob, jak budou subjektům údajů poskytovány informace o osobních údajích o nich zpracovávaných; j) popis opatření k zajištění ochrany osobních údajů. (3) ÚSŘO zkompletuje předložené podklady a na základě nich zpracuje a odešle příslušné oznámení na Úřad pro ochranu osobních údajů. (4) Navrhovatel má právo zahájit nové, resp. změnit dosavadní zpracování osobních údajů, až poté, kdy od ÚSŘO obdrží oficiální kladné stanovisko na základě výsledku oznámení dle odst. 3. (5) ÚSŘO vede a na www-stránkách přístupných zaměstnancům a studentům MU zveřejňuje evidenci všech zpracování osobních údajů na MU minimálně ve struktuře dle odst. 2. Článek 7 Závěrečná ustanovení (1) Kontrolu dodržování této směrnice vykonávají rektor, kvestor, děkani, ředitelé a vedoucí celouniverzitních pracovišť, vedoucí ÚSŘO. (2) Tato směrnice ruší směrnici MU č. 2/1997 „Ochrana osobních údajů v informačních systémech na Masarykově univerzitě“Tato směrnice nabývá platnosti dnem podpisu, účinnosti dnem 1. října 2000. Jiří Zlatuška V Brně 30. září 2000 rektor