1 / 6
Směrnice Masarykovy univerzity č. 1/2018
OCHRANA A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
(ve znění účinném od 15. června 2020)
Podle § 10 odst. 1 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění
dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů (dále jen
„zákon“), vydávám tuto směrnici:
Článek 1
Předmět úpravy
(1) Tato směrnice stanoví zásady, pravidla a postupy při zpracování osobních údajů
prováděném Masarykovou univerzitou (dále jen „univerzita“).
(2) Předmětem úpravy této směrnice je zpracování osobních údajů, při němž univerzita
vystupuje jako správce nebo zpracovatel.
(3) Tato směrnice vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů) (dále jen „nařízení“) a zákona č. 110/2019 Sb., o zpracování
osobních údajů.
Článek 2
Užití pojmů
(1) Pro účely této směrnice se pojmy „osobní údaj“, „zpracování osobních údajů“,
„správce“, „zpracovatel“, „třetí strana“, „evidence“, „souhlas“, „porušení
zabezpečení osobních údajů“ a další související pojmy užívají ve významu jejich
definic provedených čl. 4 nařízení.
(2) Pro účely této směrnice se dále rozumí:
a) „odpovědnou osobou“ osoba uvedená v čl. 3 a 4;
b) „pověřencem“ pověřenec pro ochranu osobních údajů;
c) „Registrem“ registr činností zpracování osobních údajů ve smyslu čl. 14 písm. b).
Článek 3
Odpovědné osoby – řídící pracovníci
(1) Rektor je vrcholovým řídícím pracovníkem ve smyslu nařízení.
(2) Kvestor odpovídá rektorovi za dodržování zásad, pravidel a postupů při zpracování
osobních údajů při výkonu své působnosti dle Organizačního řádu.
(3) Prorektor odpovídá rektorovi za dodržování zásad, pravidel a postupů při zpracování
osobních údajů při výkonu své působnosti dle Organizačního řádu.
(4) Děkan odpovídá rektorovi za dodržování zásad, pravidel a postupů při zpracování
osobních údajů při výkonu činností fakulty dle § 24 zákona, čl. 15 odst. 4 Statutu,
vnitřních a ostatních předpisů univerzity.
(5) Ředitel vysokoškolského ústavu odpovídá rektorovi za dodržování zásad, pravidel a
postupů při zpracování osobních údajů při výkonu činností vysokoškolského ústavu
2 / 6
dle čl. 16 Statutu, organizačního řádu vysokoškolského ústavu, vnitřních a
ostatních předpisů univerzity.
(6) Ředitel univerzitního zařízení odpovídá rektorovi za dodržování zásad, pravidel a
postupů při zpracování osobních údajů při výkonu činností dle čl. 17 Statutu,
organizačního řádu univerzitního zařízení, vnitřních a ostatních předpisů univerzity.
Článek 4
Odpovědná osoba - garant
(1) Garantem je osoba odpovědná namísto osob uvedených v čl. 3 za dodržování
zásad, pravidel a postupů při zpracování osobních údajů ve svěřeném rozsahu.
(2) Garantem je vedoucí výzkumného úkolu ve smyslu směrnice MU č. 6/2013 Výzkumná
data. V ostatních případech garanta ustanovuje prostřednictvím
Registru:
a) rektor v případě zpracování osobních údajů s celouniverzitním dopadem nebo
nedojde-li k dohodě dle písm. e);
b) ředitel ÚVT v případě zpracování osobních údajů v informačních systémech
spravovaných ÚVT;
c) vedoucí CVT FI v případě zpracování osobních údajů v informačních systémech
spravovaných CVT FI;
d) vedoucí součásti univerzity v případě zpracování osobní údajů příslušnou součástí
univerzity;
e) dohodou určený vedoucí součásti univerzity v případě společného zpracování
osobních údajů více součástmi univerzity.
Článek 5
Osoby oprávněné k přístupu k osobním údajům
(1) Osobní údaje je vedle odpovědné osoby oprávněna zpracovávat:
a) osoba pověřená odpovědnou osobou k přístupu k osobním údajům, nebo ke
splnění pracovního úkolu vyžadujícího přístup k osobním údajům;
b) osoba nadřízená osobě uvedené v písm. a);
c) osoba určená správcem prvku IT MU (ve smyslu směrnice MU č. 9/2017 – Správa
informačních technologií) k obsluze prvku IT MU, jehož prostřednictvím dochází ke
zpracování osobních údajů.
(2) Odpovědná osoba je povinna zajistit seznámení osob dle odstavce 1 písm. a) a b)
s povinnostmi k ochraně osobních údajů vyplývajícími z právních předpisů a této
směrnice.
(3) Správce prvku IT MU (ve smyslu směrnice MU č. 9/2017 – Správa informačních
technologií) je povinen zajistit seznámení osoby dle odstavce 1 písm. c)
s povinnostmi k ochraně osobních údajů vyplývajícími z právních předpisů a této
směrnice.
Článek 6
Povinnost mlčenlivosti
(1) Každý, kdo získal přístup k osobním údajům zpracovávaným ve smyslu čl. 1 odst. 2
nebo k bezpečnostním opatřením přijatým k ochraně osobních údajů je povinen
zachovávat o tom mlčenlivost vyjma případů, kdy to vylučuje zákon nebo povinnost
uložená na jeho základě.
(2) Povinnost dle odstavce 1 trvá i po skončení pracovněprávního vztahu, studia nebo
jiného vztahu s univerzitou.
(3) Povinnosti dle odstavce 1 může zbavit rektor.
3 / 6
Článek 7
Dokumentace zpracování osobních údajů
(1) Odpovědná osoba je povinna na vyžádání nadřízeného nebo pověřence prokázat
dodržování zásad, pravidel a postupů při zpracování osobních údajů.
(2) Za účelem splnění povinnosti dle odstavce 1 je odpovědná osoba povinna zajistit
dokumentaci prokazující:
a) právní důvod zpracování osobních údajů;
b) účel zpracování osobních údajů;
c) způsob zpracování osobních údajů;
d) bezpečnostní opatření k omezení rizik zpracování osobních údajů a
e) právní jednání související se zpracováním osobních údajů (např. smlouvy,
souhlasy, dokumenty o vyřízení stížností a podnětů apod.)
(3) Jsou-li osobní údaje předávány třetím stranám za jiným účelem, než je splnění
zákonné povinnosti, je odpovědná osoba povinna posoudit a zajistit dokumentaci
prokazující způsobilost těchto třetích stran dodržovat při ochraně osobních údajů
právní předpisy i vnitřní a ostatní předpisy univerzity.
(4) Odpovědná osoba, která odpovídá za provoz kamerového sytému, je nad rámec
povinností dle odstavců 2 a 3 povinna zajistit dokumentaci:
a) rozmístění kamer;
b) doby uchovávání kamerových záznamů;
c) řízení přístupu ke kamerovým záznamům;
d) způsobu informování subjektů údajů o provozu kamerového systému.
(5) Odpovědná osoba je povinna zajistit dostupnost dokumentace dle odstavců 2, 3 a 4
po dobu nejméně pěti let od ukončení zpracování osobních údajů.
Článek 8
Zabezpečení osobních údajů
(1) Každý je povinen počínat si tak, aby předcházel porušení povinností při zpracování
osobních údajů vyplývajících z právních předpisů a této směrnice.
(2) Za účelem zabezpečení osobních údajů je každý povinen:
a) chránit datové nosiče a listiny obsahující osobní údaje před neoprávněným
přístupem uzamčením ve vhodných prostorách na pracovištích univerzity nebo
jiným vhodným způsobem včetně šifrování;
b) zabezpečit počítače a jiné technické prostředky, jejichž prostřednictvím se
zpracovávají osobní údaje, před neoprávněným přístupem;
c) v případech, na které se nevztahuje směrnice MU č. 2/2016 - Spisový řád,
vymazat osobní údaje, k jejichž zpracování pominul účel nebo právní důvod.
Článek 9
Zpracování osobních údajů ve výuce
(1) Je-li zpracování osobních údajů součástí výuky, plnění studijních povinností nebo
přípravy závěrečných nebo kvalifikačních prací, je příslušný vyučující, vedoucí práce
nebo školitel povinen seznámit studenta s povinnostmi k ochraně osobních údajů
vyplývajícími z právních předpisů a této směrnice. Ke zpracování osobních údajů
jako součásti výuky, plnění studijních povinností nebo přípravy závěrečných nebo
kvalifikačních prací by mělo docházet pouze v míře nezbytně nutné.
4 / 6
(2) Příslušný vyučující, vedoucí práce nebo školitel ve smyslu odstavce 1 je povinen
posoudit riziko dopadu zpracování osobních údajů na práva subjektů údajů a
oznámit zpracování osobních údajů a míru jeho rizika odpovědné osobě.
Článek 10
Zveřejňování osobních údajů zaměstnanců, studentů a dalších osob
(1) Univerzita zveřejňuje následující osobní údaje studentů působících v samosprávných
nebo poradních orgánech a zaměstnanců:
a) jméno a příjmení;
b) tituly;
c) fotografie;
d) pracovní zařazení na univerzitě;
e) zařazení v organizační struktuře univerzity;
f) zastávané funkce na univerzitě;
g) kontaktní údaje na univerzitě;
h) životopis;
i) průběh akademické kvalifikace;
j) podíl na tvůrčí činnosti univerzity;
k) informace o vydaných publikacích;
l) výuka uskutečňovaná na univerzitě;
m) odkaz na osobní www-stránky;
n) univerzitní číslo osoby.
(2) Subjekt údajů může zvolit rozsah zveřejňovaných údajů dle odstavce 1 písm. c), h),
a m) nebo rozhodnout o jejich nezveřejnění.
(3) Rektor je oprávněn rozhodnout o zveřejnění dalších osobních údajů akademických
funkcionářů a vedoucích součástí univerzity.
(4) Univerzita zveřejňuje jméno, příjmení a příslušnost k instituci členů samosprávných
nebo poradních orgánů; o zveřejnění jiných osobních údajů osob, které nejsou
zaměstnanci nebo studenty univerzity, rozhoduje předseda příslušného orgánu.
Článek 11
Postavení pověřence
(1) Pověřence jmenuje a odvolává rektor.
(2) Pověřenec je zaměstnancem univerzity a je přímo podřízen rektorovi.
(3) Údaje o pověřenci jsou uvedeny ve veřejné části internetových stránek univerzity.
Článek 12
Úkoly pověřence
Vedle úkolů stanovených právními předpisy pověřenec:
a) vyžaduje-li to právní předpis, ohlašuje po předchozí konzultaci s odpovědnou
osobou porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a
oznamuje porušení ochrany osobních údajů subjektu údajů;
b) přijímá oznámení dle čl. 13 odst. 2) písm. d) a e) a vydává k nim stanoviska;
5 / 6
c) přijímá žádosti, stížnosti a jiné podněty subjektů údajů týkající se zpracování
osobních údajů a postupuje je se svým stanoviskem příslušným odpovědným
osobám;
d) upozorňuje odpovědné osoby na skutečné nebo hrozící porušení povinností při
zpracování osobních údajů a navrhuje jejich řešení;
e) doporučuje odpovědným osobám přijetí opatření k ochraně osobních údajů;
f) projednává s rektorem, vedoucími součástí univerzity a odpovědnými osobami
zpracování osobních údajů s rizikem pro práva a svobody subjektu údajů;
g) vydává prostřednictvím úřadovny IS MU obecná doporučení k ochraně osobních
údajů;
h) je-li univerzita zpracovatelem osobních údajů, informuje správce osobních údajů
o skutečném nebo hrozícím porušení povinností při zpracování osobních údajů;
i) hlásí podezření na kybernetický bezpečnostní incident pracovišti CSIRT MU (ve
smyslu směrnice MU č. 9/2017 – Správa informačních technologií).
Článek 13
Povinnosti vůči pověřenci
(1) Každý je povinen:
a) poskytnout pověřenci součinnost při plnění jeho úkolů dle právních předpisů a této
směrnice;
b) ohlásit pověřenci prostřednictvím formuláře „ohlášení incidentu“ v IS MU porušení
zabezpečení osobních údajů (ve smyslu čl. 4 odst. 12 nařízení) ;
c) postoupit pověřenci žádost, stížnost nebo podnět týkající se zpracování osobních
údajů přijatý od subjektu údajů.
(2) Odpovědná osoba je povinna:
a) projednat s pověřencem upozornění a návrhy ve smyslu čl. 12 písm. d);
b) projednat s pověřencem doporučení ve smyslu čl. 12 písm. e);
c) v případě, že nenásleduje návrhy nebo doporučení pověřence ve smyslu čl. 12
písm. d) a e), podat pověřenci písemné vysvětlení s odůvodněním;
d) oznámit pověřenci prostřednictvím Registru zahájení, změnu nebo ukončení
zpracování osobních údajů;
e) oznámit pověřenci prostřednictvím Registru předání osobních údajů třetí straně;
f) projednat s pověřencem záměr předat osobní údaje ke zpracování mimo území
Evropského hospodářského prostoru;
g) projednat s pověřencem záměr zpracovávat osobní údaje s vysokým rizikem pro
práva a svobody subjektů údajů (ve smyslu čl. 35 odst. 1 nařízení);
h) mají-li být osobní údaje zpracovávány za jiným účelem, než k němuž byly získány,
a nejde-li o vědeckou nebo výzkumnou činnost, projednat s pověřencem záměr
zpracovávat údaje k jinému účelu, než k němuž byly získány (ve smyslu čl. 5 odst.
1 písm. b) nařízení).
Článek 14
Záznamy o činnostech zpracování
Záznamy o činnostech zpracování osobních údajů (ve smyslu čl. 30 nařízení) se evidují:
a) pro zpracování osobních údajů prováděné v IS MU v části „Informace o činnostech
zpracování osobních údajů“ IS MU. Správcem této evidence je Centrum výpočetní
techniky Fakulty informatiky;
6 / 6
b) pro ostatní zpracování osobních údajů v Registru. Správcem Registru je Ústav
výpočetní techniky.
Článek 15
Závěrečná ustanovení
(1) Tato směrnice zrušuje směrnici MU č. 1/2018 - Ochrana a zpracování osobních
údajů, ze dne 31. ledna 2018, účinnou od 1. února 2018.
(2) Tato směrnice zrušuje Pokyn MU č. 4/2018 - Postup při porušení zabezpečení
osobních údajů, ze dne 16. října 2018, účinný od 18. října 2018.
(3) Tato směrnice zrušuje Opatření MU č. 4/2018 – Mapování procesů zpracování
osobních údajů, ze dne 15. února 2018, účinné od 15. února 2018.
(4) Výkladem jednotlivých ustanovení této směrnice pověřuji Právní odbor rektorátu
univerzity.
(5) Tato směrnice náleží do oblasti metodického řízení „Legislativa a právní činnost“.
(6) Kontrolu dodržování této směrnice vykonává pověřenec.
(7) Tato směrnice nabývá platnosti dnem podpisu.
(8) Tato směrnice nabývá účinnosti dnem 15. června 2020.
podepsáno elektronicky
Martin Bareš
rektor