GDPR na ESF MU

V pátek 25. 5. 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Jelikož GDPR vyvolává mnoho otázek, emocí a obav, toto sdělení by mělo mnohé z nich zodpovědět, zklidnit a odstranit.

Masarykova univerzita je na příchod GDPR připravena. Byly provedeny všechny požadované kroky před účinností GDPR a na následných se intenzivně pracuje. Univerzita má zpracovány potřebné předpisy (zejména Směrnici MU č. 1/2018 Ochrana a zpracování osobních údajů), jmenovaného Pověřence pro ochranu osobních údajů, kterým je prof. PhDr. Josef Krob, CSc. a jeho tým, upraveny informační systémy a v neposlední řadě zpracovánu analýzu nakládání s osobními údaji, ze které vychází níže uvedená praktická opatření.

Za osobní údaje jsou považovány zejména jméno, adresa, trvalé bydliště, doručovací adresa, pohlaví, věk, datum narození, místo narození, rodné číslo, osobní stav, zdravotní stav, zdravotní znevýhodnění, fotografický záznam, video záznam, audio záznam, e-mailová adresa (zvláště pokud obsahuje například jméno), telefonní číslo – soukromé i pracovní, IP adresa, různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu, vzdělání, příjem ze zaměstnání (mzda, plat), příjem z důchodu, kulturní profil.

Pro naplnění zákonných povinností a posílení ochrany osobních údajů je nezbytně nutné:

  1. Maximálně při práci s osobními údaji využívat elektronické agendy v systémech MU tj. IS, INET, EIS/PaMS Magion, E-ZAK, které jsou na nové podmínky upraveny, a MU garantuje splnění požadovaných podmínek.
  2. Uložit a pravidelně ukládat dokumenty v listinné podobě obsahující osobní údaje do uzamykatelné skříně v kanceláři. Pořizovat jen nezbytně nutné množství kopií takových dokumentů a neprodleně je skartovat.
  3. Pravidelně provádět skartaci dokumentů obsahujících osobní údaje, a to nejen v listinné podobě, ale i v případě dokumentů uložených na elektronických úložištích, pevných discích, flash discích apod. V případě požadavku bezpečné skartace papírových dokumentů oznámit požadavek vedoucímu Správy budovy, který skartaci zajistí. V případě, bezpečné skartace elektronických nosičů tyto předat označené „ke skartaci“ vedoucímu CIKT. Jestliže se jedná o materiály,
    které mají být archivovány požádat o zajištění archivace materiálů Referentku spisové služby. V případě nejasností, zda se má provést archivace nebo skartace, obrátit se na tajemníka fakulty.
  4. Zamezit oběhu dokumentů s osobními údaji po fakultě ve volně přístupné podobě, tzn. vkládat dokumenty do obálek, nezanechávat na volně přístupných místech (např. v úchytech na dveřích kanceláří a pracoven), apod.
  5. Pravidelně likvidovat „pomocné“ listinné dokumenty ve skartovacích přístrojích umístěných na sekretariátech, odděleních děkanátu a Podatelně.
  6. Pravidelně likvidovat nepotřebné a neaktuální adresáře/seznamy s osobními údaji, a to jak v listinné, tak v elektronické podobě. Případné předání adresářů/seznamů mimo MU konzultovat s tajemníkem fakulty.
  7. V případě vytváření nových adresářů/seznamů (např. účastníků seminářů, konferencí, apod.) uvádět přímo v adresáři/seznamu právní titul pro jeho zpracování (např. získaný Souhlas se zpracováním osobních údajů).
  8. Mít nastavena hesla nejen na PC v kancelářích a pracovnách, ale i na technice, která je svěřena do užívání (notebooky, telefony, tablety apod.). Hesla zásadně nikomu nesdělovat.
  9. Minimalizovat využívání e-mailových a cloudových služeb nezajišťovaných MU pro zasílání a ukládání osobních údajů.
  10. Nezveřejňovat fotografie a videa osob, na nichž mohou být osoby rozpoznatelné, vyjma zpravodajské licence, případně si zajistit souhlas osob s jejich zveřejněním. Nezveřejňovat fotografie, které by mohly být zachycenými osobami vnímány potenciálně jako problematické.
  11. Při organizování konferencí a seminářů využívat primárně univerzitního konferenčního systému. Webové stránky konferencí, projektů apod. vytvářet primárně v rámci univerzitního Redakčního
    systému a služeb ÚVT.
  12. Ihned oznámit tajemníkovi fakulty jakýkoliv tzv. incident týkající se porušení nebo podezření na porušení správy osobních údajů.

Výše zmíněný Souhlas se zpracováním osobních údajů zajistí pro konkrétní případy ve spolupráci s Právním odborem Rektorátu tajemník fakulty. Pro potřeby projektů je již zpracován vzor souhlasu.

Problematika GDPR bude nepochybně procházet intenzivním vývojem jak na úrovni legislativní (např. dosud není schválen GDPR požadovaný prováděcí zákon), tak na úrovni praktické. Pro zajištění potřebné informovanosti je aktuálně k dispozici na Dokumentovém serveru ISu souhrn všech vydaných předpisů, metodických listů a hlavně praktických materiálů věnovaných jednotlivým oblastem zpracování osobních údajů.

S dotazy a žádostmi na zodpovězení a vyřešení konkrétních otázek a problémů „z praxe“ se prosím obracejte přímo na tajemníka fakulty. O dalších podstatných skutečnostech budete včas informováni.