GDPR

GDPR: Ochrana osobních údajů:

Jazyková škola School Tour jakožto správce osobních údajů, tímto informuje o způsobu a rozsahu zpracování osobních údajů s ohledem na Všeobecné nařízení EU o ochraně osobních údajů (dále jen „GDPR“).

Cílem zásad zpracování osobních údajů je poskytnout informace o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, k jakým účelům je využíváme, komu je smíme poskytnout a kde můžete získat informace o vašich osobních údajích, které zpracováváme.

 

Zpracováváme osobní údaje v následujícím rozsahu:

  • identifikační údaje: jméno a příjmení studenta, jméno a příjmení zákonného zástupce,
  • kontaktní údaje: adresa bydliště, telefon, emailová adresa,
  • další osobní údaje: platební údaje.

Vaše osobní údaje shromažďujeme a zpracováváme pouze za stanoveným účelem a využíváme pro:

  • plnění smlouvy a poskytování služeb (poskytování jazykových kurzů),
  • komunikaci se studenty, zákonnými zástupci,
  • informování o změnách a novinkách v nabídce kurzů (oprávněný zájem),
  • plnění právní povinnosti,
  • účetní a daňové účely,
  • vedení zákaznické evidence.

 

Pro zajištění bezpečnosti a důvěrnosti vašich osobních údajů využíváme technická a organizační opatření zejména na ochranu před neoprávněným přístupem k údajům a jejich zneužitím a zajištění bezpečnosti našich IT systémů.

 

Směrnice na ochranu osobních údajů

 

Účelem této směrnice je stanovit všeobecně platnou metodiku pro nakládání a zpracování osobních údajů v jazykové škole tak, aby byly zajištěny podmínky ochrany stanovené NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27.4.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, zákonem č. 101/2000 Sb., o ochraně osobních údajů, a to za účelem zajištění jejich řádné ochrany a zabránění jejich úniku, vyzrazení, zneužití, zničení a zamezení jejich ztrát.

S ohledem na Nařízení této směrnice zejména stanovuje povinnost, aby se zpracovávaly pouze ty osobní údaje, které jsou potřeba k výkonu činností jazykové školy. Směrnice dále popisuje proces zpracování osobních údajů tak, aby se vynaložila veškerá péče na snížení rizik zneužití, nesprávného nakládání nebo neoprávněného zpracování osobních údajů. Tato směrnice je závazná pro všechny zaměstnance jazykové školy.

 

Odpovědnosti, povinnosti a pravomoci

 

Jazyková škola je povinna:

 

  • vytvořit, udržovat a řídit systém ochrany osobních údajů v souladu s Nařízením směrnice na ochranu osobních údajů,
  • stanovit způsoby, účely, prostředky a místa zpracování osobních údajů,
  • zajistit zpracování pouze přesných osobních údajů výhradně v souladu s účelem, k němuž byly shromážděny, a to v rozsahu nezbytném pro naplnění stanoveného účelu,
  • zajistit informování subjektů údajů, popř. získat jejich souhlasy se zpracováním,
  • zabezpečit smluvní zavázání spolupracujících právnických i fyzických osob, které v rámci své činnosti používají osobní údaje zpracovávané jazykovou školou a pro její potřeby zpracovávají, a zabezpečit dodržování Nařízení směrnice na ochranu osobních údajů a souvisejících obecně závazných předpisů a požadavků na ochranu osobních údajů,
  • zajistit dodržování technických a organizačních opatření zaměřených na zabezpečení a ochranu osobních údajů,
  • zajistit posouzení vlivu na ochranu a bezpečnost osobních údajů, pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob,
  • zajistit ochranu a bezpečnost osobních údajů, a to od zahájení jejich zpracování až do chvíle, kdy jsou likvidovány,
  • spolupracovat s dozorovým úřadem a působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů,
  • vystupovat jako kontaktní místo pro subjekty údajů, které se na něj mohou obracet v případech, kdy došlo k porušení zpracování jejich osobních údajů a v případech výkonu jejich práv podle Nařízení směrnice na ochranu osobních údajů,
  • vést centrální evidenci požadavků subjektů údajů,
  • vést centrální evidenci neshod a bezpečnostních incidentů,
  • vést centrální evidenci souhlasů se zpracováním osobních údajů,
  • řešit a vyšetřovat bezpečnostní incidenty vzniklé v souvislosti s ochranou osobních údajů, analyzovat jejich příčiny a zajišťovat nápravná opatření,
  • informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji v jazykové škole, a to bez zbytečného odkladu,
  • zajistit, aby zaměstnanci jazykové školy byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
  • zajišťovat, aby zaměstnanci jazykové školy byli podle možností a potřeb vzděláváni nebo proškolováni o ochraně osobních údajů,
  • provádět kontrolu dodržování Nařízení směrnice na ochranu osobních údajů,
  • zajišťovat, aby jazyková škola byla schopna řádně doložit plnění povinností při ochraně osobních údajů, které vyplývají z právních předpisů.

 

Každý zaměstnanec či smluvní partner jazykové školy je povinen:

 

  • počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných jazykovou školou,
  • zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, studentů, zákonných zástupců a dalších osob, které jazyková škola zpracovává,
  • pokud zjistí porušení ochrany osobních údajů, neoprávněné použití či zneužití osobních údajů, nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost pověřenému zaměstnanci,
  • zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních k jejich ochraně. Povinnost mlčenlivosti trvá i po skončení pracovního poměru, práce konané mimo pracovní poměr nebo příslušných prací.

 

Subjekty údajů jazykové školy jsou:

 

  • studenti a jejich zákonní zástupci,
  • fyzické osoby v zaměstnaneckém nebo obdobném vztahu (aktivní i bývalí),
  • uchazeči o zaměstnání,
  • obchodní partneři – fyzické osoby nebo zástupci právnických osob

 

V souvislosti s identifikací subjektu údajů je třeba posoudit, jaký je účel zpracování a zda je ke zpracování nutný souhlas objektu údajů nebo zda je zpracování osobních údajů možné na základě jiného právního titulu.

Dále je nutné stanovit způsob získávání osobních údajů od subjektu, zejména s ohledem na to, aby nedocházelo k využívání údajů získaných k jinému účelu, případně ke slučování údajů získaných k jiným účelům, a způsob plnění informační povinnosti správce vůči subjektu údajů.

Jazyková škola odpovídá za stanovení účelu zpracování osobních údajů a rozsah využívaných údajů. Osobní údaje lze zpracovávat pouze s ohledem na platné právní předpisy ČR a Nařízení směrnice na ochranu osobních údajů v souladu s účelem, k němuž jsou shromážděny. Zpracovávat je k jinému účelu je možné jen tehdy, pokud o této změně zpracování byl subjekt údajů informován, a nelze-li takové zpracování provádět na základě právního titulu nevyžadujícího předchozí souhlas, pokud k tomu dal subjekt údajů souhlas.

 

V jazykové škole jsou zpracovány osobní údaje za následujícím účelem:

 

studenti a jejich zákonní zástupci

 

  • plnění smlouvy a poskytování služeb,
  • komunikace se subjekty údajů,
  • informování o změnách a novinkách v nabídce kurzů,
  • splnění právní povinnosti,
  • účetní a daňové účely,
  • vedení zákaznické evidence,

 

zaměstnanci a uchazeči o zaměstnání

 

  • plnění pracovně právních povinností zaměstnavatele,
  • umožnění přístupu do informačních systémů,
  • nábor a výběr zaměstnance,

 

obchodní partneři

 

  • uzavření a plnění smlouvy,
  • komunikace se subjekty údajů,
  • splnění právní povinnosti,
  • účetní a daňové účely.

 

Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány.

Rozsah zpracování osobních údajů musí být stanoven tak, aby splnil stanovený účel, a přitom nebyly shromažďovány a zpracovávány nadbytečné osobní údaje.

Osobní údaje jsou získávány především od subjektu údajů, zejména při uzavírání smlouvy a v průběhu smluvního vztahu.

Osobní údaje mohou být pro zajištění výše popsaných účelů vedle jazykové školy a jejích zaměstnanců zpracovávány také některými dalšími externími společnostmi, tj. zpracovateli. Osobní údaje jsou těmto zpracovatelům předávány pouze v tom případě, že splňují definované organizační a technické podmínky k zajištění jejich náležité ochrany. Zpracovatel není oprávněn zpracovávat osobní údaje k jinému účelu a jiným způsobem než smluvně dohodnutým. Podmínkou pro využití externího zpracovatele je uzavření Smlouvy o zpracování osobních údajů mezi správcem a zpracovatelem. Smlouva se zpravidla uzavírá jako samostatný dokument. Smlouva musí obsahovat veškeré náležitosti v souladu s čl. 28 odst.3 Nařízení směrnice na ochranu osobních údajů.

 

Informování subjektu údajů

 

Jazyková škola je povinna včas a řádně v souladu s článkem 13 a 14 Nařízení směrnice o ochraně osobních údajů ve stanoveném rozsahu informovat subjekt údajů o tom, že zpracovává jeho osobní údaje. Současně musí jazyková škola informovat subjekt údajů o jeho právech vyplývající z Nařízení směrnice o ochraně osobních údajů. Informační povinnost je naplněna zveřejněním dokumentu „Informace o zpracování osobních údajů“ na webových stránkách jazykové školy, případně jako součást smlouvy se subjektem údajů.

 

Práva subjektu údajů

 

V souvislosti se zpracováním osobních údajů mají subjekty údajů možnost uplatňovat svá práva. Vyřízení žádostí je poskytováno bezplatně, pouze v případě, že jsou žádosti nedůvodné, nebo nepřiměřené, může být uložen přiměřený poplatek.

 

Právo na přístup k informacím

 

Subjekt údajů má právo na jasné, transparentní a srozumitelné informace o tom, jak jsou jeho osobní údaje zpracovávány a jaká jsou jeho práva. K tomuto účelu slouží dokument „Informace o zpracování osobních údajů“. Subjekt údajů má právo na přístup k osobním údajům. Subjekt údajů má právo na opravu nesprávných a neúplných údajů. Subjekt údajů má právo na vymazání svých osobních údajů, především pokud již nejsou dále potřebné pro další zpracování, byl odvolán souhlas k jejich zpracování, subjekt vznese námitky vůči jejich zpracování, byly zpracovány nezákonně, nebo musí být vymazány podle právních předpisů. Právo na výmaz nemůže být uplatněno v tom případě, že jazyková škola zpracovává osobní údaje na základě jiného právního titulu, než se souhlasem subjektu (např. pro plnění smlouvy) a pro zpracování osobních údajů stále existuje důvod a účel. Subjekt údajů má právo získat své osobní údaje a přenést je k jinému poskytovateli služeb.

 

Ochrana osobních údajů

 

Pro zajištění bezpečnosti a důvěrnosti osobních údajů jsou v rámci jazykové školy využívána vhodná technická a organizační opatření zejména na ochranu před neoprávněným přístupem k údajům a jejich zneužitím. Opatření jsou navržena tak, aby odpovídala stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.

 

Organizační opatření

 

Jazyková škola všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Osobní údaje jsou uchovávány v prostorách, na místech, v prostředí nebo systému, do kterého má přístup omezený, předem stanovený, známý okruh osob. Jiné osoby mohou získat přístup k osobním údajům pouze se svolením pověřené osoby.

Dokumenty obsahující osobní údaje studentů jsou trvale uloženy v uzamykatelných skříních. Dokumenty nelze předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.

Osobní spisy zaměstnanců či smluvních pracovníků jsou uloženy v uzamykatelných skříních, přístup k nim má pouze pověřená osoba.

Jazyková škola alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zjistí-li se, že některé postupy jsou zastaralé, zbytečné, nebo se neosvědčily, učiní bezodkladně nápravu.

Každý zaměstnanec nebo smluvní pracovník při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec či smluvní pracovník zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec či smluvní pracovník, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů.

Jazyková škola ihned řeší každý bezpečnostní incident týkající se osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního studenta, zaměstnance, zákonného zástupce atd., jazyková škola tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu informuje jazyková škola dozorový úřad, a to bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm dozvědělo, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

 

Technická opatření

 

Elektronická evidence osobních údajů je vedena v zabezpečeném informačním systému. Do tohoto systému mají přístup jednotliví zaměstnanci, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla a v případě nebezpečí jeho vyzrazení jej ihned změnit. Přístupy nastavuje pověřený zaměstnanec – správce počítačové sítě, který nastavuje potřebné zabezpečení dat.

Zákonní zástupci studentů, případně samotní studenti, mají zajištěn zabezpečený dálkový přístup výhradně k vlastním údajům na základě přihlašovacího jména a hesla.

U informačních systémů musí být zajištěno logování, zálohování a obnova dat.