+421 911 580 749

+421 918 887 939

smelodosveta@smelodosveta.com

Smernica o ochrane osobných údajov(ďalej len ako „Smernica“)

Smernica stanovuje pravidlá pre spracúvanie osobných údajov.

Účelom je zabezpečiť ochranu osobných údajov pri manuálnom a automatizovanom spracúvaní osobných údajov občianskeho združenia SMELO DO SVETA!.

Oblasť platnosti:

Smernica je záväzný pre všetkých dobrovoľníkov zamestnávateľa občianskeho združenia SMELO DO SVETA!.

Počet strán: 8
Navrhovateľ: SMELO DO SVETA!.,o.z. IČO: IČO: 42364876 (ďalej len ako „OZ“)
Mgr. Monika Khúlová, predseda
Schválil: Valné zhromaždenie
Účinnosť: od 21.6.2019
Legislatívny rámec:

Nariadenie EP a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“) a zákon č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len ako „ZOU“).

Článok I.

Účel a cieľ Smernice

Smernica stanovuje pravidlá pre spracúvanie osobných údajovvo všeobecnosti, podrobnosti pre spracúvanie osobných údajov detí a ich zákonných zástupcov. Cieľom je zabezpečiť komplexnú ochranu osobných údajov pri manuálnom a automatizovanom spracúvaní osobných údajov SMELO DO SVETA!.,o.z..

Článok II.

Rozsah záväznosti Smernice

Smernica platí pre všetkých dobrovoľníkov pôsobiacich v SMELO DO SVETA!.,o.z., prípadne pre funkcionárov alebo pre iné osoby SMELO DO SVETA!.,o.z., ktorý pri výkone svojej činnosti pre SMELO DO SVETA!.,o.z. alebo v priestoroch SMELO DO SVETA!.,o.z. spracúvajú osobné údaje dotknutých osôb. Záväzne stanovuje povinnosti pre všetky oprávnené osoby, ktoré spracúvajú osobné údaje a zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Porušenie tejto

Smernicesa považuje za porušenie stanov, opakované alebo sústavné porušovanie Smernice sa má za závažné stanov.

Článok III. Definícia pojmov

Osobné údaje – sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je taká fyzická osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Spracúvanie osobných údajov – operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Prevádzkovateľom na účely tejto Smernice je vždy SMELO DO SVETA!.,o.z.. SMELO DO SVETA!.,o.z. nie je považovaná za prevádzkovateľa podľa GDPR, ak získa osobné údaje náhodným spôsobom bez predchádzajúceho určenia účelov a prostriedkov spracúvania, pričom v takom prípade sa na SMELO DO SVETA!.,o.z. GDPR nevzťahuje. Môže ísť o situácie, kedy sú SMELO DO SVETA!.,o.z. poskytnuté osobné údaje omylom, nedopatrením, špekulatívnym spôsobom alebo sú mu poskytnuté také osobné údaje, o ktoré nežiadal a nemá záujem tieto osobné údaje ďalej spracúvať na žiadne účely. Uchovanie týchto údajov napr. z dôvodu ich vrátenia tomu, koho sa týkajú a/alebo kto ich poskytol, alebo ich vymazania v primeranej lehote nepredstavuje spracúvanie osobných údajov spadajúce do pôsobnosti GDPR.

Oprávnená osoba – každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho právneho vzťahu k SMELO DO SVETA!.,o.z..

Zodpovedná osoba– je fyzická osoba písomne poverená prevádzkovateľom s pracovnou náplňou podľa čl. 37 až 39 GDPR.

Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje, najmä však dobrovoľníci SMELO DO SVETA!.,o.z., deti pôsobiace v SMELO DO SVETA!.,o.z., ich rodinní príslušníci/zákonní zástupcovia.

Informačný systém – akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia,posudky, hodnotenia, testy.

Automatizovaný informačný systém – (ďalej len „AIS“) súhrn technických prostriedkov výpočtovej techniky používaných alebo vlastnených MŠ Šenkvice, najmä, hoci nielen,

programové a aplikačné vybavenie, údajová základňa, pamäťové médiá s údajmi, inštalačné médiá a dokumentácia súvisiaca s technickým a programovým vybavením určeným na automatizované spracovanie údajov.

Používateľský účet – slúži na identifikáciu používateľa v AIS, umožňuje správne priradenie pridelených používateľských práv prihlásenému používateľovi, tvorí ho názov účtu a heslo.

Oprávnený používateľ – osoba, ktorej bol zriadený používateľský účet a pridelené príslušné prístupové práva v AIS, umožňujúce jej plnenie pracovných povinností.

Pracovné dokumenty – všetky súbory, ktoré používatelia AIS vytvorili alebo prevzali pre potreby SMELO DO SVETA!.,o.z..

Likvidácia osobných údajov – zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.

Bezpečnostné opatrenie – vykonávaná prax, pracovný postup alebo zariadenie, ktoré znižujú riziko zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k nim.

Stav núdze – udalosť porušovania ochrany osobných údajov (čl. 4 bod 12 GDPR),ktorej pretrvávanie alebo opakovanie by mohlo spôsobiť ohrozenie záujmov prevádzkovateľa.

Článok IV.
Bezpečnostné opatrenia a ich využitie
Medzi základné realizované bezpečnostné opatrenia patria:

  • ochrana priestorov SMELO DO SVETA!.,o.z. a kontrola vstupu osôb,
  • povinná identifikácia a autentifikácia pri prístupe k AIS a riadne politika hesiel,
  • zálohovanie a antivírová a firewallová ochrana úložísk osobných údajov v AIS,
  • šifrovanie operácií v AIS,
  • zamykanie miestností, prípadne fyzických úložísk (skrinky) osobných spisov detía iných pracovných dokumentov.Bezpečnostné opatrenia slúžia na obmedzenie a riadenie fyzického prístupu osôb, na riadenie logického prístupu k osobným údajom v elektronickej forme, na zabezpečenie dôvernosti, integrity dostupnosti chránených osobných údajov.Všetci, ktorí pristupujú k osobným údajom pri svojej činnosti pre SMELO DO SVETA!., o.z., sú povinní:
  • dodržiavať bezpečnostné opatrenia, ktoré sú realizované na ochranu objektov, majetku osôb a osobných údajov,
  • dodržiavať interné smernice a predpisy,
  • v prípade úniku alebo podozrenia z úniku informácií z informačného systému,oznámiť túto skutočnosť zodpovednej osobe, svojmu nadriadenému a ak únik nastal v AIS, aj poverenému IT pracovníkovi SMELO DO SVETA!.,o.z. ( tomu subjektu, ktorý je administrátorom AIS).

Článok V.
Rozsah oprávnení a popis povolených činností oprávnených osôb Medzi oprávnené osoby patria:

  • dobrovoľníci,
  • predseda OZ,
  • podpredseda OZ,
  • ekonóm.Všetky osoby, ktorých pracovnou náplňou je aj spracúvanie osobných údajov – oprávnené osoby – musia byť poučené o povinnostiach vyplývajúcich z GDPR a zo zákona č. 18/2018Z. z. o ochrane osobných údajov. O poučení sa vedie písomný záznam.Osobné údaje je možné spracúvať pre potreby SMELO DO SVETA!.,o.z. len na základe právnych základov podľa čl. 6 ods. 1 GDPR, na základe § 78 ZOU a interných dokumentov.Spracúva sa len rozsah osobných údajov, ktorý je na konkrétny účel nevyhnutné spracúvať.Likvidáciu osobných údajov môže oprávnená osoba vykonať len na základe súhlasu zodpovednej osoby.Pri dočasnom opustení pracoviska sú všetci zamestnanci povinní odhlasovať sa z programov na spracovanie osobných údajov, prípadne zo samotného AIS, prípadne používať šetrič obrazovky s nastaveným silným heslom (bod V.2 tejto Smernice), a odkladať aj uzamykať písomné dokumenty, ktoré obsahujú osobné údaje.V.1.a. Postup práce pri spracovaní personálnej a mzdovej agendyPersonalistka a zástupkyňa riaditeľky sú oprávnené zisťovať osobné údaje o zamestnancoch a ich rodinných príslušníkoch, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre personálnu a mzdovú agendu; opravovať, meniť, uchovávať a archivovať pracovné dokumenty, ktoré obsahujú osobné údaje zamestnancov. Zamestnanci musia byť informovaní o spracúvaní ich osobných údajov informačným vyhlásením podľa čl. 13 a čl. 14 GDPR.Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby, s výnimkou prípadu, ak takéto kópie umožní vytvárať priamo osobitný zákon.Súhlas musí obsahovať informácie o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania.V prípade žiadostí o prijatie na vykonávanie dobrovoľníckej činnosti, ktoré sú SMELO DO SVETA!.,o.z. doručené poštou alebo e-mailom, je potrebné písomne oznámiť žiadateľovi termín, dokedy bude jeho žiadosť evidovaná a následne zlikvidovaná. Zároveň je potrebné ho požiadať, aby do tohto termínu zasielal prípadné zmeny osobných údajov. Ak je žiadosť bezpredmetná, žiadateľ nie je vhodný, je potrebné písomne oznámiť žiadateľovi okamžitú likvidáciu žiadosti a jeho osobných údajov.

Úradné doklady a kópie úradných dokladov, ktoré obsahujú osobné údaje, je potrebné vrátiť odosielateľovi.

Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané. Oprávnené osoby môžu telefonicky potvrdiť, že dotyčná osoba je dobrovoľníkom v SMELO DO SVETA!.,o.z., bez poskytovania ďalších osobných údajov.

Preberať pracovné dokumenty obsahujúce osobitnú kategóriu osobných údajov podľa čl. 9 GDPR môže iba na to oprávnená osoba, ktorej oprávnenie vyplýva z pracovnej náplne, plnomocenstva predsedu alebo podpredsedu SMELO DO SVETA!.,o.z. alebo z osobitného zákona.

V.1.b. Postup práce pri spracovaní evidencie detí

Predseda a podpredseda sú oprávnení zisťovať osobné údaje o deťoch SMELO DO SVETA!.,o.z. a ich zákonných zástupcoch v rozsahu, na účely potrieb SMELO DO SVETA!.,o.z., spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre evidenciu detí, opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje.

Dobrovoľník je poverená osoba zisťovať osobné údaje o deťoch v rozsahu, na účely na účely potrieb SMELO DO SVETA!.,o.z.,, spracúvať ich manuálne, využívať na tvorbu dokumentov nevyhnutných pre diagnostikovanie detí, opravovať, meniť a archivovať dokumenty, ktoré obsahujú osobné údaje.

Ekonómie poverená osoba zisťovať osobné údaje o a dobrovoľníkoch, spracúvať ich manuálne, využívať na tvorbu dokumentov nevyhnutných pre zabezpečenie ekonomickej činnosti, opravovať, meniť a archivovať dokumenty, ktoré obsahujú osobné údaje.

Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania.

Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané.

V.2 Spôsob identifikácie a autentizácie

Všetky oprávnené osoby sú povinné pri prístupe k AIS prihlásiť sa menom a heslom.

Heslo musí obsahovať minimálne 12znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, ako heslo nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod.

Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%, /, #, @, &, $, (, …, bez použitia diakritických znamienok. Heslá je potrebné pravidelne meniť každých 45 – 60 dní, po uplynutí doby ich platnosti sa heslá nesmú opakovať.

Za utajenie hesla zodpovedá používateľ. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.

Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužitie a spôsobené škody.

V.3 Povinnosti používateľov AIS

AIS je určený len na výkon prác súvisiacich s činnosťou na účely potrieb SMELO DO SVETA!.,o.z ., a môže byť používaný len na tento účel. AIS nesmie byť používaný na súkromné alebo iné účely, ktoré nesúvisia s činnosťou na účely potrieb SMELO DO SVETA!.,o.z.,.

Základnými prostriedkami AIS, ktoré je možné používať pre plnenie stanovených pracovných povinností, sú:

  • počítač, ktorý, ktorý smie oprávnený používateľ používať,
  • nainštalované programové vybavenie počítača,
  • sieťové služby vzdialených počítačov a serverov,
  • výpočtová kapacita počítačových systémov pri používaní sieťových aplikácií.Používateľ nesmie sám inštalovať akékoľvek programy, nesmie používať a šíriť nelegálne programové vybaveniealebo dáta, nesmie kopírovať a distribuovať nainštalované programy a operačné systémy, ich časti, súvisiacu dokumentáciu a manuály, ani kopírovať či inak šíriť osobné údaje a iné dáta z AIS v akýchkoľvek IT sieťach bez konkrétneho zákonného účelu.Všetky zmeny v konfigurácii počítača a ostatného technického vybavenia môžu byť vykonávané len administrátorom AIS.Používateľ sa nesmie žiadnymi prostriedkami pokúšať získať prístupové práva, alebo privilegovaný stav, ktorý mu nebol nastavený administrátorom AIS. Pokiaľ používateľ v dôsledku chyby programových alebo technických prostriedkov získa privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli pridelené a nastavené, je povinný túto skutočnosť bezprostredne oznámiť zodpovednej osobe a administrátorovi AIS, ako aj zdržať sa využitia takýchto nadštandardných výhod prístupu k AIS.Používateľ nesmie vykonávať takú činnosť, ktorá by ostatným používateľom bránila v riadnom používaní AIS.Používateľ je povinný rešpektovať štruktúru dát na svojom počítači i na sieti, udržiavať poriadok v dátach, rušiť (ak má k tomu dostatočné oprávnenie) nepotrebné dát a v týchto prostriedkoch, nevytvárať prázdne adresáre, chaotické kópie dáta pod.Ak používateľ potrebuje k výkonu svojej riadnej činnosti v na účely potrieb SMELO DO SVETA!.,o.z., prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v AIS, musí žiadať od predsedu na účely potrieb SMELO DO SVETA!. ,o.z. ,individuálny písomný súhlas na získanie prístupu k týmto osobným údajom.Článok VI.

Povinnosti oprávnených osôb a status zodpovednej osoby

VI.1 Povinnosti oprávnených osôb

Všetky oprávnené osoby sú povinné zachovávať mlčanlivosť podľa § 79 ZOU o osobných údajoch, s ktorými prídu do styku, nesmú ich využívať pre vlastnú potrebu, nesmú ich zverejňovať ani nikomu sprístupniť.

Povinnosť mlčanlivosti trvá i po skončení pracovného pomeru oprávnenej osoby.

VI.2 Status zodpovednej osoby

Dohľadom nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov musí byť písomne poverená zodpovedná osoba, ktorá bola odborne vyškolená. Rozsah odborného školenia zodpovedá najmä obsahu GDPRa štvrtej a šiestej časti ZOU. Absolvent odborného školenia obdrží písomné potvrdenie o absolvovaní, ak je to možné.

Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb.

Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi. Ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba Úradu na ochranu osobných údajov SR.

Zodpovedná osoba vykonáva:

  • potrebnú súčinnosť s Úradom na ochranu osobných údajov SR,
  • dohľad nad plnením základných povinností prevádzkovateľa,
  • všetky ďalšie činnosti určené v náplni zodpovednej osoby.Zodpovedná osoba vykoná na základe zistenia porušenia ochrany osobných údajov podľa GDPR, minimálne však raz ročne, kontrolu zameranú na dodržiavanie ochrany osobných údajov v AIS.Zodpovedná osoba vykoná kontrolu:
  • archivovania písomných dokumentov – vhodnosť podmienok na archivovanie,
  • v spolupráci so administrátorom AIS kontrolu funkčnosti a úplnosti záloh,
  • interných predpisov – presnosť a jednoznačnosť pracovných postupov pri spracúvaníosobných údajov.Článok VIII. Havarijné postupy

V prípade zistenia poruchy akéhokoľvek prostriedku AIS alebo porušenia ochrany osobných údajov vrátane ich úniku mimo AIS (ďalej len ako „Bezpečnostný incident“) je potrebné na túto skutočnosť upozorniť administrátora AIS. Vrátiť úradné doklady, ak boli predmetom spracúvania, ak technický prostriedok alebo nosič informácií obsahujúci osobné údaje bude kvôli vykonaniu servisného zásahu premiestnený mimo areálu na účely potrieb SMELO DO SVETA!., o.z., prípadne ak servisný zásah bude vykonávať externá firma.

Oprávnená osoba, na ktorej pracovisku sa vyskytol Bezpečnostný incident, alebo ktorá pristupovala do AIS v čase výskytu alebo zistenia Bezpečnostného incidentu, je po výskyte Bezpečnostného incidentu povinná prerušiť svoju činnosť, ktorá s Bezpečnostným incidentom súvisí, pričom nesmie vykonať akékoľvek úkony, ktoré by mohli viesť k zvýšeniu rizika bezpečnosti osobných údajov alebo závažnosti Bezpečnostného incidentu.

Oprávnená osoba je povinná spísať o Bezpečnostnom incidente zápisnicu, v ktorej uvedie všetky podrobnosti o Bezpečnostnom incidente v rozsahu:

  1. aké osobné údaje sú predmetom Bezpečnostného incidentu,
  2. kedy sa o Bezpečnostnom incidente dozvedela,
  3. aký Bezpečnostný incident sa stal,
  4. ako sa o Bezpečnostnom incidente dozvedela,
  5. aké kroky vo vzťahu k Bezpečnostnému incidentu podnikla,
  6. komu a kedy Bezpečnostný incident nahlásila.

Oprávnená osoba odovzdá zápisnicu administrátorovi AIS a v kópii aj zodpovednej osobe na účely potrieb SMELO DO SVETA!.,o.z., podľa čl. 37 a nasl. GDPR.

Oprávnená osoba smie vykonávať svoje pracovné činnosti až po súhlase administrátora AIS, ktorý potvrdí, že výkon pracovných činností nepredstavuje riziko pre bezpečnosť osobných údajov.

Na predchádzanie vzniku požiaru je potrebné dodržiavať preventívne protipožiarne opatrenia v súlade s Požiarnym štatútom. V prípade požiaru sa postupuje podľa poplachových a evakuačných smerníc, ktoré sú súčasťou Požiarneho štatútu.

Spracovala: Mgr. Monika Khúlová predseda
SMELO DO SVETA!.,o.z.,