Ochrana osobních údajů

Zpracování a ochrana osobních údajů na UP

1.    Účel informace
V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „GDPR“ – informuje Univerzita Palackého v Olomouci ty, jejichž údaje zpracovává (dále jen „subjekty údajů“) o podmínkách, za jakých jsou zpracovávány osobní údaje.

2.    Správce osobních údajů
Tato informace se věnuje případům, kdy správcem Vašich osobních údajů je Univerzita Palackého v Olomouci, Křížkovského 511/8, 771 47 Olomouc, Česká republika (dále jen „Univerzita Palackého“). Univerzita Palackého je správcem osobních údajů tehdy, jestliže určuje účel a prostředky zpracování osobních údajů, provádí za stanoveným účelem jejich shromažďování, zpracování a uchování; za tuto svou činnost je právně odpovědná.

Univerzita Palackého je veřejná vysoká škola zřízená podle zákona č. 111/1998 Sb., o vysokých školách (dále jen „ZVŠ“). Univerzita Palackého svobodně a samostatně uskutečňuje vzdělávací a v souvislosti s ní vědeckou a výzkumnou, vývojovou a inovační, uměleckou nebo další tvůrčí činnost a také další s nimi související činnosti.

3.    Pověřenec pro ochranu osobních údajů
Pověřencem pro ochranu osobních údajů byl ustanoven kancléř Univerzity Palackého v Olomouci, PhDr. Rostislav Hladký, MBA, kterého je možné kontaktovat písemně na výše uvedené adrese Univerzity Palackého, případně na e-mailu: dpo@upol.cz. Na pověřence se můžete obrátit v případě, že budete mít jakékoliv dotazy či požadavky ke zpracování a ochraně Vašich osobních údajů.

4.    Zásady pro zpracování osobních údajů na Univerzitě Palackého
Univerzita Palackého považuje ochranu osobních údajů za důležitou a věnuje jí velkou pozornost. Vaše osobní údaje zpracováváme pouze v rozsahu, který je nezbytný pro činnost univerzity, případně souvisí se službou, kterou na Univerzitě Palackého využíváte. Osobní údaje chráníme v maximální možné míře a v souladu s platnými právními předpisy. Zásady a pravidla při zpracování osobních údajů na Univerzitě Palackého upravuj její vnitřní norma nazvaná Ochrana osobních údajů na Univerzitě Palackého v Olomouci.  Vnitřní norma mj. stanoví povinnost všech zaměstnanců při zpracování osobních údajů respektovat principy a zásady vyplývající z nařízení GDPR, konkrétně:

a)       Zásadu zákonnosti, která nám ukládá zpracovávat Vaše osobní údaje vždy v souladu s právními předpisy a na základě alespoň jednoho právního titulu.

b)      Zásadu korektnosti a transparentnosti, která nám ukládá povinnost zpracovávat Vaše osobní údaje otevřeně a transparentně a poskytnout Vám informace o způsobu jejich zpracování spolu s informací o tom, komu budou Vaše osobní údaje zpřístupněny. Patří sem také naše povinnost Vás v případech závažného porušení bezpečnosti či úniku osobních údajů o takové skutečnosti informovat.

c)       Zásadu účelového omezení, která nám umožňuje shromažďovat Vaše osobní údaje pouze za jasně vymezeným účelem.

d)      Zásadu minimalizace údajů, která nám ukládá zpracovávat pouze osobní údaje nezbytné, relevantní a přiměřené ve vztahu k účelu jejich zpracování.

e)      Zásadu přesnosti, která nám ukládá přijmout veškerá rozumná opatření umožňující nám zajistit pravidelnou aktualizaci či opravu Vašich osobních údajů.

f)        Zásadu omezení uložení, která nám ukládá uchovávat Vaše osobní údaje pouze po dobu, která je nezbytná pro konkrétní účel, pro který jsou zpracovávány. Jakmile tedy pomine doba pro zpracování nebo účel zpracování, Vaše osobní údaje vymažeme nebo je anonymizujeme, tedy upravíme tak, aby nebyly propojitelné s Vaší osobou; to se pochopitelně netýká takových osobních údajů, které je třeba po stanovenou dobu archivovat dle příslušných právních předpisů.

g)       Zásadu integrity a důvěrnosti, nepopiratelnosti a dostupnosti, která nám ukládá Vaše osobní údaje zabezpečit a chránit před neoprávněným či protiprávním zpracováním, ztrátou či zničením. Z těchto důvodů přijímáme četná technická i organizační opatření pro ochranu Vašich osobních údajů. Současně dbáme na to, aby k Vašim osobním údajům měli přístup pouze pověření zaměstnanci Univerzity Palackého.

h)      Zásadu odpovědnosti, která nám ukládá povinnost umět doložit soulad všech shora vyjmenovaných podmínek.

 

5.    Pro které účely osobní údaje zpracováváme?
Při naplňování svého poslání zpracovává Univerzita Palackého osobní údaje pro následující účely:

a.       Vzdělávací činnost

                                                               i.      Přijímací řízení

                                                             ii.      Studium

                                                           iii.      Výuka

                                                           iv.      Výměnné pobyty

                                                             v.      Celoživotní vzdělávání a mezinárodně uznávané kurzy

                                                           vi.      Knihovní služby

b.       Vědecko-výzkumná, vývojová a tvůrčí činnost

                                                               i.      Řešení projektů

                                                             ii.      Pořádání odborných konferencí

                                                           iii.      Publikační a vydavatelská činnost

                                                           iv.      Habilitační a profesorská řízení

c.       Administrativa a provoz organizace

                                                               i.      Personalistika a mzdy (včetně výběrových řízení)

                                                             ii.      Ekonomika a účetnictví

                                                           iii.      Správa majetku

                                                           iv.      Provozní agendy

                                                             v.      E-infrastruktura (výpočetní a úložné systémy, počítačová síť, elektronická pošta, hlasová síť)

                                                           vi.      Identifikační karty Univerzity Palackého

d.       Ochrana majetku a bezpečnost

                                                               i.      Kamerové systémy

                                                             ii.      Přístupy do zabezpečených prostor

                                                           iii.      Bezpečnostní monitoring provozu počítačové sítě

                                                           iv.      Zpracování bezpečnostních incidentů

e.       Komerční činnost

                                                               i.      Obchodní centrum

                                                             ii.      E-shopy Univerzity Palackého

                                                           iii.      Stravovací a ubytovací služby

                                                           iv.      Služby poskytované Akademik sport centrem včetně provozu cestovní kanceláře

                                                             v.      Jazykové vzdělávání

                                                           vi.      Další smluvní komerční činnost, případně živnostensky vykonávaná činnost

f.        Informační, poradenská a propagační činnost

                                                               i.      Weby

                                                             ii.      Marketing a propagace

                                                           iii.      Vydávání magazínu Žurnál, jiné magazíny a newslettery

                                                           iv.      Absolventi (klub absolventů apod.)

                                                             v.      Dětská univerzita

                                                           vi.      Informační a poradenská činnost (např. v oblasti studijní a kariérní, psychologická poradna, studentská právní poradna a další)

                                                          vii.      Informační činnost v rámci informačního a obchodního centra UPoint

                                                        viii.      Pevnost poznání

                                                            ix.      Botanická zahrada

g.       Zdravotnická činnost

                                                               i.      Provoz zdravotnických zařízení

 

6.    Kategorie osob, jejichž osobní údaje zpracováváme
Univerzita Palackého zpracovává osobní údaje těchto kategorií osob (subjektů údajů):

a)       Zaměstnanci (osoby v pracovně-právním vztahu) a uchazeči o zaměstnání

b)      Studenti, účastníci celoživotního vzdělávání a mezinárodně uznávaných kurzů a účastníci výměnných studijních pobytů

c)       Uchazeči o studium (osoby účastnící se přijímacího řízení ke studiu)

d)      Absolventi

e)      Účastníci habilitačních řízení a řízení o jmenování profesorem

f)        Externí spolupracovníci (osoby bez pracovněprávního vztahu zapojené do vzdělávacích, výzkumných, smluvních a dalších aktivit Univerzity Palackého)

g)       Členové orgánů a komisí zřízených Univerzitou Palackého (vědecká rada, správní rada atp.)

h)      Účastníci výzkumu (osoby zapojené v roli zkoumaných subjektů do výzkumných aktivit a projektů)

i)        Smluvní a projektoví partneři, jiní zákazníci (osoby využívajících či nakupující služby a produkty Univerzity Palackého), návštěvníci akcí pořádaných Univerzitou Palackého

j)        Osoby, jejichž osobní údaje jsou zaznamenány kamerovými systémy provozovanými Univerzitou Palackého

7.    Kategorie zpracovávaných osobních údajů
Univerzita Palackého zpracovává jednak osobní údaje poskytnuté přímo jednotlivými fyzickými osobami (ať již na základě souhlasu nebo na základě jiných právních důvodů), případně údaje poskytnuté či získané v souladu s právními předpisy od jiných subjektů či z jiných zdrojů (např. veřejné rejstříky),  jednak také další osobní údaje vytvořené v rámci činností zpracování a nezbytných pro jejich zajištění. To může zahrnovat následující kategorie osobních údajů:

a)       Adresní a identifikační údaje (jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, titul, státní příslušnost, adresa (včetně elektronické), telefonní číslo, číslo osobního dokladu, digitální identifikátor, podpis apod.)

b)      Popisné údaje (vzdělání, znalost cizích jazyků, odborná kvalifikace, údaj o vojenské službě, znalosti a dovednosti, počet dětí, portrétní fotografie, video/audio záznam o osobě, předchozí zaměstnání, zdravotní pojišťovna, členství v zájmových organizacích, trestní bezúhonnost, apod.)

c)       Studijní údaje (záznamy o studiu a studijních aktivitách, studijní výsledky, studijní ocenění)

d)      Ekonomické údaje (bankovní spojení, mzda, odměny, poplatky, závazky a pohledávky, objednávky, nákupy, daně apod.)

e)      Pracovní údaje (záznamy o práci a pracovních aktivitách, zaměstnavatel, pracoviště, pracovní zařazení a pozice, pracovní hodnocení, pracovní ocenění apod.)

f)        Provozní a lokační údaje (typicky údaje z elektronických systémů vztahujících se ke konkrétnímu subjektu údajů – např. údaje o využití informačních systémů, o datovém provozu a elektronické komunikaci, o využívání telefonu, o přístupu do různých prostor, záznamy z kamerových systémů apod.)

g)       Údaje o aktivitách subjektu (publikační činnost, údaje o odborných aktivitách, účasti na konferencích, zapojení do projektů, údaje o pracovních či studijních cestách apod.)

h)      Údaje o jiné osobě (adresní a identifikační údaje člena rodiny, manžel/manželka, dítě, partner apod.) – vždy však striktně v souladu se zásadou minimalizace údajů a striktně při splnění právem stanovených požadavků

i)        Zvláštní kategorie osobních údajů a údaje o trestních odsouzeních či probíhajících trestních řízeních (citlivé osobní údaje zachycující informaci o zdravotním stavu, členství v odborech apod.) - vždy však striktně v souladu se zásadou minimalizace údajů a striktně při splnění právem stanovených požadavků

8.    Právní důvody pro zpracování osobních údajů
Zpracování osobních údajů v rámci výše uvedených činností probíhá na základě odpovídajících právních důvodů. Tyto důvody jsou odlišné pro jednotlivé typy činností, které Univerzita Palackého vykonává. Obecně však těmito právem aprobovanými důvody pro zpracování Vašich osobních údajů jsou:

a)     Plnění právní povinnosti vztahující se na správce:
Vaše osobní údaje zde potřebujeme za účelem jejich zpracování pro splnění naší právem stanovené povinnosti. Jedná se zejména o zpracování dle ZVŠ, zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků; zákona č. 262/2006 Sb., zákoník práce; zákona č. 563/1991 Sb., o účetnictví; zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů; zákona č. 480/2004 Sb. o některých službách informační společnosti; zákona 181/2014, o kybernetické bezpečnosti a dalších právních předpisů.

b)    Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (týká se případů, kdy Univerzita Palackého vystupuje jako orgán veřejné moci, tj. orgán oprávněný rozhodovat o právech a povinnostech osob, případně jinak zasahovat do jejich sféry. Jedná se zejména o zpracování dle ZVŠ.

c)     Plnění smlouvy, provedení opatření před vznikem smlouvy na Váš návrh:
Vaše osobní údaje zde potřebujeme pro účely uzavření smluvního vztahu a následného plnění z něj, případně také před uzavřením smlouvy (mj. pro přípravu smlouvy).

d)    Souhlas subjektu údajů:
Souhlas, který jste nám udělil ke zpracování Vašich osobních údajů pro jeden či více konkrétních účelů.

e)     Oprávněný zájem správce, který spočívá zejména v:

-    ochraně majetku,

-    zajištění bezpečnosti počítačové sítě a informací.

f)      Nezbytnost zpracování pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (na Univerzitě Palackého však bude tento důvod pro zpracování ojedinělým až výjimečným)

9.     Předávání osobních údajů
Za účelem naplnění zákonných povinností může Univerzita Palackého předat vybrané osobní údaje určeným subjektům (například orgánům veřejné moci). Toto obdobně platí i pro případy, kdy zmocnění pro předání osobních údajů vně Univerzity Palackého je dáno individuálními souhlasy subjektů údajů.

10.  Doba uchování osobních údajů
Údaje se uchovávají pouze po dobu nezbytně nutnou ve vztahu k dané činnosti zpracování osobních dat a v souladu s platným skartačním plánem jsou pak zlikvidována nebo archivována. Osobní údaje, které zpracováváme s Vaším souhlasem, uchováváme pouze po dobu trvání účelu, k němuž byl souhlas udělen.

11.   Uplatnění práv subjektu údajů
Subjekt údajů je oprávněn uplatnit svá práva vyplývající z GDPR. Každý zaměstnanec Univerzity Palackého je povinen přijmout žádost Vás jakožto subjektu údajů zpracovávaných Univerzitou Palackého, kterou hodláte realizovat některé ze svých práv dle čl. 15 - 22 GDPR. Žádost dle čl. 15 -22 GDPR jste oprávněni také zaslat pověřenci pro ochranu osobních údajů. Před zpracováním žádosti má Univerzita Palackého právo a povinnost ověřit identitu žadatele. Vaše žádost bude vyřízena zpravidla bez zbytečného odkladu, nejpozději ve lhůtách stanovených GDPR.

12.   Právo podat stížnost u dozorového úřadu
Subjekt údajů má právo podat stížnost na zpracování osobních údajů dozorovému úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení. Tímto dozorovým úřadem tak zpravidla bude Úřad na ochranu osobních údajů.

Kontakt:
Úřad pro ochranu osobních údajů

adresa: Pplk. Sochora 27, 170 00 Praha 7

tel.: 234 665 111

web: www.uoou.cz 

Tato informace je dostupná v české a anglické verzi. Dojde-li k rozporu mezi těmito verzemi, přednost má verze česká.

Práva subjektu údajů ve vztahu k osobním údajům zpracovávaným UP

Práva subjektu údajů ve vztahu k osobním údajům zpracovávaným Univerzitou Palackého v Olomouci v postavení správce osobních údajů

Každý člověk je oprávněn vůči Univerzitě Palackého v Olomouci (dále jen „UP“) uplatnit svá práva vyplývající z Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „GDPR“.

Naproti tomu každý zaměstnanec Univerzity Palackého je povinen přijmout Vaši žádost, kterou hodláte realizovat některé z níže popsaných práv. Preferujeme, kontaktujete-li v této věci takového zaměstnance UP, kterého se záležitost věcně dotýká (zpravidla zaměstnanec, se kterým jste již dříve věcně komunikoval).

Vaši žádost jste oprávněni také zaslat pověřenci pro ochranu osobních údajů, PhDr. Rostislavu Hladkému, MBA, a to nejlépe e-mailem na adresu: dpo@upol.cz.

Vezměte prosím na vědomí, že zaměstnanec UP vyřizující Vaši žádost je oprávněn požádat o prokázání o Vaší totožnosti, nebyla-li Vaše totožnost jasně prokázána již při podání Vaší žádosti. Důvodem k žádosti o prokázání Vaší totožnosti je zájem na tom, aby nedošlo k narušení ochrany Vašich osobních údajů přístupem cizí osoby k těmto údajům. Platí tedy, že nebude-li Vaše žádost doručena osobně se současným prokázáním Vaší totožnosti, případně nebude-li žádost doručena datovou schránkou, očekávejte prosím, že Vás příslušný zaměstnanec vyzve, abyste osobně osvědčil svou identitu.

Vaše žádost bude vyřízena zpravidla bez zbytečného odkladu, nejpozději ve lhůtách stanovených GDPR.

Ve vztahu k osobním údajům zpracovávaným UP v postavení správce osobních údajů můžete vůči UP uplatnit následující práva:

1.   Právo na odvolání souhlasu (čl. 7 GDPR)

Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj a který k tomuto zpracování udělil svůj předchozí souhlas, má právo poskytnutý souhlas kdykoliv odvolat. Odvolání souhlasu se nedotýká zákonnosti zpracování osobních údajů, ke kterému došlo na základě souhlasu před jeho odvoláním.

Vzhledem ke skutečnosti, že UP je relativně velkou organizací, preferujeme, pokud pro odvolání uděleného souhlasu kontaktujete tu součást UP, s níž jste při udělení souhlasu komunikoval, či přímo zaměstnance, který s Vámi komunikoval při udělení souhlasu – takto lze nejlépe a nejrychleji zajistit, že informace o odvolání souhlasu dospěje co nejdříve k věcně příslušné osobě.

Nejste-li si jisti, zda jste souhlas se zpracováním osobních údajů UP udělili, takovou informaci Vám samozřejmě UP poskytne v souladu s následujícím bodem (právo na přístup k osobním údajům).

2.   Právo na přístup k osobním údajům (čl. 15 GDPR)

Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo na přístup ke svým osobním údajům. Toto mj. znamená, že každý člověk může požádat UP, aby mu o zpracování osobních údajů vystavila potvrzení. Obsahem tohoto potvrzení bude:

  1. Vždy údaj o tom, zdali UP zpracovává, nebo naopak nezpracovává osobní údaje, které by se mohly žadatele týkat.
  2. Neomezí-li žadatel svou žádost jen na požadavek sdělení určitých informací, poskytne mu UP tyto informace:
    1. údaje o účelech zpracování osobních údajů;
    2. o kategoriích dotčených osobních údajů;
    3. o příjemci nebo kategorii příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích mimo Evropskou unii nebo v mezinárodních organizacích;
    4. o plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritériích použitých ke stanovení této doby;
    5. o existenci práva požadovat od UP opravu nebo výmaz osobních údajů, které se žadatele týkají;
    6. o existenci práva požadovat po UP omezení zpracování osobních údajů, které se žadatele týkají; o existenci práva vznést námitku proti tomu, jaké osobní údaje žadatele a jakým způsobem UP zpracovává;
    7. o existenci práva podat stížnost u dozorového úřadu, jímž je Úřad pro ochranu osobních údajů;
    8. o veškerých dostupných informacích ohledně zdroje osobních údajů v případě, že tyto osobní údaje nezískala UP přímo od žadatele;
    9. o zpracování osobních údajů způsobem automatizovaného rozhodování a profilování včetně údajů o použitém postupu, významu a důsledcích tohoto zpracování pro žadatele,
    10. o zárukách, které existují při předání osobních údajů do třetích zemí mimo Evropskou unii nebo mezinárodní organizaci, dochází-li k takovému předání.

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo na fyzický přístup ke svým osobním údajům. Toto znamená, že každý člověk může požádat UP, aby mu vydala kopii všech osobních údajů, které ho týkají a které UP zpracovala. Ve vhodných případech či žádá-li o to žadatel, poskytne UP informace v elektronické formě.

    UP vydává potvrzení o zpracování osobních údajů bezplatně. UP vydává také první kopii osobních údajů člověka bezplatně.

    UP však bude požadovat platbu za vydání druhé a dalších kopií osobních údajů člověka, a to podle administrativní náročnosti daných prací. To neplatí, došlo-li v průběhu času ke změnám v údajích a jejich zpracování a subjekt údajů (člověk, o jehož údaje se jedná) tak žádá o kopie aktuálních údajů.

    Právo vydat kopii osobních údajů může být omezeno, aby nedošlo k zásahu do práv a svobod třetích osob (např. zásahu do autorského práva třetích osob, zásahu do obchodního tajemství apod.).

    3.   Právo na opravu osobních údajů (čl. 16 GDPR)

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo na opravu a doplnění osobního údaje, který se ho týká. Toto znamená, že každý člověk může požádat UP, aby opravila nebo doplnila jakýkoliv osobní údaj, který se žadatele týká. UP je ostatně sama povinna vést osobní údaje pokud možno přesné a aktualizované (v souladu s čl. 5 GDPR).

    Pokud UP opraví nebo doplní jakýkoliv osobní údaj, protože ji o takovou opravu nebo doplnění požádal člověk, jehož se osobní údaje týkaly, UP zároveň potvrdí takovému člověku, že došlo k příslušnému opatření, zpravidla jej tedy informuje, že došlo k opravě či doplnění informace (nebyl-li dán důvod k odmítnutí opravy či doplnění).

    Pokud UP opraví nebo doplní jakýkoliv osobní údaj, protože ji o takovou opravu nebo doplnění požádal člověk, jehož se osobní údaje týkaly, oznámí UP opravu či doplnění všem příjemcům, kterým již dříve takové osobní údaje zpřístupnila. Neučiní tak pouze tehdy, pokud se oznámení příjemcům ukáže jako nemožné nebo vyžaduje nepřiměřené úsilí.

    4.   Právo na výmaz osobních údajů (čl. 17 GDPR)

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má – za níže stanovených podmínek - právo na výmaz každého osobního údaje, který se ho týká. Toto právo znamená, že UP v minulosti získala osobní údaj konkrétního člověka, avšak následně nastane povinnost UP takový údaj vymazat.

    Skutečnost, která nutí UP osobní údaj vymazat, nastává když:

    1. Konkrétní osobní údaj již není potřebný pro žádný účel, pro něž byl shromážděn nebo jinak zpracován.
    2. UP získala osobní údaj na základě souhlasu konkrétního člověka, avšak tento člověk svůj souhlas později odvolal a zároveň již neexistuje jiný právní důvod, proč by UP tento osobní údaj konkrétního člověka zpracovávala.
    3. UP zpracovala osobní údaj konkrétního člověka, protože pro to měla oprávněný důvod (zájem), avšak tento konkrétní člověk vznesl námitku proti zpracování tohoto osobního údaje ve smyslu čl. 21 odst. 1 GDPR, tedy námitku zpochybňující nebo popírající oprávněnost zpracování osobního údaje ze strany UP, a následně se ukázalo, že UP nedisponuje ve vztahu k danému osobnímu údaji takovým oprávněným důvodem pro zpracování osobních údajů, který by převážil nad oprávněnými zájmy, právy či svobodami dotčeného člověka (subjektu údajů) proti zpracování jeho osobních údajů.
    4. UP zpracovávala jakýkoliv osobní údaj konkrétního člověka protiprávně.
    5. UP zpracovávala jakýkoliv osobní údaj konkrétního člověka, avšak UP musí tento osobní údaj vymazat, aby splnila právní povinnost, kterou jí ukládá právo Evropské unie, nebo právo jejího členského státu.
    6. UP zpracovávala jakýkoliv osobní údaj konkrétního člověka v souvislosti s nabídkou služeb informační společnosti nezletilým subjektům údajů dle čl. 8 odst. 1 GDPR.

    Jestliže UP zveřejnila jakýkoliv osobní údaj, který zpracovávala ohledně konkrétního člověka, a následně jí vznikla právní povinnost tento osobní údaj vymazat, informuje další osoby, které dotčený osobní údaj dále zpracovávaly, aby tento dotčený osobní údaj, veškeré jeho kopie nebo replikace a veškeré odkazy na něj vymazali. Uvedená opatření UP provede v přiměřeném rozsahu s ohledem na dostupnou technologii a náklady na provedení.

    UP však osobní údaj konkrétního člověka nevymaže, přestože je splněna alespoň jedna z výše uvedených podmínek, pokud nastane některá z níže uvedených situací:

    1. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné pro výkon práva na svobodu projevu a informace.
    2. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné pro splnění právní povinnosti, jíž jí ukládá právo Evropské unie nebo právo jejího členského státu.
    3. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je UP pověřena.
    4. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné kvůli veřejnému zájmu v oblasti veřejného zdraví, zejména kvůli poskytování pracovně-lékařských služeb a ochraně před vážnými přeshraničními zdravotními hrozbami nebo zajištění norem kvality a bezpečnosti zdravotní péče.
    5. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu nebo pro statistické účely, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování.
    6. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a toto zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků.

    7.   Právo na omezení zpracování osobních údajů (čl. 18 GDPR)

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo na omezení zpracování osobního údaje, který se ho týká. Uplatnění tohoto právo znamená, že UP sice může osobní údaje konkrétního člověka nadále uchovávat, avšak nemůže je jiným způsobem zpracovávat.

    Právo na omezení zpracování osobních údajů však má člověk, kterého se osobní údaje týkají, pouze v těchto případech:

    1. Člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, popírá jeho přesnost. V takovém případě trvá omezení zpracování osobního údaje jen po dobu potřebnou k tomu, aby UP mohla přesnost osobních údajů ověřit.
    2. UP zpracovává jakýkoliv osobní údaj konkrétního člověka protiprávně, avšak tento konkrétní člověk, který UP poskytl jakýkoliv svůj osobní údaj, nežádá výmaz osobního údaje, nýbrž žádá omezení jeho zpracování.
    3. UP sice získala jakýkoliv osobní údaj konkrétního člověka a nadále jej již nepotřebuje, avšak tento konkrétní člověk UP požádá, aby mu popsaný osobní údaj vydala pro určení, výkon nebo obhajobu jeho právních nároků.
    4. Člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, vznesl námitku proti zpracování tohoto osobního údaje ve smyslu čl. 21 odst. 1 GDPR, tedy námitku zpochybňující nebo popírající oprávněnost zpracování osobního údaje ze strany UP. V takovém případě trvá omezení zpracování osobního údaje jen po dobu potřebnou k tomu, aby bylo ověřeno, že oprávněné důvody pro zpracování osobního údaje ze strany UP převažují nad oprávněnými důvody konkrétního člověka, o němž UP jakýkoliv jeho osobní údaj zpracovává.

    UP však může zpracovávat jakýkoliv osobní údaj, jehož zpracování bylo omezeno, i jiným způsobem než jeho prostým uchováváním, z těchto důvodů:

    1. Zpracování jakéhokoliv osobního údaje konkrétního člověka bylo sice omezeno, ale tento konkrétní člověk, jehož se osobní údaj týká, dal UP souhlas s jeho zpracováním.
    2. Zpracování jakéhokoliv osobního údaje konkrétního člověka bylo sice omezeno, ale jeho zpracování je nutné pro určení, výkon nebo obhajobu právních nároků.
    3. Zpracování jakéhokoliv osobního údaje konkrétního člověka bylo sice omezeno, ale jeho zpracování je nutné pro ochranu práv jiné fyzické nebo právnické osoby.
    4. Zpracování jakéhokoliv osobního údaje konkrétního člověka bylo sice omezeno, ale jeho zpracování je nutné kvůli důležitému veřejnému zájmu Evropské unie nebo jejího členského státu.

    UP předem upozorní člověka, který dosáhl omezení zpracování jakéhokoliv svého osobního údaje, na skutečnost, že toto omezení bude zrušeno.

    8.   Právo na informace o příjemcích osobních údajů (čl. 19 GDPR)

    Každý člověk může požádat UP, aby ho informovala o takových příjemcích, kterým žadatelovy osobní údaje zpřístupnila a zároveň kterým později oznámila opravu, doplnění, výmaz či omezení zpracování jakéhokoliv žadatelova osobního údaje. Příjemcem osobních údajů jsou zpravidla osoby a orgány veřejné moci, zejména soudy, úřady a policie, mimoto např. zdravotní pojišťovny apod.

    9.   Právo na přenositelnost osobních údajů (čl. 20 GDPR)

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo na přenositelnost svých osobních údajů – avšak jen za níže uvedených podmínek.

    Toto právo znamená, že člověk, který sám poskytl svůj osobní údaj UP, může žádat získání tohoto poskytnutého osobního údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a dále má právo tento získaný osobní údaj předat (přenést) k jinému správci, aniž by tomu UP mohla bránit. Toto právo též znamená, že každý člověk, který poskytl svůj osobní údaj UP, může žádat, aby UP přímo předala (přenesla) získaný osobní údaj jinému správci, pokud je to technicky proveditelné.

    Právo na přenositelnost osobních údajů však má člověk, kterého se osobní údaje týkají, pouze v těchto případech:

    1. UP zpracovává konkrétní osobní údaj pouze automatizovaně a zároveň pouze na základě právního důvodu, jímž je souhlas se zpracováním osobních údajů.
    2. UP zpracovává konkrétní osobní údaj pouze automatizovaně a zároveň pouze pro účel uzavírání, měnění a rušení smluv a dohod a jejich jednotlivých ujednání.

    Právem na přenositelnost osobních údajů však nesmí být nepříznivě dotčena práva a svobody jiných osob.

    Právo na přenositelnost osobních údajů se neuplatní na zpracování osobních údajů nezbytné pro splnění úkolu, který je prováděn ve veřejném zájmu nebo při výkonu veřejné moci a kterým je UP pověřena.

    10.                Právo vznést námitku (čl. 21 GDPR)

    Každý člověk, o němž UP zpracovává jakýkoliv jeho osobní údaj, má právo vznést námitku proti zpracovávání jakéhokoliv svého osobního údaje. Toto právo však člověk má pouze v těchto případech:

    1. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a činí tak proto, že je to nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, která byla UP svěřena.
    2. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a činí tak proto, že je to nezbytné pro účely oprávněných zájmů UP či třetí osoby.
    3. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a činí tak proto, že je to nezbytné pro účely vědeckého či historického výzkumu nebo pro statistické účely.
    4. UP zpracovává jakýkoliv osobní údaj konkrétního člověka a činí tak pro účely přímého marketingu.

    UP následně posoudí oprávněnost takové námitky.

    Námitka, kterou člověk uplatňuje v případech uvedených výše pod číslem 1, 2 nebo 3, musí vycházet z důvodů týkajících se konkrétní situace člověka, který ji uplatňuje. UP dále nezpracovává osobní údaje, kterých se námitka týkala. Uvedené omezení dalšího zpracování trvá od okamžiku, kdy UP došla námitka, do okamžiku, kdy UP námitku vyřídila.

    UP může osobní údaje, jejichž zpracování bylo napadeno námitkou, dále zpracovávat pouze tehdy, pokud prokáže alespoň jednu z níže uvedených skutečností:

    1. UP zpracovává jakýkoliv osobní údaj, proti jehož zpracování byla podána námitka, avšak pro uvedené zpracování má závažné oprávněné důvody, které převažují nad zájmy nebo právy a svobodami toho člověka, který námitku podal.
    2. UP zpracovává jakýkoliv osobní údaj, proti jehož zpracování byla podána námitka, avšak pro uvedené zpracování má závažné oprávněné důvody pro určení, výkon nebo obhajobu právních nároků.

    Námitka, kterou člověk uplatňuje v případě uvedeném výše pod číslem 4 (zpracování pro účely přímého marketingu), nemusí vycházet z důvodů týkajících se konkrétní situace člověka, který ji uplatňuje. Uvedenou námitku může vznést člověk zásadně kdykoliv. UP dále nezpracovává osobní údaje, kterých se námitka týkala a které zpracovávala výlučně pro účely přímého marketingu. Uvedené omezení dalšího zpracování pak trvá napořád.

    11.                Právo podat stížnost u dozorového úřadu (čl. 77 GDPR)

    Každý člověk má právo podat stížnost na zpracování svých osobních údajů dozorovému úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení.

    Tímto dozorovým úřadem tak zpravidla bude Úřad na ochranu osobních údajů.

    Kontakt:

    Úřad pro ochranu osobních údajů

    adresa: Pplk. Sochora 27, 170 00 Praha 7

    tel.: 234 665 111

    web: www.uoou.cz

    Pochopitelně však preferujeme, pokud ještě před případným podáním stížnosti UP kontaktujete a popíšete, proč a v jakých ohledech se domníváte, že UP porušuje právní úpravu na úseku zpracování a ochrany osobních údajů. UP se pokusí vyřešit Váš podnět či Vaši žádost tak, aby stížnosti k dozorovému úřadu nebylo zapotřebí.

    Pokud by Váš podnět či stížnost nenašel vyslyšení u příslušného zaměstnance UP, dovolujeme si Vás zdvořile požádat, abyste před podáním stížnosti také kontaktovali univerzitního pověřence pro ochranu osobních údajů, PhDr. Rostislava Hladkého, MBA, a to nejlépe e-mailem na adresu: dpo@upol.cz.