INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
|
Tento dokument upravuje v souladu s
Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o
ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále také jen “GDPR”) podrobné
informace o zpracovávání osobních údajů uchazečů
o studium, studentů a absolventů (dále jen „subjekt údajů“), vysoké školy CEVRO Univerzita, z.ú., IČO: 275 90 101, se sídlem Jungmannova
17, 110 00 Praha 1 – Nové Město (dále také jen “CU”), jako správcem
těchto osobních údajů.
Tento dokument poskytuje přehledné,
úplné a pravdivé informace o rozsahu zpracovávaných osobních údajů, které subjekt
údajů s CU sdílí. CU deklaruje technické a
organizační zabezpečení ochrany osobních údajů subjektů údajů.
CU rovněž přijala všechna potřebná opatření
za účelem minimalizace rizika neoprávněného nebo nahodilého přístupu
k osobním údajům subjektů údajů, k jejich změně, zničení či ztrátě,
neoprávněným přenosům či neoprávněného zpracování.
V případě doplňujících dotazů ke
zpracovávání osobních údajů je možné obrátit se na Pověřence pro ochranu
osobních údajů: Mgr. Julii Poklopovou, advokátku nebo jejího zástupce, Mgr.
Adama Silovského, advokáta, a to prostřednictvím e-mailové adresy poverenec.gdpr@cevro.cz,
případně prostřednictvím zaslaného
dopisu na adresu Jungmannova 17, 110 00 Praha 1 – Nové Město. Osobu pověřenou
pro ochranu osobních údajů je možné kontaktovat osobně, a to na adrese Jungmannova
17, 110 00 Praha 1 – Nové Město, v předem domluveném
čase.
I. CU jako správce osobních
údajů subjektů údajů určuje účel a způsob zpracování těchto osobních údajů.
I. Správce zpracovává osobní údaje za
účelem:
a)
zpracování podaných
přihlášek ke studiu, a to ve všech jeho formách, zajištění průběhu přijímacího
řízení;
b)
zajištění uzavření a
následného plnění smluv o studiu ve všech jeho formách (čl. 6 odst. 1 písm. b)
GDPR). Z takového vztahu vyplývají další zákonné povinnosti a CU tak musí
zpracovávat osobní údaje i za tímto účelem (čl. 6 odst. 1 písm. c) GDPR);
c)
marketingu, aby CU
mohla prezentovat své služby (čl. 6 odst. 1 písm. a) GDPR);
d)
ochrany svých
oprávněných zájmů (čl. 6 odst. 1 písm. f) GDPR), které jsou podrobněji popsány
níže;
e)
plnění zákonné
povinnosti ve vztahu k účetnictví;
f)
plnění své zákonné
povinnosti zapisování údajů o studentech do matriky studentů pro účely
evidenční, rozpočtové a statistické.
II. CU považuje za nezbytné
zpracovávat výše uvedené údaje za výše uvedeným účelem, neboť bez těchto údajů
by nebylo možné naplnit smluvní vztah se subjektem údajů.
I. Osobní údaje subjektů údajů zpracovává
CU rovněž pro ochranu svých oprávněných zájmů. CU považuje za svůj oprávněný
zájem provádění přímého marketingu, neboť jedině tak může kvalitně rozvíjet
poskytované služby. Za oprávněný zájem CU je nutno považovat i ochranu majetku CU,
pro jehož účely jsou v prostorách sídla CU instalovány kamerové systémy,
jejichž užití upravuje zvláštní směrnice (k nahlédnutí v sídle správce).
Oprávněným zájmem CU je dále pořizování fotografií a videozáznamů z akcí,
které CU pořádá, nebo spolupořádá. Mezi takové akce patří zejména odborné
konference, semináře, přednášky, společenské akce pro studenty, promoce.
Z průběhu těchto akcí mohou být pořizovány fotografie a videozáznamy,
které mohou být použity pro prezentační materiál CU, na webových stránkách CU a
sociálních sítí (facebook.com, instagram.com)
II. Subjekt údajů je v zájmu
ochrany svých osobních údajů oprávněn namítat, aby jeho osobní údaje byly
zpracovávány jen v nutném rozsahu pro naplnění oprávněného zájmu CU.
Získávání osobních údajů
I. Osobní údaje subjektů údajů získává CU
na základě vyplněné přihlášky ke studiu, kdy sám uchazeč o studium tyto své
osobní údaje CU poskytne.
II. V případě, že uchazeč o studium
ke studiu následně i nastoupí, může CU získat další osobní údaje, a to na
základě uzavřené smlouvy o studiu, případně v průběhu studia. Těmito osobními
údaji mohou být zejména, nikoliv však výlučně výsledky zkoušek, studijní
emailová adresa, údaje o vypůjčených knihách z knihovny CU, zachycení
podoby studenta při konaných akcí pořádaných CU či jiným subjektem.
III. Pro marketingové účely může CU
získávat osobní údaje z veřejně dostupných zdrojů.
IV. CU dále získává osobní údaje
subjektů údajů od třetích stran (jako správců), které jsou oprávněni
k přístupu a zpracování osobních údajů subjektů údajů. CU je ve vztahu ke
správcům osobních údajů jejich zpracovatelem. CU je zpracovatelem osobních
údajů ve vztahu ke společnostem:
a) www.scio.cz, s.r.o., která zajišťuje Národní
srovnávací zkoušky;
I. K zajištění
řádného průběhu studiu zpracovává CU následující kategorie osobních údajů:
a)
základní identifikační
údaje – jméno, příjmení, datum narození, adresu trvalého bydliště, kontaktní
adresa, rodné číslo, místo narození, u cizinců dále číslo pasu
b)
kontaktní údaje –
telefonní číslo a e-mailovou adresu;
c)
informace o předchozím
studiu - na střední či vysoké škole (v návaznosti, zda se jedná o bakalářské,
magisterské, nebo postgraduální studium) – informace o názvu (střední či
vysoké) školy, adresa školy, studovaný obor, případně studijní program a
fakulta, rok maturitní či státní zkoušky, udělený titul;
d)
účetní údaje – číslo
účtu, variabilní symbol;
e)
osobní údaje o průběhu
studia – docházka, výsledky písemných testů a ústních zkoušek;
f)
citlivé údaje – v informačním
systému, a to na základě právní povinnosti vyplývající z Vyhlášky č.
277/2016 Sb. o předávání statistických údajů vysokými školami.
g)
zachycení podoby
subjektu údajů na fotografii
h)
identifikace
prostřednictvím IP adresy, mac adresy, identifikace mobilního přístroje, při
připojení subjektu údajů k wifi síti;
i)
přístup do studijní
emailové schránky.
I. Zákonnost zpracování osobních údajů
se určuje na základě čl. 6 odst. 1 GDPR, podle kterého je zpracování zákonné,
je-li nezbytné pro splnění smlouvy, pro splnění právní povinnosti, pro ochranu
oprávněných zájmů CU (ochrana jejího majetku, marketing) nebo pokud zpracování
probíhá na základě studentem uděleného souhlasu.
II. Zákonnost zpracování, které je
nezbytné pro splnění právní povinnosti, která se na správce vztahuje, vychází
například ze zákona č. 563/1991 Sb., o účetnictví, podle kterého jsou zpracovávány
a uchovávány fakturační údaje a na základě zákona č. 111/1998 Sb., o vysokých
školách.
I. CU je povinna a oprávněna osobní
údaje subjektů předávat třetím stranám (příjemcům, např. zpracovatelům) na
základě výkonu veřejné moci, plnění svých zákonných povinností, z titulu
plnění smluv, na základě svých oprávněných zájmů.
II. CU je povinna poskytovat osobní
údaje subjektů údajů orgánům státní správy, například Ministerstvu školství,
mládeže a tělovýchovy České republiky, správci daně, soudům, orgánům činným v
trestním řízení a Policii České republiky.
III. CU předává osobní údaje subjektů
údajů těmto subjektům jako zpracovatelům na základě smlouvy o zpracování
osobních údajů:
a) Vysoké škole Masarykova univerzita,
Fakulta Informatiky, se sídlem Žerotínovo nám. 617/9, 601 77
Brno, IČO: 00216224,
která provozuje informační systém; tento systém CU využívá jako interní
automatizovaný informační systém za účelem plnění své zákonné povinnosti
uložené jí ustanovením § 88 zákona č. 111/1998 Sb., o vysokých školách a
k předávání údajů Ministerstvu školství, mládeže a tělovýchovy. CU
poskytuje zpracovateli zejména následující osobní údaje subjektu údajů: jméno,
příjmení, datum narození, rodné číslo, osobní email, školní email, telefonní
číslo, bankovní spojení, místo narození (vč. okresu a státu), trvalé i
přechodné bydliště, kontaktní adresu, číslo občanského průkazu, číslo pasu,
datum zahájení a ukončení vzdělávání, údaje o rodinném stavu, počtu dětí,
předchozím vzděláváním, zdravotním stavu, zdravotním postižení, o zdravotním či
sociálním znevýhodnění, individuálním studijním plánu, informace o maturitní
zkoušce;
b) společnosti bfinance.cz
accounting s.r.o., se sídlem Praha-Štěrboholy
- Štěrboholy, K učilišti 40/20, okres Hlavní město Praha, PSČ 10200, IČO: 28918991, která poskytuje CU účetní služby, a to za účelem
plnění svých zákonných povinností dle zákona č. 563/1991 Sb., o účetnictví. CU
zpracovateli předává osobní údaje subjektů údajů v rozsahu jména,
příjmení, variabilního symbolu pro platby, který je subjektu údajů vygenerován;
c) advokátní kanceláři
Pečený, Fučík, Langer, se sídlem Purkyňova 2,
Praha 1, IČO: 11371544, která pro CU zajišťuje právní
služby;
d)
partnerským institucím, které pro CU zajišťují odborné praxe a stáže studentů, seznam těchto
institucí CU předloží na vyžádání;
e)
společnosti Magnas Performance s.r.o., se sídlem Příkrá 271/16, Braník, 147 00 Praha 4, IČO: 02802414, která poskytuje CU
reklamní služby, tedy může zpracovávat osobní údaje subjektů
údajů, kteří souhlasí se zachycením své podoby (případně dalších svých osobních
údajů) na reklamním materiálu;
f) společnosti ELTODO, a.s.,
se sídlem Praha 4, Novodvorská 1010/14, 142 00, IČO: 45
274 517, která zajišťuje CU správu a údržbu kamerových systémů.
Zpracovateli mohou být zpřístupněny osobní údaje subjektů
údajů spočívající v zachycení podoby subjektů údajů na kamerových záznamech, a
to výlučně v případě, kdy je ze strany zpracovatele řešena technická závada
kamerových systémů;
g) společnosti MAMA TELMA AI s.r.o., se sídlem Revoluční 764/17, Staré Město, 110 00 Praha 1, IČO: 14022087, která zajišťuje CU služby spočívající v bezpečnostní oblasti, resp.
zajišťují funkci varovného systému návštěvníků budov. Zpracovateli je předávána
telefonní číslo, jména a příjmení subjektů údajů;
h) společnosti Wolters
Kluwer ČR, a.s. id. číslo: 63077639, se U nákladového
nádraží 3265/10, Strašnice, 130 00 Praha 3, která poskytuje CU, resp. jejím studentům právní systém
ASPI. Zpracovateli jsou předávány údaje subjektů
údajů v rozsahu – jméno, příjmení a emailová adresa vedená na doméně CU;
i) společnosti
Tritius Solutions a.s., se sídlem Škrobárenská 502/1, Trnitá, 617 00 Brno, IČO: 05700582, která poskytuje CU služby související s výpůjčním systémem knihovny CU,
zpracovateli jsou předávány osobní údaje subjektů
údajů v rozsahu jméno, příjmení, telefonní číslo, rok narození a emailová
adresa vedená na doméně CU;
j) společnosti CESNET, zájmové sdružení právnických osob, se sídlem Generála Píky 430/26, Dejvice, 160 00 Praha
6, IČO: 63839172, která poskytuje CU služby související s
ověřováním identifikace subjektů údajů, kteří se
účastní krátkodobých studijních programů (např. Erasmus). Zpracovateli jsou
předávány osobní údaje v rozsahu jméno a příjmení;
k) společnosti ECOMAIL.CZ, s.r.o., se sídlem Na příkopě 388/1, Staré Město, 110 00 Praha 1, IČO: 02762943, která poskytuje CU marketingové
služby, zejména rozesílku newsletteru. Zpracovateli jsou předávány osobní údaje
v rozsahu jména, příjmení, emailové adresy;
l) společnosti AITOM Digital s.r.o., se sídlem Na Cihlářce 3177/30, Smíchov, 150 00 Praha 5,
IČO: 24171816, která poskytuje CU služby spočívající
ve správě webových stránek a webových formulářů, například přihlášky ke studiu.
Zpracovateli jsou předávány osobní údaje subjektů
údajů v rozsahu jména, příjmení, emailové adresy, v některých
případech telefonní číslo, údaje o státním občanství, rodné číslo, pohlaví,
adresa trvalého bydliště, v některých případech název střední školy;
m) společnosti MICROSOFT s.r.o.,
se sídlem Vyskočilova 1561/4a, Michle, 140 00 Praha 4, IČO: 47123737, která CU zajišťuje cloudové aplikace a služby. Zpracovateli jsou předávány osobní údaje subjektů
údajů v rozsahu jméno a příjmení a emailová adresa vedená na doméně CU;
n) společnosti GTS ALIVE, s.r.o., se sídlem Na Maninách 1092/20, Holešovice, 170 00 Praha 7, IČO: 26193272, která poskytuje subjektům
údajů karty ISIC/ALIVE, který je studentským průkazem a zároveň vstupní
kartičkou do budovy CU. Zpracovateli jsou předávány osobní údaje subjektů údajů
v rozsahu, které subjekt údajů vyplní ve formuláři a zachycení podoby
subjektu údajů na fotografii;
I. Osobní údaje subjektů údajů CU předává
do třetích zemí, a mezinárodních organizací, a to v rámci projektu
Erasmus. Osobní údaje subjektů údajů jsou předávány na základě informovaného
souhlasu subjektů údajů. CU poskytuje osobní údaje subjektů údajů jen
zahraniční vysoké škole, kterou si subjekt údajů ve své přihlášce sám zvolí.
Veškeré osobní údaje se zpracovávají v souladu s GDPR. Tyto údaje
jsou zpracovávány výhradně v souvislosti s plněním smlouvy o studiu a
následnými aktivitami v souladu s předmětem této smlouvy ze strany
instituce, národní agentury a Evropské komise.
I. Osobní údaje bude CU zpracovávat a
ukládat nejméně po dobu trvání smlouvy. Některé osobní údaje potřebné např. pro
daňové a fakturační povinnosti budou uchovávány déle, a to po dobu 5 let
počínajících koncem účetního období, kterého se týkají.
II. Některé osobní údaje, které jsou
zpracovávány z důvodu plnění právní povinnosti, a to na základě ustanovení § 3
odst. 1 písm. i) ve spojení s ustanovením § 11 odst. 5 zákona č 499/2004
Sb. o archivnictví a spisové službě, budou uchovávány dle zákonných lhůt.
III. Osobní údaje, které nepodléhají
úpravě dle odstavce II. tohoto článku nebudou nikdy uchovávány déle, než je
zákonem stanovené maximum. Po uplynutí archivační doby budou osobní údaje
bezpečně a nenávratně zničeny tak, aby nemohlo dojít k jejich zneužití.
I. CU informuje subjekty údajů, že správcem
jejich osobních údajů je CEVRO Univerzita,
z.ú., IČO: 275 90 101, se sídlem Jungmannova
17, 110 00 Praha 1 – Nové Město, zapsaná Městským soudem v Praze, oddíl U, vložka 350.
II. CU prohlašuje, že veškeré
informace, které je povinna subjektům údajů poskytnout dle článku 13 odst. 1
písm. c) – f) a čl. 13 odst. 2 písm. a) GDPR jsou uvedeny v tomto
dokumentu, a to v bodech II – IV a v bodech VIII – X.
III. Subjekt údajů je oprávněn svá práva
uplatnit prostřednictvím zaslání zprávy na emailovou adresu poverenec.gdpr@cevro.cz. Subjekt údajů se může na
Pověřence pro ochranu osobních údajů obrátit také osobně, a to po předchozí domluvě.
Subjekty údajů mohou svá práva uplatňovat taktéž zasláním dopisu na adresu CU (Jungmannova 17, 110 00 Praha 1 – Nové
Město), případně zaslání dotazu prostřednictvím ISDS uz3paee. Z důvodu ochrany osobních údajů subjektů údajů nebude Pověřenec pro
ochranu osobních údajů poskytovat informace žadatelům v případě, že bude
mít pochybnosti o jejich totožnosti. Pro možnost odstranit tyto pochybnosti je
možné osobu pověřenou pro ochranu osobních údajů kontaktovat osobně v dohodnutém
čase.
IV. Veškeré informace, sdělení,
vyjádření a opravy osobních údajů v případě jejich změny, provádí CU zdarma. V případě
opakované žádosti je CU oprávněna požadovat úhradu
administrativního poplatku, který bude reflektovat administrativní náklady
vyřízení žádosti. CU je připravena subjektům na jejich žádost
poskytnout kopii zpracovávaných osobních údajů. V případě opakované
žádosti je oprávněna účtovat si přiměřený poplatek, který bude zahrnovat
administrativní náklady spojené s pořízením kopie. V případě, že
dojde ke zneužití práva dle tohoto odstavce, je CU oprávněna přístup k údajům odepřít.
V. CU poskytne informace dle
odstavce III. tohoto bodu v písemné či elektronické formě a to tehdy,
není-li pochyb o totožnosti žadatele. Pochybnosti o totožnosti žadatele nebude
mít CU zejména tehdy, bude-li žádost zaslána
prostřednictvím e-mailové adresy, bude-li podpis žadatele opatřen elektronickým
podpisem, prostřednictvím studijního emailu, nebo prostřednictvím ISDS.
V případě pochybností si CU (v zájmu ochrany
osobních údajů) vyhrazuje právo požadované informace sdělit žadateli osobně po
ověření jeho totožnosti, a to v čase dle předchozí dohody. CU si vyhrazuje právo neposkytovat
informace ústně, ani po telefonu.
VI. CU je povinna tyto informace subjektu údajů
poskytnout, a to ve lhůtě 1 měsíce od doručení jeho žádosti. V odůvodněných případech může CU tuto lhůtu přiměřeně prodloužit,
maximálně však o další dva měsíce.
VII. Dojde-li ke změně osobních údajů
(například změna rodinného stavu, příjmení, čísla bankovního účtu, adresy
trvalého bydliště, telefonního čísla), je subjekt údajů oprávněn žádat, aby
byla tato změna osobního údaje zohledněna. V souvislosti s tímto
oprávněním je subjektů údajů povinen tuto změnu osobních údajů CU nahlásit. Subjektů
údajů může tuto změnu ohlásit zaslaným dopisem na adresu CU, prostřednictvím
ISDS, zaslaným emailem, případně osobně v sídle CU. Subjekt údajů je
povinen změnu osobních údajů doložit, je-li k tomu vyzván. CU osobní údaj opraví bez zbytečného
odkladu, nejpozději však ve lhůtě jednoho měsíce od doručení oznámení o změně
osobních údajů. Přiměřeně bude postupováno v případě upřesnění nepřesně
uvedeného osobního údaje.
VIII. CU tímto informuje subjekty
údajů o jejich právu obrátit se se svými stížnostmi či podněty na dozorový úřad,
pokud se domnívají, že zpracováním jejich osobních údajů je porušeno GDPR. Subjekty
údajů mají právo podat stížnost u dozorového úřadu v členském státě svého
obvyklého bydliště, nebo místa, kde došlo k údajnému porušení chráněných práv
ve vztahu k osobním údajům. Dozorovým úřadem v České republice je
Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7.
IX. V určitých stanovených případech je subjekt
údajů oprávněn žádat, aby CU jeho osobní údaje
smazala. Taková situace může nastat například tehdy, kdy zpracovávané údaje
nejsou pro zde specifikované účely nadále nutné nebo v případě, že byl
odvolán udělený souhlas ke zpracování osobních údajů (a neexistuje jiný právní
titul, na základě kterého by byly osobní údaje zpracovávány).
IIX. Uvedené právo na výmaz osobních
údajů dle odstavce VIII. tohoto bodu se nevztahuje na okolnosti předjímané
v článku XI. odstavci II. tohoto dokumentu, a dále na případy, kdy CU plní své právní povinnosti,
z důvodu určení, výkonu nebo obhajoby svých právních nároků. Uplatní-li CU své právo odmítnout žádost subjektu údajů
o výmaz jeho osobních údajů dle tohoto odstavce, je povinna ve lhůtě 1 měsíce subjekt
údajů o tomto rozhodnutí vyrozumět, své rozhodnutí řádně odůvodnit, a zároveň subjekt
údajů informovat o jeho právech.
XI. CU zpracovává osobní údaje subjektů údajů
pouze v nezbytně nutném rozsahu. V případě pochybností subjektu údajů o
nutnosti takto zpracovávaných osobních údajích, je subjekt údajů oprávněn
žádat, aby jeho osobní údaje byly zpracovány pouze v rozsahu nejnutnějším.
V souvislosti s tímto je subjekt údajů oprávněn žádat, aby rozsah
zpracovávaných osobních údajů byl omezen.
XII. Dochází-li ke zpracování osobních
údajů subjektu údajů na základě jeho uděleného souhlasu, je subjekt údajů oprávněn
tento souhlas kdykoliv bezplatně odvolat, a to zasláním sdělení na adresu CU, případně na kontaktní email Pověřence pro ochranu osobních údajů (poverenec.gdpr@cevro.cz). V případě elektronické žádosti
je však nutné odstranit všechny případné pochybnosti o tom, zda je žadatel
skutečně subjektem osobních údajů.
XIII. Subjekt údajů je oprávněn žádat o
přenositelnost svých osobních údajů, které CU poskytl či zpřístupnil.
Subjekt údajů může požádat o předání těchto údajů do vlastních rukou za účelem
přenosu, nebo o předání přímo jím zvolenému správci. Tyto osobní údaje budou
poskytnuty ve strojově čitelném formátu (např. XML).
Přenos osobních údajů se uskuteční takovou formou, která by minimalizovala
případné bezpečnostní rizika při jejich přenosu (např. za využití šifrování).