Informace o zpracování osobních údajů

I.ÚVOD

Tento dokument upravuje v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále také jen "GDPR") podrobné informace o zpracovávání osobních údajů uchazečů o studium, studentů a absolventů (dále jen „subjekt údajů"), vysoké školy CEVRO Institut, z.ú., IČO: 275 90 101, se sídlem Jungmannova 17, 110 00 Praha 1- Nové Město (dále také jen "VSCI"), jako správcem těchto osobních údajů.

Tento dokument poskytuje přehledné, úplné a pravdivé informace o rozsahu zpracovávaných osobních údajů, které subjekt údajů s VSCI sdílí. VSCI deklaruje technické a organizační zabezpečení ochrany osobních údajů subjektů údajů. VSCI rovněž přijala všechna potřebná opatření za účelem minimalizace rizika neoprávněného nebo nahodilého přístupu k osobním údajům subjektů údajů, k jejich změně, zničení či ztrátě, neoprávněným přenosům či neoprávněného zpracování.

V případě doplňujících dotazů ke zpracovávání osobních údajů je možné obrátit se na Pověřence pro ochranu osobních údajů: Mgr. Julii Poklopovou, advokátku nebo jejího zástupce, Mgr. Adama Silovského, advokáta, a to prostřednictvím e-mailové adresy poverenec.gdpr@vsci.cz, případně prostřednictvím zaslaného dopisu na adresu Jungmannova 17, 110 00 Praha 1 - Nové Město. Osobu pověřenou pro ochranu osobních údajů je možné kontaktovat osobně, a to na adrese Jungmannova 17, 110 00 Praha 1 - Nové Město, v předem domluveném čase.

BOD I.

Správce osobních údajů

I. VSCI jako správce osobních údajů subjektů údajů určuje účel a způsob zpracování těchto osobních údajů.

BOD li.

Účel zpracování osobních údajů

I. Správce zpracovává osobní údaje za účelem:

1. zpracování podaných přihlášek ke studiu, a to ve všech jeho formách, zajištění průběhu přijímacího řízení;

2. zajištění uzavření a následného plnění smluv o studiu ve všech jeho formách (čl. 6 odst. 1 písm. b) GDPR). Z takového vztahu vyplývají další zákonné povinnosti a VSCI tak musí zpracovávat osobní údaje i za tímto účelem (čl. 6 odst. 1 písm. c) GDPR);

3. marketingu, aby VSCI mohla prezentovat své služby (čl. 6 odst. 1 písm. a) GDPR);

4. ochrany svých oprávněných zájmů (čl. 6 odst. 1 písm. f) GDPR), které jsou podrobněji popsány níže;

5. plnění zákonné povinnosti ve vztahu k účetnictví;

6. plnění své zákonné povinnosti zapisování údajů o studentech do matriky studentů pro účely evidenční, rozpočtové a statistické.

li. VSCI považuje za nezbytné zpracovávat výše uvedené údaje za výše uvedeným účelem, neboť bez těchto údajů by nebylo možné naplnit smluvní vztah se subjektem údajů.

B0D111.

Oprávněné zájmy VSCI

I. Osobní údaje subjektů údajů zpracovává VSCI rovněž pro ochranu svých oprávněných zájmů. VSCI považuje za svůj oprávněný zájem provádění přímého marketingu, neboť jedině tak může kvalitně rozvíjet poskytované služby. Za oprávněný zájem VSCI je nutno považovat i ochranu majetku VSCI, pro jehož účely jsou v prostorách sídla VSCI instalovány kamerové systémy, jejichž užití upravuje zvláštní směrnice (k nahlédnutí v sídle správce). Oprávněným zájmem VSCI je dále pořizování fotografií a videozáznamů z akcí, které VSCI pořádá, nebo spolupořádá. Mezi takové akce patří zejména odborné konference, semináře, přednášky, společenské akce pro studenty, promoce. Z průběhu těchto akcí mohou být pořizovány fotografie a videozáznamy, které mohou být použity pro prezentační materiál VSCI, na webových stránkách VSCI a sociálních sítí (facebook.com, instagram.com)

li. Subjekt údajů je v zájmu ochrany svých osobních údajů oprávněn namítat, aby jeho osobní údaje byly zpracovávány jen v nutném rozsahu pro naplnění oprávněného zájmu VSCI.

BODIV.

Získávání osobních údajů

I. Osobní údaje subjektů údajů získává VSCI na základě vyplněné přihlášky ke studiu, kdy sám uchazeč o studium tyto své osobní údaje VSCI poskytne.

li. V případě, že uchazeč o studium ke studiu následně i nastoupí, může VSCI získat další osobní údaje, a to na základě uzavřené smlouvy o studiu, případně v průběhu studia. Těmito osobními údaji mohou být zejména, nikoliv však výlučně výsledky zkoušek, studijní emailová adresa, údaje o vypůjčených knihách z knihovny VSCI, zachycení podoby studenta při konaných akcí pořádaných VSCI či jiným subjektem.

Ill. Pro marketingové účely může VSCI získávat osobní údaje z veřejně dostupných zdrojů.

IV. VSCI dále získává osobní údaje subjektů údajů od třetích stran (jako správců), které jsou oprávněni k přístupu a zpracování osobních údajů subjektů údajů. VSCI je ve vztahu ke správcům osobních údajů jejich zpracovatelem. VSCI je zpracovatelem osobních údajů ve vztahu ke společnostem:

1. www.scio.cz, s.r.o., která zajišťuje Národní srovnávací zkoušky;

   
   

2. GTS ALIVE, s.r.o., která zajišťuje studentům ISIC karty.

   
   

   BODV.

   Kategorie zpracovávaných osobních údajů

   
   

   1. K zajištění řádného průběhu studiu zpracovává VSCI následující kategorie osobních údajů:

      
      

      1. základní identifikační údaje - jméno, příjmení, datum narození, adresu trvalého bydliště, kontaktní

         adresa, rodné číslo, místo narození, u cizinců dále číslo pasu

      2. kontaktní údaje - telefonní číslo a e-mailovou adresu;

      3. informace o předchozím studiu - na střední či vysoké škole (v návaznosti, zda se jedná o bakalářské, magisterské, nebo postgraduální studium)- informace o názvu (střední či vysoké) školy, adresa školy, studovaný obor, případně studijní program a fakulta, rok maturitní či státní zkoušky, udělený titul;

      4. účetní údaje - číslo účtu, variabilní symbol;

      5. osobní údaje o průběhu studia - docházka, výsledky písemných testů a ústních zkoušek;

      6. citlivé údaje - v informačním systému, a to na základě právní povinnosti vyplývající z Vyhlášky č. 277/2016 Sb. o předávání statistických údajů vysokými školami.

      7. zachycení podoby subjektu údajů na fotografii

      8. identifikace prostřednictvím IP adresy, mac adresy, identifikace mobilního přístroje, při připojení subjektu údajů k wifi síti;

      9. přístup do studijní emailové schránky.

BODVI.

Právní titul pro zpracování osobních údajů

I. Zákonnost zpracování osobních údajů se určuje na základě čl. 6 odst. 1 GDPR, podle kterého je zpracování zákonné, je-li nezbytné pro splnění smlouvy, pro splnění právní povinnosti, pro ochranu oprávněných zájmů VSCI (ochrana jejího majetku, marketing) nebo pokud zpracování probíhá na základě studentem uděleného souhlasu.

li. Zákonnost zpracování, které je nezbytné pro splnění právní povinnosti, která se na správce vztahuje, vychází například ze zákona č. 563/1991 Sb., o účetnictví, podle kterého jsou zpracovávány a uchovávány fakturační údaje a na základě zákona č. 111/1998 Sb., o vysokých školách.

BODVII.

Předávání osobních údajů třetím osobám

I. VSCI je povinna a oprávněna osobní údaje subjektů předávat třetím stranám (příjemcům, např. zpracovatelům) na základě výkonu veřejné moci, plnění svých zákonných povinností, z titulu plnění smluv, na základě svých oprávněných zájmů.

li. VSCI je povinna poskytovat osobní údaje subjektů údajů orgánům státní správy, například Ministerstvu školství, mládeže a tělovýchovy České republiky, správci daně, soudům, orgánům činným v trestním řízení a Policii České republiky.

Ill. VSCI předává osobní údaje subjektů údajů těmto subjektům jako zpracovatelům na základě smlouvy o zpracování osobních údajů:

1. Vysoké škole Masarykova univerzita, Fakulta Informatiky se sídlem: Žerotínovo nám. 617/9, 601 77 Brno, IČO: 00216224, která provozuje informační systém; tento systém VSCI využívá jako interní automatizovaný informační systém za účelem plnění své zákonné povinnosti uložené jí ustanovením§ 88 zákona č. 111/1998 Sb., o vysokých školách a k předávání údajů Ministerstvu školství, mládeže a tělovýchovy. VSCI poskytuje zpracovateli zejména následující osobní údaje studenta: jméno, příjmení, datum narození, rodné číslo, osobní email, školní email, telefonní číslo, bankovní spojení, místo narození (vč. okresu a státu), trvalé i přechodné

   bydliště, kontaktní adresu, číslo občanského průkazu, číslo pasu, datum zahájení a ukončení vzdělávání, údaje o rodinném stavu, počtu dětí, předchozím vzděláváním, zdravotním stavu, zdravotním postižení, o zdravotním či sociálním znevýhodnění, individuálním studijním plánu, informace o maturitní zkoušce;

   
   

2. společnosti bfinance.cz accounting s.r.o., se sídlem Praha-Štěrboholy - Štěrboholy, K učilišti 40/20, okres Hlavní město Praha, PSČ 10200, IČO: 28918991, která poskytuje VSCI účetní služby, a to za účelem plnění svých zákonných povinností dle zákona č. 563/1991 Sb., o účetnictví. VSCI zpracovateli předává osobní údaje subjektů údajů v rozsahu jména, příjmení, variabilního symbolu pro platby, který je subjektu údajů vygenerován;

   
   

3. společnosti NEXT MOBILE SOLUTIONS, s.r.o., se sídlem Kladno - Kročehlavy, Nezamyslova 1370, PSČ 27201, IČO: 62958950 která pro VSCI zajišťuje službu elektronického dotazování, prostřednictvím kterého VSCI na základě svých oprávněných zájmů zjišťuje spokojenost subjektů údajů, a to prostřednictvím anonymní ankety. Subjekt údajů má možnost vygenerovat unikátní kód za účelem účasti v soutěži o ceny. Této možnosti může, nebo nemusí využít.

   
   

4. družstvu AKCENT lnternational House Prague, družstvo, se sídlem Bítovská 1245/3, Michle, 140 00 Praha 4, IČO: 48032778, která pro VSCI zajišťuje jazykovou výuku subjektů údajů. VSCI poskytuje zpracovateli osobní údaje subjektů údajů, kteří se výuky účastní, a to za účelem oprávněného zájmu, který spočívá v evidenci docházky a vyhodnocení výsledků testů;

   
   

5. advokátní kanceláři Pečený, Fučík, Langer, se sídlem Purkyňova 2, Praha 1, IČO: 11371544, která pro VSCI zajišťuje právní služby;

   
   

6. společnosti QUANTI, s.r.o, se sídlem Thákurova 531/4, Dejvice, 160 00 Praha 6, IČO: 24749001, která pro VSCI zajišťuje správu webového portaI a jeho obsahu. VSCI za tím účelem poskytuje zpracovateli osobní údaje subjektů údajů, které jsou nezbytné pro plnění informační povinnosti VSCI v rámci webové stránky a úřední desky, dale slouží k prezentačním účelům VSCI;

   
   

7. Masarykově univerzitě, fakultě informatiky, se sídlem Žerotínovo nám. 617/9, 601 77 Brno, IČO: 00216224, která pro VSCI zajišťuje služby spočívající v poskytnutí služeb systémů pro kontrolu originality v závěrečných, kvalifikačních, seminárních a školních pracích, publikačních i jiných dílech a pro kontrolu originality diplomů vložených zadavatelem;

   
   

8. partnerským institucím, které pro VSCI zajišťují odborné praxe a stáže subjektů údajů;

   
   

   ch) společnosti MarketUP, s.r.o., IČO 25850504, Plzeňská 345/5, Smíchov, 150 00 Praha 5, která poskytuje VSCI reklamní služby, tedy může zpracovávat osobní údaje subjektů údajů, kteří souhlasí se zachycením své podoby (případně dalších svých osobních údajů) na reklamním materiálu.

   
   

   BODVIII.

   Předávání osobních údajů do třetí země nebo mezinárodní organizace

   
   

   1. Osobní údaje subjektů údajů VSCI předává do třetích zemí, a mezinárodních organizací, a to v rámci projektu Erasmus. Osobní údaje subjektů údajů jsou předávány na základě informovaného souhlasu subjektů údajů. VSCI poskytuje osobní údaje subjektů údajů jen zahraniční vysoké škole, kterou si subjekt údajů ve své

přihlášce sám zvolí. Veškeré osobní údaje se zpracovávají v souladu s GDPR. Tyto údaje jsou zpracovávány výhradně v souvislosti s plněním smlouvy o studiu a následnými aktivitami v souladu s předmětem této smlouvy ze strany instituce, národní agentury a Evropské komise.

BODIX.

Časové omezení ukládání osobních údajů

1. Osobní údaje bude VSCI zpracovávat a ukládat nejméně po dobu trvání smlouvy. Některé osobní údaje potřebné např. pro daňové a fakturační povinnosti budou uchovávány déle, a to po dobu 5 let počínajících koncem účetního období, kterého se týkají.

li. Některé osobní údaje, které jsou zpracovávány z důvodu plnění právní povinnosti, a to na základě ustanovení§ 3 odst. 1 písm. i) ve spojení s ustanovením § 11 odst. 5 zákona č 499/2004 Sb. o archivnictví a spisové službě, budou uchovávány dle zákonných lhůt.

Ill. Osobní údaje, které nepodléhají úpravě dle odstavce li. tohoto článku nebudou nikdy uchovávány déle, než je zákonem stanovené maximum. Po uplynutí archivační doby budou osobní údaje bezpečně a nenávratně zničeny tak, aby nemohlo dojít k jejich zneužití.

BODX.

Práva subjektů údajů, která souvisí se zpracováním jejich osobních údajů a uplatnění těchto práv

1. VSCI informuje subjekty údajů, že správcem jejich osobních údajů je CEVRO Institut, z.ú., IČO: 275 90 101, se sídlem Jungmannova 17, 110 00 Praha 1- Nové Město, zapsaná Městským soudem v Praze, oddíl U, vložka 350.

li. VSCI prohlašuje, že veškeré informace, které je povinna subjektům údajů poskytnout dle článku 13 odst. 1 písm. c) -f) a čl. 13 odst. 2 písm. a) GDPR jsou uvedeny v tomto dokumentu, a to v bodech li - IV a v bodech VIII-X.

li. Subjekt údajů je oprávněn svá práva uplatnit prostřednictvím zaslání zprávy na emailovou adresu poverenec.gdpr@vsci.cz. Subjekt údajů se může na Pověřence pro ochranu osobních údajů obrátit také osobně, a to po předchozí domluvě. Subjekty údajů mohou svá práva uplatňovat taktéž zasláním dopisu na adresu VSCI (Jungmannova 17,110 00 Praha 1- Nové Město), případně zaslání dotazu prostřednictvím ISDS uz3paee. Z důvodu ochrany osobních údajů subjektů údajů nebude Pověřenec pro ochranu osobních údajů poskytovat informace žadatelům v případě, že bude mít pochybnosti o jejich totožnosti. Pro možnost odstranit tyto pochybnosti je možné osobu pověřenou pro ochranu osobních údajů kontaktovat osobně v dohodnutém čase.

Ill. Veškeré informace, sdělení, vyjádření a opravy osobních údajů v případě jejich změny, provádí VSCI zdarma. V případě opakované žádosti je VSCI oprávněna požadovat úhradu administrativního poplatku, který bude reflektovat administrativní náklady vyřízení žádosti. VSCI je připravena subjektům na jejich žádost poskytnout kopii zpracovávaných osobních údajů. V případě opakované žádosti je oprávněna účtovat si přiměřený poplatek, který bude zahrnovat administrativní náklady spojené s pořízením kopie. V případě, že dojde ke zneužití práva dle tohoto odstavce, je VSCI oprávněna přístup k údajům odepřít.

1. VSCI poskytne informace dle odstavce Ill. tohoto bodu v písemné či elektronické formě a to tehdy, není-

   li pochyb o totožnosti žadatele. Pochybnosti o totožnosti žadatele nebude mít VSCI zejména tehdy, bude-li žádost zaslána prostřednictvím e-mailové adresy, bude-li podpis žadatele opatřen elektronickým podpisem, prostřednictvím studijního emailu, nebo prostřednictvím ISDS. V případě pochybností si VSCI (v zájmu ochrany osobních údajů) vyhrazuje právo požadované informace sdělit žadateli osobně po ověření jeho totožnosti, a to v čase dle předchozí dohody. VSCI si vyhrazuje právo neposkytovat informace ústně, ani po telefonu.

   
   

2. VSCI je povinna tyto informace subjektu údajů poskytnout, a to ve lhůtě 1 měsíce od doručení jeho žádosti. V odůvodněných případech může VSCI tuto lhůtu přiměřeně prodloužit, maximálně však o další dva měsíce.

   
   

3. Dojde-li ke změně osobních údajů (například změna rodinného stavu, příjmení, čísla bankovního účtu, adresy trvalého bydliště, telefonního čísla), je subjekt údajů oprávněn žádat, aby byla tato změna osobního údaje zohledněna. V souvislosti s tímto oprávněním je subjektů údajů povinen tuto změnu osobních údajů VSCI nahlásit. Subjektů údajů může tuto změnu ohlásit zaslaným dopisem na adresu VSCI, prostřednictvím ISDS, zaslaným emailem, případně osobně v sídle VSCI. Subjekt údajů je povinen změnu osobních údajů doložit, je-li k tomu vyzván. VSCI osobní údaj opraví bez zbytečného odkladu, nejpozději však ve lhůtě jednoho měsíce od doručení oznámení o změně osobních údajů. Přiměřeně bude postupováno v případě upřesnění nepřesně uvedeného osobního údaje.

   
   

4. VSCI tímto informuje subjekty údajů o jejich právu obrátit se se svými stížnostmi či podněty na dozorový úřad, pokud se domnívají, že zpracováním jejich osobních údajů je porušeno GDPR. Subjekty údajů mají právo podat stížnost u dozorového úřadu v členském státě svého obvyklého bydliště, nebo místa, kde došlo k údajnému porušení chráněných práv ve vztahu k osobním údajům. Dozorovým úřadem v České republice je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27,170 00 Praha 7.

   
   

5. V určitých stanovených případech je subjekt údajů oprávněn žádat, aby VSCI jeho osobní údaje smazala. Taková situace může nastat například tehdy, kdy zpracovávané údaje nejsou pro zde specifikované účely nadále nutné nebo v případě, že byl odvolán udělený souhlas ke zpracování osobních údajů (a neexistuje jiný právní titul, na základě kterého by byly osobní údaje zpracovávány).

   
   

6. Uvedené právo na výmaz osobních údajů dle odstavce VIII. tohoto bodu se nevztahuje na okolnosti předjímané v článku XI. odstavci li. tohoto dokumentu, a dále na případy, kdy VSCI plní své právní povinnosti, z důvodu určení, výkonu nebo obhajoby svých právních nároků. Uplatní-li VSCI své právo odmítnout žádost subjektu údajů o výmaz jeho osobních údajů dle tohoto odstavce, je povinna ve lhůtě 1 měsíce subjekt údajů o tomto rozhodnutí vyrozumět, své rozhodnutí řádně odůvodnit, a zároveň subjekt údajů informovat o jeho právech.

   
   

7. VSCI zpracovává osobní údaje subjektů údajů pouze v nezbytně nutném rozsahu. V případě pochybností subjektu údajů o nutnosti takto zpracovávaných osobních údajích, je subjekt údajů oprávněn žádat, aby jeho osobní údaje byly zpracovány pouze v rozsahu nejnutnějším. V souvislosti s tímto je subjekt údajů oprávněn žádat, aby rozsah zpracovávaných osobních údajů byl omezen.

   
   

8. Dochází-li ke zpracování osobních údajů subjektu údajů na základě jeho uděleného souhlasu, je subjekt údajů oprávněn tento souhlas kdykoliv bezplatně odvolat, a to zasláním sdělení na adresu VSCI, případně na kontaktní email Pověřence pro ochranu osobních údajů (poverenec.gdpr@vsci.cz). V případě elektronické žádosti je však nutné odstranit všechny případné pochybnosti o tom, zda je žadatel skutečně subjektem osobních údajů.

9. Subjekt údajů je oprávněn žádat o přenositelnost svých osobních údajů, které VSCI poskytl či zpřístupnil. Subjekt údajů může požádat o předání těchto údajů do vlastních rukou za účelem přenosu, nebo o předání přímo jím zvolenému správci. Tyto osobní údaje budou poskytnuty ve strojově čitelném formátu (např. XML). Přenos osobních údajů se uskuteční takovou formou, která by minimalizovala případné bezpečnostní rizika při jejich přenosu (např. za využití šifrování).