NEXT EDUCATION GROUP LIMITED
PŘEDPISY UPRAVUJÍCÍ ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

I. Úvodní ustanovení

2I. Tyto předpisy se v plném rozsahu vztahují na společnost NEXT EDUCATION GROUP LIMITED, všechny její organizační jednotky a všechny její zaměstnance (dále jen: Správce údajů).

Správce údajů vypracoval následující předpisy (dále jen: Předpisy), přičemž bral v úvahu zásady ochrany a zpracování údajů uvedené v příslušných právních předpisech.

II. Účel těchto předpisů

1. Účelem těchto Předpisů je zajistit fungování ochrany osobních údajů a realizaci informačního práva v souladu s platnými právními předpisy o ochraně osobních údajů a definovat pravidla ochrany a zabezpečení osobních údajů, kterými se řídí zpracování osobních údajů zpracovávaných Správcem údajů.
2. Správce údajů se při provádění všech svých služeb snaží respektovat individuální práva subjektů údajů, přičemž zvláštní ohled bere na jejich právo na ochranu osobních údajů a toto právo zajišťuje při automatizovaném zpracování a správě osobních údajů subjektů údajů.
3. Tyto Předpisy se vztahují pouze na osobní údaje subjektů údajů, které jsou fyzickými osobami, přičemž údaje právnických osob nebo jiných organizací se za osobní údaje nepovažují.

III. Ustanovení týkající se výkladu předpisů

1. V souladu s povahou těchto Předpisů je třeba definovat následující pojmy:

• (a) pod pojmem „osobní údaje“ se rozumí veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby („Subjekt údajů“); identifikovatelnou fyzickou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, jako je například jméno, identifikační číslo, údaj o místě bydliště působení, online identifikátor nebo na jeden či více faktorů, které jsou specifické pro fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo společenskou identitu této fyzické osoby.
• (b) pod pojmem „zpracování“ se rozumí jakákoli operace nebo soubor operací, které jsou prováděny s osobními údaji nebo se soubory osobních údajů, buď automatizovaně, či manuálně, jako je například sběr, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, zpřístupňování přenosem, šíření nebo jiné zpřístupňování, seřazování nebo kombinování, omezování, výmaz nebo zničení.
• (c) pod pojmem „správce" se rozumí fyzická nebo právnická osoba, orgán veřejné moci, úřad nebo jiný subjekt, který buď sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
• (d) pod pojmem „zpracovatel“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, úřad nebo jiný subjekt, který zpracovává osobní údaje jménem správce.
• (e) pod pojmem „zpracování údajů“ se rozumí provádění technických úkolů souvisejících s operacemi zpracování údajů bez ohledu na metody a prostředky použité k provedení těchto operací a místo použití, pokud je technický úkol prováděn s osobními údaji.
• (f) pod pojmem „příjemce“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, úřad nebo jiný subjekt, kterému jsou osobní údaje sděleny, ať už se jedná o třetí stranu, či nikoli. Za příjemce však nejsou považovány orgány veřejné moci, které mohou obdržet osobní údaje v rámci konkrétního šetření v souladu s právními předpisy Evropské unie nebo členského státu; zpracování osobních údajů těmito orgány veřejné moci musí být v souladu s platnými pravidly ochrany údajů podle účelu zpracování.
• (g) pod pojmem „třetí strana“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, úřad nebo jiný subjekt než subjektu údajů, správce, zpracovatel a osoby, které jsou pod přímým vedením správce nebo zpracovatele oprávněny zpracovávat osobní údaje.
• (h) pod pojmem „subjekt údajů“ se rozumí jakákoli konkrétní fyzická osoba, která je přímočinepřímo identifikována nebo identifikovatelná na základě osobních údajů. Subjekty údajů jsou zejména klienti - fyzické osoby, kterým správce údajů poskytuje služby; další fyzické osoby, které jsou spojeni se zakázkou zadanou správcem údajů(např.osoby s protichůdnými zájmy vůči klientům Správce údajů, osoby účastnící se správního nebo soudního řízení); fyzické kontaktní osoby klientů - právnických osob - Správce údajů.
• (i) pod pojmem „souhlas“ se rozumí dobrovolné a definované vyjádření dotčené osoby, které vychází z příslušných informací a kterým tato osoba dává svůj jednoznačný souhlas s úplným nebo ad-hoc zpracováním jakýchkoli osobních údajů, které se jí týkají.
• (j) pod pojmem „systém záznamu“ se rozumí jakýkoli strukturovaný soubor osobních údajů, který je přístupný podle zvláštních kritérií, ať už centralizovaných, decentralizovaných nebo rozptýlených na funkčním či geografickém základě.
• (k) pod pojmem „porušení ochrany osobních údajů“ se rozumí porušení zabezpečení, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k přenášeným, uchovávaným nebo jinak zpracovávaným osobním údajům.
• (l) pod pojmem „zástupce“ se rozumí fyzická nebo právnická osoba se sídlem v Evropské unii, kterou správce nebo zpracovatel písemně určil v souladu s článkem 27 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen: GDPR) a která zastupuje správce nebo zpracovatele s ohledem na jejich příslušné povinnosti podle tohoto nařízení.

IV. Zásady zpracování údajů

1. Správce údajů musí zpracovávat osobní údaje zákonným a poctivým způsobem a způsobem, který je pro Subjekt údajů transparentní (zákonnost, korektnost a transparentnost).

2. Správce údajů shromažďuje osobní údaje pouze pro konkrétní, jasný a zákonný účel a nezpracovává je způsobem, který je s těmito účely neslučitelný (účelové omezení).

3. Správce údajů provádí zpracování způsobem, který je vhodný a relevantní vzhledem k účelu(účelům) a omezený na nezbytnou míru (minimalizace údajů). Správce údajů tedy neshromažďuje ani neukládá více údajů, než je nezbytně nutné pro účel zpracování

4. Zpracování údajů, které provádí Správce údajů, musí být přesné a aktuální. Správce údajů musí přijmout veškerá přiměřená opatření, aby zajistil, že osobní údaje, které jsou pro účely zpracování nepřesné, budou neprodleně vymazány nebo opraveny (přesnost).

5. Správce údajů musí osobní údaje uchovávat v takové formě, která umožní identifikaci Subjektů údajů, pouze po dobu nezbytnou k dosažení účelu zpracování osobních údajů, přičemž se řídí povinností uchovávání stanovenou v příslušných právních předpisech (omezení uchovávání).

6. Správce údajů je povinen zajistit náležité zabezpečení osobních údajů tím, že uplatní vhodná technická nebo organizační opatření, včetně ochrany před neoprávněným nebo protiprávním zpracováním, náhodnou ztrátou, zničením nebo poškozením osobních údajů (integrita a utajení).

7. Správce údajů nese odpovědnost za dodržování výše uvedených zásad a toto dodržování musí prokazovat (odpovědnost). Správce údajů musí proto zajistit průběžné uplatňování ustanovení těchto vnitřních předpisů, průběžnou kontrolu zpracování údajů, které provádí, a v případě potřeby změnu a doplnění postupů zpracování údajů. Správce údajů vypracuje dokumentaci, která prokazuje dodržování zákonných povinností.

V. Právní základ, způsob a účel zpracování údajů při poskytování služeb Správcem

(online školení, pořádání kurzů)

4.3. Správce údajů provádí zpracování způsobem, který je vhodný a relevantní vzhledem k účelu(účelům) a omezený na nezbytnou míru (minimalizace údajů). Správce údajů tedy neshromažďuje ani neukládá více údajů, než je nezbytně nutné pro účel zpracování .4. Zpracování údajů, které provádí Správce údajů, musí být přesné a aktuální. Správce údajů musí přijmout veškerá přiměřená opatření, aby zajistil, že osobní údaje, které jsou pro účely zpracování nepřesné, budou neprodleně vymazány nebo opraveny (přesnost). 5. Správce údajů musí osobní údaje uchovávat v takové formě, která umožní identifikaci Subjektů údajů, pouze po dobu nezbytnou k dosažení účelu zpracování osobních údajů, přičemž se řídí povinností uchovávání stanovenou v příslušných právních předpisech (omezení uchovávání). 6. Správce údajů je povinen zajistit náležité zabezpečení osobních údajů tím, že uplatní vhodná technická nebo organizační opatření,včetně ochrany před neoprávněným nebo protiprávním zpracováním, náhodnou ztrátou, zničením nebo poškozením osobních údajů (integrita a utajení). 7. Správce údajů nese odpovědnost za dodržování výše uvedených zásad a toto dodržování musí prokazovat (odpovědnost). Správce údajů musí proto zajistit průběžné uplatňování ustanovení těchto vnitřních předpisů, průběžnou kontrolu zpracování údajů, které provádí, a v případě potřeby změnu a doplnění postupů zpracování údajů. Správce údajů vypracuje dokumentaci, která prokazuje dodržování zákonných povinností. V. Právní základ, způsob a účel zpracování údajů při poskytování služeb Správcem údajů (online školení, pořádání kurzů) 1. Správce údajů musí při své činnosti zpracování osobních údajů postupovat v souladu s požadavky následujících právních předpisů:

• Ústava České republiky (dále jen: Ústava)
• GDPR (nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů))
• Zákon č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (dále jen: Zákon o zpracování osobních údajů)
• Zákon č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen: Občanský zákoník)
• Zákon č. 262/2006 Sb., zákoník práce, v platném znění (dále jen: Zákoník práce)
• Zákon č. 563/1991 Sb., o účetnictví, v platném znění

2. Zpracování osobních údajů je zákonné pouze tehdy a do té míry, pokud je splněna alespoň jedna z podmínek uvedených v následujících bodech 3-5:

3. Subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden nebo více konkrétních účelů (dále jen: „zpracování údajů na základě souhlasu“). V některých případech je zpracování osobních údajů prováděné Správcem údajů založeno na právních předpisech (oprávněný zájem Správce údajů), v takovém případě je Subjekt údajů povinen poskytnout své osobní údaje. V ostatních případech je poskytnutí osobních údajů dobrovolné, pro provedení objednávky je však vždy nutné. Pokud Subjekt údajů neposkytne osobní údaje, které Správce údajů považuje za nezbytné pro provedení objednávky, nebude moci Správce údajů objednávku provést. Subjekt údajů má právo svůj souhlas kdykoli odvolat, aniž by to mělo negativní vliv na zákonnost zpracování údajů provedeného před odvoláním souhlasu.

4. Provádění smlouvy mezi Správcem údajů a Subjektem údajů (dále jen „smluvní zpracování údajů“).

5. Zajištění nerušené komunikace při výkonu služby (oprávněný zájem Správce údajů).

6. Pokud jde o zpracování osobních údajů, Správce údajů vždy provádí zpracování údajů v souladu s právními předpisy. Právní základ pro zpracování údajů se může v průběhu zpracování údajů měnit.

7. Správce údajů v rámci poskytování svých služeb zpracovává osobní údaje Subjektů údajů za účelem poskytnutí a provedení konkrétní služby. Správce údajů dále zpracovává osobní údaje Subjektů údajů za účelem komunikace, fakturace a vymáhání svých pohledávek.

8. Lhůta pro zpracování údajů: Správce údajů zpracovává osobní údaje zpravidla po dobu 10 let od provedení/ukončení dané zakázky.

9. Třetím osobám poskytne Správce údajů osobní údaje pouze v případě, že je to nezbytné pro plnění služeb. V některých případech může být poskytnutí údajů vyžadováno také ze zákona (např. úřední dotaz).

VI. Informační bulletin

1. Správce údajů bude v souvislosti se svými službami zasílat osobám, které o to požádají, informační bulletiny.

2. Účel zpracování: poskytování informací o službách, aktuálních událostech, odborných novinkách a článcích.

3. Rozsah zpracovávaných údajů: jméno, e-mailová adresa.

4. Právní základ pro zpracování údajů: souhlas Subjektu údajů. Správce údajů vždy poskytuje druhé straně možnost vznést námitku (odhlásit se z odběru bulletinu). Pokud Subjekt údajů prohlásí, že si nepřeje, aby mu Správce údajů bulletin zasílal, Správce údajů jeho údaje vymaže a k tomuto účelu je již nebude používat.

5. Doba trvání zpracování: Datum vznesení námitky nebo odvolání souhlasu Subjektem údajů.

VII. Práva Subjektu údajů a jejich uplatňování

Správce údajů poskytne subjektům údajů v souladu s ustanoveními GDPR následující informace.

Právo na informace

1. Subjekt údajů má právo na informace o všech právních důvodech zpracování osobních údajů.

2. Správce údajů poskytuje Subjektům údajů informace ve stručné, transparentní, srozumitelné a snadno dostupné formě a jasným a srozumitelným způsobem.

3. Informace jsou poskytovány písemně nebo jinými prostředky, případně i elektronicky.

Informace na žádost Subjektu údajů

1. Na žádost Subjektu údajů lze poskytnout informace za předpokladu, že totožnost Subjektu údajů byla dostatečně zjištěna.

2. Správce údajů poskytne Subjektu údajů informace o opatřeních přijatých na základě žádosti týkající se dalších práv Subjektu údajů bez zbytečného odkladu, nejpozději však do 30 dnů od obdržení žádosti.

3. Tato třicetidenní lhůta (odst. 2) může být v případě potřeby s ohledem na složitost a počet žádostí prodloužena o dalších 60 dnů. Správce údajů musí o každém takovém prodloužení informovat Subjekt údajů nejpozději do 30 dnů od obdržení žádosti spolu s důvody prodlení. Pokud Subjekt údajů podá žádost prostřednictvím elektronického formuláře, budou, pokud je to možné, informace poskytnuty elektronickými prostředky – v případě, že Subjekt údajů nepožádá o něco jiného.

4. Informace a příslušné kroky Správce údajů jsou bezplatné.

5. Pokud jsou žádosti Subjektu údajů zjevně neopodstatněné nebo nadměrné, zejména z důvodu jejich opakování, může Správce údajů provést jednu z následujících možností:

(a) buď si může naúčtovat přiměřený poplatek s přihlédnutím k administrativním nákladům na poskytnutí informací nebo sdělení nebo na provedení požadovaného opatření; nebo

(b) může odmítnout žádost vyřídit

6. Správce údajů je v takovém případě (odst. 5) povinen prokázat, že žádost je zjevně neopodstatněná nebo nadbytečná.

Povinné informace

1. Pokud Správce údajů obdrží údaje přímo od Subjektu údajů, musí v každém případě poskytnout informace o následujících skutečnostech:

• (a) totožnost a kontaktní údaje Správce údajů nebo jeho zástupce;
• (b) účel zpracování, pro který jsou osobní údaje určeny, a právní základ pro jejich zpracování;
• (c) případní příjemci osobních údajů;
• (d) případně skutečnost, že Správce údajů hodlá předat osobní údaje do třetí země nebo mezinárodní organizaci.

2. Při prvním obdržení osobních údajů bude Správce údajů vedle výše uvedeného informovat Subjekty údajů také o následujících skutečnostech:

• (a) o době, po kterou budou osobní údaje uchovávány;
• (b) existenci práva Subjektu údajů požadovat od Správce údajů přístup k osobním údajům, které se ho týkají, a jejich opravu, výmaz nebo omezení zpracování, v případě zpracování údajů spojeného s určitými právními důvody vznést námitku proti takovému zpracování osobních údajů a o právu Subjektu údajů na přenositelnost údajů;
• (c) právu zpracování údajů na základě souhlasu kdykoliv odvolat, aniž tím bude dotčena zákonnost zpracování údajů provedeného na základě souhlasu před jeho odvoláním;
• (d) právu podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů), (dále jen Úřad nebo ÚOOÚ);
• (e) zda je poskytnutí osobních údajů zákonným nebo smluvním požadavkem nebo požadavkem nezbytným pro uzavření smlouvy, jakož i o tom, zda je Subjekt údajů povinen osobní údaje poskytnout, a o možných důsledcích neposkytnutí těchto údajů.

3. Pokud Správce údajů hodlá osobní údaje dále zpracovávat pro jiný účel, než pro který byly osobní údaje získány, musí poskytnout Subjektu údajů před tímto dalším zpracováním informace o tomto jiném účelu a veškeré další relevantní informace.

4. Správce údajů musí poskytnout povinné informace následujícím způsobem:Správce údajů zveřejní na svých internetových stránkách a ve svém sídle „Zásady ochrany osobních údajů“ tak, aby byly snadno k dispozici a aby k nim měl každý snadný přístup.

Právo na přístup

1. Subjekt údajů má právo na přístup k osobním údajům v případě všech právních důvodů zpracování osobních údajů.

2. Subjekt údajů má právo získat od Správce údajů potvrzení, zda jsou či nejsou zpracovávány osobní údaje, které se ho týkají, a v takovém případě má právo získat přístup k osobním údajům a následujícím informacím:

• (a) účely zpracování;
• (b) kategorie příslušných osobních údajů;
• (c) příjemci nebo kategorie příjemců, kterým Správce údajů zpřístupnil nebo zpřístupní údaje;
• (d) pokud možno předpokládanou dobu, po níž budou osobní údaje uchovávány;
• (e) právo Subjektu údajů požádat Správce údajů o opravu osobních údajů, které se ho týkají, o výmaz těchto údajů v případě zpracování údajů spojeného s určitými právními důvody nebo o omezení jejich zpracování a vznést námitku proti zpracování osobních údajů v případě zpracování údajů spojeného s určitými právními důvody
• (f) právo podat stížnost u ÚOOÚ;
• (g) v případě, že osobní údaje nebyly získány od Subjektu údajů, veškeré dostupné informace o jejich zdroji.

3. Správce údajů je povinen poskytnout na žádost Subjektu údajů kopii zpracovávaných osobních údajů.

Právo na opravu

1. Subjekt údajů má právo na opravu osobních údajů v případě všech důvodů zpracování osobních údajů.

2. Správce osobních údajů musí na žádost Subjektu údajů bez zbytečného odkladu opravit nepřesně zpracovávané osobní údaje týkající se Subjektu údajů. Subjekt údajů má právo na doplnění neúplných osobních údajů, a to i prostřednictvím poskytnutí doplňujícího prohlášení.

Právo na výmaz

1. Právo na výmaz se na Subjekt údajů nevztahuje automaticky, pokud jde o zpracování údajů týkajících se všech právních důvodů.

2. Správce údajů musí osobní údaje bez zbytečného odkladu smazat, pokud bude platit jeden z následujících důvodů:

• (a) osobní údaje již nejsou pro účely, pro které byly shromážděny nebo jinak zpracovány, potřeba;
• (b) Subjekt údajů odvolá souhlas, na němž je zpracování založeno (v případě zpracování údajů na základě souhlasu), a pokud neexistuje žádný jiný právní důvod pro zpracování;
• (c) Subjekt údajů vznese námitku proti zpracování a neexistují žádné zákonné důvody pro zpracování (např. povinné poskytování údajů), které by stály nad touto námitkou;
• (d) osobní údaje byly zpracovány protiprávně;
• (e) osobní údaje musí být vymazány, aby byla splněna právní povinnost podle právních předpisů Evropské Unie nebo členského státu, kterému Správce údajů podléhá;

3. Správce údajů žádosti Subjektu údajů o výmaz nevyhoví, pokud je zpracování nezbytné pro splnění právní povinnosti, která vyžaduje zpracování podle právních předpisů Evropské unie nebo členského státu, které se na Správce vztahuje.

4. Jestliže Správce údajů obdrží žádost o výmaz, v prvním kroku ověří, zda žádost o výmaz skutečně pochází od držitele práva. Za tím účelem může Správce údajů požadovat údaje k identifikaci smlouvy mezi Subjektem údajů a Správcem údajů (např.číslo smlouvy, datum uzavření smlouvy), identifikační číslo dokladu vydaného Správcem údajů pro Subjekt údajů a osobní identifikační údaje evidované o Subjektu údajů (Správce údajů však nesmí požadovat další identifikační údaje, které o Subjektu údajů neeviduje).

5. V případě, že je Správce údajů povinen žádosti o výmaz vyhovět, učiní vše pro to, aby zajistil výmaz osobních údajů ze všech databází.

6. Správce údajů vypracuje zprávu o výmazu, aby bylo možné ověřit, že k výmazu došlo. Zprávu podepíše zástupce Správce údajů nebo osoba (osoby), která je (jsou) k tomu oprávněna (oprávněny) na základě své pracovní náplně. Zpráva o výmazu musí obsahovat jméno Subjektu údajů, typ vymazaných osobních údajů a datum výmazu.

7. Správce údajů musí o povinnosti výmazu informovat všechny osoby, jimž byly osobní údaje předány.

Právo na omezení zpracování

1. Subjekt údajů má právo na omezení zpracování s ohledem na všechny důvody zpracování osobních údajů.

2. Správce údajů musí na žádost Subjektu údajů omezit zpracování osobních údajů, pokud nastane některý z následujících důvodů:

• (a) Subjekt údajů zpochybní přesnost osobních údajů;
• (b) zpracování je protiprávní a Subjekt údajů nesouhlasí s výmazem osobních údajů a místo toho požaduje omezení jejich použití;
• (c) Správce údajů již osobní údaje pro účely zpracování nepotřebuje, ale Subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků.

3. V případě, kdy je zpracování omezeno podle předchozího bodu, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovávány pouze se souhlasem Subjektu údajů nebo pro určení, výkon nebo obhajobu právních nároků nebo pro ochranu práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské Unie či některého jejího členského státu.

4. Správce údajů musí o této povinnosti informovat všechny osoby, jimž byly osobní údaje předány.

Právo na přenositelnost údajů

1. Subjekt údajů má právo na přenositelnost osobních údajů v případě právního základu zpracování údajů založeného na souhlasu nebo smlouvě, pokud zpracování údajů probíhá automatizovaně.

2. Správce údajů musí dbát o to, aby Subjekt údajů obdržel osobní údaje, které se ho týkají a které poskytl Správci údajů, ve strukturovaném, široce používaném a strojově čitelném formátu a aby Subjekt údajů tyto údaje předal jinému správci údajů.

VIII. Záznamy o činnostech zpracování osobních údajů

1.Správce údajů musí vést evidenci o činnostech zpracování osobních údajů za účelem monitorování a kontroly dodržování právních předpisů o ochraně údajů v souladu se zásadou odpovědnosti.

2.Správce údajů musí vést minimálně následující evidenci o činnostech zpracování údajů, za které odpovídá:

• (a) evidenci převodu dat
• (b) evidenci žádostí o výkon práv Subjektů údajů a odpovědí, které mu správce údajů poskytl
• (c) evidenci žádostí orgánů a odpovědí, které na ně Správce údajů poskytl
• (d) evidenci žádostí o ukončení zpracování údajů
• (e) evidenci klientů
• (f) evidenci zpracování osobních údajů týkajících se zaměstnání
• (g) evidenci údajů o náboru zaměstnanců
• (h) evidenci porušení ochrany osobních údajů

3. Správce údajů vede evidenci činností zpracování údajů s následujícím obsahem:

• (a) jméno a kontaktní údaje Správce údajů a jméno a kontaktní údaje zástupce Správce údajů;
• (b) účely zpracování;
• (c) popis kategorií Subjektů údajů a kategorií osobních údajů;
• (d) kategorie příjemců, kterým jsou nebo budou osobní údaje poskytovány;
• (e) případně informace o předávání osobních údajů do třetí země nebo mezinárodní organizaci;
• (f) pokud je to možné, lhůty pro výmaz osobních údajů;
• (g) pokud možno obecný popis technických a organizačních opatření.

4. Správce údajů musí zpracovávat osobní údaje primárně v listinné podobě, až sekundárně v rámci strojového zpracování. Místem zpracování osobních údajů je sídlo Správce údajů. Správce údajů vede záznamy v elektronické podobě.

IX. Ustanovení o zabezpečení údajů

1. Správce údajů musí zaručit úroveň zabezpečení osobních údajů odpovídající míře možných rizik vznikajících při zpracování osobních údajů v souladu s článkem 32 GDPR. Správce údajů musí odpovídajícím způsobem zaručit důvěrnost, integritu a dostupnost jím zpracovávaných údajů.

2.Správce údajů za účelem dosažení bezpečnosti zpracování údajů společně uplatňuje fyzické, logické a administrativní kontroly.

3.Správce údajů uplatňuje následující fyzické kontroly:

• (a) Správce údajů zajistí, aby do jeho sídla nemohla vstoupit žádná neoprávněná osoba;
• (b) Aby se zabránilo neoprávněnému přístupu k údajům, které zpracovává, a to jak v elektronické, tak v papírové podobě, musí Správce údajů zajistit, aby ke zpracovávaným údajům neměly fyzický přístup neoprávněné osoby.

4. Při uplatňování logické kontroly musí Správce údajů zajistit, aby k jím zpracovávaným údajům měly přístup pouze osoby s příslušnými pravomocemi.

5. Správce údajů uplatňuje následující administrativní kontroly:

• (a) Správce údajů musí zajistit, aby byl každý přístup k osobním údajům dohledatelný v dokumentaci;
• (b) Správce údajů musí zajistit, aby byl zaveden takový postup správy záznamů, aby dokumenty obsahující chybně přijaté osobní údaje byly co nejdříve odfiltrovány a dozvěděl se o nich co nejmenší počet osob.

X. Správa porušení ochrany osobních údajů

1.V případě porušení zabezpečení osobních údajů musí Správce údajů bez zbytečného odkladu, a je-li to možné, nejpozději do 72 hodin poté, co se o něm dozvěděl, ohlásit porušení zabezpečení osobních údajů příslušným orgánům. Pokud není oznámení orgánům provedeno do 72 hodin, musí k tomu doplnit důvody tohoto zpoždění.

2.Porušení zabezpečení osobních údajů není třeba dotyčnému orgánu nahlašovat, pokud je nepravděpodobné, že by porušení zabezpečení osobních údajů vedlo ke vzniku rizik pro práva a svobody fyzických osob.

3.Pokud je třeba porušení zabezpečení osobních údajů nahlásit příslušným orgánům, musí toto ohlášení

• (a) popisovat povahu porušení zabezpečení osobních údajů, pokud možno včetně kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného počtu dotčených záznamů osobních údajů;
• (b) obsahovat jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat další informace;
• (c) popisovat pravděpodobné důsledky porušení zabezpečení osobních údajů;
• (d) popisovat opatření, která Správce údajů přijal nebo navrhl přijmout k řešení porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho možných nepříznivých účinků.

4. Pokud je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, musí Správce údajů bez zbytečného odkladu oznámit, že došlo k porušení zabezpečení osobních údajů Subjektu údajů. Sdělení Subjektu údajů musí jasně a srozumitelně popisovat povahu porušení zabezpečení osobních údajů a obsahovat následující informace:

• (a) Obsahovat jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat další informace;
• (b) popisovat pravděpodobné důsledky porušení zabezpečení osobních údajů;
• (c) popisovat opatření, která Správce údajů přijal nebo navrhl přijmout k řešení porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho možných nepříznivých účinků.

5. Sdělení Subjektu údajů nebude vyžadováno, pokud bude splněna některá z následujících podmínek:

• (a) Správce údajů zavedl odpovídající technická a organizační ochranná opatření a tato opatření byla aplikována na osobní údaje, jichž se dotklo porušení zabezpečení osobních údajů, zejména taková, která činí osobní údaje nesrozumitelnými pro jakoukoli osobu, která k nim nemá oprávněný přístup, jako je například šifrování;
• (b) Správce údajů přijal následná opatření, která zajišťují, že vysoké riziko pro práva a svobody Subjektů údajů již pravděpodobně nenastane;
• (c) vyžadovalo by to nepřiměřené úsilí, kdy v takovém případě musí být místo toho provedeno veřejné sdělení nebo podobné opatření, kterým jsou Subjekty údajů informovány stejně účinným způsobem.

XI. Zpracování údajů souvisejících se zaměstnáním

1. Správce údajů ve svých pracovních inzerátech odkazuje na elektronicky dostupné zásady ochrany osobních údajů.

2. Pokud si Správce údajů přeje uchovávat dokumenty poskytnuté uchazečem o zaměstnání i po obsazení pracovního místa, musí si k tomu vyžádat souhlas uchazeče o zaměstnání. Tento souhlas musí být dobrovolný, konkrétní, dobře informovaný a jasný.

3. Pokud uchazeči nedají souhlas s použitím svých osobních údajů v dalších žádostech, musí být po vyhodnocení žádosti nosiče dat obsahující osobní údaje neúspěšných uchazečů na požádání do 90 dnů vráceny uchazečům nebo zlikvidovány. Toto zničení (vymazání) musí být zdokumentováno.

4. Správce zpracovává údaje zaměstnanců v souladu s příslušnými ustanoveními Zákoníku práce a informuje zaměstnance způsobem uvedeným v Zákoníku práce, a to v souladu se základními zásadami zpracování údajů v GDPR.

5. Správce údajů musí informovat zaměstnance o totožnosti jím využívaných zpracovatelů a o rozsahu jim předávaných osobních údajů.

6. Zpracování údajů v pracovněprávním vztahu mívá obvykle následující právní základy:

• (a) smluvní (pracovní smlouva)
• (b) na základě oprávněného zájmu (např. např. zdanění)
• (c) na základě oprávněného zájmu (např. údaje související s kontrolami na pracovišti).

XII. Ustanovení týkající se využití zpracovatele

1. Pokud má být zpracování prováděno jménem Správce údajů (např. vedení účetnictví, mzdové účetnictví), Správce údajů využívá pouze zpracovatele, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování bylo v souladu s požadavky GDPR a zajišťovalo ochranu práv Subjektu údajů.

2. Bez předchozího zvláštního nebo obecného písemného povolení nesmí Správce údajů zapojit jiného zpracovatele.

3. Pokud jde o zpracování prováděné zpracovatelem, správce údajů a zpracovatel uzavřou smlouvu. Tato smlouva vymezuje předmět, dobu trvání, povahu a účel zpracování údajů, typ osobních údajů, kategorie Subjektů údajů a povinnosti a práva Správce údajů.

4. Zpracovatel a osoba s přístupem k osobním údajům mohou tyto údaje zpracovávat pouze v souladu s pokyny Správce údajů.

XIII. Ustanovení pro vstup v platnost a závěrečná ustanovení

1. Tyto předpisy vstupují v platnost dne 22. 12. 2021.

NEXT EDUCATION GROUP LIMITED