JavaScript je vypnutý

Ochrana osobních údajů a GDPR v Grantové agentuře České republiky

Grantová agentura ČR plně respektuje Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen “GDPR“) v Grantové agentuře české republiky (dále jen „GA ČR“):

GA ČR se před přijetím GDPR řídila platným zákonem na ochranu osobních údajů, nicméně po schválení GDPR se začala intenzivně věnovat samotné implementaci GDPR. Implementaci GDPR se věnuje především bezpečnostní manažer, který byl v březnu 2018 současně jmenován pověřencem na ochranu osobních údajů v GA ČR. Bezpečností manažer na implementaci spolupracuje především s vedoucím právního a koncepčního úseku, s vedoucím ekonomické, provozní a kontrolní sekce a s vedoucím úseku IT podpory. Následně bylo nutné k implementaci zapojit další úseky za účelem analýzy sběru osobních údajů a jejich uchovávání a využití.

GA ČR si nechala vypracovat právní analýzu „Ověření souladu stávajících postupů nakládání s osobními údaji v rámci GA ČR“, ze které vyplynul popis jednotlivých osobních údajů, a taktéž nutnost přijmout řadu opatření. Dále GA ČR čerpala při zajišťování souladu zpracování osobních údajů s obsahem GDPR ze všech dostupných zdrojů a příslušní zaměstnanci byli proškoleni na akreditovaných seminářích.

Nejdůležitějším krokem při přípravě na zpracování osobních údajů v souladu s GDPR byla analýza jednotlivých typů osobních údajů, které se v GA ČR vyskytují a identifikace jednotlivých právních titulů, které GA ČR ke zpracování těchto osobních údajů opravňují. Jedná se o následující tituly:

1) Zákonná licence, tj. povinnost určená zákonem, která souvisí se zpracováváním osobních údajů, kde velkou část tvoří osobní údaje, u nichž disponuje GA ČR oprávněním zpracovávat osobní údaje na základě zákonné licence ze zákona č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu, experimentálního vývoje a inovací), ve znění pozdějších předpisů – zákon nám ukládá různé povinnosti, k jejichž splnění potřebujeme osobní údaje, které se týkají projektů a s nimi souvisejících úkonů (k uchování více § 26 zákona o podpoře výzkumu, experimentálního vývoje a inovací – uchovávání dokladů o veřejné soutěži VaVaI).

2) Výjimkou jsou zde oponenti a ostatní hodnotitelé. Zde GA ČR nemá zákonnou licenci pro uchovávání a zpracování osobních údajů, tyto údaje jsou zpracovávány na základě oprávněného důvodu GA ČR. Tento právní důvod se rovněž vztahuje na všechny uživatele systému GRIS. Oprávněný zájem GA ČR spočívá v tom, že systém GRIS, ve kterém je vedena databáze hodnotitelů, slouží k administraci projektů výzkumu, experimentálního vývoje a inovací podpořených GA ČR, a jsou jeho prostřednictvím činěny právní úkony související s podáváním, hodnocením a administrací projektů; je proto třeba ztotožnit osoby, které úkony v systému činí, a to jak uživatele na straně příjemců, tak hodnotitele.

Je taktéž nutné, aby byli členové hodnoticího panelu či ostatní hodnotitelé ztotožněni při jejich zařazení do databáze, jelikož bez tohoto ztotožnění nemůže GA ČR dostát požadavkům zákona č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací na nestranné a odborné hodnocení. V systému GRIS bude umístěna informace o zpracování údajů a jejich důvodech. Systém GRIS disponuje pokročilou ochranou zabezpečení, které neumožňuje jakoukoliv neoprávněnou manipulaci s osobními údaji subjektů údajů, a rovněž zaznamenává veškeré kroky (včetně zobrazení konkrétních informací) v systému učiněné (logy). Oprávněný důvod se dále může vztahovat na činnost GA ČR, jež je vyžadována zákonem či jiným právním předpisem, který přesně neupravuje detaily procesu a okolností s uvedenou činností související, uvádí jen např. její výsledek.

3) GA ČR má taktéž připraven formulář pro udělení souhlasu se zpracováním osobních údajů, který obsahuje všechny povinné náležitosti vyžadované nařízením GDPR, a je k dispozici všem zaměstnancům agentury (samozřejmě s nutným přizpůsobením pro daný případ). V souvislosti s přípravou souhlasu se zpracováním osobních údajů byly také analyzovány osobní údaje a agendy, ve kterých bude využíván. Tento souhlas bude využit v případech, kdy daná agenda a související sběr údajů nelze podřadit pod jiný právní titul. GA ČR informuje subjekty údajů, které udělily souhlas s jejich zpracováním, o těchto právech:

  • existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
  • existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
  • existenci práva podat stížnost u dozorového úřadu;
  • právu na opravu, právu na výmaz, právu na omezení zpracování, právu na přenositelnost údajů, právu vznést námitku, oznamovací povinnosti správce ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování a právu subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování. Pro údaje, které již GA ČR shromáždila a zpracovává je z doby před účinností GDPR, které by po účinnosti GDPR byly shromažďovány a zpracovávány na základě souhlasu subjektu údajů, se vztahují všechna práva výše uvedená. Pro uplatnění těchto práv je třeba kontaktovat níže uvedeného pověřence pro ochranu osobních údajů.
4) Dalším užívaným právním titulem bude užívání osobních údajů vyplývajících ze smluvního vztahu, kdy je z podstaty věci nutné identifikovat osobu, se kterou GA ČR uzavírá smluvní vztah, a proto všechny osobní údaje k tomu sloužící budou spadat pod uvedený titul. GA ČR získává osobní údaje subjektů zejména na základě dále uvedených zákonů nebo na základě souhlasu subjektu údajů. Jedná se o zákon č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu, experimentálního vývoje a inovací), ve znění pozdějších předpisů; zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů; zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů; zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů; zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů; zákon č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, ve znění pozdějších předpisů; zákon č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů; zákon č. 155/1995 Sb., o důchodovém pojištění, ve znění pozdějších předpisů; zákon č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů; zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád), ve znění pozdějších předpisů; zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů; zákon č. 373/2011 Sb., o specifických zdravotních službách, ve znění pozdějších předpisů; zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů; vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby, ve znění pozdějších předpisů; vyhláška č. 645/2004 Sb., kterou se provádí ustanovení zákona o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů; zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů; zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů; zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů; zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů a zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů. Bezpečnostní manažer, který je současně jmenován pověřencem na ochranu osobních údajů, připravil ve spolupráci s právním úsekem směrnici o nakládání s osobními údaji a o jejich zpracování v Grantové agentuře České republiky. S uvedenou směrnicí byli seznámeni zaměstnanci GA ČR, kteří byli současně proškoleni o nakládání s osobními údaji a o jejich zpracování v GA ČR. Dále byla vypracována analýza rizik identifikující rizika v případě zneužití osobních údajů. Pověřenec na ochranu osobních údajů (dále „DPO“) je v kontaktu s nejužším vedením GA ČR a DPO bude zapojen do všech záležitostí ochrany osobních údajů. DPO je současně v kontaktu s Úřadem pro ochranu osobních údajů a s pověřenci ostatních institucí.

Kontaktní údaje pověřence: Mgr. Hynek Vlas, gdpr@gacr.cz,
adresa Evropská 2589/33b, 160 00 Praha 6

Dozorový úřad: Úřad pro ochranu osobních údajů
Pplk. Sochora 27, 170 00 Praha 7
Tel: +420 234 665 111, www.uoou.cz