ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V RÁMCI PROJEKTU LabIR Edu – TERMOVIZE DO ŠKOL
1. Úvodní nastavení
V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) poskytuje Západočeská univerzita v Plzni informace o zpracování osobních údajů.
2. Správce osobních údajů
Správcem osobních údajů je Západočeská univerzita v Plzni, se sídlem Univerzitní 2732/8, 301 00 Plzeň, IČO: 497 77 513, DIČ: CZ49777513, (dále jen „Západočeská univerzita v Plzni“), která byla zřízena zákonem č. 314/1991 Sb. a je zapsána v Registru vysokých škol a uskutečňovaných studijních programů vedeného Ministerstvem školstvím, mládeže a tělovýchovy ČR.
3. Účely zpracování
Západočeská univerzita v Plzni zpracovává osobní údaje v souvislosti s realizací projektu LabIR Edu – Termovize do škol, jehož účelem je poskytování a provozování služby ve formě vypůjčování termokamer základním a středním školám a dalším vzdělávacím organizacím. Účelem zpracování je registrace a vedení evidence uživatelů termokamer, realizace práv a povinností uživatelů v rámci vypůjčování termokamer, zasílání informačních e-mailů.
4. Rozsah zpracování osobních údajů
Západočeská univerzita v Plzni zpracovává tyto osobní údaje:
- identifikační a kontaktní údaje – jméno, příjmení, telefonní číslo, e-mailová adresa;
- další údaje – název instituce, včetně názvu obce, ve které subjekt údajů působí; informace o tom, zda v dané instituci subjekt údajů působí jako student či pedagog (nepovinný údaj); předměty, které subjekt údajů zajímají, či které vyučuje (nepovinný údaj), apod.;
- informace ze vzájemné komunikace – informace z e-mailů, informace z kontaktních formulářů, apod.;
- historie uživatelových interakcí – údaje z informačních systémů vztahujících se ke konkrétnímu subjektu údajů – např. historie výpůjček, kdy se uživatel registroval, kdy se přihlásil, kdy požádal o obnovu hesla, apod.;
- údaje o pokusech – jaké pokusy (a kdy) subjekt údajů publikoval;
- údaje o procházení webem sledované Google Analytics.
5. Zákonnost zpracování osobních údajů
Zpracování osobních údajů subjektu údajů probíhá na základě udělení souhlasu subjektu údajů se zpracováním osobních údajů. Dále je zpracování osobních údajů nezbytné pro účely oprávněných zájmů správce.
6. Příjemci osobních údajů (předávání osobních údajů)
Osobní údaje poskytuje Západočeská univerzita v Plzni:
- smluvním partnerům na základě uzavřených zpracovatelských smluv (distribuční centra zajišťující vypůjčování a distribuci termokamer);
- na základě individuálních souhlasů subjektů údajů (Google Analytics, Hubspot).
Západočeská univerzita v Plzni poskytuje osobní údaje subjektu údajů v nezbytném rozsahu pro dosažení účelů uvedených v článku 3 těchto podmínek zpracování osobních údajů a vždy na základě odpovídajících právních důvodů. Osobní údaje mohou být předány do třetích zemí, a to na základě souhlasu subjektu údajů.
7. Doba uchování osobních údajů
Západočeská univerzita v Plzni zpracovává osobní údaje po dobu nezbytně nutnou, nejdéle však po dobu 10 let. Osobní údaje jsou uchovávány v souladu s platnou legislativou. Osobní údaje zpracovávané na základě souhlasu subjektu údajů uchovává Západočeská univerzita v Plzni pouze po dobu trvání účelu, k němuž byl souhlas udělen.
8. Práva subjektu údajů
Subjekt údajů má dle GDPR tyto práva:
- právo na přístup k osobním údajům: subjekt údajů má právo získat od Západočeské univerzity v Plzni potvrzení, zda jsou jeho osobní údaje zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům:
- účely zpracování;
- kategorie dotčených osobních údajů;
- kategorie příjemců osobních údajů;
- plánovaná doba, po kterou budou osobní údaje uloženy;
- dostupné informace o zdroji údajů, pokud nejsou získány od subjektu údajů;
- existence práva požadovat od správce opravu nebo výmaz, vznést námitku;
- právo podat stížnost u dozorového úřadu;
- informace, že dochází k automatizovanému rozhodování včetně profilování;
- právo na opravu: subjekt údajů má právo, aby Západočeská univerzita v Plzni bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají, a dále s přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů;
- právo na výmaz (právo být zapomenut): subjekt údajů má právo požadovat, aby byly jeho údaje vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly zpracovány, případně pokud subjekt údajů odvolal svůj souhlas se zpracováním a neexistuje žádný další důvod pro zpracování, subjekt údajů vznesl námitku proti zpracování osobních údajů, které se ho týkají, nebo pokud je zpracování jeho osobních údajů v rozporu s nařízením;
- právo na omezení zpracování: subjekt údajů má právo domáhat se omezení zpracování, a to z následujících důvodů:
- subjekt popírá přesnost osobních údajů
- zpracování je protiprávní a subjekt odmítá výmaz svých údajů a žádá místo toho omezení jejich použití
- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
- subjekt vznesl námitku proti zpracování, a to na dobu, po kterou bude správce posuzovat, jestli námitce vyhoví, tedy jestli zájmy a práva daného subjektu údajů převažují nad oprávněnými zájmy správce;
- právo na přenositelnost údajů (právo na portabilitu): subjekt údajů má právo získat osobní údaje, které se ho týkají ve strukturovaném, běžně používaném a strojově čitelném formátu a dále má právo na přímé poskytnutí osobních údajů Západočeskou univerzitu v Plzni jinému správci, a to v případě, že zpracování osobních údajů je prováděno automatizovaně a zároveň je založeno na souhlasu subjektu údajů nebo na plnění smlouvy, jejíž smluvní stranou je subjekt údajů;
- právo vznést námitku: subjekt údajů má z důvodu týkajících se jeho konkrétní situace právo vznést námitku proti zpracování svých osobních údajů;
- právo nebýt předmětem automatizovaného rozhodování: subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká;
- právo odvolat souhlas: subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvolání souhlasu se netýká zpracování, které bylo učiněno na základě platného souhlas před jeho odvoláním.
9. Uplatnění práv subjektu údajů
Subjekt údajů je oprávněn uplatňovat svá práva prostřednictvím pověřence pro ochranu osobních údajů Západočeské univerzity v Plzni, a to:
- v nastavení uživatelského účtu na adrese https://edu.labir.cz/user.setting/privacy – prostřednictvím listinné žádosti doručené Západočeské univerzitě v Plzni;
- prostřednictvím formuláře uveřejněného na webových stránkách pověřence pro ochranu osobních údajů (http://zcu.cz/media/GDPR/poverenec.html);
- prostřednictvím e-mailu zaslaného na kontaktní e-mailovou adresu pověřence pro ochranu osobních údajů (gdpr@service.zcu.cz).
Před zpracováním žádosti má Západočeská univerzita v Plzni právo a povinnost ověřit identitu žadatele.
10. Vyřízení žádosti subjektu údajů
Žádosti subjektu údajů jsou vyřizovány bezplatně bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. S ohledem na složitost žádosti nebo jejich počet může Západočeská univerzita v Plzni lhůtu prodloužit o další dva měsíce, přičemž má povinnost informovat žadatele o této skutečnosti do jednoho měsíce od doručení žádosti spolu s důvody pro tento odklad.
V případě, že je žádost subjektu údajů zjevně nepřiměřená či pokud se opakuje, může Západočeská univerzita v Plzni žadateli v souladu s nařízením GDPR účtovat administrativní poplatek za vyřízení takové žádosti.
11. Podání stížnosti u dozorového orgánu
Subjekt údajů, jehož osobní údaje Západočeská univerzita v Plzni zpracovává, má právo podat stížnost u dozorového orgánu, kterým je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7, IČ: 708 37 627, www.uoou.cz.