Ochrana osobních údajů uživatelů
Knihovna Ústeckého kraje, příspěvková organizace, (dále jen „KÚK“) zpracovává osobní údaje uživatelů ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen zákon), a je správcem osobních údajů. Osobním údajem je podle § 4 zákona jakýkoliv údaj, který se týká konkrétní osoby, jejíž identitu lze z osobních údajů přímo či nepřímo určit. Osobními údaji tedy jsou v podmínkách KÚK zejména identifikační a adresní údaje uživatelů služeb KÚK nebo údaje o jejich výpůjčkách či jiných transakcích. KÚK postupuje při zpracování osobních údajů podle zákona, Knihovního řádu a dalších obecně závazných právních předpisů. Osobní údaje jsou zpracovávány vlastními zaměstnanci manuálním způsobem. KÚK zpracovává pouze osobní údaje poskytované uživatelem dobrovolně, které za tím účelem ověřuje.
Osobní údaje uživatelů KÚK zpracovává k účelu:
- ochrany majetku pořízeného z veřejných rozpočtových zdrojů, zejména pak knihovního fondu půjčovaného absenčně, tedy fondu využívaného mimo prostory knihovny;
- poskytování kvalitních služeb mimo jiné tím, že bude uživatele účinně kontaktovat v případech vymezených knihovním řádem nebo v případech, že si to uživatel sám vyžádá;
- přesné evidence o všech transakcích prováděných ve vztahu k uživateli, zejména o provedených absenčních i prezenčních výpůjčkách, jejich předmětu, počátku i konci, a o zaměstnancích KÚK, kteří tyto transakce provedli;
- kontroly kvality prováděných služeb a důsledné kontroly příčin reklamací uživatelů;
- získání statistických údajů k vyhodnocení své činnosti, zejména činnosti výpůjční, a využití těchto poznatků k efektivnější akvizici a správě knihovních fondů.
K výše uvedenému účelu zpracovává KÚK osobní údaje uživatelů v tomto rozsahu:
Základní identifikační údaje, které je uživatel povinen uvést při registraci: osobní jméno a příjmení; datum narození; adresa trvalého pobytu; údaj o adrese, na kterou mu mají být doručovány písemnosti podle zvláštního právního předpisu; adresa bydliště (v případě cizinců apod. i adresa pobytu v ČR); v případě dětského uživatele stejné údaje jeho zákonného zástupce. Uživatel při udělení souhlasu se zpracováním osobních údajů musí být informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Uživatel, který nedá souhlas se zpracováním základních identifikačních údajů, může užívat pouze těch služeb KÚK, které KÚK poskytuje anonymně.
Další údaje uživatele (pokud je dobrovolně uvede) jsou zejména: rodné číslo, akademické tituly; kontaktní či přechodná adresa; e-mailová adresa a telefonní číslo (doporučuje se pro snazší komunikaci).
Údaje využívané pro statistické účely (pokud je uvede): studium; povolání; obor; pohlaví.
Údaje služební: údaje o vydaných a zrušených průkazech opravňujících k využívání služeb KÚK, údaje o předmětu, místě a čase provedení, případně i ukončení absenční nebo registrované prezenční výpůjčky, rezervace, objednávky fondů uložených ve skladech KÚK, přihlášení uživatele k internetu.
Údaje účetní: údaje o provedených finančních transakcích mezi uživatelem a KÚK – zejména o jejich účelu, místě, čase a dalších náležitostech dle § 11 odst. 1 zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů.
Osobní údaje uživatele KÚK uchovává na originálních písemnostech, kterými jsou zejména: přihláška uživatele, účetní doklady.
Tyto písemnosti jsou uchovávány:
– ve služebních prostorách knihovny, kam je zamezen přístup nepovolaným osobám obvyklými prostředky (zamykatelné části nábytku, zamčené archivní skříně, osobní dohled odpovědného zaměstnance atd.). Přístup k těmto písemnostem je omezen pouze na zaměstnance, kteří s písemnostmi pracují v rámci svých pracovních úkolů stanovených vedoucími zaměstnanci. Za zabezpečení osobních údajů odpovídá pověřený pracovník příslušného oddělení;
– v počítačových databázích, které:
- dokumentují údaje ve výše uvedeném rozsahu,
- dokumentují změny provedené pověřenými pracovníky.
Počítačové databáze jsou uloženy:
– na vyhrazených serverech. Přístup k těmto datům je chráněn systémem přístupových účtů, hesel a práv stanovených v rozsahu potřebném pro plnění úkolů jednotlivých zaměstnanců. Data uložená v počítačových databázích jsou dále chráněna antivirovou ochranou a systémem bezpečnostních kopií. Za zabezpečení osobních údajů odpovídá vedoucí Oddělení informačních technologií;
– na archivních médiích, která uchovávají stav databází vždy k určitému datu na médiích pro archivaci obvyklých (datové pásky, CD-ROM apod.). Za zabezpečení osobních údajů odpovídá pověřený pracovník Oddělení informačních technologií.
Všichni zaměstnanci KÚK jsou povinni osobní údaje zpracovávat výhradně v rámci pracovní náplně a úkolů, které jim byly stanoveny jejich vedoucími zaměstnanci, ve výše uvedeném rozsahu a účelu a ve shodě s ustanoveními zákona, příslušné vnitropodnikové směrnice a dalších závazných předpisů.
Zaměstnanci KÚK jsou mimo jiné povinni dbát na správnost zpracovávaných osobních údajů a ověřovat ji podle dokladů k tomu určených.
Zaměstnanci KÚK jsou dále povinni zachovávat mlčenlivost o zpracovávaných osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. To znamená zejména se vystříhat jakéhokoliv jednání, které by mohlo být chápáno jako neoprávněné zveřejňování osobních údajů uživatelů (kupříkladu sdělovat jakékoliv osobní údaje jiné osobě, než která je subjektem údajů nebo je jejím zákonným zástupcem) a jednání, které by mohlo vést k neoprávněnému přístupu třetích osob k osobním údajům uživatelů KÚK. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.
KÚK zpracovává osobní údaje uživatelů ve výše uvedeném rozsahu od okamžiku, kdy uživatel předá KÚK vyplněnou přihlášku, čímž projeví souhlas se zpracováním svých osobních údajů. Osobní údaje uživatele zpracovává KÚK, dokud s tím uživatel nevysloví písemně nesouhlas nebo dokud neuplyne lhůta jednoho roku od vypršení platnosti jeho průkazu a zároveň lhůta alespoň jednoho roku od vypořádání posledního závazku uživatele vůči knihovně.
Pokud uživatel požádá o ukončení zpracování svých osobních údajů nebo pokud uplyne výše uvedená lhůta, má se členství uživatele v KÚK za ukončené a KÚK provede likvidaci osobních údajů následujícím způsobem:
- skartací originálních písemností – přihláška uživatele je fyzicky zlikvidována podle Spisového řádu KÚK ; za provedení skartace odpovídá pověřený pracovník KÚK;
- vymazáním veškerých osobních údajů; týká se tabulek, ve kterých jsou uloženy adresy uživatele, hesla, oprávnění; za vymazání osobních údajů odpovídá pověřený pracovník Oddělení informačních technologií;
- anonymizací údajů v počítačových databázích, kdy se jméno a příjmení přepíše anonymizujícím textem, vymaže se adresa bydliště a další kontakty; takto anonymizované údaje přestávají být údaji osobními a jsou dále používány pouze pro statistické účely; za anonymizaci osobních údajů odpovídá pověřený pracovník Oddělení informačních technologií.
Archivní média, která obsahují osobní údaje uživatelů, nelze upravit obdobnou anonymizací jako v případě počítačových bází. Proto je přístup k archivním médiím omezen pouze na zaměstnance KÚK, kteří k tomu byli zmocněni. V případě porušení povinností KÚK vzniká uživateli nárok na poskytnutí omluvy, opravy, eventuálně i na poskytnutí přiměřené peněžité náhrady. Pokud uživatel zjistí, že došlo k porušení povinností ze strany KÚK, má právo obrátit se na Úřad pro ochranu osobních údajů se žádostí o zajištění opatření k nápravě.