Prohlášení o ochraně osobních údajů NKÚ (GDPR)

Pro Nejvyšší kontrolní úřad (dále jen „NKÚ“) je oblast ochrany osobních údajů velmi důležitá. Na této webové stránce naleznete informace o tom, proč, kdy, jak a jaké osobní údaje NKÚ zpracovává. Naleznete zde také způsob, jak nás kontaktovat, pokud budete mít dotazy týkající se zpracování Vašich osobních údajů nebo jak provést opravu osobních údajů.

Zavazujeme se učinit veškerá opatření, abychom zamezili zneužití osobních údajů, které nám byly poskytnuty. Osobní údaje budeme zpracovávat pouze v případech existence právního titulu pro zpracování osobních údajů. Usilujeme o to, aby osobní údaje byly v maximálním bezpečí. Za tímto účelem jsme zavedli řadu technických a organizačních opatření, která ochrání osobní údaje před neautorizovaným nebo nezákonným zpracováním a před neúmyslnou ztrátou, zničením nebo poškozením.

NKÚ je orgánem nezávislé kontroly veřejných prostředků (více zde https://www.nku.cz/cz/o-nas/postaveni-a-pusobnost/), je z hlediska ochrany osobních údajů správcem osobních údajů, který zpracovává osobní údaje v souladu s právem Evropské unie, tedy s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) a s platným právním řádem České republiky.

Kontrolní činnost NKÚ a zákonnost zpracování osobních údajů

NKÚ je k výkonu kontroly zmocněn čl. 97 Ústavy a zákonem č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů (na https://www.nku.cz/cz/kontrola/).

Dojde-li při výkonu kontrolní činnosti ke zpracování osobních údajů fyzických osob, právním titulem k tomuto zpracování je prioritně plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci podle čl. 6 odst. 1 písm. e) GDPR.

Je-li výkon kontrolní, ale i jiné činnosti NKÚ (např. provozní), předmětem právní povinnosti, v rámci které NKÚ musí určité osobní údaje zpracovávat, pak je právním titulem k tomuto zpracování plnění právní povinnosti podle čl. 6 odst. 1 písm. c).

Dalším právním titulem, který je NKÚ používán zejména k úpravě svých vnitřních poměrů, je jeho oprávněný zájem a konečně i souhlas subjektu údajů se zpracováním osobních údajů (blíže k právním titulům zpracování na https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679&from=CS).

Subjekty údajů a jejich práva

NKÚ má vůči subjektům údajů informační povinnost stručným, transparentním, srozumitelným a snadno přístupným způsobem poskytnout veškeré informace, ke kterým je oprávněn, bez ohledu na to, zda jsou získány přímo od subjektu údajů nebo z jiného zdroje. Subjekt údajů je dále oprávněn požadovat přístup k jeho osobním údajům, má právo na opravu jeho osobních údajů a další oprávnění podle GDPR.

Některá práva subjektů údajů však mohou být omezena s ohledem na jiná ustanovení GDPR nebo zákonů České republiky, např. dodržování zákonné povinnosti mlčenlivosti na NKÚ, které vylučuje informační povinnost vůči subjektu údajů podle čl. 14 odst. 5 písm. d) GDPR.

Informace a veškerá sdělení poskytuje NKÚ subjektům údajů v daných lhůtách a bezplatně. Jsou-li však žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může NKÚ uložit přiměřený poplatek s ohledem na administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů, nebo odmítnout žádosti vyhovět.

Subjekt údajů je oprávněn se obrátit se stížností k Úřadu na ochranu osobních údajů podle čl. 77 GDPR nebo s podáním k soudům České republiky podle čl. 79 GDPR, má-li za to, že ke zpracování jeho osobních údajů došlo v rozporu s GDPR.

Rozsah zpracování osobních údajů

NKÚ zpracovává pouze ty informace, které nezbytně potřebuje a které byly získány v souladu s GDPR. Tyto osobní údaje NKÚ shromažďuje a zpracovává podle příslušného právního titulu, pouze za stanoveným účelem, v nezbytném rozsahu, po dobu ne delší, než je nezbytné pro účely zpracování a způsobem, který zajistí jejich náležité zabezpečení.

Základní účely zpracování osobních údajů

NKÚ zpracovává osobní údaje fyzických osob nejčastěji pro účely:

  • shromažďování osobních údajů fyzických osob při výkonu kontrolní činnosti, kterou je v rámci plnění úkolu prováděného při výkonu veřejné moci pověřen NKÚ;
  • vedení personální evidence zaměstnanců pro účely plnění pracovněprávních vztahů dle zákoníku práce a dalších předpisů v rámci plnění smluvních povinností,
  • shromažďování osobních údajů zaměstnanců za účelem plnění povinností NKÚ podle zákonů o zdravotním a sociálním pojištění a daňových zákonů v rámci plnění zákonných povinností NKÚ;
  • zajištění propojení a přístupu k sítím pro zaměstnance a členy vedení NKÚ;
  • zajištění dalších provozních činností NKÚ;
  • vedení evidence žadatelů o informace ze zákona (např. zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů) a oznamovatelů z řad veřejnosti (viz níže);
  • vedení evidencí zahraničních fyzických osob v rámci mezinárodní spolupráce NKÚ, např. pořádání odborných seminářů či kongresů.

Nejčastější kategorie osobních údajů

NKÚ zpracovává nejčastěji následující kategorie osobních údajů:

  • identifikační osobní údaje a to zejména titul, jméno, příjmení, datum narození, číslo průkazu totožnosti, rodné číslo;
  • adresní/kontaktníosobní údaje a to zejména adresa trvalého, příp. přechodného bydliště, doručovací nebo jiná kontaktní adresa, telefon, emailová adresa;
  • další popisné osobní údaje a to např. pracovní zařazení, číslo bankovního účtu, rodinný stav, splnění vojenské povinnosti, existence lustračního oprávnění a další osobní údaje plynoucí z konkrétní smlouvy či ze zákona.

Zdroje osobních údajů

Zdroji osobních údajů jsou kontrolované osoby, pokud jsou fyzickými osobami.

Významnými zdroji osobních údajů jsou zaměstnanci, kteří poskytují osobní údaje NKÚ jako zaměstnavateli k plnění jeho smluvních povinností (zejména ze zákoníku práce), zákonných povinností (zejména z daňových zákonů a zákonů upravujících sociální a zdravotní pojištění) a k realizaci jeho oprávněných zájmů, např. jako vlastníka nemovitosti, služebních aut nebo IT vybavení.

Dalšími zdroji osobních údajů jsou smluvní partneři, kteří NKÚ v rámci dodavatelsko/odběratelských vztahů poskytují služby nebo zboží, jejich přehled lze získat na https://www.nku.cz/cz/otevreny-urad/ a dále i žadatelé o informace, oprávnění ze zákona (např. zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů) a veřejnost v souvislosti s oznámeními, které se vztahují ke kontrolovaným okruhům nebo ke kontrolovaným osobám.

NKÚ dále získává osobní údaje z veřejných evidencí, od orgánů státní správy nebo na základě zvláštních právních předpisů.

Příjemci osobních údajů

NKÚ zpracovává osobní údaje manuálně i automaticky. S ohledem na široce koncipovanou povinnost mlčenlivosti o skutečnostech, spojených s výkonem kontroly, je okruh příjemců osobních údajů, získaných tímto způsobem značně omezen. Pokud jde o příjemce osobních údajů zaměstnanců, jejich okruh je vymezen zákoníkem práce, popř. jiným právním předpisem. Jde tak zejména o jednotlivé útvary NKÚ a v rámci plnění zákonných povinností jde i správní úřady jako např. Česká správa sociálního zabezpečení, Finanční a daňová správa, zdravotnické zařízení apod.

Předávání do zahraničí

Volný pohyb osobních údajů v rámci zemí Evropské unie nesmí být zakázán ani omezen.

NKÚ realizuje předávání osobních údajů v tomto prostoru (GDPR platí i na Islandu, v Norsku a Lichtenštejnsku) s našimi partnery, zde usazenými nebo působícími, s použitím právního titulu plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci nebo právního titulu oprávněného zájmu NKÚ. Případné použití osobních údajů zahraničních fyzických osob při příležitosti seminářů nebo kongresů pořádaných NKÚ, zejména jejich fotografie nebo projevy, je realizováno se souhlasem dotyčné osoby.

Vysílání našich zaměstnanců na zahraniční stáže nebo mise je také podmíněno existencí právního titulu ke zpracování osobních údajů, v tomto případě plnění smluvních podmínek nebo souhlasu takového zaměstnance.

Pokud jde o předávání osobních údajů mimo země Evropské unie, to je realizováno v souladu s čl. 44 GDPR, upravujícím zásadu odpovídající úrovně ochrany v přijímacím státu, který je jako takový označen rozhodnutím Evropské komise nebo jiným způsobem. Není-li také rozhodnutí nebo nejsou-li jiné vhodné záruky, předání je realizováno s výslovným souhlasem subjektu údajů.

Více o mezinárodní spolupráci NKÚ na https://www.nku.cz/cz/o-nas/mezinarodni-spoluprace/.

Odpovědnost za zpracování osobních údajů

Za zákonné zpracování osobních údajů odpovídá NKÚ. Správním orgánem, který vykonává dozorovou činnost v oblasti zpracování osobních údajů v České republice, je Úřad pro ochranu osobních údajů.

Pověřenec pro ochranu osobních údajů

V souvislosti s povinnostmi plynoucími z GDPR jmenujeme s účinností od 25. 5. 2018 pověřence pro ochranu osobních údajů neboli „DPO“ (Data Protection Officer). Jeho úkolem je monitorování souladu zpracování osobních údajů v NKÚ s GDPR a ve spolupráci s našimi zaměstnanci je Vaším kontaktem pro případné dotazy, připomínky, stížnosti a uplatnění práv týkající se ochrany osobních údajů.

Kontaktní údaje DPO: poverenec.GDPR@nku.cz

Případné dotazy, připomínky, stížnosti a uplatnění práv týkající se ochrany osobních údajů můžete rovněž zasílat prostřednictvím této webové stránky. Formulář pro Vás momentálně připravujeme.

Oznámení o úniku informací

Máte-li podezření na únik osobních údajů Vašich nebo jiné osoby, máte kdykoliv možnost se na nás obrátit https://www.nku.cz/cz/o-nas/kontakty/.

Prohlášení o ochraně osobních údajů můžeme za určitých okolností měnit a aktualizovat. Doporučujeme tedy, abyste ve vlastním zájmu tuto webovou stránku navštěvovali a ujistili se, že máte vždy aktuální informace o jejím obsahu.

tisk stránky