Ochrana osobních údajů

Úvod

Správce / zpracovatel osobních údajů

www.scio.cz, s.r.o., IČ: 27156125, se sídlem Pobřežní 34, Praha 8, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C vložka 100551 (dále jen „společnost Scio“)

Společnost Scio ve ScioLinku zpracovává osobní údaje vlastních zákazníků (projekt online NSZ a další projekty spočívající v testování) – v takovém případě zpracovává osobní údaje jako správce osobních údajů, nebo může zpracovávat osobní údaje účastníků testování pro jiné organizace či subjekty, které ScioLink využívají pro vlastní testování – v takovém případě společnost Scio zpracovává osobní údaje jako zpracovatel osobních údajů.

Pověřenec pro ochranu osobních údajů

Společnost Scio není povinna ve smyslu GDPR jmenovat pověřence pro ochranu osobních údajů, nicméně považuje ochranu osobních údajů za natolik podstatnou, že k jeho jmenování přistoupila dobrovolně. Na pověřence se lze obracet s žádostí o jakékoliv informace týkající se zpracování osobních údajů, jakož i za účelem uplatnění jakýchkoliv práv souvisejících se zpracováním osobních údajů.

Kontakt na pověřence pro ochranu osobních údajů:

Email: poverenec@scio.cz
Telefon: 234 705 032

Na této stránce naleznete základní informace o zpracování osobních údajů ve ScioLinku, tedy zejména informace o pracování osobních údajů v rámci proctorignových funkcí ScioLinku. V případě, že máte zájem o jakékoliv další doplňující informace, neváhejte nás kontaktovat prostřednictvím emailu našeho pověřence, rádi vám vaše otázky zodpovíme

Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně osobních údajů (GDPR)
GDPR je ucelenou právní úpravou ochrany osobních údajů. Společnost Scio stejně jako všichni ostatní správci a zpracovatelé osobních údajů je povinna se tímto nařízením řídit.

Cílem právní úpravy GDPR je ochrana subjektů údajů před neoprávněných zacházením s jejich osobními údaji, a to včetně umožnění větší kontroly nad tím, co se s jejich osobními údaji děje.

Zpracování osobních údajů ve ScioLinku

Kategorie zpracovávaných osobních údajů

Jaké základní údaje v rámci NSZ zpracováváme o účastnících testování ve ScioLinku?
Rozsah zpracovávaných údajů v případě konkrétní zkoušky záleží na požadavcích zadavatele testu na nastavení proctoringových funkcí, zjednodušeně na tom, jak moc přísný má být dohled ScioLinku na regulérnost absolvování daného testu.
Údaje zpracovávané při absolvování každého testu:

  • identifikační údaje účastníka: standardně jsou zpracovávány jméno, příjmení, email, datum narození, a ID účastníka vygenerované pro každého účastníka, minimálně však vždy třeba zadat alespoň emailovou adresu a datum narození k identifikaci konkrétního účastníka
  • odpovědi na testové otázky

Údaje, které mohou být dále zpracovávány, ale jejichž zpracování závisí na požadavcích zadavatele testu:

  • v případě potřeby ověření totožnosti účastníka testování: fotografie vybraných částí průkazu totožnosti včetně fotografie (části dokladu vybírá při pořizování snímku dokladu účastník testování, neukládá se celý doklad totožnosti) a snímek účastníka z videokamery pořízený před zahájením testování
  • video a audiozáznam ze skenu místnosti, kde je zkouška konána
  • video a audiozáznam ze samotného absolvování zkoušky
  • záznam obrazovky počítače z průběhu zkoušky
  • metadata o zařízení (webový prohlížeč, běžící aplikace na pozadí v průběhu zkoušky, připojená zařízení, IP adresa, operační systém a hardwarová konfigurace)

Účel zpracovávání osobních údajů

Proč údaje zpracováváme?

Účel zpracování osobních údajů závisí na konkrétním projektu testování.
V případě, že se testování účastní přímo zákazníci společnosti Scio v rámci některého z jejích projektů (např. online NSZ), stanoví účely zpracování společnost Scio a bližší informace o nich jsou k dispozici na webové stránce https://www.scio.cz/osobni-udaje/

V případě, že společnost Scio realizuje testování ve ScioLinku pro jinou organizaci či subjekt, pro jeho zákazníky, pak taková organizace či subjekt je správcem osobních údajů přímých účastníků testování a určuje účely zpracování osobních údajů a účastníky testování o nich informuje.

Obecně je účelem zpracování osobních údajů ve ScioLinku zajištění regulérnosti a korektnosti realizace testování a rozsah zpracovávaných údajů a způsoby zpracování pak odpovídají míře nutnosti zajistit u konkrétního testování více či méně spolehlivě, že účastníci testování nemohli podvádět, resp. nepodváděli. Další technická data (např. o typu prohlížeče, o hardwarové konfiguraci zařízení, spuštěných aplikacích a razítko data/času) jsou zpracovávána z důvodu správného fungování ScioLinku a jeho proctoringových funkcí.

Právní titul zpracovávání osobních údajů

Co nás opravňuje tyto osobní údaje zpracovávat, případně proč musíme tyto údaje zpracovávat?

Bližší informace k právním titulům zpracování osobních údajů v souvislosti s testováním, kde je správcem osobních údajů společnost Scio, jsou uvedeny podle jednotlivých projektů na webové stránce https://www.scio.cz/osobni-udaje/.

V případech, kdy společnost Scio zpracovává osobní údaje jako zpracovatel pro jiného správce, pak takto činí na základě smlouvy o zpracování osobních údajů s takovým správcem.

Doba zpracovávání osobních údajů

To, jak dlouho budou údaje zpracovávány ve ScioLinku záleží na podmínkách konkrétního projektu testování (), resp. na požadavcích správce, pro kterého společnost Scio jako zpracovatel osobní údaje ve ScioLinku zpracovává. Běžná je doba jeden měsíc ode dne realizace testování.

Způsob zpracování osobních údajů

Ověření totožnosti účastníka testování: Účastník ukáže na kameru svůj průkaz totožnosti, na obrazovce počítače pak potvrdí pořízení snímku dokladu a vybere z něj údaje, které mají být uloženy, zbývající část dokladu bude uložena rozmazaná (zcela nečitelná). Dále ScioLink uloží snímek účastníka z webkamery. Porovnání dokladu totožnosti a snímku účastníka dělá pracovník správce, pro kterého se testování realizuje (společnost Scio nebo jiný správce).

Pořízení audio a video záznamu z tzv. skenu místnosti (podle stanovených pravidel ukáže účastník na webkameru místnost, kde testování absolvuje), pořízení audio a video záznamu z průběhu zkoušky, záznam z obrazovky zařízení účastníka z průběhu zkoušky, záznam z obrazovky zařízení účastníka z průběhu zkoušky: Záznamy jsou vyhodnoceny podle pravidel nastavených pro konkrétní testování. Nejprve záznam vyhodnocuje „umělá inteligence“ ScioLinku a v záznamu označí, pokud detekuje porušení pravidel. Na základě tohoto automatického vyhodnocení může (opět dle nastavení u konkrétního testu) ScioLink účastníka testování upozornit na podezření na nějaké porušení pravidel. Jinak se podezření ukládá k záznamu a kontroluje jej pracovník správce a on pak vyhodnocuje, zda k porušení pravidel došlo či nikoliv.

Práva subjektů údajů

Každý, jehož osobní údaje jsou správcem zpracovávány (dále jen „subjekt údajů“), má následující práva. Za dítě je pak může uplatnit zákonný zástupce.

Právo na přístup

Každý má právo se dozvědět, zda jsou nebo nejsou jeho údaje zpracovávány – pokud ano, pak má právo získat přístup k těmto údajům a dále k informacím o účelech, kategoriích údajů, příjemcích, době uložení, o právu podat stížnost, o zdroji údajů (pokud nejsou od subjektu údajů), že dochází k automatizovanému rozhodování a dále má právo získat kopii těchto údajů.

Právo na informace
Správce informuje subjekty údajů o veškerých způsobech zpracování jejich osobních údajů, a to ať už jde o údaje získané od subjektu údajů, tak i v případě, že údaje získá jiným způsobem. Subjekt údajů má také právo požádat Správce o poskytnutí informace o zpracování jeho osobních údajů a Správce mu vyhoví.

Právo na opravu
Subjekt údajů má právo, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů.

Právo na výmaz
Subjekt údajů má právo, aby Správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a Správce je vymaže. Podmínkou pro výmaz však je splnění některé podmínky stanovené GDPR:

  • Osobní údaje už nejsou potřeba k účelu, ke kterému byly shromážděny.
  • Subjekt údajů odvolá souhlas a neexistuje zároveň jiný právní důvod (titul) ke zpracování.
  • Subjekt údajů vznese námitku proti zpracování a neexistuje žádný převažující důvod pro zpracování.
  • Osobní údaje jsou zpracovávány protiprávně.
  • Výmaz ukládá právní předpis.
  • Jde o údaje o dítěti shromážděné v souvislosti se službami informační společnosti.

Právo na omezení zpracování
Subjekt údajů má právo, aby Správce omezil zpracování osobních údajů, v případech stanovených GDPR (subjekt popírá přesnost údajů; zpracování je protiprávní, avšak subjekt odmítá výmaz; správce údaje nepotřebuje k původnímu účelu, ale subjekt je požaduje pro uplatnění svých nároků; subjekt údajů vznesl námitku). Zpracování údajů se v takovém případě omezí jen na jejich uložení, není-li dán souhlas subjektu s jiným zpracováním.

Právo na přenositelnost údajů
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Správce bránil. Toto právo se vztahuje na případy výslovně v GDPR uvedené, tedy pokud jsou údaje zpracovávány na základě souhlasu nebo smlouvy a zároveň pokud jsou údaje zpracovávány automatizovaně. V případě osobních údajů zpracovávaných společností Scio k takové situaci běžně nedochází.

Právo vznést námitku
Subjekt údajů má právo vznést námitku proti zpracování osobních údajů a Správce dále takové údaje nezpracovává, v případě že:

  • jde o zpracování osobních údajů nezbytné pro plnění úkolu ve veřejném zájmu nebo na něm má oprávněný zájem správce, a správce neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
  • jde o zpracování pro účely přímého marketingu.

Právo odvolat souhlas
Pokud je zpracování osobních údajů založeno na souhlasu se zpracováním osobních údajů poskytnutém subjektem údajů, má tento subjekt údajů právo tento souhlas kdykoliv odvolat.

Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Odvolání souhlasu též nemá vliv na zpracování osobních údajů, které Správce zpracovává na základě jiného právního základu, než je souhlas (tj. zejména je-li zpracování nezbytné pro splnění smlouvy, právní povinnosti či z jiných důvodů uvedených v platných právních předpisech).

Právo podat stížnost
Pokud se subjekt údajů domnívá, že došlo k porušení právních předpisů v souvislosti s ochranou jeho osobních údajů, má právo podat stížnost k Úřadu pro ochranu osobních údajů, případně žádat soudní ochranu.