Pravidla zpracování osobních údajů (GDPR)

Etická a charakterová výchova, z. ú., IČ: 286 31 650, Sídlo: Emila Pajurka 142, 739 11 Frýdlant nad Ostravicí, kontaktní údaje: klara.literova@etickavychova.cz, tel. 732 260 027

Tento dokument definuje pravidla pro Etická a charakterová výchova, z.ú (dále jen „ECHV“, nebo „Správce“) coby „Správce údajů“ pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými ECHV přijde do styku v rámci své činnosti, dále jen „Pravidla“.

Preambule

Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen
jako „GDPR“, které nabývá účinnosti 25. 5. 2018.

Správce se v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouho a stanovuje zásady zpracování osobních údajů. Pravidla také obsahují katalog práv fyzických osob v souvislosti se zpracováním jejich osobních údajů a
popisují způsob jejich výkonu.

1. Kategorie subjektů údajů ECHV

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem k ECHV především:

  • členové ECHV / Správní rady ECHV,

  • zaměstnanci,

  • dodavatelé služeb, externí spolupracovníci,

  • dobrovolníci, stážisté,

  • odběratelé, uživatelé služeb ECHV,

  • dárci…

2. Kategorie osobních údajů

Níže uvedená kategorizace údajů vychází ze struktury databáze CRM, kterou Správce používá jako klíčový
nástroj zpracování osobních údajů.

Správce zpracovává zejména obecné osobní údaje.

  • Základní

    • Identifikační: titul, jméno, příjmení, RČ (jde-li o povinný identifikátor), číslo OP/pasu

    • Kontaktní: email, tel.

    • Další: číslo účtu, IČ

  • Adresa: trvalé bydliště, adresa sídla

  • Demografické: pohlaví, datum narození/věk,

  • Vztahy: pozice v rámci ECHV, členství ve ECHV aj.

  • „HR údaje“, tj. údaje vztahující se k výkonu práce/činnosti v rámci ECHV

  • Údaje o poskytování služeb atd.

Zvláštní osobní údaje (např. o národnosti, náboženském vyznání, zdravotním stavu) zpracovává ECHV jen, je-li k tomu legitimní opodstatnění, př.

  • zpracování je nezbytné pro posouzení pracovní schopnosti zaměstnance,

  • zpracování je nezbytné pro plnění povinností správce v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a ochrany,

  • zpracování provádí ECHV sledující náboženské cíle v rámci svých oprávněných činností (zpracovává údaje o současných či bývalých členech a o osobách, s nimiž udržuje pravidelné styky v souvislosti s cíli ECHV, aniž by údaje bez souhlasu subjektu zpřístupňoval mimo ECHV),

  • zpracovává údaje zjevně zveřejněné subjektem údajů aj. (v souladu s GDPR, kap II. Čl. 9).

Správce neuchovává genetické a biometrické osobní údaje.

3. „Správce údajů“

ECHV coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je:

  • zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat,

  • spolupracovat na požádání s dozorovým úřadem,

  • ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl),

  • oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.

Zaměstnanci ECHV, kteří zpracovávají osobní údaje pro ECHV, jsou „zástupci správce“. Při zpracování údajů jsou povinni postupovat podle pokynů a interních předpisů ECHV.

V případech, kdy je ECHV spolupořadatel nějaké akce/aktivity, je správcem údajů pořadatel akce/aktivity, nikoli ECHV. ECHV v takovém případě nemá přístup k osobním údajům účastníků akce/aktivity.

4. „Zpracovatel údajů“

ECHV využívá při plnění některých svých závazků a povinností odborné a specializované služby „externích dodavatelů“ (př. účetní, správce IT systémů, pracovníci PR, specialisté v rámci poskytovaných programů ECHV – OSVČ). Tito externí dodavatelé mají postavení „zpracovatelů osobních údajů“, tedy těch, kteří zpracovávají osobní údaje pro správce, podle jeho pokynů a pravidel a nesmí je využívat jinak.

Vztah mezi správcem a zpracovatelem musí být smluvně upraven, pokud nevyplývá předání údajů z právního předpisu (např. předání dat ČSSZ). Smlouva o zpracování osobních údajů stanovuje externím dodavatelům povinnosti k ochraně a zabezpečení osobních údajů.

5. Způsob a rozsah zpracování osobních údajů

Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž v rámci činnosti ECHV standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na www.kam.cz/gdpr.

6. Zásady zpracování osobních údajů

Správce zpracovává osobní údaje v souladu s těmito zásadami:

  • Zákonnost, korektnost a transparentnost: Správce zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování.

  • Účelové omezení: Správce stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem.

  • Minimalizace údajů: Správce zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů).

  • Přesnost: Správce aktualizuje údaje a na žádost subjektu údajů provádí opravy.

  • Omezení uložení: Správce ukládá údaje pouze na dobu nezbytnou pro účel zpracování.

  • Integrita a důvěrnost: Správce organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…)

  • Odpovědnost: Správce odpovídá za dodržování výše uvedených zásad a soulad s nimi může doložit.

7. Právní základ pro zpracování osobních údajů

Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu: 

a) Zpracování je nezbytné pro

  • plnění smlouvy (např. se zaměstnancem, odběratelem služby apod…),

  • plnění právní povinnosti (např. v oblasti zdravotního a sociálního pojištění),

  • pro účely oprávněných zájmů Správce (př. kamerové systémy chránící majetek, zveřejnění fotek managementu na webu https://evops.cz),

  • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,

  • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.

b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje mohou být zpracovány jen po dobu platnosti tohoto souhlasu.

Souhlas musí být:

  • svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby),

  • doložitelný (písemný, př. zaškrtávací políčko),

  • odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.

Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

8. Práva subjektů údajů

Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Správce identifikovatelnou osobou a prokáže Správce svoji totožnost, níže uvedená práva:

  • Požadovat přístup / výpis,

  • Požadovat opravu,

  • Požadovat výmaz,

  • Požadovat omezení zpracování,

  • Požadovat výpis v přenositelném formátu,

  • Podat námitku proti zpracování,

  • Podat námitku proti automatizovanému rozhodování,

  • Podat stížnost na dozorový úřad,

  • Odvolat souhlas se zpracováním.

Upřesňující popis práv subjektu, včetně pokynů ke způsobu výkonu práv a formuláře k podání žádosti o uplatnění práv, jsou k dispozici na https://evops.cz/prohlaseni-o-och…e-osobnich-udaju/.