PRAVIDLA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (GDPR)
Rakety Žižkoff z.s., IČ: 192 47 891, Sídlo: Hartigova 151/24, Žižkov, 130 00 Praha 3, kontaktní údaje: info@raketyzikoff.cz
Tento dokument definuje pravidla Rakety Žižkoff (dále jen „Spolek“ nebo „Rakety Žižkoff“) coby „Správce údajů“ pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými Spolek přijde do styku v rámci své činnosti, dále jen „Pravidla“.
Preambule
Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen
jako „GDPR“, které nabývá účinnosti 25. 5. 2018.
Spolek v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouho a stanovuje zásady zpracování osobních údajů. Pravidla také obsahují katalog práv fyzických osob v souvislosti se zpracováním jejich osobních údajů a
popisují způsob jejich výkonu.
1. Kategorie subjektů údajů Spolku Rakety Žižkoff
Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem ke spolku Rakety Žižkoff především:
- členové spolku Rakety Žižkoff / Správní rady Rakety Žižkoff,
- zaměstnanci,
- dodavatelé služeb, externí spolupracovníci,
- dobrovolníci, stážisté,
- odběratelé, uživatelé služeb Rakety Žižkoff
- dárci…
2. Kategorie osobních údajů
Níže uvedená kategorizace údajů vychází ze struktury databáze CRM, kterou Spolek používá jako klíčový
nástroj zpracování osobních údajů.
Spolek zpracovává zejména obecné osobní údaje.
- Základní
- Identifikační: titul, jméno, příjmení, RČ (jde-li o povinný identifikátor), číslo OP/pasu
- Kontaktní: email, tel.
- Další: číslo účtu, IČ
- Adresa: trvalé bydliště, adresa sídla
- Demografické: pohlaví, datum narození/věk,
- Vztahy: pozice v rámci Rakety Žižkoff, členství ve Spolku Rakety Žižkoff aj.
- „HR údaje“, tj. údaje vztahující se k výkonu práce/činnosti v rámci Spolku
- Údaje o poskytování služeb atd.
Zvláštní osobní údaje (např. o národnosti, náboženském vyznání, zdravotním stavu) zpracovává Spolek Rakety Žižkoff jen, je-li k tomu legitimní opodstatnění, př.
- zpracování je nezbytné pro posouzení pracovní schopnosti zaměstnance,
- zpracování je nezbytné pro plnění povinností správce v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a ochrany,
- zpracování provádí Spolek sledující náboženské cíle v rámci svých oprávněných činností (zpracovává údaje o současných či bývalých členech a o osobách, s nimiž udržuje pravidelné styky v souvislosti s cíli Spolku, aniž by údaje bez souhlasu subjektu zpřístupňoval mimo Spolek),
- zpracovává údaje zjevně zveřejněné subjektem údajů aj. (v souladu s GDPR, kap II. Čl. 9).
Spolek Rakety Žižkoff neuchovává genetické a biometrické osobní údaje.
3. „Správce údajů“
Spolek Rakety Žižkoff coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je:
- zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat,
- spolupracovat na požádání s dozorovým úřadem,
- ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl),
- oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.
Zaměstnanci Spolku, kteří zpracovávají osobní údaje pro Spolek, jsou „zástupci správce“. Při zpracování údajů jsou povinni postupovat podle pokynů a interních předpisů Spolku.
V případech, kdy je Rakety Žižkoff spolupořadatel nějaké akce/aktivity (např. kempu), je správcem údajů pořadatel akce/aktivity, nikoli Rakety Žižkoff. Rakety Žižkoff v takovém případě nemá přístup k osobním údajům účastníků akce/aktivity.
4. „Zpracovatel údajů“
Spolek Rakety Žižkoff využívá při plnění některých svých závazků a povinností odborné a specializované služby „externích dodavatelů“ (př. účetní, správce IT systémů, pracovníci PR, specialisté v rámci poskytovaných programů Spolku – OSVČ). Tito externí dodavatelé mají postavení „zpracovatelů osobních údajů“, tedy těch, kteří zpracovávají osobní údaje pro správce, podle jeho pokynů a pravidel a nesmí je využívat jinak.
Vztah mezi správcem a zpracovatelem musí být smluvně upraven, pokud nevyplývá předání údajů z právního předpisu (např. předání dat ČSSZ). Smlouva o zpracování osobních údajů stanovuje externím dodavatelům povinnosti k ochraně a zabezpečení osobních údajů.
5. Způsob a rozsah zpracování osobních údajů
Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž v rámci činnosti Spolku standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na https://raketyzizkoff.cz/gdpr
6. Zásady zpracování osobních údajů
Spolek zpracovává osobní údaje v souladu s těmito zásadami:
- Zákonnost, korektnost a transparentnost: Spolek zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování.
- Účelové omezení: Spolek stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem.
- Minimalizace údajů: Spolek zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů).
- Přesnost: Spolek aktualizuje údaje a na žádost subjektu údajů provádí opravy.
- Omezení uložení: Spolek ukládá údaje pouze na dobu nezbytnou pro účel zpracování.
- Integrita a důvěrnost: Spolek organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…)
- Odpovědnost: Spolek odpovídá za dodržování výše uvedených zásad a soulad s nimi může doložit.
7. Právní základ pro zpracování osobních údajů
Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu:
a) Zpracování je nezbytné pro
- plnění smlouvy (např. se zaměstnancem, odběratelem služby apod…),
- plnění právní povinnosti (např. v oblasti zdravotního a sociálního pojištění),
- pro účely oprávněných zájmů Správce (př. kamerové systémy chránící majetek, zveřejnění fotek managementu na webu Spolku),
- pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.
b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje mohou být zpracovány jen po dobu platnosti tohoto souhlasu.
Souhlas musí být:
- svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby),
- doložitelný (písemný, př. zaškrtávací políčko),
- odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.
Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
8. Práva subjektů údajů
Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Spolek Rakety Žižkoff identifikovatelnou osobou a prokáže Spolku svoji totožnost, níže uvedená práva:
- Požadovat přístup / výpis,
- Požadovat opravu,
- Požadovat výmaz,
- Požadovat omezení zpracování,
- Požadovat výpis v přenositelném formátu,
- Podat námitku proti zpracování,
- Podat námitku proti automatizovanému rozhodování,
- Podat stížnost na dozorový úřad,
- Odvolat souhlas se zpracováním.