PRAVIDLA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (GDPR)

Rakety Žižkoff z.s., IČ: 192 47 891, Sídlo: Hartigova 151/24, Žižkov, 130 00 Praha 3, kontaktní údaje: info@raketyzikoff.cz

Tento dokument definuje pravidla Rakety Žižkoff (dále jen „Spolek“ nebo „Rakety Žižkoff“) coby „Správce údajů“ pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými Spolek přijde do styku v rámci své činnosti, dále jen „Pravidla“.

Preambule

Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen
jako „GDPR“, které nabývá účinnosti 25. 5. 2018.

Spolek v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouho a stanovuje zásady zpracování osobních údajů. Pravidla také obsahují katalog práv fyzických osob v souvislosti se zpracováním jejich osobních údajů a
popisují způsob jejich výkonu.

1. Kategorie subjektů údajů Spolku Rakety Žižkoff

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem ke spolku Rakety Žižkoff především:

  • členové spolku Rakety Žižkoff / Správní rady Rakety Žižkoff,
  • zaměstnanci,
  • dodavatelé služeb, externí spolupracovníci,
  • dobrovolníci, stážisté,
  • odběratelé, uživatelé služeb Rakety Žižkoff
  • dárci…

2. Kategorie osobních údajů

Níže uvedená kategorizace údajů vychází ze struktury databáze CRM, kterou Spolek používá jako klíčový
nástroj zpracování osobních údajů.

Spolek zpracovává zejména obecné osobní údaje.

  • Základní
    • Identifikační: titul, jméno, příjmení, RČ (jde-li o povinný identifikátor), číslo OP/pasu
    • Kontaktní: email, tel.
    • Další: číslo účtu, IČ
  • Adresa: trvalé bydliště, adresa sídla
  • Demografické: pohlaví, datum narození/věk,
  • Vztahy: pozice v rámci Rakety Žižkoff, členství ve Spolku Rakety Žižkoff aj.
  • „HR údaje“, tj. údaje vztahující se k výkonu práce/činnosti v rámci Spolku
  • Údaje o poskytování služeb atd.

Zvláštní osobní údaje (např. o národnosti, náboženském vyznání, zdravotním stavu) zpracovává Spolek Rakety Žižkoff jen, je-li k tomu legitimní opodstatnění, př.

  • zpracování je nezbytné pro posouzení pracovní schopnosti zaměstnance,
  • zpracování je nezbytné pro plnění povinností správce v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a ochrany,
  • zpracování provádí Spolek sledující náboženské cíle v rámci svých oprávněných činností (zpracovává údaje o současných či bývalých členech a o osobách, s nimiž udržuje pravidelné styky v souvislosti s cíli Spolku, aniž by údaje bez souhlasu subjektu zpřístupňoval mimo Spolek),
  • zpracovává údaje zjevně zveřejněné subjektem údajů aj. (v souladu s GDPR, kap II. Čl. 9).

Spolek Rakety Žižkoff neuchovává genetické a biometrické osobní údaje.

3. „Správce údajů“

Spolek Rakety Žižkoff coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je:

  • zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat,
  • spolupracovat na požádání s dozorovým úřadem,
  • ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl),
  • oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.

Zaměstnanci Spolku, kteří zpracovávají osobní údaje pro Spolek, jsou „zástupci správce“. Při zpracování údajů jsou povinni postupovat podle pokynů a interních předpisů Spolku.

V případech, kdy je Rakety Žižkoff spolupořadatel nějaké akce/aktivity (např. kempu), je správcem údajů pořadatel akce/aktivity, nikoli Rakety Žižkoff. Rakety Žižkoff v takovém případě nemá přístup k osobním údajům účastníků akce/aktivity.

4. „Zpracovatel údajů“

Spolek Rakety Žižkoff využívá při plnění některých svých závazků a povinností odborné a specializované služby „externích dodavatelů“ (př. účetní, správce IT systémů, pracovníci PR, specialisté v rámci poskytovaných programů Spolku – OSVČ). Tito externí dodavatelé mají postavení „zpracovatelů osobních údajů“, tedy těch, kteří zpracovávají osobní údaje pro správce, podle jeho pokynů a pravidel a nesmí je využívat jinak.

Vztah mezi správcem a zpracovatelem musí být smluvně upraven, pokud nevyplývá předání údajů z právního předpisu (např. předání dat ČSSZ). Smlouva o zpracování osobních údajů stanovuje externím dodavatelům povinnosti k ochraně a zabezpečení osobních údajů.

5. Způsob a rozsah zpracování osobních údajů

Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž v rámci činnosti Spolku standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na https://raketyzizkoff.cz/gdpr

6. Zásady zpracování osobních údajů

Spolek zpracovává osobní údaje v souladu s těmito zásadami:

  • Zákonnost, korektnost a transparentnost: Spolek zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování.
  • Účelové omezení: Spolek stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem.
  • Minimalizace údajů: Spolek zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů).
  • Přesnost: Spolek aktualizuje údaje a na žádost subjektu údajů provádí opravy.
  • Omezení uložení: Spolek ukládá údaje pouze na dobu nezbytnou pro účel zpracování.
  • Integrita a důvěrnost: Spolek organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…)
  • Odpovědnost: Spolek odpovídá za dodržování výše uvedených zásad a soulad s nimi může doložit.

7. Právní základ pro zpracování osobních údajů

Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu: 

a) Zpracování je nezbytné pro

  • plnění smlouvy (např. se zaměstnancem, odběratelem služby apod…),
  • plnění právní povinnosti (např. v oblasti zdravotního a sociálního pojištění),
  • pro účely oprávněných zájmů Správce (př. kamerové systémy chránící majetek, zveřejnění fotek managementu na webu Spolku),
  • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.

b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje mohou být zpracovány jen po dobu platnosti tohoto souhlasu.

Souhlas musí být:

  • svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby),
  • doložitelný (písemný, př. zaškrtávací políčko),
  • odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.

Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

8. Práva subjektů údajů

Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Spolek Rakety Žižkoff identifikovatelnou osobou a prokáže Spolku svoji totožnost, níže uvedená práva:

  • Požadovat přístup / výpis,
  • Požadovat opravu,
  • Požadovat výmaz,
  • Požadovat omezení zpracování,
  • Požadovat výpis v přenositelném formátu,
  • Podat námitku proti zpracování,
  • Podat námitku proti automatizovanému rozhodování,
  • Podat stížnost na dozorový úřad,
  • Odvolat souhlas se zpracováním.