Ochrana osobních údajů ve spolku Cordatum Praha, z.s.
(vnitřní směrnice)
I. Účel a závaznost Směrnice
- Účelem a cílem této vnitřní směrnice (dále též jen „Směrnice“) spolku Cordatum Praha, z.s., IČO: 22868208, DIČ CZ22868208, se sídlem Písecká 9/1968, Praha 3, PSČ 130 00, zapsaného v oddíle L, vložce 21575, spolkového rejstříku vedeného u Městským soudem v Praze (dále jen „Spolek“) je stanovit jednotná pravidla ochrany osobních údajů zaměstnanců Spolku, členů Spolku a osob spolupracující se Spolkem, jakož i ostatních fyzických osob, jejichž osobní údaje Spolek v rámci své činnosti (např. provozování internetových stránek www.poradna-lasky.cz) nebo v souvislosti s ní zpracovává ve smyslu dotčených právních předpisů vztahujících se k ochraně osobních údajů.
- Tato Směrnice je zpracována a vydávána v souladu s dotčenými právními předpisy, zejména v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisu (dále jen „Zákon“), a v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - dále též jen „Obecné nařízení“.
- Tato Směrnice popisuje zejména návaznost vnitřních procesů v rámci Spolku při uplatňování systému ochrany osobních údajů ve Spolku, stanovuje příslušné odpovědností vztahy v souvislosti s ochranou osobních údajů, deleguje působnost dotčených členů Spolku v oblasti ochrany osobních údajů.
- Tato Směrnice je vydána pro zajištění shody ochrany osobních údajů ve Spolku s požadavky Obecného nařízení. Cílem této Směrnice je tak zajistit soulad zpracování osobních údajů a jejich ochranu ve Spolku s Obecným nařízením.
II. Odpovědnost a působnost dotčených osob v oblasti ochrany Osobních údajů
- Spolek deklaruje, že ochrana Osobních údajů všech fyzických osob přímo či nepřímo spolupracujících se Spolkem patří mezi základní a stěžejní priority Spolku a Spolek považuje v tomto kontextu za zásadní zejména vytvořit, dokumentovat, uplatňovat a udržovat systém řízení Osobních údajů fyzických osob s cílem zachovávat jejich důvěrnost a ochránit zájmy dotčených fyzických osob, jakožto i jejich práva i svobody, to vše v intencích dotčených právních předpisů, zejm. Zákona a Obecného nařízení.
- Za zákonnost zpracování Osobních údajů v souladu s dotčenými právními předpisy odpovídá Rada spolku
- Správcem Osobních údajů, které Spolek zpracovává v rámci své podnikatelské činnosti nebo v souvislosti s ní, je ve vztahu k Úřadu pro ochranu osobních údajů (dále jen „Dozorový orgán“) vždy Spolek.
- Garantem ochrany Osobních údajů ve Spolku je stanovena paní Ivana Pospíšilová, místopředseda Spolku (dále jen „Garant“).
- Zákonné důvody pro zpracování Osobních údajů nelze kombinovat, ani zaměňovat. Za správnost určení právního základu pro zpracování Osobních údajů odpovídá Garant.
- Kontaktní osobou pro všechny Subjekty je pro oblast ochrany Osobních údajů v rámci Spolku – Garant, a to na, e-mailu: info@cordatum.cz
III. Zásady zpracování osobních údajů ve Spolku
- Veškeré zapracování osobních údajů, které Spolek provádí je založeno na současném splnění následujících zásad zpracování osobních údajů:
- zákonnosti, korektnosti a transparentnosti,
- účelového omezení,
- minimalizace údajů,
- přesnosti,
- omezení uložení,
- integrity a důvěrnosti,
- odpovědnosti.
- S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování osobních údajů (dále jen „Osobní údaje“), jakož i k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektu ochrany osobních údajů (dále jen „Subjekt“) zavedl Spolek (jako správce Osobních údajů) odpovídající vhodná a přiměřená technická i organizační opatření tak, aby zajistil a případně oprávněným subjektům bez dalšího doložil, že zpracování Osobních údajů je prováděno v souladu s dotčenými právními předpisy, zejm. s Obecným nařízením.
- Pokud tvoří souhlas Subjektu právní základ pro zpracování Osobních údajů ze strany Spolku (jako správce Osobních údajů), odpovídá Garant za evidenci formálně i věcně správného, písemného nebo jinak prokazatelného souhlasu Subjektu, tj. ve formě a s obsahem dle Obecného nařízení.
- V případech, pokud bude zákonnost zpracování Osobních údajů založena na souhlasu Subjektu, pak veškeré souhlasy dotčených Subjektů se zpracováním jejich Osobních údajů budou (musí být) uděleny formou písemného prohlášení dotčeného Subjektu založeného na jednoduchosti, srozumitelnosti, pochopitelnosti, dostupnosti, transparentnosti, odvolatelnosti a dalších potřebných zásadách, které Subjektu zcela umožní pochopit veškeré aspekty vyjádření souhlasu a možných následků tohoto právního jednání ve vztahu ke Spolku (jako správci Osobních údajů.
- V mimořádném případě může být souhlas Subjektu součástí jiného dokumentu (např. obchodních podmínek, smlouvy apod.), pokud takovým postupem nebudou dotčeny zásady, na kterých je poskytnutí příslušného souhlasu ze strany Subjektu založeno.
- Současně, při stanovení formálního i věcného obsahu souhlasu Subjektu se zpracování Osobních údajů, musí být stanovena i adekvátní možnost odvolání souhlasu Subjektu se zpracováním Osobních údajů. Pro odvolání souhlasu Subjektu se zpracování Osobních údajů vždy platí, že odvolání souhlasu musí být stejně snadné, jako jeho udělení.
- Provádí-li se zpracování Osobních údajů osoby mladší 16 let, Spolek musí před zahájením zpracováním Osobních údajů osoby mladší 16 let zajistit příslušný rodičovský souhlas.
- Spolek nezpracovává žádné zvláštní kategorie Osobních údajů.
- Spolek neprovádí Profilování a automatizované individuální rozhodování.
- Spolek může zpracovávat Osobní údaje pro jiného správce nebo naopak může zajistit zpracování Osobních údajů u jiné zpracovatele nebo subzpracovatele.
- Vždy musí být zajištěno smluvní pokrytí oblasti Osobních údajů mezi správcem a zpracovatelem smluvně. Smluvní vztah musí obsahovat minimálně:
- zákonnosti, korektnosti a transparentnosti,
- předmět a dobu trvání zpracování Osobních údajů,
- povahu a účel zpracování Osobních údajů,
- typ Osobních údajů,
- kategorie Subjektů,
- povinnost ohlašovat správci porušení zabezpečení Osobních údajů,
- ostatní povinnosti a práva, zejména:
- zákaz předání Osobních údajů do třetí země nebo mezinárodní organizaci,
- závazek mlčenlivosti,
- oznamovací/ schvalovací povinnost pro zapojení subzpracovatele,
- povinnost vymazat Osobní údaj vč. jejich kopií a replikací po ukončení zpracování,
- závazek umožnit součinnost při kontrole, auditu, inspekci nebo jiného úkon správce, auditora nebo Dozorového úřadu.
- V případě, pokud by obsahem smlouvy o zpracování Osobních údajů mělo být rovněž předávání Osobních údajů do třetích zemí, musí obsah smlouvy odpovídat dotčeným ustanovením Obecného nařízení (zejm. Kapitola V. čl. 44 a násl. Obecného nařízení) s tím, že v rámci vypracování takové smlouvy lze využit standardní smluvní doložky EU pro předávání Osobních údajů doporučených v rozhodnutí Komisí EU (např. rozhodnutí Komise 2010/87/EU o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES).
- Identifikaci Subjektů a kategorií Osobních údajů zpracovávané v rámci konkrétní agendy zajišťuje příslušný Garant. Garant také odpovídá za její aktuálnost, úplnost, zákonnost, korektnost, a transparentnost včetně stanovení doby nezbytné k uložení resp. zpracovávání Osobních údajů.
- Při vzniku nové potřeby zpracovávání Osobních údajů, tj. změny či rozšíření identifikace Subjektů či kategorií Osobních údajů, Garant zajistí odpovídající implementaci takových změn do příslušné dokumentace včetně dotčených vnitřních předpisů Spolku. Garant rovněž zajistí odpovídající implementaci ve spolupráci s provozovatelem informačních a telekomunikačních technologií (dále jen „ICT“).
Souhlas Subjektu se zpracováním Osobních údajů
Podmínky souhlasu Subjektu se zpracováním Osobních údajů
Zpracování zvláštních kategorií Osobních údajů
Profilování Subjektů a automatizované individuální rozhodování
Zpracování Osobních údajů pro jiného správce nebo u zpracovatele
Identifikace Subjektů a zpracování Osobních údajů
IV. Vedení dokumentace o činnostech zpracování Osobních údajů
- Spolek vede dokumentaci o činnostech zpracování Osobních údajů (dále jen „Dokumentace“).
- Obsahem Dokumentace jsou následující základní parametry (údaje):
- přehled vedených Osobních údajů (rodné číslo, jméno, příjmení, bydliště apod.),
- účel, časové lhůty a zákonnost pro zpracovávání vedených Osobních údajů,
- kategorie Subjektů (např. zaměstnanci, návštěvníci,….),
- informace o předávní Osobních údajů třetím stranám nebo dalším zpracovatelům.
- Spolek bude zajišťovat průběžnou aktualizaci Dokumentace, a to nejméně 1x za 6 měsíců.
- Za aktuálnost a správnost Dokumentace odpovídá Garant. Garant je rovněž povinen neprodleně iniciovat aktualizaci Dokumentace, kdykoliv vyjde potřeba aktualizace Dokumentace najevo.
- Účelem je rovněž dokladování a prokazování shody realizovaného systému ochrany Osobních údajů s požadavky Obecného nařízení a to jak k Subjektům, tak i k ostatním zainteresovaným stranám.
V. Poskytování informací a přístup k Osobním údajům
- Veškeré informace, které Spolek poskytuje Subjektům, jsou založeny na současném splnění zásad:
- stručnosti,
- transparentnosti,
- srozumitelnosti,
- snadné přístupnosti,
- jasných a jednoduchých jazykových prostředků.
- Spolek poskytne všechny povinné informace v oblasti ochrany Osobních údajů výhradně na žádost dotčeného Subjektu. Pro komunikaci se Subjektem a poskytování informací je preferována písemná forma, za níž se ve vhodných případech považuje i forma elektronická (e-mail). Po prokazatelném ověření identity Subjektu a ve výjimečných případech mohou být tyto informace poskytovány i ústně.
- Subjekt se v případě jakéhokoliv požadavku na Spolek v oblasti ochrany Osobních údajů, například získání informací jaké Osobní údaje dotčeného Subjektu Spolek zpracovává apod., vždy obrátí na Kontaktní osobu.
- Další možností je odesílání příslušného požadavku elektronickou poštou na adresu: info@cordatum.cz. Součástí požadavku musí být i kontakt na dotčený Subjekt.
- Veškerá sdělení a vyjádření k uplatněným požadavkům budou Subjektům ze strany Spolku poskytnuty bezplatně. Pokud by však požadavek Subjektu byl zjevně neodůvodněný nebo nepřiměřený, zejména proto, že by se bezdůvodně opakoval, je Spolek oprávněn Subjektu účtovat přiměřený poplatek zohledňující administrativní náklady Spolku spojené s poskytnutím požadovaných informací.
- Subjekt obdrží požadované informace na formuláři označeném jako „Informace o zpracování Osobních údajů“, jehož závazný vzor (bez vyplnění konkrétních údajů) tvoří přílohu č. 1 této Směrnice, a to nejpozději do 1 kalendářního měsíce ode dne doručení příslušného požadavku v souladu s touto Směrnicí. Lhůtu je Spolek oprávněn v případě potřeby a s ohledem na složitost a počet žádostí prodloužit až o dva měsíce. O prodloužení, včetně uvedení důvodů, bude vždy Subjekt informován.
VI. Práva a povinnosti Subjektů
- Spolek deklaruje zajišťování práv na ochranu osobních údajů jako jeden ze základních aspektů systémového přístupu Spolku (jako správce osobních údajů) k ochraně Osobních údajů.
- Subjekt má v souvislosti se zpracováním jeho Osobních údajů zejména následující práva, nevyplývá – li z dotčených právních předpisů něco jiného:
- přístup k vlastním Osobním údajům.
- opravu vlastních Osobních údajů.
- výmaz vlastních Osobních údajů.
- omezení zpracování vlastních Osobních údajů.
- přenositelnost vlastních Osobních údajů.
- vznést námitku na zpracování vlastních Osobních údajů.
- podat stížnost u Dozorového orgánu nebo žalobu u příslušného soudu, pokud se domnívá, že jeho Osobní údaje jsou zpracovávány neoprávněně.
- Spolek informuje Subjekt na jeho žádost podanou v souladu s touto Směrnicí o zpracování jeho Osobních údajů. Součástí informace je:
- účely zpracování Osobních údajů;
- kategorie dotčených Osobních údajů;
- příjemci nebo kategorie příjemců, kterým Osobní údaje byly nebo budou zpřístupněny,
- plánovaná doba, po kterou budou Osobní údaje uloženy.
- Subjekt má právo na to, aby Spolek bez zbytečného odkladu opravil nepřesné Osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má Subjekt právo na doplnění neúplných Osobních údajů, a to i poskytnutím dodatečného prohlášení.
- Subjekt má však za povinnost poskytovat Spolku pouze pravdivé a aktuální Osobní údaje a bezodkladně ohlásit Spolku změnu všech svých poskytnutých Osobních údajů.
- Subjekt má právo na to, aby Spolek bez zbytečného odkladu vymazal Osobní údaje, které se daného Subjektu týkají, a Spolek má povinnost Osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
- Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- Subjekt odvolá souhlas, na jehož základě byly Osobní údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
- Subjekt vznese námitky proti zpracování Osobních údajů a neexistují žádné převažující oprávněné důvody pro zpracování;
- Osobní údaje byly zpracovány protiprávně;
- Osobní údaje údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na Spolek vztahuje;
- Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 Obecného nařízení.
- Pokud Subjekt uplatní právo na výmaz vlastních Osobních údajů, tak Spolek bez zbytečného odkladu posoudí relevantnost takového požadavku (zejm. ve vztahu existenci jiných zákonných předpokladů pro zpracování Osobních údajů), přičemž Spolek nemusí výmaz provést, pokud je zpracování Osobních údajů, které Subjekt požaduje vymazat, nezbytné:
- pro výkon práva na svobodu projevu a informace;
- pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na Spolek vztahuje;
- z důvodů veřejného zájmu v oblasti veřejného zdraví;
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely;
- pro určení, výkon nebo obhajobu právních nároků.
- V případě oprávněnosti požadavku Subjektu na výmaz jeho Osobních údajů Spolek provede výmaz těchto Osobních údajů, a to včetně jejich kopií a replik. O výsledku bude Subjekt opět řádně informován.
- Další podrobnosti vztahující se k právu Subjektu na výmaz jeho Osobních údajů jsou obsaženy v čl. 17 Obecného nařízení.
- Subjekt má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování Osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f) Obecného nařízení.
- Spolek po dobu vyřizování vznesené námitky omezí zpracování Osobních údajů, pokud Subjekt popírá jejich přesnost anebo vznesl námitku proti jejich zpracování, a to na dobu potřebnou k tomu, aby mohl přesnost Osobních údajů ověřit nebo dokud nebude ověřeno, zda oprávněné důvody Spolku převažují nad oprávněnými důvody dotčeného Subjektu.
- Spolek neuplatňuje žádné metody přímého marketingu, Profilování ani zcela automatizovaného zpracování a tak případné námitky Subjektu směřující do těchto oblastí nemohou být relevantní.
- O výsledku vyřízení vznesené námitky bude Subjekt ze strany Spolek opět řádně informován.
- Další podrobnosti vztahující se k právu Subjektu vznést námitku jsou obsaženy v čl. 21 Obecného nařízení.
- Subjekt má právo na to, aby Spolek omezil zpracování jeho Osobních údajů, v kterémkoli z těchto případů:
- Subjekt popírá přesnost Osobních údajů, a to na dobu potřebnou k tomu, aby Spolek mohl přesnost Osobních údajů ověřit;
- zpracování je protiprávní a Subjekt odmítá výmaz Osobních údajů a žádá místo toho o omezení jejich použití;
- Spolek již Osobní údaje nepotřebuje pro účely zpracování, ale Subjekt je požaduje pro určení, výkon nebo obhajobu právních nároků;
- Subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Spolku převažují nad oprávněnými důvody Subjektu.
- Další podrobnosti vztahující se k právu Subjektů na omezení zpracování Osobních údajů jsou obsaženy v čl. 18 Obecného nařízení.
- Subjekt má právo získat Osobní údaje, které se ho týkají, jež poskytl Spolku ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Spolek, kterému byly Osobní údaje poskytnuty, bránil, a to v případě, že:
- zpracování je založeno na souhlasu Subjektu nebo na smlouvě jejímž účastníkem je Subjekt; a
- zpracování se provádí automatizovaně.
- Při výkonu svého práva na přenositelnost údajů má Subjekt právo na to, aby Osobní údaje byly předány přímo Spolkem správci, je-li to technicky proveditelné.
- Spolek si vyhrazuje právo nepřenést Osobní údaje v případě, že se datový soubor Osobních údajů týká více Subjektů a byla by tím dotčena jejich práva a svobody.
- V případě, pokud bude Spolek požádán nebo vyzván k převzetí Osobních údajů od jiného správce, rozhodne Garant o akceptování tohoto požadavku. V případě odmítnutí Garant informuje Subjekt o zamítnutí žádosti a toto rozhodnutí je považováno za konečné.
- Další podrobnosti vztahující se k právu Subjektu na přenositelnost Osobních údajů jsou obsaženy v čl. 20 Obecného nařízení.
Právo Subjektu na přístup k vlastním Osobním údajům
Právo Subjektu na opravu vlastních Osobních údajů
Právo Subjektu na výmaz vlastních Osobních údajů
Právo Subjektů vznést námitku
Právo Subjektu na omezení zpracování Osobních údajů
Právo Subjektu na přenositelnost vlastních Osobních údajů
VII. Zabezpečení/ochrana Osobních údajů
- Spolek přijal a realizoval v oblasti ochrany Osobních údajů bezpečnostní opatření odpovídající povaze, rozsahu, kontextu, účelům zpracování i rizikům pro práva a svobody Subjektů související s ochranou Osobních údajů.
- Veškerá opatření Spolku budou průběžně testována a revidována pro celý životní cyklus existence Osobních údajů, tzn., jak pro dobu před zpracováním Osobních údajů, tak pro dobu samotného zpracování Osobních údajů.
- Stanovená technická a organizační opatření Spolku zajišťují, aby se zpracovávaly pouze Osobní údaje, jež jsou pro konkrétní účel daného zpracování nezbytné a to jak v množství shromážděných Osobních údajů, tak i v rozsahu zpracování Osobních údajů, době uložení Osobních údajů a zajištění dostupnosti Osobních údajů.
- Pro zajištění důvěrnosti, integrity, dostupnosti Osobních údajů, odolnosti systémů a služeb zpracování Osobních údajů je zajištěna aplikace řady bezpečnostních opatření, a to zejména:
- Identifikace uživatele prostřednictvím loginu a hesla;
- Umístění klíčových systémů do režimových pracovišť (zabezpečené prostory);
- Řízení přístupu ke konkrétní službám ICT;
- Omezení uživatelský práv na koncových stanicích (instalace aplikací, přístup na periferie);
- Pravidelná aktualizace systémů a implementace výrobcem vydaných oprav;
- Ochrana perimetru LAN do internetu firewallem;
- Implementovaná politika zálohování a obnovy systémů ze záloh;
- Bezpečnostní standard provozování IT.
- Veškerou komunikaci s Dozorovým orgánem, popř. jakýmkoliv jiným dozorujícím orgánem v oblasti ochrany Osobních údajů, zajišťuje Garant, který zároveň organizuje a koordinuje případnou spolupráci pracovníků Spolku s Dozorovým orgánem.
- Spolupráce s Dozorovým orgánem může představovat součinnost při kontrolní a dozorové činnosti nebo dotazování a konzultace z iniciativy Spolku. Konzultace Spolku vyplývající z DPIA nejsou realizovány.
- V případě vzniku jakéhokoli porušení zabezpečení Osobních údajů oznámí Garant bezpečnostní incident Dozorovému orgánu a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl. Oznámení Garant neprovádí v případě, že je jisté, že porušení zabezpečení nemá za následek riziko pro práva a svobody Subjektu.
- Další podrobnosti vztahující se k ohlašování bezpečnostních incidentů jsou obsaženy v čl. 33 Obecného nařízení.
- Oznámení porušení zabezpečení Osobních údajů se realizuje pouze v případě, že Garant vyhodnotí následek jako vysoké riziko pro práva a svobody Subjektu a pokud:
- již nebyla zavedena potřebná technická a organizační ochranná opatření,
- správce dosud nepřijal následná nápravná a preventivní opatření, která zajistí, že se vysoké riziko již neprojeví,
- oznámení nevyžaduje nepřiměřené úsilí (v tomto případě postačuje veřejné oznámení nebo podobné opatření).
- Další podrobnosti vztahující se k oznamování případů porušení zabezpečení Osobních údajů jsou obsaženy v čl. 34 Obecného nařízení.
Spolupráce s Dozorovým orgánem, vč. ohlašování bezpečnostních incidentů
Oznámení případů porušení zabezpečení Osobních údajů
VIII. Ostatní
- Spolek neprovádí zpracování Osobních údajů, které vyžaduje DPIA – Posouzení vlivu na ochranu osobních údajů. Z tohoto titulu nejsou prováděny ani konzultace výstupů DPIA s Dozorovým orgánem.
- Spolek neustanovuje funkci DPO - Pověřence pro ochranu osobních údajů.
- Spolek v rámci žádné z činností zpracování nepředává Osobní údaje třetím stranám, tzn. do zemí mimo EU, ani mezinárodním organizacím.
- Smluvním ujednáním se zákaz této činnosti vztahuje i na veškeré zpracovatele a subzpracovatele.
- Spolek nejmenoval žádného zástupce, který by byl usazený mimo EU.
Posouzení vlivu na ochranu Osobních údajů a konzultace s Dozorovým orgánem
Pověřenec pro ochranu osobních údajů
Předávání Osobních údajů třetím stranám mimo EU
IX. Závěrečná ustanovení
- Tato Směrnice byla zpracována dle platných a účinných právních předpisů v oblasti ochrany osobních údajů.
- Nedílnou součást této Směrnice tvoří Příloha č. 1 obsahující závazný vzor Informace o zpracování osobních údajů.
- Tato Směrnice nabývá účinnosti dne 25. 5. 2018.
. . .