Pravidla zpracování osobních údajů (GDPR)

Křesťanská akademie mladých, z.s., IČ: 669 32 840, Sídlo: Emila Pajurka 142, 739 11 Frýdlant nad Ostravicí, kontaktní údaje: kam@kam.cz, tel. 737 140 434

Tento dokument definuje pravidla Křesťanské akademie mladých, z.s (dále jen „Spolek“ nebo „KAM“) coby „Správce údajů“ pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými Spolek přijde do styku v rámci své činnosti, dále jen „Pravidla“.

Preambule

Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen
jako „GDPR“, které nabývá účinnosti 25. 5. 2018.

Spolek v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouho a stanovuje zásady zpracování osobních údajů. Pravidla také obsahují katalog práv fyzických osob v souvislosti se zpracováním jejich osobních údajů a
popisují způsob jejich výkonu.

1. Kategorie subjektů údajů Spolku KAM

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem ke spolku KAM především:

  • členové spolku KAM / Správní rady KAM,
  • zaměstnanci,
  • dodavatelé služeb, externí spolupracovníci,
  • dobrovolníci, stážisté,
  • odběratelé, uživatelé služeb KAM, vč. KC Malenovice,
  • dárci…

2. Kategorie osobních údajů

Níže uvedená kategorizace údajů vychází ze struktury databáze CRM, kterou Spolek používá jako klíčový
nástroj zpracování osobních údajů.

Spolek zpracovává zejména obecné osobní údaje.

  • Základní
    • Identifikační: titul, jméno, příjmení, RČ (jde-li o povinný identifikátor), číslo OP/pasu
    • Kontaktní: email, tel.
    • Další: číslo účtu, IČ
  • Adresa: trvalé bydliště, adresa sídla
  • Demografické: pohlaví, datum narození/věk,
  • Vztahy: pozice v rámci KAM, členství ve Spolku KAM aj.
  • „HR údaje“, tj. údaje vztahující se k výkonu práce/činnosti v rámci Spolku
  • Údaje o poskytování služeb atd.

Zvláštní osobní údaje (např. o národnosti, náboženském vyznání, zdravotním stavu) zpracovává Spolek KAM jen, je-li k tomu legitimní opodstatnění, př.

  • zpracování je nezbytné pro posouzení pracovní schopnosti zaměstnance,
  • zpracování je nezbytné pro plnění povinností správce v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a ochrany,
  • zpracování provádí Spolek sledující náboženské cíle v rámci svých oprávněných činností (zpracovává údaje o současných či bývalých členech a o osobách, s nimiž udržuje pravidelné styky v souvislosti s cíli Spolku, aniž by údaje bez souhlasu subjektu zpřístupňoval mimo Spolek),
  • zpracovává údaje zjevně zveřejněné subjektem údajů aj. (v souladu s GDPR, kap II. Čl. 9).

Spolek KAM neuchovává genetické a biometrické osobní údaje.

3. „Správce údajů“

Spolek KAM coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je:

  • zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat,
  • spolupracovat na požádání s dozorovým úřadem,
  • ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl),
  • oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.

Zaměstnanci Spolku, kteří zpracovávají osobní údaje pro Spolek, jsou „zástupci správce“. Při zpracování údajů jsou povinni postupovat podle pokynů a interních předpisů Spolku.

V případech, kdy je KAM spolupořadatel nějaké akce/aktivity (např. kempu, Fusion sboru), je správcem údajů pořadatel akce/aktivity, nikoli KAM. KAM v takovém případě nemá přístup k osobním údajům účastníků akce/aktivity.

4. „Zpracovatel údajů“

Spolek KAM využívá při plnění některých svých závazků a povinností odborné a specializované služby „externích dodavatelů“ (př. účetní, správce IT systémů, pracovníci PR, specialisté v rámci poskytovaných programů Spolku – OSVČ). Tito externí dodavatelé mají postavení „zpracovatelů osobních údajů“, tedy těch, kteří zpracovávají osobní údaje pro správce, podle jeho pokynů a pravidel a nesmí je využívat jinak.

Vztah mezi správcem a zpracovatelem musí být smluvně upraven, pokud nevyplývá předání údajů z právního předpisu (např. předání dat ČSSZ). Smlouva o zpracování osobních údajů stanovuje externím dodavatelům povinnosti k ochraně a zabezpečení osobních údajů.

5. Způsob a rozsah zpracování osobních údajů

Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž v rámci činnosti Spolku standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na www.kam.cz/gdpr.

6. Zásady zpracování osobních údajů

Spolek zpracovává osobní údaje v souladu s těmito zásadami:

  • Zákonnost, korektnost a transparentnost: Spolek zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování.
  • Účelové omezení: Spolek stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem.
  • Minimalizace údajů: Spolek zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů).
  • Přesnost: Spolek aktualizuje údaje a na žádost subjektu údajů provádí opravy.
  • Omezení uložení: Spolek ukládá údaje pouze na dobu nezbytnou pro účel zpracování.
  • Integrita a důvěrnost: Spolek organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…)
  • Odpovědnost: Spolek odpovídá za dodržování výše uvedených zásad a soulad s nimi může doložit.

7. Právní základ pro zpracování osobních údajů

Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu: 

a) Zpracování je nezbytné pro

  • plnění smlouvy (např. se zaměstnancem, odběratelem služby apod…),
  • plnění právní povinnosti (např. v oblasti zdravotního a sociálního pojištění),
  • pro účely oprávněných zájmů Správce (př. kamerové systémy chránící majetek, zveřejnění fotek managementu na webu Spolku),
  • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.

b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje mohou být zpracovány jen po dobu platnosti tohoto souhlasu.

Souhlas musí být:

  • svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby),
  • doložitelný (písemný, př. zaškrtávací políčko),
  • odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.

Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

8. Práva subjektů údajů

Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Spolek KAM identifikovatelnou osobou a prokáže Spolku svoji totožnost, níže uvedená práva:

  • Požadovat přístup / výpis,
  • Požadovat opravu,
  • Požadovat výmaz,
  • Požadovat omezení zpracování,
  • Požadovat výpis v přenositelném formátu,
  • Podat námitku proti zpracování,
  • Podat námitku proti automatizovanému rozhodování,
  • Podat stížnost na dozorový úřad,
  • Odvolat souhlas se zpracováním.

Upřesňující popis práv subjektu, včetně pokynů ke způsobu výkonu práv a formuláře k podání žádosti o uplatnění práv, jsou k dispozici na www.kam.cz/gdpr.