Pravidla zpracování osobních údajů
Od 25. května 2018 se ochrana osobních údajů fyzických osob v České republice řídí novými pravidly.
Tato nová pravidla vycházejí z evropské legislativy, konkrétně Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Obecné nařízení o ochraně osobních údajů“, GDPR – General Data Protection Regulation).
Informační memorandum
Pravidla zpracování osobních údajů
Odvolání souhlasu
Odvolání souhlasu se zpracováním
osobních údajů
Žádost o změny
Žádost o uplatnění práva subjektu údajů
Informační memorandum
verze 30.6.2021
Pravidla zpracování osobních údajů ve společnosti Attavena, o.p.s.
Dne 25. května 2018 vstoupilo v platnost nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o z rušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Toto informační memorandum obsahuje informace související se zpracováváním osobních údajů v rámci společnosti Attavena, o.p.s..
Definice pojmů
Osobní údaj | Jakákoliv informace týkající se určeného nebo určitého subjektu údajů. Subjekt údajů se považuje za určený nebo určitý, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. |
Citlivý údaj | Osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. |
Subjekt údajů | Fyzická osoba, k níž se osobní údaje vztahují (např.: klient, zákazník) |
Správce | Každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit jiného zpracovatele, pokud zvláštní zákon nestanoví jinak. |
Zpracovatel | Každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona/pověření. |
Zpracování osobních údajů | Jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. |
Souhlas subjektu údajů | Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. |
GDPR | Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který od 25. května 2018 stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů. V českém právním prostředí tak obecné nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů práva při zpracování osobních údajů. |
1. Kdo spravuje osobní údaje subjektu údajů resp., kdo je jejich správcem?
Správcem Vašich osobních údajů jsou Attavena, o.p.s., IČO: 25197185, se sídlem Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice zapsaná u Krajského soudu v Českých Budějovicích, oddíl O, vložka 52 (dále jen „Společnost“ nebo „správce“).
2. Kdo je kontaktní osobou pro ochranu osobních údajů a jaké jsou jeho kontaktní údaje?
Kontaktní osobou pro ochranu osobních údajů je osoba jmenovaná správcem nebo zpracovatelem osobních údajů na základě jeho profesních kvalit, která plní zákonem stanovené úkoly, zejména působí jako kontaktní místo pro subjekt, ve všech záležitostech souvisejících se zpracováním osobních údajů a výkonem práv subjektu údajů ve smyslu zákona.
V rámci Společnosti je kontaktní osobou pro zpracování a ochranu osobních údajů:
Jana Kloudová
Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice
e-mail: info@attavena.cz
tel: +420 608 554 101
3. Jaké jsou účely zpracování osobních údajů a právní základ pro jejich zpracování (důvod zpracování)?
Naše klienty nechceme obtěžovat zbytečnou a nevhodnou komunikací. Osobní údaje, které zpracováváme, využíváme především k plnění zákonných povinností a povinností, plynoucích nám ze smluv uzavřených se subjekty údajů nebo s jinými zpracovateli či správci osobních údajů s nimiž si osobní údaje vyměňujeme za účelem zajištění požadovaných služeb nebo na základě výslovného souhlasu subjektu údajů.
Osobní údaje našich klientů zpracováváme především za účelem zajištění vzdělávání, osobního rozvoje a s tím souvisejících služeb v rámci různých operačních programů dle Nařízení Evropského parlamentu a Rady (EU) č.1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006. V rámci některých doprovodných služeb zpracováváme osobní údaje pro správné plnění smlouvy, uzavřené mezi Společností a klientem.
V rámci vybraných kurzů můžeme na základě výslovného souhlasu klienta zpracovávat i citlivé údaje. Tyto údaje využíváme výhradně k předem určenému účelu, ke zvýšení kvality obsahu kurzů, jeho efektivnějšímu přizpůsobení klientovi a pro další potřeby klienta. Klient před takovým kurzem bude seznámen se zpracovanými daty a účelem jejich zpracování, aby mohl svobodně rozhodnout o udělení souhlasu.
Při pořádání příměstských táborů zpracováváme citlivé osobní údaje na základě souhlasu za účelem identifikace dítěte a zajištění zdravotní péče v případě ošetření dítěte v léčebném zařízení.
Souhlas klienta potřebujeme také za účelem dokumentace, propagace našich služeb a posílání newsletterů s nabídkou možných vzdělávacích kurzů.
Zpracováním osobních údajů se rozumí zejména shromažďování, uložení, kontrola, vyhledávání, nahlížení, použití, výmaz dat s cílem poskytovat subjektu údajů maximální kvalitu služeb.
4. Jaké osobní údaje zpracováváme?
Zpracováváme osobní údaje, které jsou pro výše uvedené účely zpracování nezbytné. Jedná se zejména o tyto:
- identifikační údaje (titul, jméno, příjmení, datum narození či rodné číslo klienta, údaje z dokladů totožnosti a další informace, kde nám povinnost zpracovávat ukládá příslušný právní předpis);
- kontaktní údaje (adresa trvalého pobytu, korespondenční adresa, telefonní číslo, email);
- údaje potřebné pro plnění podmínek operačních programů (rozsah vždy definuje právní akt operačního programu)
- údaje týkající se poptávky po našich službách ze strany klienta (požadavky a potřeby klienta)
- citlivé údaje (osobnostní profil, psychologický profil, pracovně motivační analýzy, různé typy testů osobnosti, IQ, informace o zdravotním stavu…)
5. Z jakých zdrojů tyto informace pocházejí?
Zpracovávané osobní údaje pocházejí přímo od klientů a to především:
- z formulářů poptávek po našich službách
- ze smluv a další dokumentace týkajících se námi poskytovaných služeb
Klienti jsou o procesech zpracování uvedených v tomto Informačním memorandu informováni vždy před vlastním zpracováním osobních údajů.
6. Kdo může osobní údaje subjektu údajů zpracovávat?
Zákonná úprava ochrany osobních údajů dává jejich správci možnost pověřit zpracováním osobních údajů další zpracovatele. Zpracovatelem osobních údajů je každá fyzická nebo právnická osoba, která na základě právního předpisu nebo pověření správcem zpracovává osobní údaje. Pro zpracování osobních údajů klientů využíváme pouze prověřené zpracovatele, kteří splňují standardy ochrany osobních údajů minimálně na stejné úrovni jako naše Společnosti. Zpracovatelé splňují právními předpisy stanovené podmínky pro výkon činnosti zpracovatele.
Zpracovatelé, kterých využíváme ke zpracování osobních údajů klientů, jsou následující:
- Zaměstnanci nebo smluvní partneři (pracovníci) vykonávající pro subjekt údajů smluvně dohodnutou službu k prvotním či druhotně slučitelným účelům zpracování osobních údajů (koordinátoři a koordinátorky, lektoři, psychologové/kouči, asistentky, externí účetní firma)
- Poskytovatelé/provozovatelé informačních technologií, které využívá Společnost k naplnění prvotních či druhotně slučitelných účelů zpracování osobních údajů
7. Po jakou dobu budou Vaše osobní údaje uloženy?
Osobní údaje, které získáme za účelem zajištění vzdělávání, osobního rozvoje a s tím souvisejících služeb v rámci různých operačních programů dle Nařízení Evropského parlamentu a Rady (EU) č.1304/2013 ze dne 17. prosince 2013 o Evropském sociálním fondu a o zrušení nařízení Rady (ES) č. 1081/2006, uchováváme dle pravidel operačních programů po dobu 10let od ukončení takového programu.
Osobní údaje, které získáme za účelem poskytnutí služby, uchováváme po celou dobu smluvního vztahu a pak po dobu následujících 3 let (dle zákona č.89/2012 Sb. Občanský zákoník) po jeho ukončení nebo po dobu delší, pokud nám to ukládá zvláštní právní předpis.
Osobní údaje, které získáme na základě výslovného souhlasu klienta, uchováváme po dobu platnosti souhlasu, tedy do jeho odvolání, maximálně po dobu 5 let.
Po vypršení lhůty pro uchování jsou osobní údaje vymazány nebo anonymizovány nebo zpracovávány pouze v rozsahu a pro účely, ke kterým nás zavazuje příslušný právní předpis.
8. Práva subjektu údajů, možnosti jejich uplatnění
8.1. Pravidla podávání žádosti a uplatnění práva subjektu údajů
Každý subjekt údajů může kdykoliv prostřednictvím žádosti uplatnit právo subjektu údajů.
Subjekt údajů může podat žádost některým z následujících způsobů, případně kontaktovat odpovědnou osobu viz bod 2.
Osobně | Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice |
Poštou | Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice |
Emailem | gdpr@attavena.cz |
Pokud subjekt údajů podá žádost v elektronické podobě a nepožaduje odpověď v jiné podobě, poskytuje Společnost informace v běžně používané elektronické podobě.
Pokud Společnost nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně, nejpozději do jednoho měsíce subjekt údajů:
- o důvodech nepřijetí žádosti,
- o možnosti podat stížnost u dozorového orgánu a žádat soudní ochranu.
Informace je podávána bezplatně s výjimkou nedůvodných a nepřiměřených (zejména opakovaných) žádostí, kdy Společnost:
- může odmítnout žádosti vyhovět,
- může požadovat přiměřený poplatek s ohledem administrativní náklady spojené s poskytnutím informace,
- dokládá nedůvodnost nebo nepřiměřenost žádosti.
Pokud má Společnost pochybnosti o totožnosti osoby, která podává žádost, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
Proces podání žádosti o uplatnění práv subjektem údajů
8.2. Přehled práv subjektu údajů
Při zpracování osobních údajů nedochází k automatizovanému rozhodování a profilování při zpracování osobních údajů ze strany Společnosti jako správce.
Právo na přístup k osobním údajům
Subjekt údajů může Společnost požádat o přístup k osobním údajům, které se ho týkají nebo které o něm Společnost zpracovává; Společnost poskytne subjektu údajů nejpozději do jednoho měsíce po obdržení žádosti kopii zpracovávaných osobních údajů. S ohledem na složitost nebo počet případů lze lhůtu prodloužit o další dva měsíce, o čemž je subjekt údajů informován včetně důvodu prodloužení. Za druhou a další kopii je Společnost oprávněna účtovat přiměřený poplatek na základě administrativních nákladů.
Informace jsou subjektu údajů předávány tak, aby nebyla dotčena práva svobod jiných subjektů údajů.
Právo na opravu
Subjekt údajů může Společnost požádat o opravu nepřesných nebo nekompletních osobních údajů, které se ho týkají. Společnost přijímá žádosti subjektu údajů o opravu nepřesných údajů, opravuje bez zbytečného odkladu nepřesné nebo neúplné osobní údaje. Zároveň oznamuje jednotlivým příjemcům údajů veškeré opravy osobních údajů s výjimkou případů:
- kdy se to ukáže jako nemožné,
- kdy to vyžaduje nepřeměřené úsilí.
V případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o opravách osobních údajů. Povinností subjektu údajů je informovat Společnost o změnách osobních údajů vyžadujících opravu.
Právo na výmaz
Subjekt údajů může Společnost požádat, aby vymazala jeho osobní údaje, pokud dojde k některé z následujících situací:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- byl odvolán souhlas, na jehož základě byly osobní údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování;
- byla subjektem údajů vznesena námitka proti tomu být předmětem rozhodování založeného na automatizovaném zpracování osobních údajů a neexistují žádné převažující oprávněné důvody pro jejich takovéto zpracování nebo byla vznesena námitka proti zpracování osobních údajů pro účely přímého marketingu;
- osobní údaje subjektu údajů byly zpracovány protiprávně;
- osobní údaje subjektu údajů musí být vymazány k datu splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
- osobní údaje subjektu údajů byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti.
Výjimky, kdy se právo na výmaz osobních údajů neuplatní:
- zpracování je nezbytné pro výkon práva na svobodu projevu a informace,
- zpracování je nezbytné pro splnění právní povinnosti (vyžadované právem EU nebo ČR),
- zpracování je nezbytné pro plnění úkolů ve veřejném zájmu
- zpracování je nezbytné pro plnění úkolů při výkonu veřejné moci,
- zpracování je nezbytné pro určení, výkon a obhajobu právních nároků,
- zpracování je nezbytné ve veřejném zájmu v oblasti veřejného zdraví pro:
- účely preventivního a pracovního lékařství,
- posouzení pracovní schopnosti zaměstnance,
- účely lékařské diagnostiky, a na základě práva EU nebo ČR nebo podle smlouvy se zdravotnickým pracovníkem,
- poskytování zdravotní péče,
- poskytování sociální péče,
- řízení systémů a služeb zdravotní péče,
- řízení systémů a služeb sociální péče,
- zpracování je nezbytné na základě práva EU nebo ČR a z důvodů veřejného zájmu v oblasti veřejného zdraví:
- při ochraně před vážnými přeshraničními zdravotními hrozbami,
- při zajištění norem kvality a bezpečnosti zdravotní péče, při zajištění norem kvality a bezpečnosti léčivých přípravků
- při zajištění norem kvality a bezpečnosti zdravotnických prostředků,
- údaje mohou být zpracovávány také pracovníkem, na něhož se vztahuje povinnost mlčelivosti na základě služebního tajemství podle práva EU nebo ČR, na vlastní odpovědnost podle práva EU nebo ČR, na základě pravidel stanovaných vnitrostátními orgány, na základě pravidel stanovených jinou osobou,
- jinou osobou, na niž se vztahuje povinnost mlčelivosti podle práva EU nebo ČR podle pravidel stanovených příslušnými vnitrostátními orgány,
- zpracování je nezbytné pro účely vědeckého a historického výzkumu, pro statistické účely, pokud:
- není možné, aby účely byly splněny zpracováním, které neumožňuje identifikovat subjekty údajů,
- je pravděpodobné, že by výmaz osobních údajů znemožnil nebo vážně ohrozil splnění cílů uvedeného zpracování,
- jsou zavedena technická a organizační opatření k zajištění vhodných záruk za práva svobod subjektů údajů, k zajištění minimalizace zpracovávaných údajů.
Společnost přijímá žádosti o výmaz osobních údajů od subjektu údajů, vymaže osobní údaje, pokud zpracování nepodléhá výjimce. Pokud údaje byly zveřejněny, přijímá Společnost (s ohledem na dostupnou technologii a náklady) přiměřené kroky, aby informovala další správce osobních údajů, kteří údaje také zpracovávají, že je subjekt údajů žádá, aby vymazaly:
- veškeré kopie,
- replikace,
- odkazy na tyto údaje,
- došlo k informování správců, které osobní údaje zpracovávají, že subjekt údajů žádá výmaz údajů (odkazy, kopie, replikace).
Správce příjemcům údajů oznamuje výmaz osobních údajů, s výjimkou případů:
- kdy se to ukáže jako nemožné,
- kdy to vyžaduje nepřeměřené úsilí,
- v případě žádosti subjektů údajů správce informuje subjekt údajů o tom, kterým příjemců zaslal oznámení o výmazu osobních údajů.
Právo na omezení zpracování
Subjekt údajů může Společnost požádat, aby omezila zpracování jeho osobních údajů, pokud dojde k některé z následujících situací:
- subjekt údajů popřel přesnost osobních údajů, a to na dobu potřebnou k tomu, aby Společnost mohla přesnost osobních údajů ověřit;
- zpracování osobních údajů je protiprávní, ale subjekt údajů odmítá výmaz těchto údajů a místo toho žádá o omezení jejich použití;
- Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- Subjekt údajů vznesl námitku proti zpracování osobních údajů podle čl. 21 odst. 1 GDPR nařízení, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.
Pokud došlo k omezení zpracování údajů, osobní údaje mohou být zpracovávány pouze se souhlasem subjektu údajů, s výjimkou uložení osobních údajů.
Pokud subjekt údajů požádá o omezení zpracování osobních údajů, jeho údaje mohou být zpracovávány bez jeho souhlasu pouze z důvodu:
- určení, výkonu a obhajoby právních nároků,
- ochrany práv jiné fyzické nebo právnické osoby,
- veřejného zájmu EU nebo jejího členského státu.
Společnost oznamuje jednotlivým příjemcům osobních údajů omezení zpracování osobních údajů s výjimkou případů:
- kdy se to ukáže jako nemožné,
- kdy to vyžaduje nepřeměřené úsilí,
- v případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o omezení zpracování osobních údajů; Společnost musí ověřit přesnost osobních údajů v případě, že ji subjekt popírá; pokud dochází ke zrušení omezení zpracování, musí na to být upozorněn subjekt údajů (který dosáhl omezení).
Právo na přenositelnost údajů
Subjekt údajů má právo získat osobní údaje, které se ho týkají a které poskytl Společnosti, ve strukturovaném, běžně používaném a strojově čitelném formátu s tím, že tímto právem nesmí být nepříznivě dotčena práva a svobody jiných subjektů údajů.
Výjimky, kdy se právo na přenositelnost osobních údajů neuplatní:
- zpracování, kterými je správce pověřen a která jsou nezbytná pro plnění úkolů ve veřejném zájmu,
- zpracování, kterými je správce pověřen a která jsou nezbytná při výkonu veřejné moci,
- zpracování zvláštních kategorií osobních údajů, kde se právo na přenositelnost osobních údajů neuplatní, protože právo EU nebo ČR stanoví, že výslovný souhlas subjektů údajů nelze uplatnit.
Uplatněním práva není dotčeno právo na výmaz údajů.
Právo vznést námitku
Subjekt údajů může kdykoliv vznést námitku proti zpracování osobních údajů, které se jej týkají. Společnost osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvodu pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Právo na odvolání souhlasu
Subjekt údajů má právo souhlas se zpracováním osobních údajů pro účel, pro který dal souhlas, kdykoliv odvolat; odvoláním souhlasu není dotčeno zpracování osobních údajů před jeho odvoláním.
Subjekt údajů může využít tohoto práva doručením vyplněného formuláře Odvolání souhlasu se zpracování osobních a jeho podání některým z následujících způsobů, případně kontaktovat kontaktní osobu viz bod 2.
Osobně | Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice |
Poštou | Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice |
Emailem | gdpr@attavena.cz |
Proces odvolání Souhlasu se zpracováním osobních údajů
Pověřeným pracovníkem Společnosti je kontaktní osoba pro zpracování a ochranu osobních údajů viz bod 2.
Právo podat stížnost
Subjekt údajů má právo podat stížnost u Společnosti, na adrese Attavena, o.p.s., Husova tř. 622/45, České Budějovice 2, 370 05 České Budějovice nebo u dozorového orgánu, kterým je Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
8.3. Kdy můžete uplatnit svá práva a jaká?
Svá práva může subjekt údajů uplatnit kdykoliv formou žádosti adresované Společnosti. Následující tabulka obsahuje přehled uplatnitelných práv v závislosti na právním základu, podle kterého Společnost osobní údaje zpracovává.
8.4. Ohlášení porušení zabezpečení osobních údajů
Společnost Attavena, o.p.s. má zpracován vnitřní proces pro ohlašování porušení ochrany osobních údajů subjektů údajů, řádně respektuje plnění ohlašovací a oznamovací povinnosti Úřadu pro ochranu osobních údajů (ÚOOÚ) a v případech takového porušení je připravena k součinnosti k následným korektivním opatřením se všemi zúčastněnými stranami.
8.5. Závěrečná ustanovení
Toto Informační memorandum je účinné a platné od 25.5.2018. Aktuální znění je uveřejněno na webových stránkách Společnosti nebo v sídle společnosti a jejích pobočkách.