Czech Deco Team

TVOŘÍME VÁŠ PROSTOR SPOLEČNĚ
Menu

GDPR

INFORMAČNÍ MEMORANDUM O OCHRANĚ OSOBNÍCH ÚDAJŮ

Vážení uživatelé,

dne 25. 5. 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Anglická zkratka obecného nařízení, se kterou se lze setkat v odborných textech či hovoru, je GDPR (z anglického názvu General Data Protection Regulation). Toto obecné nařízení je základním stavebním kamenem v novém evropském legislativním rámci ochrany osobních údajů. Představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který bude od 25.5.2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (tj. fyzických osob).

V základních bodech obecné nařízení není revolucí, jelikož jde o kontinuitu se Směrnicí 95/46/ES, která bude zrušena. Od roku 2000 totiž upravuje zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vychází ze zmíněné směrnice. Každá organizace by již tedy měla zpracovávat osobní údaje podle tohoto zákona.

V českém právním prostředí obecné nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů. Celý právní rámec bude dotvářet ještě adaptační zákon, který bude obsahovat i drobné (povolené) odchylky či zvláštní úpravy k obecnému nařízení. Kompletní právní rámec ochrany osobních údajů tak bude tvořen obecným nařízením a adaptačním zákonem. Návrh adaptačního zákona je v legislativním procesu.

S ohledem na výše uvedené skutečnosti si Vás dovolujeme informovat o našich povinnostech a Vašich právech v souvislosti se spoluprací s platformou Czech Deco Team a zpracováním osobních údajů. Smyslem je poskytnout Vám informace zejména o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, k jakým účelům je využíváme, kde můžete získat informace o Vašich osobních údajích, které zpracováváme, a jaká jsou Vaše individuální práva v oblasti ochrany osobních údajů.

 

1. Obecné informace a zásady zpracování osobních údajů dle obecného nařízení

Do působnosti GDPR spadá veškeré zpracování osobních údajů fyzických osob na území EU/EHP, a to bez ohledu na formu účel, cíl, právní titul, formu zpracování (automatizované/elektronické i manuální) anebo postavení osoby, která za zpracování osobních údajů odpovídá. Obecným nařízením se bude především, pokud jde o povinnosti, řídit subjekt, který provádí zpracování osobních údajů. Takový subjekt je nazýván správcem osobních údajů a je jím naše organizace, tj. Czech Deco Team, spolek:

Czech Deco Team, spolek, se sídlem Alešova 755/II, 290 01 Poděbrady, Česká republika, IČ 01238779, vedený u Městského soudu v Praze, spisová značka Spisová značka: L 25042.

Obecným nařízením se řídí i zpracovatel, což je subjekt, který pro správce, tj. naši organizaci, osobní údaje zpracovává. Zpracovatelem není jednotlivý zaměstnanec správce (např. účetní či personalista a ani jeho vnitřní útvar). Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce, tj. naše organizace, pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel naší organizací pověřen.

Osobním údajem se rozumí jakákoliv informace, která se týká konkrétní fyzické osoby (subjektu údajů), ať už jde o identifikační a kontaktní údaje (např. jméno, příjmení, datum narození, adresa pobytu, rodné číslo, IČO/DIČ, telefonní číslo, e-mail), údaje o poloze, popisné údaje vypovídající o fyziologii člověka (např. výška, váha, velikost boty), informace z fotografií a kamerových záznamů, sociodemografické údaje (věk, pohlaví, rodinný stav, vzdělání, zaměstnání, příjmy a výdaje, počet dětí) nebo údaje o jeho chování a preferencích.

Pokud jde o práva vyplývající z obecného nařízení, ta vyplývají fyzické osobě, která je nazývána subjekt údajů. Subjektem údajů je tedy každá fyzická osoba, jejíž osobní údaje jsou zpracovávány. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby.

Zpracováním se rozumí jakékoli nakládání s osobními údaji, resp. jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů (tj. prostřednictvím výpočetní techniky), jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Naše organizace má řadu zákonných povinností týkajících se zpracování osobních údajů, které musíme dodržovat, zejména s ohledem na plnění smluvních a zákonných povinností. V tomto ohledu bychom s Vámi bez poskytnutí Vašich osobních údajů nemohli efektivně komunikovat, zvát Vás na naše společná setkání a realizovat vědeckou činnost. Portálu, zařadit. Osobní údaje uživatelů zpracováváme též nad rámec zákonných povinností, a to např. pro účely péče o uživatele, či jeho oslovování s cílenou nabídkou případných služeb či dalších souvisejících nabídek na zakázky apod. K tomu potřebujeme získat Váš souhlas. Pokud svůj souhlas v těchto případech neudělíte, mohou být námi poskytované služby omezeny či jinak upraveny v závislosti na rozsahu údajů, které budeme oprávněni zpracovávat.

Jelikož při naší činnosti dochází k běžné práci s osobními údaji nezbytnými k organizaci setkávání a vědecké činnosti, lze konstatovat, že obecné nařízení nepřináší pro naši organizaci rozdíly oproti současnému zákonu č. 101/2000 Sb., o ochraně osobních údajů, jelikož neprovádíme rozsáhlé či rizikové zpracování osobních údajů. Proto je naší povinností zejména dodržovat zásady zpracování osobních údajů. Nutné je především sledovat legitimní účel, pro který byly osobní údaje shromážděny (např. pozvánky na naše společná setkání apod.) a osobní údaje adekvátně zabezpečit.

Není-li výslovně uvedeno jinak, týkají se veškeré zde uvedené informace též zpracování osobních údajů našich potenciálních uživatelů, tj. osob, se kterými jsme doposud nenavázali smluvní vztah, ale jsme s nimi již v kontaktu, či uživatelů bývalých.

Při zpracování Vašich osobních údajů dodržujeme zejména následující zásady:

Zásada zákonnosti, korektnosti a transparentnosti = osobní údaje zpracováváme vždy korektně, zákonným a transparentním způsobem tzn. na základě právem stanovených důvodů. Právní důvody jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno o legálním zpracování, jelikož pokud by nebyl řádný právní důvod ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plníme ostatní povinnosti, jelikož bychom osobní údaje zpracovávali nezákonně a museli bychom osobní údaje zlikvidovat. Právními důvody jsou např:

  • nezbytnost dodržení zákonné povinnosti, která se na naši organizaci v souvislosti s organizací setkávání a prováděním vědecké činnosti vztahuje,
  • nezbytnost pro účely oprávněných zájmů naší organizace,
  • zpracování založené na souhlasu subjektu údajů.

Se zásadou transparentnosti souvisí plnění informačních povinností vůči Vám jako dotčeným subjektům, kterou plníme např. vydáním tohoto informačního memoranda.

Zásada účelového omezení = osobní údaje musíme shromažďovat pro určité, výslovně vyjádřené a legitimní účely a nesmíme je dále zpracovávat způsobem, který je s těmito účely neslučitelný.

Zásada minimalizace údajů = naše povinnost zpracovávat osobní údaje pouze v minimálním rozsahu, počtu operací a množství evidencí, které jsou nezbytně nutné a potřebné pro splnění příslušného výše uvedeného účelu zpracování.

Zásada přesnosti = naše povinnost zpracovávat pouze přesná, správná a aktuální data. Znamená to, že v pravidelných časových intervalech by měl uživatel překontrolovat jím poskytnuté osobní údaje v uživatelském účtu. Také budeme osobní data v naší databázi aktualizovat, což budeme činit formou dotazu uživatelům, aby případně potvrdili správnost svých údajů, případně je opravili.

Zásada omezeného uložení = naše povinnost uchovávat osobní údaje jen po dobu nezbytně nutnou k naplnění účelu zpracování.

Zásada integrity a důvěrnosti = naše povinnost zajistit technicky a organizačně bezpečné zpracování osobních údajů.

Vaše osobní údaje tedy vždy zpracováváme pro jasně a srozumitelně stanovený účel, stanovenými prostředky, stanoveným způsobem, a pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování. Zpracováváme pouze přesné osobní údaje uživatelů, a to způsobem, který zajišťuje nejvyšší možnou bezpečnost těchto údajů a který zabraňuje jakémukoliv neoprávněnému nebo nahodilému přístupu k osobním údajům uživatelů, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití. Dodržujeme odpovídající technická a organizační opatření, aby byla zajištěna úroveň zabezpečení odpovídající všem možným rizikům; veškeré osoby, které přicházejí do styku s osobními údaji uživatelů, mají povinnost dodržovat mlčenlivost o informacích získaných v souvislosti se zpracováváním těchto údajů.


2. Informace o zpracování osobních údajů

Získávání osobních údajů

Osobní údaje uživatelů získáváme zejména od samotných uživatelů, a např. při osobním setkání anebo nepřímo, např. v rámci zpřístupňování informací o službách nebo nabídkách např. prostřednictvím webových stránek organizace apod.; z veřejně dostupných zdrojů (veřejné rejstříky); od třetích osob oprávněných s osobními údaji uživatelů nakládat a předat je naší organizaci; od potenciálních zájemců o služby v rámci marketingových akcí a kampaní nebo z vlastní činnosti.

 

Účely zpracovávání

Osobní údaje jsme oprávněni ze zákona zpracovávat bez souhlasu uživatelů pro následující účely:

dodržení našich právních povinností = jedná se zejména o prevence podvodného jednání, kterému mohou být uživatelé či naše organizace vystaveni;
plnění oznamovacích povinností vůči orgánům veřejné moci;
plnění povinností týkajících se výkonu rozhodnutí;

uzavření nebo plnění vyplývajících z případných smluv,

ochrana práv a právem chráněných zájmů = jedná se zejména o ochranu práv a právem chráněných zájmů naší organizace, např. vymáhání pohledávek, realizace zajištění nebo jiného uplatnění pohledávek,
jednání se zájemci o postoupení pohledávky naší organizaci za uživatelem nebo o jiné formě převodu či přechodu pohledávky, včetně související realizace, a další navazující jednání se třetími osobami, řešení veškeré sporné agendy, zejména pro účely vedení soudních či jiných sporů.

V jiných případech je třeba dobrovolný souhlas uživatele s tím, abychom zpracovávali jím poskytnuté, nebo jinak získané, osobní údaje. Pokud uživatel souhlas neposkytne, může to být důvodem, že naše organizace nebude schopna této osobě poskytnout úplný servis.
Na základě souhlasu uživatele zpracovává naše organizace osobní údaje pro následující účely:

péče o uživatele = jedná se o aktivity, které nepředstavují plnění smlouvy či jiný zákonný rámec zpracování osobních údajů a které zahrnují např. výzkumy trhu, marketingové účely organizace, monitoring chování uživatelů apod.;

nabízení služeb = jedná se o šíření informací, nabízení produktů, spolupráce a služeb naší organizace; pokud to vyplývá ze zákona, budete v té souvislosti upozorněni na právo vyjádřit nesouhlas s dalším nabízením služeb.

Souhlasem se rozumí svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým dává uživatel prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Souhlas se zpracováním svých osobních údajů není uživatel povinen udělit.

 

Zpracovávané osobní údaje

Naše organizace zpracovává osobní údaje uživatelů v rozsahu nezbytném pro naplnění výše uvedených účelů. Zpracováváme zejména kontaktní a identifikační údaje uživatelů, kterými jsou především jméno, příjmení, datum narození, adresa trvalého pobytu, název domovské univerzity nebo vysoké školy, země domovské univerzity nebo vysoké školy, kontaktní adresy, telefonní čísla, e-mailové, faxové adresy či jiné obdobné kontaktní údaje.

 

Způsob zpracování

Způsob, kterým naše organizace zpracovává osobní údaje uživatelů, zahrnuje manuální i automatizované zpracování v informačních systémech naší organizace. Jedním ze způsobů zpracování osobních údajů je též vyhodnocování osobních údajů o uživatelích; při tom dochází též k vytváření odvozených údajů o uživatelích. To provádíme zejména pro účely dodržení našich právních povinností a pro účely ochrany práv a právem chráněných zájmů naší organizace. Osobní údaje uživatelů jsou zpřístupněny zejména zaměstnancům naší společnosti v souvislosti s plněním jejich pracovních povinností, při kterých je nutné nakládat s osobními údaji uživatelů, pouze však v rozsahu, který je v konkrétním případě nezbytný a při dodržení veškerých bezpečnostních opatření.

Dále jsou osobní údaje předávány třetím osobám, které se podílejí na zpracování osobních údajů uživatelů naší organizace, případně jim tyto osobní údaje mohou být zpřístupněny z jiného důvodu v souladu se zákonem. Před jakýmkoliv předáním osobních údajů třetí osobě vždy s touto osobou uzavřeme písemnou smlouvu, ve které upravíme zpracování osobních údajů tak, aby obsahovala stejné záruky pro zpracování osobních údajů, jaké v souladu se svými zákonnými povinnostmi dodržuje sama naše organizace.

Osobní údaje uživatelů jsou zpracovávány pouze na území České a Slovenské republiky.


Doba zpracování osobních údajů

Osobní údaje uživatelů zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování. Touto dobou bude především doba trvání právního vztahu s uživatelem a dále s ohledem na zákonné povinnosti naší organizace doba 10 let. Pokud zjistíme, že osobní údaje již nejsou potřebné pro žádný z účelů, pro které byly zpracovávány, údaje zlikvidujeme.

 

3. Práva subjektů údajů

Obecné nařízení obsahuje řadu práv subjektů údajů, tj. zejména našich současných či bývalých uživatelů. Mezi tato práva, která jsou mnohdy založena na žádosti, patří:

Právo na odvolání souhlasu

Váš souhlas je odvolatelný. V případě odvolání souhlasu jsme povinni přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.

Souhlas je dáván k určitým účelům a odvolání souhlasu tedy nemusí nutně vždy představovat povinnost osobní údaje zlikvidovat, ale bude představovat pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy použijeme souhlas pro případy, kdy svědčí zpracování i jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat.

Právo na přístup k osobním údajům

Přístupem k osobním údajům se rozumí právo získat od správce, tj. naší organizace, informaci či potvrzení, zda jsou či nejsou Vaše osobní údaje zpracovávány, a pokud jsou zpracovávány, pak máte právo tyto osobní údaje získat a zároveň má právo získat následující informace:

účely zpracování,

kategorie dotčených osobních údajů,

příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,

plánovaná doba, po kterou budou osobní údaje uloženy,

veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,

o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování.

Pokud nás tedy požádá fyzická osoba o informaci týkající se zpracování jejich osobních údajů, poskytneme jí bez zbytečného odkladu veškeré informace o tom, jaké údaje zpracováváme. Za poskytnutí takové informace máme právo požadovat přiměřenou úhradu nákladů vynaložených na poskytnutí této informace.

Pokud o fyzické osobě žádné údaje nezpracováváme, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.
 

Právo na opravu nebo doplnění

Pokud zjistíte nebo se domníváte, že naše organizece či třetí osoba, která se podílí na zpracování údajů, provádí zpracování Vašich osobních údajů, které je v rozporu se zákonem, zejména jsou-li Vaše osobní údaje nepřesné, můžete požadovat vysvětlení nebo požadovat, aby byl tento závadný stav odstraněn, zejména můžete požadovat provedení opravy nebo doplnění osobních údajů.

Právo na výmaz

Právo na výmaz představuje povinnost správce zlikvidovat osobní údaje, které o žadateli zpracovává, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovávány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společností podle článku 8 odst. 1 obecného nařízení.

Právo na přenositelnost

Právo na přenositelnost představuje nové právo subjektu údajů získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, a to v případě, že zpracování osobních údajů je založeno na souhlasu nebo na smlouvě a zpracování se provádí elektronicky (kumulativní podmínky).

Při výkonu svého práva na přenositelnost má žadatel - subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

Právo vznést námitku

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,

zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Zásadně platí, že informace se poskytují bezplatně. Pouze v případě, kdy jsou žádosti zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, můžeme buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět.


4. Povinnosti naší organizace jako správce

Odpovídáme za dodržování povinností kladených obecným nařízením. Mezi ty patří především dodržování zásad zpracování. Mezi další povinnosti paří zejména:

 

Povinnost doložit soulad zpracování

Naše organizace je povinna doložit soulad zpracování osobních údajů uživatelů v souladu s výše uvedeným legislativním rámcem. Ke splnění stanovené odpovědnosti slouží mimo jiné záznamy o činnostech zpracování, které vedeme ke každému uživateli. Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla obecným nařízením zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Dále slouží k plnění těchto povinností i vnitřní předpisy naší organizace v oblasti ochrany osobních údajů.

Hlášení bezpečnostních incidentů

Obecné nařízení klade velký důraz na systematickou ochranu a zabezpečení osobních údajů. Zavádí novou povinnost ohlašovat bezpečnostní incidenty dozorovému úřadu, tj. Úřadu na ochranu osobních údajů, a v případě, že hrozí rizika pro práva a svobody dotčených subjektů údajů, také tyto incidenty neprodleně oznamovat těmto subjektům údajů, tj. především uživatelům.

Obecné nařízení definuje bezpečnostní incidenty velice široce jako případy porušení zabezpečení osobních údajů (tj. porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů). Spadají sem nejenom přímé útoky na zpracovávaná data zvenčí anebo zevnitř (ať již úmyslné, jako je „vynesení“ informací, anebo nedbalostní, jako je např. smazání v IT systému), ale i celá řada drobnějších a méně nápadných situací, kdy ztratí správce údajů nebo jeho zpracovatel kontrolu nad daty, která spravuje - např. i ztráta nezabezpečeného mobilního telefonu s kontakty na uživatele anebo notebooku s materiálem.

Pokud dojde k porušení zabezpečení osobních údajů, musíme toto porušení bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvíme, ohlásit dozorovému Úřadu pro ochranu osobních údajů. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká nám povinnost zpravit o této události subjekt údajů. Nemusíme tak činit, pokud jsme použili předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či jsme použili následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví.

5. Informační memorandum

Toto Informační memorandum je platné a účinné ke dni 23.05.2018. Aktuální znění Informačního memoranda je uveřejněno na webových stránkách naší organizace.