Tento dokument definuje pravidla Crex Ostrava, z.s (dále jen „Crex“ anebo "Spolek") coby „Správce údajů“ pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými Crex přijde do styku v rámci své činnosti, dále jen „Pravidla“.

Preambule

Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen jako „GDPR“, které nabývá účinnosti 25. 5. 2018.

Crex v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouho a stanovuje zásady zpracování osobních údajů.

1. Kategorie subjektů údajů Crexu

Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem ke spolku Crex především:

• členové spolku a správní rady Crex,
• zaměstnanci,
• dodavatelé služeb, externí spolupracovníci,
• dobrovolníci, stážisté,
• odběratelé, uživatelé služeb Crex,
• dárci…

2. Kategorie osobních údajů

Crex zpracovává zejména obecné osobní údaje.

• Základní
  • Identifikační: titul, jméno, příjmení, RČ (jde-li o povinný identifikátor)
  • Kontaktní: email, tel.
  • Další: číslo účtu, IČ
• Adresa: trvalé bydliště
• Demografické: pohlaví, datum narození/věk

Spolek Crex neuchovává genetické a biometrické osobní údaje.

3. „Správce údajů“

Spolek Crex coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je:

• zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat,
• spolupracovat na požádání s dozorovým úřadem,
• ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl),
• oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.

V případech, kdy je Crex spolupořadatel nějaké akce/aktivity (např. školicích akcí, zážitkových programů apod.), je správcem údajů pořadatel akce/aktivity, nikoli Crex. Crex v takovém případě nemá přístup k osobním údajům účastníků akce/aktivity.

4. „Zpracovatel údajů“

Spolek Crex využívá při plnění některých svých závazků a povinností odborné a specializované služby „externích dodavatelů“ (př. lektoři, účetní, pracovníci PR, společnosti pro rozesílání hromadných emailů jako je např. Ecomail, apod.). Tito externí dodavatelé mají postavení „zpracovatelů osobních údajů“, tedy těch, kteří zpracovávají osobní údaje pro správce, podle jeho pokynů a pravidel a nesmí je využívat jinak.

5. Způsob a rozsah zpracování osobních údajů

Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž v rámci činnosti Spolku standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na www.crex.eu/gdpr.

6. Zásady zpracování osobních údajů

Spolek zpracovává osobní údaje v souladu s těmito zásadami:

• Zákonnost, korektnost a transparentnost: Spolek zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování.
• Účelové omezení: Spolek stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem.
• Minimalizace údajů: Spolek zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů).
• Přesnost: Spolek aktualizuje údaje a na žádost subjektu údajů provádí opravy.
• Omezení uložení: Spolek ukládá údaje pouze na dobu nezbytnou pro účel zpracování.
• Integrita a důvěrnost: Spolek organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…)
• Odpovědnost: Spolek odpovídá za dodržování výše uvedených zásad.

7. Právní základ pro zpracování osobních údajů

Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu: 

a) Zpracování je nezbytné pro

• plnění smlouvy (např. se zaměstnancem, odběratelem služby apod…),
• plnění právní povinnosti (např. v oblasti zdravotního a sociálního pojištění),
• pro účely oprávněných zájmů Správce (př. kamerové systémy chránící majetek, zveřejnění fotek managementu na webu Spolku),
• pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
• pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.

b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje mohou být zpracovány jen po dobu platnosti tohoto souhlasu.

Souhlas musí být:

• svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby),
• doložitelný (písemný, př. zaškrtávací políčko),
• odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.

Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

8. Práva subjektů údajů

Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Spolek Crex identifikovatelnou osobou a prokáže Spolku svoji totožnost, níže uvedená práva:

• Požadovat přístup / výpis,
• Požadovat opravu,
• Požadovat výmaz,
• Požadovat omezení zpracování,
• Požadovat výpis v přenositelném formátu,
• Podat námitku proti zpracování,
• Podat námitku proti automatizovanému rozhodování,
• Podat stížnost na dozorový úřad,
• Odvolat souhlas se zpracováním.