Předpis upravující nakládání s osobními údaji

Základní organizace Českého zahrádkářského svazu Vyhlídka Šumperk

ev. č. 709 028, IČ 62352865

sídlo: Kosmonautů 12, Šumperk

 

 

 

Předpis

 

upravující nakládání s osobními údaji

 

 

Čl. I.

Předmět úpravy

 

Stanovení pravidel zpracování osobních údajů ve smyslu "Nařízení Evropského Parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES" (GDPR) v podmínkách Základní organizace Českého zahrádkářského svazu (dále jen „Základní organizace“).

 

Čl. II.

Základní pojmy

 

Pro účely tohoto předpisu se rozumí

  1. osobním údajem – každá informace umožňující identifikovat Subjekt osobních údajů (jméno, pohlaví, věk, datum narození, rodné číslo, adresa, osobní stav a podobizna),

  2. organizačním údajem – e-mail, telefonní číslo, lokalizační údaje,

  3. citlivým údajem – zejména etnický původ, náboženství, zdraví, tresty,

  4. pseudonymizovaným údajem – zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu bez použití dodatečných informací, kterými je např. přidělené číslo konkrétnímu subjektu,

  5. anonymizovaným údajem – informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou nebo jsou poskytnuty anonymně a nelze pomocí těchto informací subjekt identifikovat,

  6. zpracováním – rozsáhlá činnost, kterou Správce provádí s osobními údaji za určitým účelem a systematicky, spočívající v jakákoliv operaci s osobními údaji nebo soubory osobních údajů, které jsou prováděny s využitím nebo bez využití automatizovaných postupů,

  7. Správcem osobních údajů – výbor Základní organizace, který určuje prostředky a účel zpracování a odpovídá za zpracování osobních údajů členské schůzi Základní organizace jako nejvyššímu orgánu Základní organizace (dále jen „Správce“),

  8. Subjektem údajů – člen Základní organizace, jehož osobní údaje jsou zpracovávány (dále jen „Subjekt“),

  9. třetí osobou – fyzická nebo právnická osoba, orgán veřejné moci nebo jakýkoli jiný subjekt než Subjekt údajů, Správce a osoby přímo podléhající Správci, které jsou oprávněny ke zpracování údajů.

  10. příjemcem – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jaký­koli jiný subjekt, kterému jsou údaje sdělovány, ať se jedná či nikoli o třetí osobu.

 

 

 

Čl. III.

Zásady zpracování osobních údajů

 

  1. Zákonnosti – nejdůležitější zásada, která vyjadřuje, že Správce může zpracovávat osobní údaje k určitému účelu a pouze tehdy, má-li k takovému zpracování alespoň jeden právní důvod.

  2. Korektnosti – Správce nesmí vůči Subjektu zastírat účel, pro který jsou údaje zpracovávány a současně by měl Subjektu poskytnout informace o tom, jakým způsobem a v jakém rozsahu jsou osobní údaje zpracovávány a komu jsou předávány.

  3. Transparentnosti – vyžaduje, aby informace, které Subjekt od Správce dostává či na něž má právo, byly snadno přístupné a srozumitelné, za použití jasných jazykových prostředků.

  4. Omezení účelu – znamená, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené legitimní účely a nesmějí být zpracovávány způsobem, který je s těmito účely neslučitelný.

  5. Minimalizace údajů – úzce souvisí se zásadou omezení účelu a představuje povinnost zpracovávat osobní údaje pouze přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu ke stanovenému účelu. Tato zásada tak brání Správci, aby v souvislosti se stanoveným legitimním účelem požadoval po Subjektu více údajů, než je nezbytně nutné.

  6. Přesnosti – osobní údaje musí být zpracovávány v přesné podobě a v případě potřeby aktualizované, protože pouze takové zpracování má význam.

  7. Omezení uložení – osobní údaje by měly být uloženy pouze po dobu, která je nezbytná pro účely, pro kterou jsou zpracovávány tzn., že pomine-li účel zpracování má Správce povinnost osobní údaje zlikvidovat.

  8. Integrity a důvěrnosti – osobní údaje by měly být dostatečně zabezpečeny, a to prostřednictvím vhodných technických nebo organizačních opatření chránících je před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

 

Čl. IV.

Právní důvody zpracování osobních údajů

 

  1. Právní důvody zpracování osobních údajů znamenají oprávnění Správce osobní údaje zpracovávat.

  2. Právní důvody tak jsou nezbytným předpokladem, aby Správce mohl osobní údaje legálně zpracovávat.

  3. Pokud Správce nedisponuje řádným právním důvodem ke zpracování osobních údajů, je dále nerozhodné, zdali plní ostatní povinnosti, protože osobní údaje by zpracovával nezákonně a musel by osobní údaje zlikvidovat.

  4. Pro právní důvody zpracování osobních údajů musí být splněna alespoň jedna z podmínek

  1. se zpracováním osobních údajů byl dán souhlas Subjektu,

  2. zpracování osobních údajů je nezbytné pro plnění smlouvy nebo uzavření smlouvy, u níž je Subjekt jednou ze smluvních stran,

  3. zpracování osobních údajů je nezbytné pro plnění právní povinnosti dle jiného právního předpisu,

  4. zpracování je nezbytné pro účely legálních zájmů Správce za podmínky, že neporušují práva a svobody Subjektu.

 

 

 

Čl. V.

Účel zpracování osobní údajů

 

  1. Účel zpracování osobních údajů musí být vždy legitimní a nesmí být protiprávní. Úzce souvisí se zásadami zpracování a s právními důvody.

  2. Správce zpracovává osobní údaje Subjektu pouze za účelem zajištění správy základní organizace v souladu se stanovami svazu.

  3. Účel zpracování osobních údajů spočívá

  1. ve vedení seznamu členů Základní organizace,

  2. v přehledu o platbách členských a účelových příspěvků na správu zahrádkové osady,

  3. ve vedení evidence dlužníků a dohod o uznání dluhu a splátkovém kalendáři,

  4. ve zpracování žalob na úhradu dluhu,

  5. vedení evidence plných mocí,

  6. ve zpracování žádostí o sdělení údajů k členům Základní organizace pro třetí osoby (např. pro soud, policii, obecní úřad apod.) a vedení jejich evidence,

  7. ve vedení evidence dohod o provedení práce,

  8. ve vedení evidence mzdových listů k dohodám o provedení práce a odměn členů statutárního orgánu,

  9. v přehledu zápisů osobních údajů statutárních orgánů zapisovaných do spolkového rejstříku vedeným Městským soudem v Praze,

  10. ve výpisu osobních údajů získaných z katastru nemovitostí, vztahujících se ke členům Základní organizace – vlastníkům zahrádek.

 

Čl. VI.

Zásady zpracování osobních údajů

 

  1. Zpracování osobních údajů musí mít vždy určitý účel a právní důvody musí tento účel pokrývat.

  2. Zpracování osobních údajů začíná okamžikem jejich shromažďování.

  3. Zpracování osobních údajů spočívá ve

  1. shromažďování,

  2. ukládání,

  3. zaznamenání,

  4. uspořádání,

  5. uložení v archivu Základní organizace,

  6. přizpůsobení nebo pozměnění,

  7. vyhledání,

  8. nahlédnutí,

  9. použití,

  10. šíření nebo jakékoli jiné zpřístupnění,

  11. seřazení či zkombinování,

  12. omezení,

  13. výmaz nebo zničení.

  1. Souhlas se zpracováním osobních údajů

  1. je jednoznačným svolením Subjektu ke zpracování osobních údajů,

  2. může být dán písemně, elektronicky, nebo ústním prohlášením,

  3. obsahuje účel, ke kterému budou data zpracovávána a pokud je účelů více, uděluje se souhlas pro všechny účely,

  4. formulace je jednoduchá a jasně odlišitelná od ostatního textu,

  5. při zpracování citlivých údajů musí být výslovný souhlas Subjektu s jejich zpracováním.

  1. K získání platného souhlasu je potřeba poskytnout Subjektu alespoň tyto informace:

  1. totožnost Správce,

  2. účel každé z operací zpracování, pro které je žádáno o souhlas,

  3. jaké osobní údaje (druhy údajů) budou shromažďovány a používány,

  4. existence práva odvolat souhlas,

  5. jak dlouho budeme osobní údaje uchovávat,

  6. komu mohou být případně sdělena a v jakém rozsahu,

  7. informace o použití dat v případě automatizovaného zpracování.

  1. Informace uvedené v odstavci 5 tohoto předpisu mohou být Subjektu předloženy různými způsoby, jako třeba písemným nebo ústním oznámením např. na zasedání Členské schůze, doručením e-mailem nebo vložením do poštovní schránky apod.

  2. Výslovnou povinnost Správce je doložit, že Subjekt údajů udělil souhlas.

  3. Povinnost prokázat souhlas platí po celou dobu trvání dané zpracovatelské činnosti. Po jejím skončení by důkaz o souhlasu neměl být uchováván déle, než je opravdu nezbytné pro soulad se zákonnými povinnostmi nebo kvůli zjištění, výkonu nebo obhajobě právních nároků.

  4. Evidenci získaných souhlasů eviduje Správce v listinné případně elektronické podobě a po dobu jejich uchování jsou uloženy v archivu Správce.

  5. Po dosažení účelu zpracování osobních údajů (například naplnění smlouvy) musejí být shromážděné údaje vymazány, anonymizovány nebo předány subjektu, který je ze zákona oprávněný tyto údaje od Správce obdržet.

 

Čl. VII.

Povinnosti Správce

 

  1. Správce odpovídá

  1. za dodržování zásad zpracování dle čl. VI. tohoto předpisu,

  2. za dodržování povinností upravených nařízením,

  3. za zabezpečení osobních údajů.

  1. Před započetím shromažďování osobních údajů je povinností Správce poskytnout Subjektu přesné informace, jejichž rozsah závisí na tom, zda jsou osobní údaje shromažďovány přímo od Sub­jektu nebo z jiných zdrojů.

  2. O započetí shromažďování osobních údajů a o zdroji jejich získání (pokud nebyly osobní údaje získány přímo od Subjektu) je Subjekt informován písemnou formou.

  3. Pokud jsou osobní údaje získávány od Subjektu musí mu Správce poskytnout minimálně ná­sledující informace, kromě případu, kdy je již Subjekt má:

  1. totožnost Správce a jeho kontaktní údaje,

  2. účely zpracování, pro které jsou osobní údaje určeny a právní základ pro jejich zpracování,

  3. oprávněné zájmy Správce nebo třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody Subjektu,

  4. případné příjemce nebo kategorie příjemců osobních údajů,

  5. doplňující informace jako jsou:

  • doba, po kterou budou osobní údaje uloženy,

  • existence práva na přístup k osobním údajům, které se Subjektu týkají, a právo na jejich opravu nebo výmaz,

  • existence práva kdykoli odvolat souhlas,

  • existence práva podat stížnost u dozorového úřadu,

  • skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutno uvést do smlouvy a zda má Subjekt povinnost poskytnout osobní údaje.

  1. V případě shromažďování osobních údajů z jiných zdrojů než od Subjektu, musí Správce v době, kdy provádí zaznamenání osobních údajů nebo pokud se předpokládá sdělení údajů třetí straně, poskytnout nejpozději v době jejich prvního předání, Subjektu minimálně následující informace, kromě případů, kdy je již Subjekt má:

  1. totožnost Správce a jeho kontaktní údaje,

  1. účely zpracování, pro které jsou osobní údaje určeny a právní základ pro jejich zpracování,

  1. kategorie dotčených osobních údajů,

  2. případné příjemce nebo kategorie příjemců osobních údajů,

  3. doplňující informace jako jsou:

  • doba, po kterou budou osobní údaje uloženy,

  • existence práva na přístup k osobním údajům, které se Subjektu týkají, a právo na jejich opravu nebo výmaz,

  • existence práva kdykoli odvolat souhlas,

  • příjemci nebo kategorie příjemců údajů,

  • existence práva podat stížnost u dozorového úřadu,

  • zdroj, ze kterého osobní údaje pocházejí, případně zda osobní údaje pocházejí z veřejně dostupných zdrojů.

  1. Správce poskytne informace uvedené v odstavci 4 a 5

  1. v přiměřené lhůtě, nejpozději do 30 dnů od začátku jejich zpracování,

  2. nejpozději v momentu, kdy poprvé dojde ke komunikaci se Subjektem, mají-li být osobní údaje použity pro účely této komunikace,

  3. nejpozději při prvním zpřístupnění osobních údajů třetí osobě nebo jinému příjemci.

  1. Právu Subjektu na přístup k osobním údajům musí být vyhověno ve lhůtě třiceti dnů ode dne podání žádosti Subjektem. Na žádost Subjektu odpovídá Správce písemnou formou. Pokud není právo na přístup k osobním údajům uplatňováno čas­těji než jedenkrát za šest měsíců, je bezplatné.

  2. Povinností Správce je zajistit bezpečnost osobních údajů, tzn. zavést vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovo­lenému zničení, ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů po síti, jakož i proti jakékoli jiné formě nezákonného zpra­cování.

  3. Povinností Správce je ohlásit případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a oznámit případy porušení zabezpečení osobních údajů Subjektu, kterého se týkají.

 

Čl. VIII.

Zabezpečení osobních údajů

 

  1. Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

  2. Povinnosti Správce při zabezpečení osobních údajů

  1. provádět posouzení dopadu na ochranu osobních údajů,

  2. ohlašovat případy narušení bezpečnosti,

  3. analyzovat potencionální hrozby a k tomu přijmout organizačně technická opatření,

  4. jakmile pomine účel zpracování, osobní údaje vedené v písemné a elektronické podobě budou Správcem zničeny nebo budou uchovávány pouze pro účely archivnictví,

  5. provádět kontrolu zabezpečení osobních údajů.

  1. Správce konstatuje čtyři potenciální hrozby, které zpracování osobních údajů mohou zasáhnout, a k tomu přijímá následující organizačně technická opatření:

  1. Zničení nebo zneužití technických prostředků

  1. omezení přístupu k technickým prostředkům (zámky, mříže apod.),

  2. využití pohybových čidel,

  3. a jiné,

  1. Přístup neoprávněných osob

  1. řízení přístupu k datům (hesla),

  2. plná kontrola nad daty,

  3. oddělení identifikačních a dalších dat Subjektů, pseudonymizace Subjektů,

  4. programy ochraňující proti neoprávněnému průniku, programy ochraňující proti škodlivým kódům, šifrování dat, využití bezpečnějších komunikačních protokolů apod.,

  5. zálohování dat,

  6. při sdělování osobních dat Subjektu používat e-mail výjimečně; data předávat osobně na nosiči dat; e-mail má riziko úniku dat,

  7. a jiné,

  1. Zneužití záznamů oprávněnými osobami

  1. identifikace přistupujících osob do systému (hesla a role),

  2. evidence činnosti při práci s daty (zápis dat, změna dat, kopírování dat, mazání dat),

  3. omezení kopírování dat na přenosná paměťová média, případně omezení zasílání souborů s daty,

  4. oddělení identifikačních a dalších osobních údajů Subjektů,

  5. školení členů výboru a kontrolní komise,

  6. a jiné,

  1. Živelní událost

  1. zabezpečovací zařízení oznamující ohrožení, umístění mimo prostor ohrožených vodou,

  2. zálohování dat,

  3. záložní infrastruktura (hw i napájecí),

  4. a jiné.

  1. Ověřování funkčnosti organizačně technických opatření bude zajištěno prováděnou kontrolou oprávněnými osobami Správce, kteří budou ke zjištěnému stavu navrhovat Správci konkrétní opatření k zjištěnému stavu, zejména:

  1. kategorie osobních údajů, které byly porušením zabezpečení dotčeny,

  2. charakter porušení zabezpečení.

  3. počet dotčených Subjektů,

  4. zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku.

  1. Veškeré osobní údaje budou po celou dobu zpracování uchovávány v písemné podobě i v informačním systému Správce a mohou být automatizovaně zpracovávány.

  2. K osobním údajům budou mít přístup pouze k tomu oprávněné osoby Správce (členové výboru a v omezeném rozsahu členové kontrolní komise), které budou mít Správcem stanoveny podmínky a rozsah zpracování osobních údajů; při automatizovaném zpracování osobních údajů Správce zajistí:

  1. aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,

  2. aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,

  3. pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje a další údaje zaznamenány nebo jinak zpracovány,

  4. zabránění k neoprávněnému přístupu k datovým nosičům,

  1. Všechny oprávněné osoby, které zpracovávají osobní údaje, kteří se dostanou do styku s osobními údaji Subjektů Správce, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů a mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu Správcem stanoveném; povinnost mlčenlivosti trvá i po skončení funkce ve výboru nebo kontrolní komisi nebo příslušných prací; tím není dotčena povinnost zachovávat mlčenlivost podle jiných právních předpisů; povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle jiných právních předpisů.

  2. Pokud dojde k porušení zabezpečení osobních údajů, musí Správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), pokud tak není učiněno, musí být uvedeny důvody tohoto zpoždění.

  3. Porušení zabezpečení osobních údajů oznámí Správce bez zbytečného odkladu Subjektu, kterého se porušení dotýká, kde popíše povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky.

 

Čl. IX.

Práva Subjektu osobních údajů

 

  1. Právo na přístup k osobním údajům – právo získat potvrzení o zpracovávání osobních údajů od Správce, právo tyto data získat a s nimi následující informace

  1. účely zpracování,

  2. kategorie dotčených osobních údajů,

  3. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,

  4. plánovaná doba, po kterou budou osobní údaje uloženy,

  5. existence práva požadovat od Správce opravu nebo výmaz osobních údajů, právo vznést námitku,

  6. právo podat stížnost u dozorového úřadu,

  7. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,

  8. skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

  1. Právo opravy, resp. doplnění osobních údajů – podnět k opravě či doplnění musí dát sám Subjekt, Správce není povinen data aktualizovat.

  2. Právo na výmaz – povinnost Správce zlikvidovat osobní údaje a předat potvrzení o vymazání Subjektu osobních údajů, pokud je splněna alespoň jedna z následujících podmínek

  1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,

  2. Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,

  3. Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,

  4. osobní údaje byly zpracovány protiprávně,

  5. osobní údaje musí být vymazány ke splnění právní povinnosti,

  6. souhlas byl udělen na příslušnou dobu.

  1. Právo být zapomenut – jde o rozšířené právo na výmaz, Správce provede přiměřené kroky, včetně technických opatření k vymazání veškerých odkazů na osobní údaje Subjektu a jejich kopií.

  2. Právo na omezení zpracování.

  3. Právo na přenositelnost údajů – zcela nové právo Subjektu, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež Správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému Správci, aniž by tomu původní Správce bránil.

  4. Právo vznést námitku – Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami Subjektu, nebo pro určení, výkon nebo obhajobu právních nároků.

  5. Právo odvolání souhlasuSubjekt má právo svůj souhlas kdykoli odvolat. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

 

Čl. X

Závěrečná ustanovení

 

Tento předpis nabývá platnosti a účinnosti dnem schválení členskou schůzí.

 

 

V Šumperku dne 8.3.2019

 

Martin Janíček v.r.

předseda základní organizace