Zásady nakládání a zpracování osobních údajů (GDPR)
I. Úvod a definice
Nadační fond Zlatý oříšek se sídlem na adrese Nad Rokoskou 1322/27, Libeň 182 00 Praha 8, IČO 242 33 722 (dále jen jako „Nadační fond Zlatý oříšek“ či „Správce“) klade vysoký důraz na splnění všech regulačních opatření, ať už na národní či mezinárodní úrovni, a proto za účelem zkvalitnění ochrany a bezpečnosti osobních údajů byl vytvořen tento dokument, který má sloužit jako Zásady zpracování osobních údajů v Nadačním fondu Zlatý oříšek za účelem informování veřejnosti jakožto i dotčených subjektů osobních údajů o zásadách, které jako Správce osobních údajů dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) zachovává při zpracování osobních údajů fyzických osob, k němuž dochází při činnosti Nadačního fondu Zlatý oříšek (Dále jen „Zásady“).
Pojmy, které nejsou v těchto Zásadách, resp. v dalších dokumentech, na něž tyto Zásady odkazují, výslovně definovány, mají význam vycházející z GDPR.
II. Zákonnost zpracování osobních údajů
Mezi základní zásady zpracování osobních údajů patří dle GDPR zákonnost, transparentnost, korektnost, pravidelná aktualizace údajů, jejich shromažďování jen pro legitimní účely v nezbytné míře a na nezbytně dlouhou dobu, a samozřejmě maximální míra jejich zabezpečení.
Pro dodržení těchto zásad Nadační fond Zlatý oříšek aplikuje níže uvedená pravidla:
a) K dodržení zákonnosti
Zpracovávat údaje jen pokud (stačí naplnit jednu z možností):
• Zpracování je nezbytné pro splnění právní povinnosti, která se na Správce vztahuje;
• je to nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů;
• nezbytné pro účely oprávněných zájmů Správce či třetí strany;
• na základě souhlasu.
Při zjištění, že byly osobní údaje zpracovány bez splnění některé z výše uvedených podmínek, bezodkladně Správce osobní údaje maže.
b) K dodržení povinnosti zpracovává Správce jen přiměřené, relevantní a omezené údaje, které jsou nutné pro dosažení určitého účelu, čímž je zajištěna minimalizace zpracovávaných osobních údajů.
Nadační fond Zlatý oříšek zpracovává jen nezbytné množství osobních údajů o určité osobě s ohledem na účel zpracování.
c) Při zjištění nepřesnosti zpracovaných osobních údajů, Správce tyto údaje bezodkladně opravuje:
• Pokud subjekt údajů informuje Správce o tom, že došlo v jeho osobních údajích ke změně, bezodkladně ji zanáší v jeho zpracovaných osobních údajích;
• V případě, že se z jiného důvodu Správce dozví o změně osobních údajů, taktéž jí bezodkladně zanáší do jeho zpracovaných údajů.
d) Správce neukládá osobní údaje po dobu delší než je nezbytně nutné pro dosažení určitého účelu zpracování.
• Osobní údaje, které byly použity pro určitý účel maže/skartuje poté, co bylo tohoto účelu dosaženo;
• Správce pravidelně aktualizuje souhrn zpracovávaných osobních údajů a průběžně maže či skartuje ty, které již nejsou potřebné pro dosažení účelu zpracování;
• Výjimkou je zpracování pro účely statistiky a archivace, kdy je možné tyto údaje mít uložené déle.
e) Správce zpracovává údaje způsobem zajišťujícím jejich dostatečnou ochranu.
• Správce nedopustí, aby byly osobní údaje zpřístupněny neomezenému okruhu osob;
• Správce zpřístupňovat zpracované osobní údaje jen osobám, u nichž je toto zpřístupnění legitimní;
III. Účely zpracování osobních údajů
Nadační fond Zlatý oříšek zpracovává osobní údaje vždy na základě předem určeného legitimního účelu, který je subjektům údajů zřejmý.
Pro většinu účelů je možné zpracovávat osobní údaje přímo na základě smlouvy, oprávněného zájmu Nadačního fondu Zlatý oříšek nebo na základě zákona, tudíž bez nutnosti obstarání souhlasu subjektu údajů.
Nadační fond Zlatý oříšek zpracovává osobní údaje pro účely:
• Účasti v soutěži Zlatý oříšek;
• Propagace subjektu údajů (Soutěžícího);
• Propagace soutěže Zlatý oříšek;
• Propagace Nadačního fondu Zlatý oříšek;
• případně další účely zpracování osobních údajů.
IV. Kategorie zpracovávaných osobních údajů
Pro jednotlivé účely zpracování Nadační fond Zlatý oříšek zpracovává zejména následující kategorie osobních údajů, nebo některé z nich:
• Identifikační údaje;
• Adresní údaje;
• Kontaktní údaje a údaje nezbytné pro komunikaci;
• Rok narození;
• Údaje zpracovávané na základě souhlasu subjektu údajů;
• případně další kategorie zpracovávaných osobních údajů.
Rozsah zpracovávaných údajů vždy závisí na konkrétním účelu zpracování, avšak vždy se řídí zásadou minimalizace osobních údajů vyplývající z GDPR.
V. Souhlas subjektu se zpracováním osobních údajů
Pokud neexistuje pro zpracování osobních údajů určitý zákonný či smluvní titul, je možné osobní údaje zpracovávat pouze na základě souhlasu subjektu údajů.
• Souhlasy jsou archivovány po dostatečně dlouhou dobu, aby bylo možné doložit jejich udělení;
• V souhlase se zpracováním osobních údajů musí být přímo uvedeno, že je možno jej odvolat, společně s uvedením dalších práv subjektu údajů, které pro ně vyplývají z GDPR;
• Nevyžadovat souhlas v případě, že pro zpracování existuje smluvní/zákonný základ;
• V případě, že jsou zpracovávány osobní údaje dětí mladších 16 let, vyžadovat k tomuto zpracovávání souhlas jejich zákonných zástupců;
• Zároveň musí být ověřeno, že je osoba podepisující tento souhlas opravdu zákonným zástupcem dítěte;
• Souhlas musí být udělen svobodně;
• V případě odvolání souhlasu je povinnost osobní údaje okamžitě smazat/skartovat.
VI. Zpracovávání zvláštní kategorie osobních údajů
Osobní údaje, které jsou svou povahou obzvláště citlivé, v souladu s čl. 9 GDPR, z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody subjektu údajů. Tyto údaje jsou klasifikované jako „zvláštní údaje“.
Obecně se jedná o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, či zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, anebo údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Je dovoleno zpracovávat zvláštní osobní údaje:
• které jsou zjevně zveřejněné subjektem údajů;
VII. Poskytování informací o osobních údajích subjektům údajů
Správce poskytuje subjektům údajů veškeré informace vztahující se ke zpracovávání jeho osobních údajů, a to stručně, srozumitelně, jasně a transparentně.
• Správce má povinnost poskytnout subjektu údajů potvrzení o zpracovávání jeho osobních údajů a umožnit subjektu údajů přístup k těmto osobním údajů;
• V potvrzení se poskytují tyto informace – účel zpracování, kategorie zpracovávaných údajů, další příjemci osobních údajů, plánovaná doba, po kterou budou osobní údaje zpracovávány, existence práva požadovat od Správce opravu nebo výmaz osobních údajů, právo podat stížnost u dozorového orgánu včetně veškerých dostupných informacích o zdroji osobních údajů, nebyli-li získány přímo od subjektu údajů;
• Zároveň má Správce povinnost na žádost subjektu mu poskytnout kopii zpracovávaných osobních údajů – je možno na základě administrativních výdajů žádat po subjektu administrativní poplatek;
• V případě, že subjekt požádá o kopie v elektronické formě, je preferováno, aby mu byly údaje zaslány taktéž v elektronické formě, nepožádá-li výslovně o formu jinou.
VIII. Právo na výmaz, opravu a podání námitky
Zde jsou vymezeny postupy, které mají usnadnit výkon práv subjektů údajů v souvislosti
s podáváním žádostí o opravu nebo výmaz osobních údajů a pro uplatnění práva vznést námitku. Je nezbytné vzít na vědomí, že právo na výmaz mají pouze ty subjekty údajů, jejichž osobní údaje jsou zpracovávány na základě souhlasu subjektu údajů. Musí být umožněno tyto žádosti podat elektronicky. Správce má povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu (v případě, že nemá v úmyslu těmto žádostem vyhovět, musí nejpozději do jednoho měsíce pro tento postup uvést důvody).
• V případě, že bude subjektem podána žádost o výmaz nebo opravu údajů, je nutno této žádosti bezodkladně vyhovět/údaj opravit, zakládá-li se na legitimních důvodech;
• Žádosti o výmaz není nutné vyhovět, pokud existují jiné zákonné/smluvní důvody pro zpracování osobních údajů (např. není nutné vymazat údaj, pokud jsou pro plnění nominační smlouvy);
• V případě podání námitky má být prozkoumáno, zda jsou důvody podání námitky oprávněné, a v případě, že ano, údaje nemají být dále zpracovávány (v době posuzování oprávněnosti námitky dochází k omezení zpracování).
IX. Omezení zpracování
Omezením zpracování osobních údajů se rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.
• Je-li podána žádost o omezení zpracování, posoudí se, zda jsou splněny podmínky pro toto omezení;
• Je-li popřena přesnost osobních údajů subjektem – dochází k omezení zpracování po dobu, kdy je ověřována aktuálnost osobních údajů.
Zpracování je omezeno v případě, že:
• Správce již nepotřebuje údaje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
• Subjekt údajů vznesl námitku proti zpracování a nebylo dosud posouzeno, zda je tato námitka důvodná.
V případě omezení zpracování mohou být osobní údaje dále zpracovány jen na základě souhlasu nebo z důvodu uplatňování či vymáhání právních nároků nebo z důvodu ochrany jiné fyzické/právnické osoby nebo z důvodu důležitého veřejného zájmu;
V případě zrušení omezeného zpracování musí být subjekt o odpadnutí důvodu pro omezení informován.
X. Oznamovací povinnost
Subjekt údajů musí být vždy dostatečně obeznámen a informován o tom, jak je s jeho údaji nakládáno, zda jsou provedeny v jeho záznamech obsahujících osobní údaje jakékoliv změny apod.
• V případě, že dojde k jakékoliv opravě, změně, výmazu či omezení zpracování osobních údajů, musí být subjekt o těchto změnách informován.
XI. Přenositelnost údajů
Správce musí shromažďovat údaje v co nejstrukturovanější a nejkomplexnější formě tak, aby je mohl předat jinému správci v případě, že o to subjekt údajů požádá. Subjekt údajů má právo na tuto přenositelnost svých údajů a Správce nesmí takovémuto přenosu nijak bránit, naopak jej musí provést.
XII. Zpracování osobních údajů dalšími zpracovateli či příjemci
V případě, že má být vyžadováno zpracování osobních údajů, které drží Správce, dalšími zpracovateli, Správce musí vyžadovat potřebné záruky toho, že s těmito údaji bude nakládáno ve stejném standardu jako dle této interní dokumentace a platné právní úpravy.
XIII. Ohlašování případů porušení zabezpečení osobních údajů subjektu údajů
Je-li pravděpodobné, že určité porušení zabezpečení může mít za následek vysoké riziko pro práva a svobody fyzických osob, je nutno o tom ihned informovat subjekt údajů (např. v případě úniku dokumentů, které obsahují osobní údaje ze sídla Nadačního fondu Zlatý oříšek, či jejich vynesení).
XIV. Shrnutí
Tento dokument slouží k poskytnutí informací o zásadách, které jako Správce osobních údajů dle GDPR zachovává při zpracování osobních údajů fyzických osob, k němuž dochází při činnosti Nadačního fondu Zlatý oříšek.