Zásady ochrany osobních údajů
ÚVOD
Zásady ochrany osobních údajů se vztahují na osobní údaje shromážděné organizací Caballinus, z.s., IČ 26578743, se sídlem U Klubovny 911, 156 00 Praha 5 – Zbraslav (dále jen „spolek“), v souvislosti s poskytovanými službami a vykonávanou činností.
Více informací o spolku lze nalézt na webové stránce: www.caballinus.cz
Získané osobní údaje vždy spolek použije jen v souladu s platnou legislativou a takovým způsobem, aby nedošlo ke ztrátě důvěry osob, které spolku své údaje svěřily.
V tomto dokumentu naleznete informace: jaké údaje shromažďujeme, co s nimi děláme, s kým je sdílíme, jak je chráníme a na koho je možné se obrátit v případě, že máte jakékoli pochybnosti.
identifikace správce osobních údajů
Caballinus, z.s.
Sídlo: U Klubovny 911, 156 00 Praha 5 – Zbraslav
IČ: 26578743
Forma: spolek
Datum vzniku: 14. listopadu 2008, L 19576 vedená u Městského soudu v Praze
Datová schránka: muewsts
Mgr. Tereza Honců – předsedkyně spolku
Email: tereza.honcu@caballinus.cz
JAKÉ OSOBNÍ ÚDAJE SBÍRÁME A SHROMAŽĎUJEME?
Jsou shromažďovány údaje o následujících subjektech, v následujícím rozsahu:
-
- klienti služeb – jméno, příjmení, věk, adresa, zdravotní pojišťovna, údaje o zdravotním stavu
- zákonný zástupce klienta služeb – jméno, příjmení, adresa, bankovní účet, telefon, email
- zaměstnanci spolku – titul, jméno, příjmení, kontaktní poštovní adresa, rodné číslo, datum narození, místo narození, vzdělání, email, telefon, číslo účtu, IČ
- členové spolku – titul, jméno, příjmení, kontaktní poštovní adresa, email, telefon
- dodavatelé služeb – titul, jméno, příjmení, kontaktní poštovní adresa, rodné číslo, datum narození, místo narození, vzdělání, email, telefon, číslo účtu, IČ
- odběratelé služeb (např. studenti, účastníci vzdělávacích akcí) – titul, jméno, příjmení, kontaktní poštovní adresa, datum narození, místo narození, vzdělání, email, telefon
ZA JAKÝM ÚČELEM ÚDAJE ZPRACOVÁVÁME?
Údaje sbíráme a shromažďujeme v nezbytně nutném rozsahu z následujících důvodů:
- klienti služeb – za účelem identifikace, fakturace a komunikace
- zákonný zástupce klienta služeb – za účelem identifikace, fakturace a komunikace
- zaměstnanci spolku – za účelem identifikace, komunikace a fakturace, realizace pracovního vztahu a plnění povinností zaměstnavatele
- členové spolku – za účelem registrace, identifikace, fakturace a komunikace
- dodavatelé služeb – za účelem identifikace, komunikace a fakturace, realizace smluvního vztahu
- odběratelé služeb (např. studenti, účastníci vzdělávacích akcí) – za účelem identifikace, komunikace a fakturace, prezenční listiny, realizace smluvního vztahu, udělení certifikátů účastníkům vzdělávacích programů
Spolek za účelem propagace a výzkumu pořizuje a zveřejňuje na svých sociálních sítích videa a fotodokumentaci z pořádaných aktivit, zároveň spolek pořízenou fotodokumentaci z pořádaných aktivit publikuje ve svých propagačních materiálech a propagačních materiálech České hiporehabilitační společnosti (např. kalendáře, výroční zprávy, letáky, odborná literatura, jiné tištěné dokumenty).
Povinnosti správce osobních údajů
Spolek shromažďuje běžné osobní údaje i zvláštní osobní údaje. Osobní údaje získáváme pouze za předpokladu, že nám je poskytne subjekt dobrovolně sám. Osobní údaje zpracováváme na základě souhlasu, plnění zákonné nebo smluvní povinnosti, ochrany životně důležitých zájmů klientů a z důvodu našeho oprávněného zájmu. V případě, že nám subjekt odmítne osobní údaje poskytnout pro účely zpracování, které mají jiný právní základ zpracování než jeho souhlas, nebude možné služby poskytnout (o této skutečnosti je subjekt údajů vyrozuměn v rámci žádosti o souhlas).
Osobní údaje uživatelů služeb zpracovávají pouze naši pověření zaměstnanci, kteří byli o nakládání s osobními údaji řádně poučeni a jejichž mlčenlivost je smluvně ošetřena. Příjemcem osobních údajů jsou pouze státní orgány v rámci plnění zákonných povinností. Externí zpracovatel údajů – účetní firma – je využíván pouze pro personální a účetní agendy (zpracování osobních údajů zaměstnanců, zpracování osobních údajů dodavatelů služeb, výplata mzdy a náhrad, fakturace, účetnictví).
Dle charakteru osobních údajů probíhá sběr údajů formou ústní, písemnou a elektronickou. Osobní údaje jsou zpracovávány elektronicky – automatizovaně (např. počítače, kopírky, výpočetní technika) a v listinné podobě – manuálně (např. šanony, kartotéky, skříně). Při zpracování osobních údajů nedochází k automatizovanému rozhodování, včetně profilování nebo odvozování.
Práva subjektu údajů
Základními právy jsou:
- právo na přístup k informacím o zpracování osobních údajů
- právo na vysvětlení
- právo na odstranění závadného stavu, zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů
- právo odvolat kdykoli souhlas
Práva subjektu údajů se uplatňují žádostí podanou u správce. Žádost může být poměrně jednoduchá, pro zjednodušení práce je možné použít tyto vzory:
žádost o informaci: http://www.oou.cz/vzoryzadosi/zadostoinformaci
žádost o vysvětlení: http://www.oou.cz/vzoryzadosi/zadostovysvetleni
žádost o nápravu: http://www.oou.cz/vzoryzadosi/zadostonapravu
GDPR nově zavádí tato práva:
- právo na výmaz, právo být zapomenut
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku
- právo podat stížnost u dozorového úřadu
Zabezpečení osobních údajů
Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
Jako ochrana před rizikem neoprávněného přístupu k údajům a prostředkům pro jejich zpracování, neoprávněného čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů, ztráty údajů či zneužití, byla nastavena opatření ve formě určení kompetentních osob – zaměstnanců subjektu, které mají přístup k údajům a zodpovídají za ochranu záznamů, zajišťují adekvátní uložení listinných dokumentů, zajišťují ochranu dat v souborech počítače a externím disku, provádí pravidelnou aktualizace hesla, antivirových programů a dalších ochranných systémů.
Dokumenty v listinné podobě jsou uloženy v šanonu, ve skříni, v uzamčené místnosti. Přístup do místnosti mají pouze zaměstnanci spolku. Dokumenty v elektronické podobě jsou uloženy v souborech počítače či externího disku, který je chráněn heslem. Heslo znají pouze zaměstnanci (využívá se zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby), heslo je pravidelně 1x za čtvrtletí aktualizováno. Výpočetní technika prochází revizí, jsou zde instalovány antivirové programy a pravidelné aktualizace všech systémů.
- klienti služeb, zákonný zástupce klienta služeb, členové spolku – využíván web s interním programem k přihlášení na službu, přihláška se ukládá na Google disk (zabezpečení: heslo k Google disk, pravidelně aktualizováno 1x za čtvrtletí), elektronické dokumenty v počítači (chráněno heslem, antivirus a antimallware, firewall)
- zaměstnanci spolku, dodavatelé služeb, odběratelé služeb – listinné dokumenty (zabezpečení: šanon, registratura v kanceláři předsedkyně v uzamykatelné skříni, zde i externí disky), elektronické dokumenty v počítači (chráněno heslem, antivirus a antimallware, firewall), uložení na externích discích s heslem, Cloudová úložiště – bezpečné heslo určené výhradně pro cloud a dvoufázové ověření.
V souladu se zásadou minimalizace dat jsou zpracovávány pouze ty osobní údaje, které jsou nezbytné pro daný účel a jsou uchovávány po nezbytně dlouhou dobu. Po uplynutí dané doby jsou údaje vymazány či skartovány, popř. anonymizovány:
- klienti služeb, zákonný zástupce klienta služeb – po dobu využívání služby
- členové spolku – po dobu členství
- zaměstnanci spolku, dodavatelé služeb, odběratelé služeb – po dobu trvání smlouvy, dále mzdové listy dle právních předpisů, účetní záznamy, které dokládají vedení účetnictví, po dobu 5 let (dotace 10 let), účetní závěrka a výroční zpráva po dobu 10 let
Spolek využívá fakturační systémy a aplikace:
IDOKLAD – zásady ochrany lze nalézt na https://www.idoklad.cz/zasady-ochrany-osobnich-udaju
Google pro firmy (emailové adresy a Google disky) – zásady ochrany lze nalézt na https://policies.google.com/privacy