ZÁSADY ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ VE SPOLEČNĚ-JEKHETANE, o. p. s.
SPOLEČNĚ-JEKHETANE, o. p. s. shromažďuje a zpracovává osobní údaje v souladu s článkem 13 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů (dále jen „GDPR“) a jako taková je správcem osobních údajů subjektů.
Zásady zpracování a ochrany osobních údajů ve SPOLEČNĚ-JEKHETANE, o. p. s. popisuje interní směrnice o naplňování povinností vyplývajících z příslušné právní úpravy včetně obecného nařízení Evropské unie o ochraně osobních údajů (dále také jako „GDPR“).
SPOLEČNĚ-JEKHETANE, o. p. s. provádí všechny úkony zpracování osobních údajů uvědoměle za jasně definovaným účelem a na základě některého z právních titulů vyjmenovaných v čl. 6 odst. 1 nařízení GDPR, a jde-li o citlivé údaje (zvláštní kategorie osobních údajů), v čl. 9 odst. 2 nařízení GDPR.
- ZPRACOVÁVÁME A CHRÁNÍME OSOBNÍ ÚDAJE VČETNĚ ÚDAJŮ CITLIVÝCH
Osobními údaji jsou veškeré údaje o identifikované nebo identifikovatelné fyzické osobě, tj. údaje určující fyzickou osobu (např. jméno, příjmení, rodné číslo, fotografie) či údaje přiřaditelné ke konkrétní fyzické osobě (je-li u údajů uvedeno jméno osoby nebo jiný identifikátor). Předmětem ochrany jsou osobní údaje žijících fyzických osob a takové údaje o zesnulých osobách, které mohou nadále nést informaci rovněž o žijících osobách (např. údaje o dědičných nemocech).
Údajem zvláštní kategorie neboli citlivým údajem je osobní údaj vypovídající
o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženském a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů.
SPOLEČNĚ-JEKHETANE, o. p. s. provádí všechny úkony zpracování osobních údajů
na základě některého z právních titulů vyjmenovaných v čl. 6 odst. 1 nařízení GDPR, a jde-li o citlivé údaje (zvláštní kategorie osobních údajů), v čl. 9 odst. 2 nařízení GDPR.
- SPOLEČNĚ-JEKHETANE, o. p. s. (DÁLE JEN ORGANIZACE) JE SPRÁVCEM OSOBNÍCH ÚDAJŮ
Správce určuje, jak budou údaje zpracovány, za jakým účelem a po jak dlouhou dobu. Zodpovídá za jejich ochranu a zabezpečení. Nese odpovědnost za dodržení níže uvedených základních zásad, ale i za celkový soulad zpracování osobních údajů s právní úpravou ochrany osobních údajů.
Využívá-li organizace externího zpracovatele osobních údajů, tj. subjektu, který zpracovává osobní údaje pro SPOLEČNĚ-JEKHETANE, o. p. s. a na její pokyn (např. lékař pracovně lékařských služeb, dodavatel služeb IT včetně služeb ,,cloudových“, účetní či daňový poradce), jedná se výlučně o subjekt, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření pro splnění požadavků GDPR a zajištění ochrany práv subjektů údajů. Se zpracovatelem je uzavírána smlouva, která obsahuje náležitosti dle čl. 28 nařízení GDPR. Zpracovatel je povinen zpracovávat osobní údaje získané od organizace pouze k účelu, pro který mu byly svěřeny, a pouze v souladu s doloženými pokyny organizace.
- ZPRACOVÁVÁME OSOBNÍ ÚDAJE TĚCHTO FYZICKÝCH OSOB:
- uživatelů organizací poskytovaných sociálních služeb a další pomoci, zájemců o tyto služby, případně jejich rodinných příslušníků,
- zaměstnanců, dobrovolníků, stážistů a uchazečů o zaměstnání či dobrovolnickou činnost v organizaci,
- sponzorů, dárců a dalších spolupracujících osob,
- dodavatelů,
- zástupců a kontaktních osob výše uvedených kategorií subjektů údajů.
- JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME A V JAKÉM ROZSAHU
- identifikační a kontaktní údaje:jméno, příjmení, rodné číslo, datum narození, trvalý/přechodný pobyt, kontaktní adresa, telefonní číslo,
- „uživatelské“ údaje: o poptávaných službách a pomoci, o poskytnutých službách a pomoci
a jejich průběhu, včetně informací o věku, zdravotním stavu, sociální situaci, rodinné situaci, případně informace o rasovém, či etnickém původu, jsou-li tyto, pro druh poskytované služby relevantní. - „sponzorské“ údaje: výše příspěvků a darů, čísla bankovních účtů, podporované projekty,
- „zaměstnanecké“ údaje: výše mzdy a dalších plnění, číslo bankovních účtů, odpracované hodiny, pracovní výsledky, další údaje o zaměstnaneckém vztahu a jeho průběhu, údaje o rodinném stavu a vyživovaných osobách, evidence odvodů do sociálního a zdravotního pojištění a daňová evidence,
- fotografie z akcí pořádaných organizací (umožňující identifikaci konkrétních osob).
- Z JAKÉHO PRÁVNÍHO TITULU A ZA JAKÝM ÚČELEM OSOBNÍ ÚDAJE ZPRACOVÁVÁME
- plnění zákonných povinností poskytovatele sociálních služeb, a u citlivých „uživatelských“ údajů z titulu a za účelem poskytování sociální či z titulu ochrany životně důležitých zájmů subjektů údajů nebo jiných fyzických osob (předejití vzniku újmy v sociální situaci osoby, humanitární účely),
- plnění zákonných povinností daňového subjektu– za účelem evidence darů, zasílání potvrzení o darech,
- plnění zákonných povinností zaměstnavatele– za účelem zpracování mezd a provádění příslušných daňových odvodů a odvodů do systémů sociálního a zdravotního pojištění,
za účelem vedení osobních spisů, za účelem povinnosti předkládat výpis z rejstříku trestů (přičemž výpis bez záznamu se nepovažuje za ,,citlivý“ údaj) a doklady o dosaženém vzdělání, - oprávněných zájmů SPOLEČNĚ-JEKHETANE– za účelem vedení interní statistiky dárců, propagace činnosti organizace (včetně adresného informování dárců o dalších možnostech podpory a pořádaných akcích), za účelem ochrany majetku a osob v prostorách organizace,
- souhlasu subjektu údajů se zpracováním– zejména u citlivých údajů a používání fotografií klientů a dárců za účelem propagace činnosti organizace.
SPOLEČNĚ-JEKHETANE, o. p. s. provádí všechny úkony zpracování osobních údajů uvědoměle za jasně definovaným účelem a na základě některého z právních titulů vyjmenovaných v čl. 6 odst. 1 nařízení GDPR, a jde-li o citlivé údaje (zvláštní kategorie osobních údajů), v čl. 9 odst. 2 nařízení GDPR.
- PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SE ŘÍDÍME TĚMITO ZÁSADAMI
Zákonnost – organizace postupuje v souladu s právní úpravou ochrany osobních údajů.
- Každý úkon zpracování osobních údajů ze strany organizace je založen na jednom z právních titulů zpracování. Existuje-li pro zpracování osobních údajů jiný právní titul, než je souhlas subjektu údajů, organizace nezískává od dotčeného subjektu údajů tento souhlas.
- Je-li pro zpracování osobních údajů nezbytný souhlas subjektu údajů,text souhlasu
je formulován jednoznačně pro konkrétní účely zpracování, je formulován srozumitelně
a je uveden na samostatném dokumentu, anebo je aspoň dostatečně graficky oddělený
od zbytku dokumentu. Souhlas se zpracováním osobních údajů musí být subjektem údajů udělen aktivně (tzv. opt-in) a svobodně. - Organizace nesmí vyžadovat souhlas jako podmínku poskytování služby nebo jiné její činnosti, není-li dotčené zpracování osobních údajů pro to nezbytné. Subjektu údajů je umožněno souhlas snadno odvolat.
- Je-li pro zpracování osobních údajů dítěte (osoby mladší 18 let) nezbytný souhlas subjektu údajů, tento souhlas uděluje zákonný nebo ustanovený zástupce dítěte, a je-li dítě starší 13 let, uděluje jej zároveň i dítě.
Korektnost a transparentnost – jakékoliv informace určené subjektům údajů a/nebo veřejnosti jsou úplné a správné, formulované pregnantně, a zároveň stručně a srozumitelně. Tam, kde je to vhodné a potřebné, použije se vizualizace prostřednictvím piktogramů.
Účelové omezení – organizace používá a zpracovává osobní údaje zásadně za účelem, pro který byly původně získané. Pro jiný účel než výše uvedený lze osobní údaje zpracovávat, je-li takový účel slučitelný s původním účelem. Za neslučitelné se nepovažuje další zpracování pro účely archivace ve veřejném zájmu (např. archivace mzdových listů, daňových dokladů
či zdravotnické dokumentace po zákonem stanovenou dobu), pro účely vědeckého
či historického výzkumu nebo pro statistické účely.
Minimalizace údajů a omezení uložení – organizace omezuje zpracování osobních údajů
na rozsah nezbytný pro účely zpracování. Organizace neuchovává osobní údaje po dobu delší, než je nezbytné s ohledem na účely zpracování, resp., po kterou je povinna osobní údaje uchovávat. Organizace dodržuje povinnosti archivovat stanovené osobní údaje po vymezenou dobu (např. pro účely daňové kontroly, nebo ověření nároků v rámci důchodového nebo nemocenského pojištění atd.). Osobní údaje lze uchovávat déle, než je nezbytné pro původní účel, vedle archivace ve veřejném zájmu také pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických
a organizačních opatření pro zaručení práv a svobod subjektů údajů.
Přesnost – Organizace zpracovává přesné a v případě potřeby aktualizované osobní údaje. V případě, že je důležité uchovávat vedle aktuálních osobních údajů i osobní údaje původní, organizace uchovává i tato data.
Integrita a důvěrnost – Organizace zajišťuje náležité zabezpečení osobních údajů, včetně jejich ochrany před neoprávněným či protiprávním zpracováním (únikem) a před náhodnou ztrátou, zničením nebo poškozením.
- JAK MÁME ZABEZPEČENU OCHRANU OSOBNÍCH A CITLIVÝCH ÚDAJŮ
Listinné (papírové) kartotéky jsou umístěny v prostorách organizace tak, aby k nim byl znemožněn přístup nepovolaným osobám. Jsou uzamčeny – přístup k nim má pouze omezený okruh zaměstnanců s příslušnou působností.
Elektronicky vedené evidence – příslušné složky jsou chráněny přístupovými hesly a přístup k nim je opět umožněn pouze zaměstnancům s příslušnou působností.
Koncová uživatelská zařízení jsou chráněná antivirovým a antispamovým softwarem.
Úplný a konkretizovaný popis bezpečnostních opatření je uveden v interní směrnici organizace.
Ochrana budov – sídlo organizace a všechny jeho pobočky je chráněno elektronickým zabezpečovacím zařízením s přístupovými kódy. Odloučené pracoviště v Šumperku
je umístěno v domě soukromého vlastníka – za zabezpečení ostrahy zodpovídá majitel domu. Všechna pracoviště organizace jsou pojištěna pro případ vykradení, či živelné pohromy.
DODRŽUJEME POVINNOST MLČENLIVOSTI O OSOBNÍCH ÚDAJÍCH
- A BEZPEČNOSTNÍCH OPATŘENÍCH NA JEJICH OCHRANU:
Všichni zaměstnanci a další osoby uvnitř organizace s přístupem k osobním údajům jsou zavázáni povinností mlčenlivosti, a tato povinnost trvá i po ukončení jejich činnosti pro organizaci.
Se zpracovatelem, tj. subjektem, který zpracovává osobní údaje pro organizaci, je uzavírána smlouva, která obsahuje náležitosti dle čl. 28 nařízení GDPR a která ho zavazuje povinností mlčenlivosti. Může-li mít externí poskytovatel služeb pro organizaci, který není zpracovatelem, i jen nahodilý přístup k osobním údajům zpracovávaným organizací, je organizací také smluvně zavázán povinností mlčenlivosti.
Osobní údaje zpracovávané organizací nejsou předávány do třetích zemí, tj. mimo země Evropské unie a Evropského hospodářského prostoru, ani mezinárodním organizacím.
Při využívání služeb cloudového úložiště organizace vyžaduje od poskytovatele těchto služeb umístění serverů, na nichž jsou uloženy osobní údaje zpracovávané organizací, v rámci Evropské unie a Evropského hospodářského prostoru.
- KAŽDÁ FYZICKÁ OSOBA MÁ SVÁ PRÁVA, KTERÁ JÍ POMOHOU JEJÍ OSOBNÍ ÚDAJE CHRÁNIT
- právo na přístup k osobním údajůmdle čl. 15 GDPR, tedy na informaci, zda jsou jeho osobní údaje zpracovávány, a na informace o tomto zpracování,
- právo na opravu nepřesných či doplnění neúplných osobních údajůdle čl. 16 GDPR,
- právo na výmaz (likvidaci) osobních údajůve stanovených případech dle čl. 17 GDPR, – organizace nemusí žádosti subjektu údajů vyhovět, je-li naplněna některá z výjimek, např. je-li další zpracování nezbytné pro splnění zákonné povinnosti, splnění úkolu prováděného ve veřejném zájmu nebo uplatňování právních nároků,
- právo na omezení zpracování osobních údajůve stanovených případech dle čl. 18 GDPR,
- právo na přenositelnost osobních údajůdle čl. 20 GDPR,
- právo vznést námitku proti zpracovánídle čl. 21 GDPR,
- právo nebýt předmětem automatizovaného individuálního rozhodování s právními nebo obdobnými účinky dle čl. 22 GDPR.
- Subjekt údajů má dále právo podat stížnost u dozorového úřadu, tj. v rámci České republiky u Úřadu pro ochranu osobních údajů ČR, aniž jsou dotčeny jiné prostředky ochrany, domnívá-li se, že zpracování jeho osobních údajů je v rozporu s právní úpravou.
- Subjekt údajů má také právo kdykoliv odvolat souhlas se zpracováním osobních údajů, aniž je dotčena zákonnost dřívějšího zpracování osobních údajů.
- KDE MÁME ULOŽENY VŠECHNY PŘÍSLUŠNÉ DOKUMENTY K GDPR A KAM SE LZE OBRACET S DOTAZY, ŽÁDOSTMI, STÍŽNOSTMI, KTERÉ SE TÝKAJÍ ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ?
Správce osobních údajů můžete kontaktovat:
- osobně nebo poštouna adrese sídla SPOLEČNĚ-JEKHETANE,o. p. s., u Tiskárny 515/3,
702 00 Ostravě, 2. patro, kancelář č. – ředitelka organizace - telefonemna čísle: 724 065 799
- emailemna adrese: jekhetane@jekhetane.cz
Kontaktní osobou správce je: Mgr. Helena Balabánová, ředitelka