Zdroje, rozsah a účely zpracování osobních údajů
Zpracováváme osobní údaje v rozsahu, které nám, nebo našim smluvním partnerům, poskytujete v souvislosti s vaším členstvím v Komoře pověřenců pro ochranu osobních údajů (dále také “Komora”), případně jako zaměstnanec nebo účastník školení.
Osobní údaje zpracováváme po dobu nezbytně nutnou k zajištění služeb našim členům a zaměstnancům. Data a dokumenty jsou archivovány v souladu s platnou legislativou a interními dokumenty. Podrobnosti naleznete v příloze Hlavní právní předpisy v oblasti ochrany osobních údajů.
Naše Komora má nastavena přísná pravidla přístupu zaměstnanců či externích partnerů, kteří působí v roli našich zpracovatelů. Jejich výčet naleznete v příloze Seznamy externích partnerů.
Kromě našich partnerů mohou být osobní údaje fyzických osob poskytnuty také dozorovým orgánům, orgánům činným v trestním řízení apod., a to na základě ustanovení platné legislativy.
Kategorie subjektů údajů
- Člen Komory
- Zaměstnanec
- Účastník školení
- Osoba jednající za účastníka školení
- Dodavatel / odběratel (fyzická osoba) v rámci hospodářského styku:
- poskytovatelé ubytovacích služeb
- subjekty vymáhající naše pohledávky,
Informační memorandum informace pro členy, zaměstnance a klienty Komory o zpracování osobních údajů Komory (správcem osobních údajů) a informace o právech členů, zaměstnanců a klientů v souvislosti se zpracováním osobních údajů
V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále také „Nařízení“ nebo „GDPR“) Vám poskytujeme tyto informace
Správce osobních údajů:
Komora pověřenců pro ochranu osobních údajů, z.s., Laudova 1386/33, 163 00 Praha 6 – Řepy, IČO: 05977622, e-mail: info@komorapoverencu.cz, kontaktní údaje: Ing. Roman Rábek, předseda Výboru Komory.
Zpracovatel osobních údajů:
a) Účetní firma JS Keynote s.r.o., Kamýcká 246/4c, 160 00 Praha 6, IČ: 29037247, e-mail: monetaris@seznam.cz na základě příkazní smlouvy včetně zpracovatelského dodatku k uvedené smlouvě.
b) Provozovatel webových stránek Komory (https://cs.wordpress.org/about/privacy/) společnost WORDPRESS.ORG ČESKO, na základě upravených Obchodních podmínek vzhledem ke GDPR.
c) Poskytovatel internetu Komoře společnost CentroNet, a.s., Náměstí Republiky 1037/3, 110 00 Praha 1 – Nové Město, IČO: 261 65 473, tel.: 246 008 787, na základě upravených Obchodních podmínek vzhledem ke GDPR.
d) Poskytovatel telefonních a datových služeb Vodafone Czech Republic a. s., Náměstí Junkových 2, 155 00 Praha 5, IČ: 25788001, na základě Prohlášení o ochraně osobních údajů v rámci Obchodních podmínek.
Subjekt osobních údajů, osobní údaj, zdroj osobních údajů, účel zpracování a právní základ pro zpracování:
1. Při činnosti Komory ze strany Komory zpracováváme osobní údaje těchto subjektů údajů:
– členové Výboru Komory,
– členové Komory,
– zájemci o zápis do Registru pověřenců,
– účastníci školení a seminářů pořádaných Komorou,
– smluvní pracovníci na základě DPP nebo DPČ,
– dodavatelé / odběratelé (fyzické osoby) v rámci hospodářského styku,
– klienti.
2. Zpracováváme tyto osobní údaje:
– identifikační údaje – jméno, příjmení, datum narození,
– kontaktní údaje – bydliště, adresa, telefon, e-mail,
– rodné číslo zpracováváme pouze v případě, že v rámci Komory pobíráte mzdu nebo odměnu a rodné číslo potřebujeme jakožto povinnou náležitost mzdového listu; dále rodné číslo zpracováváme v případě členů výboru Komory ve věci provedení zápisu těchto osob do obchodního rejstříku,
– u osob, které pobírají v rámci Komory mzdu či odměnu, zpracováváme další údaje, které jsou povinnou náležitostí mzdového listu a další údaje potřebné pro plnění zákonných povinností ve vztahu ke zdravotnímu a sociálnímu pojištění,
– u klientů evidovaných v rámci Registru pověřenců jsou vedeny také údaje o jejich činnosti pověřence (pověřující organizace a místo výkonu),
– platební údaje dodavatelů / odběratelů (fyzická osoba) v rámci hospodářského styku.
3. Osobní údaje získáváme přímo od subjektu údajů.
4. Osobní údaje zpracováváme za účelem plnění našich zákonných povinností, jako je např. vedení mzdové evidence. V případě, že jste nám poskytli kontaktní údaje, zpracováváme je pouze za účelem Vašeho kontaktování ve věcech právního zájmu Komory. Výjimkou jsou údaje vedené a zveřejňované na základě písemných souhlasů klientů v Registru pověřenců.
5. Právním podkladem pro zpracování osobních údajů je zejména:
- Občanský zákoník č. 89/2012 Sb.,
- Zákoník práce č. 262/2006 Sb.,
- Zákon o dani z příjmů č. 586/1992 Sb.,
- Zákon o evidenci obyvatel č. 133/2000 Sb.,
- Zákon o účetnictví č. 563/1991 Sb.,
- Zákon o dani z přidané hodnoty č. 235/2004 Sb.
6. Komora nezpracovává údaje pro marketingové účely, ani osobní údaje k těmto účelům dále neposkytuje jiným zpracovatelům.
7. Komora neprovádí automatizované individuální rozhodování a ani profilování na základě osobních údajů.
8. Ke zpracování osobních údajů k účelům podle odst. 4 a ke splnění povinností, stanovených právními předpisy podle odst. 5 potřebujeme souhlas subjektu údajů pouze v případě zpracování a zveřejňování údajů v rámci Registru pověřenců, a to bez ohledu na formu zpracování (papírová, elektronická, elektronická s využitím software nebo webové aplikace), a to i v případě, že zpracování provádíme prostřednictvím zpracovatele (účetní, webový portál apod.).
Pověřenec pro ochranu osobních údajů
Komora nenaplňuje zákonné podmínky pro jmenování pověřence pro ochranu osobních údajů.
Příjemci nebo kategorie příjemců osobních údajů
Osobní údaje můžeme poskytovat bez Vašeho souhlasu těmto subjektům:
1. Státním orgánům, resp. dalším subjektům v rámci plnění zákonných povinností stanovených zvláštními předpisy, jde zejména o orgány státní správy, soudy, orgány činné v trestním řízení, orgány dohledu, exekutory, notáře, soudní komisaře, insolvenční správce apod.;
2. Specializovaným externím subjektům (dále „zpracovatel”), které pro Komoru zajišťují některé činnosti, na základě uzavřené smlouvy. Komora má zákonnou povinnost vybrat pouze takového zpracovatele, který poskytuje dostatečné záruky ochrany osobních údajů při jejich zpracování. Zpracování osobních údajů zpracovatelem se řídí smlouvou nebo jiným právním aktem (např. Obchodními podmínkami), uzavřenou mezi zpracovatelem a Komorou; s vaším souhlasem nebo na váš příkaz můžeme osobní údaje poskytnout i dalším subjektům, a to za podmínek uvedených v souhlasu nebo příkazu.
Doba, po kterou jsou osobní údaje zpracovány a archivovány
1. Komora zpracovává osobní údaje minimálně po dobu trvání existence některého z důvodu, pro který osobní údaje zpracovává, tj. např. po dobu pobírání mzdy nebo odměny v rámci Komory. Dále Komora zpracovává osobní údaje po dobu běhu lhůt pro různá podání či obhajobu nároků Komory nebo subjektu údajů. U účastníků školení se lhůty řídí požadavky zákona o účetnictví a zákona o DPH.
2. Pokud pominou důvody pro zpracování osobních údajů, provádí Komora zpracování osobních údajů již pouze v podobě archivace, po dobu nezbytnou ke splnění zákonných lhůt pro archivaci, a dále ke splnění zákonných povinností v rámci zákonných promlčecích lhůt.
3. Po uplynutí lhůt podle odst. 1 a 2 provede Komora výmaz osobních údajů, které jsou zpracovávány elektronicky, v případě papírového zpracování provede řádnou skartaci a likvidaci.
Práva subjektu údajů
I. Právo na přístup k osobním údajům
1. Subjekt údajů má právo získat od Komory potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům.
2. Komora poskytne na žádost subjektu údajů kopii zpracovávaných osobních údajů. Za další kopie může Komora účtovat přiměřený poplatek ve výši administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob a pokud je možno prostřednictvím elektronické formy subjekt údajů dostatečně určitě identifikovat. Právem získat kopii nesmějí být nepříznivě dotčena práva a svobody jiných osob.
3. Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46 Nařízení, které se vztahují na předání.
II. Právo na opravu
Subjekt údajů má právo na to, aby Komora bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
III. Právo vznést námitku
1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování vč. profilování osobních údajů, které se jej týkají, pokud se jedná o zpracování v těchto případech:
– zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
– zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údaj vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
2. Komora osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
IV. Právo na výmaz (právo být zapomenut)
1. Pokud se jedná o zpracování osobních údajů mimo rámec zákonného zpracování pro splnění právní povinnosti Komory, má subjekt údajů právo na to, aby Komora bez zbytečného odkladu vymazalo osobní údaje, které se daného subjektu údajů týkají, a dále má povinnost osobní údaje bez zbytečného odkladu vymazat.
2. Jestliže Komora zveřejnila osobní údaje, které je povinna podle odst. 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení, přiměřené kroky včetně technických opatření, aby informovala zpracovatele, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
V. Právo na omezení zpracování
1. Subjekt údajů má právo na to, aby Komora omezila zpracování (např. znepřístupnění vybraných údajů příjemcům nebo dočasným odstraněním z internetových stránek) v těchto případech:
a) subjekt údajů popírá přesnost osobních údajů, zpracování bude omezeno na dobu potřebnou k tomu, aby Komora mohla přesnost osobních údajů ověřit,
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
c) Komora již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
d) subjekt údajů vznesl námitku proti zpracování podle čl. III, dokud nebude ověřeno, zda oprávněné důvody Komory převažují nad oprávněnými důvody subjektu údajů, bude zpracování omezeno.
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je ze strany Komory předem upozorněn na to, že bude omezení zpracování zrušeno na základě odstavce 2.
VI. Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
1. Komora oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem II, odst. 1, článku IV a čl. V s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
2. Komora informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
VII. Právo na přenositelnost údajů
Vzhledem k tomu, že Komora provádí pouze zákonné zpracování osobních údajů, a zpracování není prováděno automatizovaně, subjekt údajů nemá právo na přenositelnost údajů na jiného správce podle čl. 20 Nařízení. Výjimkou jsou údaje zpracovávané a uchovávané v Registru pověřenců na základě souhlasu subjektu údajů.
VIII. Právo na informace v případě porušení zabezpečení osobních údajů subjektu údajů
1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Komora toto porušení bez zbytečného odkladu subjektu údajů.
2. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
– Komora zavedla náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů,
– Komora přijala následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví.
IX. Právo podat stížnost u dozorového úřadu
Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno Nařízení.
Znění celého Nařízení (GDPR) je možné nalézt na tomto odkaze:
http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679&from=EN
verze listopad 2020
