SMĚRNICE K UPLATŇOVÁNÍ PRAVIDEL PRO OCHRANU OSOBNÍCH ÚDAJŮ A POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PREAMBULE
Podepsaný Správce osobních údajů (dále jen „Správce“) vydává v souladu s platnou legislativou upravující ochranu osobních údajů fyzických osob, zejména s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, nebo též GDPR – dále jen „Nařízení“) tuto směrnici, která coby vnitřní předpis Správce komplexně upravuje zpracovávání osobních údajů shora uvedeným Správcem. Tato směrnice zároveň slouží k informování subjektů údajů o tom, jaké jejich osobní údaje jsou zpracovávány, k jakému účelu, a jaká jsou jejich práva dle Nařízení.
I. Zpracovávané osobní údaje, subjekty údajů
Tato část směrnice upravuje odděleně pro jednotlivé skupiny subjektů údajů zejména:
- jaké osobní údaje Správce zpracovává
- z jakých zdrojů je získává,
- k jakému účelu jsou osobní údaje zpracovávány,
- na základě jakých právních titulů (podmínek zákonnosti zpracování) se tak děje,
- jakým způsobem je získáván souhlas se zpracováním osobních údajů tam, kde jsou údaje zpracovávány na základě souhlasu subjektu údajů,
- po jakou dobu jsou osobní údaje zpracovávány,
- jakým způsobem jsou jednotlivé skupiny subjektů údajů informovány o zásadách zpracování osobních údajů a svých právech.
I.I. Zaměstnanci:
- Správce zpracovává pouze takové osobní údaje zaměstnanců, které jsou nutné ke splnění právní povinnosti (vedení evidence zaměstnanců a mezd, plnění povinností v oblasti sociálního zabezpečení, zdravotního pojištění, daně z příjmů fyzických osob a zákonného pojištění odpovědnosti), nebo ke splnění smlouvy (zde pracovní smlouva či Dohoda uzavřená mezi Správcem a zaměstnancem – např. číslo bankovního účtu).
- Osobní údaje zaměstnanců jsou získávány zejména z: a. pracovní smlouvy, případně Dohody (DPP, DPČ), b. osobního dotazníku, c. prohlášení poplatníka daně z příjmů fyzických osob ze závislé činnosti.
- Osobní údaje jsou s ohledem na účel zpracování zpracovávány bez souhlasu subjektu údajů.
- Osobní údaje zaměstnanců jsou zpracovávány po dobu trvání pracovního poměru a po dobu trvání lhůt stanovených právními předpisy pro archivaci dokladů o pracovněprávních vztazích.
- Informace o zpracování osobních údajů jsou zaměstnanci sdělovány při vzniku pracovního poměru seznámením s touto směrnicí.
- Osobní údaje uchazečů o zaměstnání, kteří se následně nestali zaměstnanci Správce, lze zpracovávat pouze na základě souhlasu subjektu údajů, jinak musí být po skončení příslušného výběrového řízení likvidovány.
I.II. Obchodní partneři (dodavatelé a odběratelé zboží a služeb, včetně zákazníků e-shopu):
- Správce zpracovává o obchodních partnerech pouze takové osobní údaje, které jsou nutné ke splnění smlouvy, nebo k jednání o smlouvě mezi ním a těmito subjekty. Za osobní údaje obchodních partnerů se pro účely této směrnice považují i osobní údaje zaměstnanců nebo zástupců těchto partnerů-právnických osob, jsou-li uvedeni jako zaměstnanci a/nebo kontaktní osoby. Správce upozorňuje, že právnická osoba (společnost, organizace) jako taková nemá osobní údaje.
- Osobní údaje obchodních partnerů jsou získávány z korespondence s nimi, případně z veřejně dostupných zdrojů – veřejné rejstříky, webové stránky obchodních partnerů.
- Osobní údaje obchodních partnerů jsou s ohledem na účel zpracování zpracovávány bez souhlasu subjektu údajů. Osobní údaje mohou být dále zpracovávány i na základě souhlasu subjektu údajů. Souhlas je v takovém případě získáván zpravidla na internetových stránkách Správce, nebo ve smlouvě uzavřené mezi obchodním partnerem a Správcem.
- Osobní údaje obchodních partnerů jsou zpracovávány po dobu trvání smluvního vztahu a dále po dobu nutnou k ochraně oprávněných právních nároků Správce i obchodního partnera (reklamační lhůty, lhůty pro uplatnění náhrady škody). V případě zpracování na základě souhlasu subjektu údajů jsou osobní údaje zpracovávány ještě po dobu 3 let od poskytnutí souhlasu, nebo ode dne skončení smluvního vztahu mezi Správcem a obchodním partnerem, nebo ode dne skončení jednání o uzavření smlouvy, a to od toho dne, který nastane nejpozději.
- Informace o zpracování osobních údajů jsou obchodním partnerům k dispozici na webových stránkách Správce.
- Ustanovení tohoto článku se vztahuje též na dobrovolníky, kteří vykonávají pro Správce činnost bez nároku na odměnu, a na stážisty, pokud nejsou zaměstnanci.
I.III. Členové Správce – zapsaného spolku
- O členech spolku zpracovává Správce pouze takové údaje, jejichž zpracování je nezbytné pro účely oprávněných zájmů Správce – zapsaného spolku, tedy pro: a. vedení seznamu členů spolku, b. evidenci členských příspěvků, jsou-li či budou-li v budoucnu spolkem vybírány, c. komunikaci se členy včetně nabídky aktivit a služeb spolku.
- Osobní údaje členů spolku jsou získávány zejména z přihlášky člena, nebo mohou být získány orgány spolku v rámci jeho jiné činnosti.
- Osobní údaje jsou s ohledem na účel zpracování zpracovávány bez souhlasu subjektu údajů.
- Osobní údaje členů spolku jsou zpracovávány po dobu trvání členství ve spolku a dále po dobu nutnou k ochraně oprávněných právních nároků Správce.
- Informace o zpracování osobních údajů jsou členům k dispozici na webových stránkách Správce.
I.IV. Dárci
- Na zpracování osobních údajů dárců se přiměřeně použije článek I.II. o zpracování osobních údajů obchodních partnerů.
- Osobní údaje dárců je dále po dobu nejvýše deseti let od skončení právního vztahu možno zpracovávat na základě oprávněného zájmu Správce. Svůj oprávněný zájem Správce spatřuje v právu opatřovat si za pomoci databáze dárců prostředky pro vlastní veřejně prospěšnou činnost – za tímto účelem může Správce dárcům rozesílat informace o své činnosti spolu s případnou výzvou k poskytnutí daru či jiné formy podpory – tyto informace však nesmějí být obchodním sdělením (za obchodní sdělení Správce nepovažuje nabídku vlastních produktů, jejichž prodej slouží výlučně podpoře veřejně prospěšné činnosti Správce).
- K vyloučení pochybností Správce upozorňuje, že za dárce považuje také osoby, které přispěly do veřejné sbírky pořádané Správcem.
I.V. Podporovatelé – příjemci newsletteru
- Za podporovatele se považuje osoba, která správci poskytla své osobní údaje elektronickou formou (registrací na webových stránkách správce), nebo jinak s úmyslem být informována o činnosti správce.
- Správce zpracovává o podporovatelích pouze základní osobní údaje, tedy jméno, příjmení, e-mailovou adresu a stát pobytu, určený podle IP adresy zařízení, z nějž se podporovatel registroval.
- Osobní údaje podporovatelů jsou zpracovávány po dobu deseti let od udělení souhlasu.
- Správce může podporovatelům rozesílat informace o své činnosti spolu s případnou výzvou k poskytnutí daru či jiné formy podpory – tyto informace mohou v odůvodněných případech obsahovat obchodní sdělení.
- Informace o zpracování osobních údajů jsou podporovatelům k dispozici na webových stránkách Správce.
I.VI. Signatáři petic – petenti
- Za signatáře petice se považuje osoba, která fyzicky nebo elektronicky podepsala petici iniciovanou Správcem nebo jinou osobou, s níž správce spolupracuje.
- Osobní údaje petentů jsou získávány z fyzických petičních archů, nebo z elektronických formulářů na webu Správce.
- Osobní údaje petentů jsou zpracovávány na základě oprávněného zájmu správce, tedy bez souhlasu subjektu údajů. Svůj oprávněný zájem Správce spatřuje v tom, že v souladu se svým posláním petentům umožňuje výkon jejich Ústavou zaručeného petičního práva.
- Petent se však může rozhodnout, že udělí souhlas se zpracováním svých osobních údajů jako podporovatel Správce.
- Osobní údaje petentů nejsou předávány třetím osobám. Obyklou praxi předávání jména, počátečního písmene příjmení, případně státu pobytu petenta partnerům Správce, jakož i jejich zveřejňování, Správce nepovažuje za předávání, respektive zveřejňování osobních údajů, neboť tyto údaje nejsou způsobilé vést k identifikaci subjektu údajů.
- Seznamy petentů mohou být ve výjimečných případech dočasně zpřístupněny Mezinárodnímu sekretariátu Amnesty international za účelem kontroly správnosti údajů.
II. Práva subjektů údajů
Správce informuje subjekty údajů, že Nařízení jim poskytuje zejména tato práva:
- vzít udělený souhlas se zpracováním osobních údajů kdykoliv zpět,
- požadovat po Správci informaci, jaké jeho osobní údaje zpracovává,
- požadovat vysvětlení ohledně zpracování osobních údajů,
- vyžádat si přístup k těmto údajům a tyto nechat aktualizovat nebo opravit,
- požadovat po Správci výmaz svých osobních údajů,
- v případě pochybností o dodržování povinností souvisejících se zpracováním osobních údajů se obrátit na Správce, nebo na Úřad pro ochranu osobních údajů.
Shora uvedená práva uplatňuje subjekt údajů u Správce. Kontakty jsou uvedeny v šlánku III. této směrnice.
III. Systém zpracování osobních údajů, zabezpečení, zpracovatelé, odpovědnost, komunikace
Tato část směrnice upravuje zejména:
- jakým způsobem jsou osobní údaje zpracovávány a kde jsou uloženy,
- jaké další osoby zpracovávají pro Správce osobní údaje,
- jaké je zabezpečení osobních údajů,
- kdo za zpracování a zabezpečení osobních údajů odpovídá,
- jakým způsobem komunikuje Správce se subjekty údajů.
III. I. Systém zpracování osobních údajů
Osobní údaje jsou zpracovávány zpravidla v elektronické podobě, a to zejména pomocí:
- zabezpečeného CRM sytému vybaveného logováním všech aktivit uživatelů
- účetního programu
- dalších programů a aplikací
Osobní údaje mohou být uloženy:
- v místní síti Správce nebo zpracovatele
- na vzdálených serverech třetích osob (cloud). Poskytovatel cloudových služeb není zpracovatelem osobních údajů, protože neprovádí s těmito údaji žádné operace, pouze poskytuje prostor k jejich uložení.
Osobní údaje zpracovávané ve fyzické (listinné) podobě jsou zpracovávány zaměstnanci Správce v jeho kancelářích, případně zaměstnanci zpracovatele v jeho kancelářích.
III. II. Zpracovatelé osobních údajů
Osobní údaje mohou na základě smlouvy pro Správce zpracovávat zejména tyto další osoby (zpracovatelé):
- externí mzdová účetní
- externí finanční účetní
- poskytovatel či poskytovatelé marketingových a reklamních služeb, včetně služeb sloužících pro hromadné rozesílání e-mailů a telemarketing
- dopravce či dopravci
Seznam konkrétních zpracovatelů poskytne Správce subjektu údajů na vyžádání.
III. III. Zabezpečení osobních údajů:
Osobní údaje v uložené v místní síti Správce jsou zabezpečeny standardními prostředky serverového operačního systému, respektive operačního systému připojených stanic (uživatelské jméno, heslo), firewallu a antivirového softwaru na všech stanicích. Uživatelé jsou poučeni o bezpečnostních zásadách při používání výpočetní techniky.
Osobní údaje uložené v účetním programu jsou zabezpečeny prostředky tohoto programu.
Osobní údaje zpracovávané ve fyzické (listinné) podobě jsou uloženy v uzamčených skříních v kancelářích Správce. Kanceláře jsou zabezpečeny uzamčením.
Zabezpečení osobních údajů uložených u zpracovatelů zajišťují dotčení zpracovatelé na základě smlouvy uzavřené se Správcem.
III. IV. Odpovědné osoby:
Správce určuje tohoto vedoucího zaměstnance/člena orgánu, který koordinuje všechny procesy, které se dotýkají zpracování osobních údajů u Správce: ředitelka organizace
Za zabezpečení osobních údajů po technické stránce odpovídá: marketingový specialista
Za komunikaci se subjekty údajů odpovídá: vedoucí fundraisingového oddělení
III. V. Komunikace se subjekty údajů:
Veškeré Informace o zpracování osobních údajů včetně této směrnice Správce zveřejní na svých internetových stránkách www.amnesty.cz. Provozuje-li Správce veřejně dostupné internetové aplikace, při jejichž provozu dochází ke sběru osobních údajů (zejména internetové obchody), zveřejňují se informace o zpracování osobních údajů také na webových stránkách těchto aplikací.
Přímá komunikace se Správcem pro subjekty údajů při uplatňování jejich práv je možná, vyjma sídla Správce v otevírací době, též na následujících kontaktních adresách a telefonních číslech: tel. +420 607 023 305, e-mail: gdpr@amnesty.cz.
III. Závěrečná ustanovení
Tato směrnice nabývá platnosti a účinnosti dnem vydání.
V Praze dne 12. 10. 2021
Za Správce osobních údajů
Amnesty International Česká republika, z.s.
se sídlem Kodaňská 1441/46, Vršovice, 101 00 Praha 10
IČ: 44793430
Pavel Gruber, ředitel