GDPR

Obsah:

1. ÚVOD
2. LEGISLATIVA
3. TERMINOLOGIE, ZÁKLADNÍ POJMY
4. ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ
5. AUDIT ČHS
6. JAKÉ OSOBNÍ ÚDAJE SBÍRÁME A SHROMAŽĎUJEME?
7. POVINNOSTI SPRÁVCE OSOBNÍCH ÚDAJŮ
8. PRÁVA SUBJEKTU ÚDAJŮ
9. SOUHLAS SUBJEKTU ÚDAJŮ
10. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
11. KONTAKT

PŘÍLOHY 1-7 – scénáře

PŘÍLOHY 8 – souhlasy

1. ÚVOD

Zásady ochrany osobních údajů se vztahují na osobní údaje shromážděné Českou hiporehabilitační společností, z. s., IČ 15054411, se sídlem Zemědělská 1, 613 00 Brno (dále jen ČHS), v souvislosti s poskytovanými službami. Více informací o ČHS lze nalézt na webové stránce: https://hiporehabilitace-cr.com/o-nas/gdpr/

Získané osobní údaje vždy ČHS použije jen v souladu s platnou legislativou a takovým způsobem, aby nedošlo ke ztrátě důvěry osob, které ČHS své údaje svěřily.

O tom, jakým způsobem nakládáme s osobními údaji, budeme pravidelně informovat v záložce „Ochrana osobních údajů“. Bude zde vždy možné nalézt informace: jaké údaje shromažďujeme, co s nimi děláme, s kým je sdílíme, jak je chráníme a na koho je možné se obrátit v případě, že máte jakékoli pochybnosti.

2. LEGISLATIVA

Rozvoj výpočetní techniky, která umožňuje dokumenty s osobními údaji velkoryse rozmnožovat a neomezeně šířit, vedl ke vzniku právní regulace, která však nepředstavuje revoluci v ochraně osobních údajů, nýbrž rozpracovává a upřesňuje stávající legislativu.

Základními právními předpisy pro ochranu práv a soukromí osob jsou:

• Listina základních práv a svobod
• Úmluva o lidských právech a biomedicíně
• Úmluva o právech osob se zdravotním postižením
• zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů
• zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
• nařízení EVROPSKÉHO PARLAMENTU A RADY (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR (angl. General Data Protection Regulation)

Obecné nařízení o ochraně osobních údajů je nová legislativa EU, platná od 25. 5. 2018, která představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji.

3. TERMINOLOGIE, ZÁKLADNÍ POJMY

SPRÁVCE - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

ZPRACOVATEL - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

SUBJEKT ÚDAJŮ - fyzická osoba, k níž se údaje vztahují.

OSOBNÍ ÚDAJ - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu (např. jméno, pohlaví, věk a datum narození, osobní stav, IP adresa či fotografický záznam, případně e-mailová adresa, telefonní číslo). Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci. I tyto informace je tak třeba považovat za osobní údaje.

CITLIVÝ ÚDAJ (dle GDPR zvláštní kategorie osobních údajů) - osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu (tj. veškeré údaje související se zdravotním stavem, které vypovídají o minulém, současném či budoucím tělesném nebo dušením zdraví člověka, včetně údajů o poskytnutí zdravotních služeb, a to bez ohledu na původce informace), sexuálním životě subjektu údajů, případně genetický, biometrický údaj subjektu údajů (např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis).

Zpracování - dle zákona č. 101/2000 Sb. je definováno jako shromažďování, uchovávání, blokování a likvidace. GDPR uvádí příkladem způsoby zpracování tak, že jde o jakoukoli operaci nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení (čl. 4 odst. 2 GDPR). Jako speciální způsoby zpracování uvádí GDPR profilování (čl. 4 odst. 4 GDPR), pseudonymizaci (čl. 4 odst. 5 GDPR).

4. Zásady ochrany osobních údajů

Základní zásady, které ČHS musí při zpracování osobních údajů dodržovat, jsou:

• Zásada účelovosti - osobní údaje mohu být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný, (čl. 5 odst. 1 písm. b) GDPR)
• Zásada přiměřenosti (minimalizace rozsahu) - osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, (čl. 5 odst. 1 písm. c) GDPR)
• Zásada přesnosti - osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny, (čl. 5 odst. 1 písm. d) GDPR)
• Zásada otevřenosti (zákonnost, korektnost a transparentnost) - osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem, (čl. 5 odst. 1 písm. a) GDPR)
• Zásada ochrany před nahodilým přístupem (integrita a důvěrnost) - osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, (čl. 5 odst. 1 písm. f) GDPR)
• Zásada mlčenlivosti - obecná povinnost pro všechny osoby, které s osobními údaji pracují, přičemž buď jsou smluvně zavázány k mlčenlivosti, nebo se na ně vztahuje zákonná povinnost mlčenlivosti, (čl. 28 odst. 3 písm. b) GDPR)
• Zásada odpovědnosti - správce odpovídá za dodržení zásad a musí být schopen toto dodržení v souladu se zásadami GDPR doložit.

5. AUDIT ČHS

Abychom mohli v ČHS efektivně chránit získané osobní údaje, provedli jsme zmapování vnitřního prostředí ČHS a identifikovali jsme scénáře, při nichž dochází ke sběru a shromažďování osobních údajů (viz příloha 1-7). Operace s osobními údaji jsme rozdělili do následujících oblastí: zaměstnanci ČHS, dodavatelé služeb ČHS, členství, vzdělávání, e-shop, weby, specializační zkoušky koní, kategorizace středisek.

6. JAKÉ OSOBNÍ ÚDAJE SBÍRÁME A SHROMAŽĎUJEME?

ČHS shromažďuje pouze osobní údaje o subjektech. Neprovádí se shromažďování zvláštních osobních údajů. Osobní údaje získáváme pouze za předpokladu, že nám je poskytne subjekt dobrovolně sám. Dle charakteru osobních údajů probíhá sběr formou: ústní, písemnou, elektronickou, kombinovanou.

Jsou shromažďovány údaje o následujících subjektech:

• zaměstnanci ČHS
• členové ČHS (jednotlivci, střediska)
• dodavatelé služeb
• odběratelé služeb
• účastníci vzdělávacích akcí, studenti
• zájemci o informace (nečleni)

Nejčastější formou sběru osobních údajů je registrace na námi zajišťovanou službu (např. členství, specializační zkoušky koní, kategorizace střediska), když se subjekt přihlašuje k odběru informačního seriálu (např. newsletteru, časopisu), kupuje od nás produkt či službu (např. e-shop), vyplňuje kontaktní formulář, kde vznáší dotaz či poptávku (např. účast na vzdělávací akci), provádí hlášení změn či aktualizace údajů (např. emailem).

Informace, které od subjektů získáváme přímo, jsou údaje, které subjekty odeslaly prostřednictvím formuláře ČHS, osobní údaje, které nám poskytly dobrovolně: jméno, titul, datum narození, adresa, vzdělání, e-mailová adresa, telefonní číslo, platební údaje. Ve všech těchto případech, pokud zpracování osobních údajů nebude nezbytné pro plnění smlouvy, nebo pro jednání o uzavření nebo změně smlouvy, uskutečněné na návrh subjektu, požádáme subjekt o výslovný souhlas s naším zpracováním osobních údajů (viz příloha 8.).

7. Povinnosti správce osobních údajů

Povinnost zpracovávat osobní údaje v souladu s uvedenými zásadami (viz bod 4.). ČHS osobní údaje vždy použije jen v souladu s platnou legislativou a takovým způsobem, aby byly dodrženy zásady ochrany osobních údajů.

Povinnost stanovit účel, prostředky a způsob zpracování osobních údajů. K tomuto účelu byl vyhotoven dokument „Zásady ochrany osobních údajů“, v rámci kterého ČHS stanovuje účel, prostředky a způsob zpracování. Účel zpracování osobních údajů je důvod, proč správce osobní údaje zpracovává. Prostředky zpracování osobních údajů jsou technické prostředky, které správce používá na zpracování osobních údajů. Pro potřeby ochrany osobních údajů byly identifikovány scénáře, respektive operace s osobními údaji, které určují rozsah zpracování osobních údajů (jaké osobní údaje bude správce zpracovávat), jakým příjemcům je možné osobní údaje sdělit, způsoby zpracování (co bude s osobními údaji ČHS dělat), jak dlouho je bude uchovávat, a rovněž upřesňuje, na základě jakého zákonného předpokladu budou osobní údaje zpracovávány (viz příloha 1-7).

Povinnost zpracovávat osobní údaje pouze ze zákonných důvodů, přičemž povinnost mít vždy souhlas subjektu údajů GDPR výslovně nestanovuje. V rámci GDPR je tak vyžadována zákonnost zpracování, kdy souhlas je jedním z těchto způsobů nikoliv automatickou podmínkou.

Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu (čl. 6 odst. 1 GDPR):

1. a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
2. b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
3. c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
4. d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
5. e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
6. f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Ad b) V tomto případě se jedná o evidenci smluv uzavřených se subjektem údajů. Např. smlouvy s dodavateli či odběrateli zboží – služeb.

Ad c) Tato výjimka předpokládá existenci zvláštního zákona, která správce nutí vytvářet určitou činnost, při níž je nezbytné pracovat s osobními údaji. Např. ČHS jako zaměstnavatel zpracovává osobní údaje zaměstnanců (představenstvo, asistentka, lektoři, komisaři a musí vést evidenci dokladů týkajících se mzdy a platit za zaměstnance sociální a zdravotní pojištění. Z toho důvodu musí zpracovávat osobní údaje o svých zaměstnancích, kdy účel zpracování osobních údajů je mu vlastně předestřen zákonodárcem. K tomuto účelu může správce někoho najmout, např. účetní nebo personální agenturu. Tato účetní nebo personální agentura pak bude zpracovatelem osobních údajů. ČHS jako právnická osoba zpracovává osobní údaje o představenstvu, dozorčí radě, členech na základě legislativy a v souladu se stanovami spolku (dle sbírky listin L 1226/SL5/KSBR).

Povinnost oznamovat zpracování osobních údajů veřejnosti. Oznamovací povinnost se nevztahuje na zpracování osobních údajů, jde-li o zpracování, které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů. Tato výjimka se vztahuje na ČHS, neboť se týká zpracování osobních údajů, které provádějí zájmové organizace ohledně svých členů a dále ohledně sympatizantů těchto organizací, kteří (ještě) nejsou členy. Přesto byly vypracovány „Zásady ochrany osobních údajů“, které jsou zveřejněny na webu ČHS, záložka „Ochrana osobních údajů“.

Povinnost informační a poučovací. Správce je povinen při zpracování osobních údajů poskytnout subjektu určité informace, těmito informacemi jsou:

• identifikace správce osobních údajů, případně zpracovatele (viz bod 11.)
• účel zpracování osobních údajů a právní základ pro zpracování
• rozsah zpracovávaných osobních údajů – tedy jaké osobní údaje za tím konkrétním účelem a o kom (kategorie subjektu údajů) správce zpracovává
• kategorie příjemců osobních údajů
• skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
• skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
• informace o právech subjektu údajů (viz bod 8.)
• doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby

8. Práva subjektu údajů

Základními právy jsou:

• právo na přístup k informacím o zpracování osobních údajů
• právo na vysvětlení
• právo na odstranění závadného stavu, zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů
• právo odvolat kdykoli souhlas

Práva subjektu údajů se uplatňují žádostí podanou u správce. Žádost může být poměrně jednoduchá, pro zjednodušení práce je možné použít tyto vzory:

• žádost o informaci: http://www.oou.cz/vzoryzadosi/zadostoinformaci
• žádost o vysvětlení: http://www.oou.cz/vzoryzadosi/zadostovysvetleni
• žádost o nápravu: http://www.oou.cz/vzoryzadosi/zadostonapravu

GDPR nově zavádíte tato práva:

• právo na výmaz, právo být zapomenut (článek 17 GDPR)
• právo na omezení zpracování (článek 18 GDPR)
• právo na přenositelnost údajů (článek 20 GDPR)
• právo vznést námitku (článek 21 GDPR)
• právo podat stížnost u dozorového úřadu

9. SOUHLAS SUBJEKTU ÚDAJŮ

Při zpracování „běžných“ osobních údajů je možný tzv. prostý, resp. konkludentní souhlas. Tedy souhlas, který je možný dovodit z jednání. Např. při podpisu smlouvy, která obsahuje identifikační údaje subjektu údajů, je možné dovodit, že podpisem takové smlouvy subjekt údajů souhlasí se zpracováním i osobních údajů, které smlouva obsahuje.

Při udělení souhlasu musí být však subjekt údajů informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

Zákon o ochraně osobních údajů nevyžaduje při zpracování „běžných“ osobních údajů souhlas písemný, a proto je možno takový souhlas udělit rovněž ústně. Vzhledem k tomu, že musí být správce schopen souhlas se zpracováním osobních údajů prokázat po celou dobu zpracování, je vhodné získat takový souhlas písemně. Případně mít podepsané dokumenty, ze kterých je možno takový souhlas dovodit (např. různé smlouvy nebo přihlášky).

GDPR definuje parametry souhlasu takto: souhlasem subjektu údajů se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. GDPR uvádí výslovně, že žádost o vyjádření souhlasu musí být subjektu údajů předložena takovým způsobem, který je jasně odlišitelný od jiných skutečností, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Z uvedených důvodů ČHS vytvořila souhlasy ke všem operacím, které zpracovávají osobní údaje a souhlas subjektu vyžadují (viz příloha 8.)

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

10. Zabezpečení osobních údajů

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

ČHS shromažďuje údaje pouze v nezbytném rozsahu a zpřístupnění vybraných osobních údajů umožňuje jen uživatelům služeb. Jsou-li osobní údaje s ohledem na stanovený účel nepřesné, provede ČHS bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Osobní údaje ČHS ukládá ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. ČHS přistupuje k ochraně dat zodpovědně a nastavuje taková opatření, která směřují k zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, k zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje.

ČHS využívá fakturační systémy a aplikace:

• FAPI spojený s e-shopem – zásady ochrany lze nalézt na https://fapi.cz/gdpr-ve-fapi/
• IDOKLAD – zásady ochrany lze nalézt na https://www.idoklad.cz/zasady-ochrany-osobnich-udaju
• Google pro firmy (emailové adresy a Google disky) – zásady ochrany lze nalézt na https://policies.google.com/privacy

Rizika a následně zabezpečení dat vyplývají z toho, zda se jedná o automatizované (elektronické) zpracování osobních údajů (např. počítače, kopírky, kamerové systémy a výpočetní technika vůbec) nebo manuální zpracování osobních údajů (např. šanony, kartotéky, skříně).

Dle jednotlivých scénářů, resp. operací s osobními údaji, byly určeny kompetentní osoby, které mají přístup k osobním údajům a které jsou zodpovědné za proces nakládání s osobními údaji. Tyto osoby byly poučeny o způsobu nakládání s osobními údaji, což stvrdily svým podpisem (viz příloha 9).

Dokumenty v listinné podobě jsou uloženy v šanonu, v uzamčené skříni, v uzamčené místnosti. Přístup do místnosti mají pouze kompetentní osoby.

Dokumenty v elektronické podobě jsou uloženy v souborech počítače či externího disku, který je chráněn heslem. Heslo znají pouze kompetentní osoby (využívá se zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby), heslo je pravidelně 1x za čtvrtletí aktualizováno. Výpočetní technika prochází revizí, jsou zde instalovány antivirové programy a pravidelné aktualizace všech systémů.

V případě, že nastane únik osobních údajů či porušení jejich zabezpečení (například hackerský útok na databázi klientů či odcizení hardwaru nesoucího osobní údaje), ohlašuje se skutečnost Úřadu pro ochranu osobních údajů, a to do 72 hodin od okamžiku, kdy se o incidentu ČHS dozví. V ohlášení se uvede:

• popis povahy incidentu,
• popis přibližného počtu dotčených osob,
• popis kategorií ohrožených údajů,
• pravděpodobné důsledky incidentu či popis opatření, která správce přijal či navrhl k řešení situace (blokace webu apod.).

11. KONTAKT

Česká hiporehabilitační společnost, z. s.

Sídlo: Zemědělská 1, 613 00 Brno

IČ: 15054411

Forma: spolek

Datum vzniku: 28. srpen 1991, Reg. MV ČR č.j. VS/1-1/43807/00-R

Datová schránka: f2qg62d

Email: info@hiporehabilitace-cr.com