Ochrana osobních údajů

Úvodní stránka / Ochrana osobních údajů

Ochrana osobních údajů - GDPR

Dne 25. května 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Městské divadlo Jablonec nad Nisou, o.p.s., jako správce a zpracovatel osobních údajů za účelem naplnění zásady transparentnosti ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR) informuje o základních aspektech zpracování osobních údajů, která probíhají v rámci činností naší organizace, o právech subjektů údajů a způsobech jejich uplatnění.

Správce osobních údajů:

Název organizace

Městské divadlo Jablonec nad Nisou, o.p.s.

Sídlo organizace

Liberecká 5/1900, 466 01 Jablonec nad Nisou

25035746

Kontaktní telefon

483 310 064, 483 310 079

Kontaktní e-mail

divadlo@divadlojablonec.cz

Elektronická podatelna

posta@divadlojablonec.cz

ID datové schránky

iwxs52p

Web

www.divadlojablonec.cz

 

Pověřenec pro ochranu osobních údajů:

V souladu s článkem 37 odst. 1 písm. a) GDPR správce osobních údajů zřídil funkci pověřence (DPO – Data Protection Officer).

Titul

Ing.

Jméno

Zbyněk

Příjmení

Vavřina

Kontaktní telefon

+420 602 423 675

Kontaktní e-mail

vavrina.gdpr@gmail.com

Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat správce osobních údajů.

Mezi další úkoly Pověřence náleží např.:

  • poskytování informací a poradenství správci a zaměstnancům správce, kteří se na zpracování osobních údajů podílejí,
  • monitorování souladu činností správce s GDPR,
  • poskytování poradenství na vyžádání, pokud jde o posouzení vlivu na ochranu osobních údajů,
  • spolupráce s Úřadem pro ochranu osobních údajů,
  • působení jako kontaktní místo pro subjekty údajů,
  • zpracování doporučení v oblasti úprav interních předpisů (směrnic),
  • realizace školení zaměstnanců, kteří provádějí zpracování osobních údajů,
  • poskytování metodické pomoci při realizaci inventury zpracování osobních údajů,
  • poskytování metodické pomoci při zpracování analýzy rizik,
  • poskytování metodické pomoci při návrhu technických a organizačních opatření v rámci nápravných opatření,
  • poskytování metodické pomoci při jednání s dodavateli software či technologií dotýkajících se problematiky zpracování osobních údajů.

Názvosloví – vymezení pojmů

  • Anonymní údaj

Údaj, který v původním tvaru, nebo po provedeném zpracování osobních údajů nelze vztáhnout k identifikované nebo identifikovatelné fyzické osobě.

  • Automatizované zpracování osobních údajů

Běžně rozšířená forma zpracování osobních údajů za použití výpočetní techniky, bez lidského zásahu.

  • Biometrický údaj

Osobní údaj technického charakteru zpracování osobních údajů fyzických či fyziologických znaků fyzické osoby, který umožňuje jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, DNA, apod.

  • Dozorový úřad

Úřad pro ochranu osobních údajů (zkráceně také ÚOOÚ) je v České republice nezávislým orgánem, který:

  • provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů,
  • přijímá podněty a stížnosti občanů na porušení zákona,
  • poskytuje konzultace v oblasti ochrany osobních údajů.
  • Důvěrnost

K informacím či datům mají přístup pouze oprávněné osoby.

  • GDPR

Právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. Jedná se o obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation), které je účinné od 25. května 2018.

  • Integrita

Informace či data nebyla změněna neoprávněnou osobou.

  • Identifikovaná nebo identifikovatelná fyzická osoba

Fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

  • Osobní údaj

Každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů).

Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

  • Pověřenec pro ochranu osobních údajů

Neboli DPO (z anglického Data Protection Officer) je pracovní pozice stanovená dle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů správce s povinnostmi vyplývajícími z GDPR.

  • Právní důvody

Oprávnění správce osobní údaje zpracovávat.

  • Profilování

Jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

  • Příjemce osobních údajů

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.

Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem ČR, se za příjemce nepovažují. Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem EU či ČR. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci, ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování osobních údajů.

  • Pseudonymizace

Proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejné fyzické osoby, aniž by bylo nutné znát její totožnost. Pseudonymizované osobní údaje nejsou anonymizovanými údaji, proto se na ně stále vztahuje regulace GDPR.

  • Souhlas subjektu údajů

Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

  • Správce

Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

  • Subjekt údajů

Identifikovaná nebo identifikovatelná fyzická osoba. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

  • Uchovávání osobních údajů

Udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

  • Zpracovatel

Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

  • Zpracování osobních údajů

Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Pro nakládání s osobními údaji způsobem, který není zpracováním osobních údajů, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.

  • Zvláštní kategorie osobních údajů

Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických osobních údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Principy zpracování osobních údajů

Městské divadlo Jablonec nad Nisou, o.p.s. jako správce i zpracovatel se při zpracování osobních údajů řídí GDPR a dalšími právními předpisy upravujícími ochranu osobních údajů a stanovenými principy. Základní principy vycházející z GDPR jsou následující:

  • zákonnost, korektnost a transparentnost zpracování,
  • účelové omezení (zpracovávání jen pro určité a legitimní účely),
  • minimalizace osobních údajů (dochází ke zpracování pouze v nezbytně nutném rozsahu ve vztahu k danému účelu),
  • přesnost a aktuálnost (organizace dbá na to, aby nepřesné, chybné či neaktuální osobní údaje byly bezodkladně opraveny nebo vymazány),
  • omezené uložení (osobní údaje jsou v organizaci uloženy po dobu ne delší, než je nezbytně nutné pro účely, pro které jsou zpracovávány a dále dle schváleného spisového plánu správce pouze pro účely archivnictví v rozsahu stanoveném příslušnými právními předpisy),
  • integrita a důvěrnost (osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením).

Právní důvody zpracování

Městské divadlo Jablonec nad Nisou, o.p.s. zpracovává osobní údaje subjektů údajů, tj. fyzických osob, na základě následujících právních důvodů (titulů): 

  • Plnění právní povinnosti  

Zpracování je nezbytné pro splnění právní povinnosti (dle zákona, vyhlášky ministerstva, nařízení EU, apod.), která se na správce vztahuje, např. agenda cestovních dokladů nebo občanských průkazů, stavební řízení, účetnictví.

  • Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu

Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, např. provozování městského kamerového systému pro potřeby prevence kriminality a zajištění veřejného pořádku.

  • Plnění smlouvy

Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, např. nákup a prodej nemovitostí, pronájem obecních bytů.

  • Oprávněný zájem

Zpracování je nezbytné pro splnění oprávněného zájmu správce. V případě oprávněného zájmu je nutné posoudit vždy konkrétní situaci, tedy určit, zda skutečně je zájem oprávněný, a za jakým účelem je nezbytné zpracovat osobní údaje.

  • Ochrana životně důležitého zájmu

Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. povodně, požáry, nehody.

  • Souhlas se zpracováním osobních údajů

Zpracování je nezbytné pro plnění účelu, který nelze zařadit pod právní důvody uvedené výše. Souhlas je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Souhlas se zpracováním osobních údajů musí být:

  • Srozumitelný

Vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné, např. nesmí být součástí všeobecných podmínek, obchodní smlouvy.

  • Svobodný

Každý subjekt údajů poskytuje svůj souhlas dobrovolně a může svůj souhlas kdykoliv odvolat.

  • Konkrétní

Souhlas musí být natolik konkrétní, aby v něm subjekt údajů rozpoznal přesný účel zpracování osobních údajů. V případě, že účelů má být více, musí být uveden každý zvlášť a o každém musí mít subjekt údajů možnost se samostatně rozhodnout.

  • Informovaný

Aby bylo možno souhlas se zpracováním osobních údajů považovat za informovaný, je nutné subjektu údajů sdělit:

  • identitu správce,
  • účel jednotlivých způsobů zpracování,
  • jakých osobních údajů se zpracování bude týkat, a to alespoň podle jejich druhu,
  • informaci o možnosti souhlas kdykoliv odvolat,
  • zda osobní údaje budou předmětem automatizovaného rozhodování včetně profilování,
  • zda zpracovávané osobní údaje budou předávány třetím stranám.
    • Jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Naši partneři