Ochrana osobních údajů
ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ KLIENTŮ, SMLUVNÍCH PARTNERŮ A DALŠÍCH OSOB
A studio Rubín, o.p.s., se sídlem Malostranské náměstí 9, 118 00 Praha 1, je obecně prospěšná společnost provozující divadelně kulturní prostor na Malostranském náměstí.
A studio Rubín v rámci své činnosti zpracovává osobní údaje klientů, dodavatelů fyzických osob podnikajících, případně dalších osob. Osobní údaje organizace chrání ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“). Cílem tohoto dokumentu je seznámit subjekty se zpracováním osobních údajů organizací a informovat o právech, které mohou subjekty osobních údajů uplatnit.
1. OBECNĚ K NAŘÍZENÍ GDPR
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je uceleným souborem pravidel na ochranu dat v EU. Organizace je povinna se tímto nařízením řídit. Cílem je hájit práva subjektů osobních údajů proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje.
Obecné zásady a právní důvody zpracování
Při práci s osobními údaji se všichni zaměstnanci organizace řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou,důvěrností a odpovědností správce.
zásada zákonnosti
Zpracování osobních údajů na základě právního předpisu.
Zpracování osobních údajů na základě právního titulu plnění smlouvy a oprávněného zájmu
Zpracování osobních údajů na základě informovaného souhlasu.
zásada korektnosti
Správné a společensky bezvadné použití osobních údajů.
zásada transparentnosti
Všechny informace o ochraně osobních údajů určené subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků.
zásada účelového omezení
Shromažďování osobních údajů jen za jasně stanoveným účelem.
zásada minimalizace údajů
Nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné.
zásada přesnosti
Zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to organizace bude snažit.
zásada omezení uložení
Osobní údaje jsou uloženy jen po dobu nezbytně nutnou.
zásady integrity a důvěrnosti
Náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
odpovědnost správce
Organizace zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU.
Osobní údaje se mohou v organizaci zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti nebo na základě souhlasu subjektu údajů. Souhlas subjektu údajů musí být informovaný, konkrétní a písemný.
Ředitel důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva. Obdobně se postupuje i u osobních údajů zaměstnanců organizace.
2. JAKÉ OSOBNÍ ÚDAJE ORGANIZACE ZPRACOVÁVÁ?
Organizace zpracovává pouze takové údaje, které potřebuji pro účely své činnosti, a to zejména titulu plnění právní povinnosti, nebo z titulu plnění smlouvy. Některé osobní údaje zpracovává organizace na základě souhlasu, který je udělen subjektem údajů, případně jeho zákonným zástupcem, pokud se jedná o dítě.
Organizace dále zpracovává osobní údaje svých dodavatelů, fyzických osob podnikajících, a to za účelem plnění smlouvy a plnění zákonných povinností, zejména pak vedení účetnictví.
U svých klientů zpracovává organizace zejména tyto osobní údaje:
Identifikační údaje – osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace klienta organizace. Jedná se o jméno, příjmení, datum narození, podpis (u nezletilých klientů též identifikační údaje zákonných zástupců).
Kontaktní údaje – jedná se zejména o telefonní číslo a e-mailovou adresu.
Fotografie – pro účely prezentace organizace zpracováváme se souhlasem klienta jeho fotografie při účasti na akcích pořádaných organizací, a to s jeho souhlasem.
U svých dodavatelů zpracovává organizace zejména tyto osobní údaje:
Identifikační údaje – osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace dodavatele. Jedná se o jméno, příjmení, datum narození, adresu trvalého bydliště, identifikační číslo (IČ, DIČ) a podpis. Pro účely identifikace klienta na předávacím protokolu o dobití kreditu zpracováváme rovněž i číslo občanského průkazu.
Kontaktní údaje – jedná se zejména o telefonní číslo a e-mailovou adresu.
Údaje o čísle bankovního účtu – aby mohla organizace dostát svému závazku a uhradit platbu za předané plnění, zpracovává informace o čísle bankovního účtu a bankovního ústavu.
3. Z JAKÝCH ZDROJŮ MÁ ORGANIZACE OSOBNÍ ÚDAJE?
Osobní údaje, které organizace zpracovává, získává výhradně od samotných subjektů.
4. JSTE POVINNI ORGANIZACI OSOBNÍ ÚDAJE PŘEDÁVAT?
Většinu osobních údajů potřebuje organizace již při vzniku závazkového vztahu, neboť bez těchto údajů by nebyla organizace schopná řádně dostát svým závazkům. Osobní údaje, které organizace bezprostředně nepotřebujete, zpracovává organizace výhradně na základě vašeho souhlasu. V takovém případě nejste povinni organizaci své osobní údaje sdělit.
5. NA ZÁKLADĚ JAKÉHO TITULU ZPRACOVÁVÁ ORGANIZACE OSOBNÍ ÚDAJE?
Nařízení GDPR stanoví kromě povinnosti zpracovávat pouze účelné informace povinnost zpracovávat tyto informace na základě právního titulu, kterým je buď souhlas, nebo plnění smlouvy, plnění právní povinnosti, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, či ochrany oprávněného zájmu organizace. Nejčastěji jsou osobní údaje zpracovávány na základě právního titulu plnění smlouvy. Z titulu plnění smlouvy zpracovávány veškeré identifikační údaje klientů a dodavatelů organizace. Na základě právního titulu souhlasu zpracovává organizace emailové adresy klientů. Na základě souhlasu jsou zpracovávány také fotografie klientů.
6. ZA JAKÝM ÚČELEM ZPRACOVÁVÁ ORGANIZACE OSOBNÍ ÚDAJE?
Veškeré osobní údaje jsou organizací zpracovány přímo či nepřímo k plnění hlavních cílů vymezených organizací a také proto, aby organizace byla schopná dostát svým smluvním závazkům.
7. JAK DLOUHO UCHOVÁVÁ ORGANIZACE OSOBNÍ ÚDAJE?
Organizace uchovává dokumenty v souladu se zákonem č. 499/2004 Sb., o archivnictví. Pro každý druh dokumentace je stanovena zvláštní lhůta dle skartačního řádu. Všechny tyto lhůty jsou blíže definovány v záznamech o zpracování, které má organizace povinnost vést a do kterých můžete nahlédnout v sídle organizace.
8. KOMU OSOBNÍ ÚDAJE MŮŽE ORGANIZACE PŘEDÁVAT?
K předávání osobních údajů dochází v případech, kdy to vyžaduje zákon. Příjemcem údajů mohou být i společnosti, které organizace pověří určitou činností, pro jejíž výkon je zpracování osobních údajů nutné. Ředitel organizace důsledně zakazuje předávání osobních údajů subjektů třetím osobám soukromého práva.
9. JAK JSOU MÉ OSOBNÍ ÚDAJE ZABEZPEČENY?
Organizace má vytvořený systém pro zabezpečení ochrany osobních údajů:
– Uchovávání dokumentace v souladu se zákonem o archivnictví,
– shromažďování pouze nezbytných osobních údajů,
– skartace již nepotřebných osobních údajů,
– zachování mlčenlivosti o údajích,
– ochrana osobních údajů při práci s IT technikou.
10. JAKÁ PRÁVA MOHU V SOUVISLOSTI S OCHRANOU OSOBNÍCH ÚDAJŮ UPLATNIT?
V souladu s ustanovením článku 12 – 22 nařízení GDPR mohou subjekty uplatnit svá práva. Jednotlivá práva subjektů se uplatňují písemnou žádostí adresovanou organizaci, na kterou je organizace povinna zareagovat bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. Ve výjimečných případech je organizace oprávněna lhůtu pro vyřízení žádost prodloužit nejvýše o dva měsíce. V souladu s uvedenými ustanoveními máte právo uplatnit tato práva:
Právo na přístup k osobním údajům (čl. 15 nařízení GDPR): Osoby mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává.
Právo na opravu osobních údajů (čl. 16 nařízení GDPR): Osoby mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají.
Právo na výmaz osobních údajů (čl. 17 nařízení GDPR): V případě, že má osoba za to, že zpracování osobních údajů týkajících se jeho osoby není oprávněné, může požádat o jejich výmaz osobních údajů, které jsou dle jeho názoru zpracovávány v rozporu s nařízením GDPR.
Právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR): Pokud má osoba za to, že by mělo dojít k omezení zpracování jeho osobních údajů, zejm. z důvodu, že zpracování těchto osobních údajů probíhá ze strany organizace v rozporu se zákonem.
Právo na přenositelnost osobních údajů (čl. 20 nařízení GDPR): Osobní údaje osob zpracovávané automatizovaně na základě jejich souhlasu či na základě právního titulu plnění smlouvy mohou být na žádost zaměstnance přeneseny jinému správci. K takové situace zatím v organizaci nedochází.
Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR): V případech zpracování osobních údajů žáků a jejich zákonných zástupců na základě právního titulu oprávněného zájmu mají osoby právo vznést námitku proti zpracování. V takovém případě organizace provede balanční test, ve kterém porovná protichůdné zájmy, a vznesenou námitku vyhodnotí.
S uplatněním všech svých práv se můžete obracet přímo na organizaci, a to buď písemně do sídla organizace na adresu Malostranské náměstí 9, 118 00 Praha 1, nebo prostřednictvím e-mailové adresy astudiorubin@astudiorubin.cz.
Pokud máte za to, že dochází ke zpracování osobních údajů v rozporu s nařízením GDPR, můžete podat stížnost u dozorového úřadu, přičemž není omezeno ani vaše právo na soudní ochranu. Dozorovým úřadem je Úřad pro ochranu osobních údajů, IČO: 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7.
Tyto podmínky jsou účinné ke dni 1. 9. 2023.
PhDr. Ondřej Glazar, ředitel