SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ
ÚVODNÍ USTANOVENÍ
Tato směrnice stanoví pravidla přijatá správcem osobních údajů k ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů podle Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které se použije ode dne 25. května 2018 (dále také „GDPR“), a to s přihlédnutím k účelům, právním důvodům, rozsahu a způsobu zpracování osobních údajů správcem osobních údajů, daných činností správce osobních údajů zaměřené k naplnění jeho poslání (účelu).
TOTOŽNOST A KONTAKTNÍ ÚDAJE SPRÁVCE OSOBNÍCH ÚDAJŮ
Moravský rybářský svaz, z.s. pobočný spolek Svratka
spolek zapsaný ve spolkovém rejstříku vedeným Krajským soudem v Brně.
kontaktní e-mail: kapral32@seznam.cz
kontaktní telefonní číslo: 721677128
(dále také „pobočný spolek“ nebo „správce“).
KATEGORIE DOTČENÝCH (ZPRACOVÁVANÝCH) OSOBNÍCH ÚDAJŮ
Osobními údaji jsou především titul, jméno, příjmení, datum narození, rodné číslo, místo trvalého pobytu, bydliště, evidenční číslo, datum vzniku členství, bankovní spojení, údaje o dětech, kontaktní e-mail, kontaktní telefonní číslo a podpis.
Do zvláštní kategorie osobních údajů, jejíž zpracování se zakazuje mimo některý z případů uvedených v čl. 9 odst. 2 GDPR, patří také údaj o zdravotním stavu.
KATEGORIE SUBJEKTU ÚDAJŮ
Kategorií subjektu údajů, o nichž správce zpracovává osobní údaje, jsou fyzické osoby:
Uchazeč o členství v pobočném spolku, s nímž je spojeno členství v hlavním spolku.
Člen pobočného spolku a člen hlavního spolku.
Funkcionář pobočného spolku.
Zaměstnanec pobočného spolku.
Člen rybářské stráže.
Rybářský hospodář a zástupce rybářského hospodáře.
ZPRACOVÁNÍ
Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Správce bude zpracovávat osobní údaje pouze pro naplnění svého poslání (účelu) daného Stanovami.
Správce bude zpracovávat u každé kategorie subjektu údajů jiné osobní údaje, a to pouze pro zcela konkrétní účel (účely) a na základě existence právního důvodu (právních důvodů), v souladu se zásadami a právy subjektu údajů uvedenými v GDPR.
Správce poskytuje podle GDPR subjektu údajů informace a sdělení o rozsahu, právních důvodech, účelech a dalších skutečnostech týkajících se zpracování osobních údajů subjektu údajů.
KATEGORIE PŘÍJEMCŮ OSOBNÍCH ÚDAJŮ
Správce bude zpracovávat jednotlivé osobní údaje pro svou činnost, popřípadě pro činnost hlavního spolku.
Příjemcem osobních údajů zpracovávaných správcem mohou být rovněž orgány veřejné moci, vůči kterým bude správce povinen poskytnutím požadovaných osobních údajů plnit právními nebo vnitřními předpisy uloženou povinnost.
SPOLEČNÍ SPRÁVCI
Pobočný spolek a hlavní spolek budou společnými správci u kategorií subjektů údajů
členů statutárního orgánu a členů kontrolní a revizní komise pobočného spolku z důvodu jejich zápisu do veřejného rejstříku na podkladě návrhu, který podle platné právní úpravy podává hlavní spolek,
členů pobočného spolku navržených pobočnými spolky na ustanovení do funkce rybářské stráže z důvodu splnění zákonné povinnosti uživatele rybářského revíru podat návrh na ustanovení rybářské stráže hlavním spolkem, který podle platné právní úpravy podává návrh na ustanovení rybářské stráže pro ty rybářské revíry, v nichž mu byl přenechán výkon rybářského práva,
členů pobočného spolku navržených za rybářského hospodáře a zástupce rybářského hospodáře z důvodu plnění zákonné povinnosti žadatele o povolení výkonu rybářského práva pro ty rybářské revíry, v nichž bude žádat o povolení výkonu rybářského práva hlavní spolek se záměrem následného pověření hospodařením v takovém rybářském revíru pobočného spolku.
Pobočný spolek bude u uvedených kategorií subjektů údajů zpracovávat osobní údaje a tyto bude v rozsahu potřebném pro naplnění účelu jejich zpracování předávat hlavnímu spolku.
Subjekt osobních údajů může vykonávat svá práva podle GDPR u každého ze společných správců i vůči každému z nich.
Podíly na odpovědnosti za plnění povinností podle GDPR si společní správci vymezí samostatnou dohodou.
ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce zpracovává osobní údaje subjektu údajů v souladu se zásadami uvedenými v GDPR.
Správce odpovídá za dodržení všech zásad zpracování osobních údajů a práv subjektu údajů v souvislosti se zpracováním jejich osobních údajů.
Správce zpracovává osobní údaje subjektu údajů zákonně, korektně a transparentně.
Osobní údaje subjektu údajů správce zpracovává pouze na základě existence jednoho nebo více právních důvodů a pro jeden nebo více zcela konkrétních účelů.
Správce zpracovává jednotlivé osobní údaje subjektu údajů na základě existence některého z následujících právních důvodů:
souhlasu uděleného subjektem údajů se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR),
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření smlouvy na žádost tohoto subjektu údajů (čl. 6 odst. 1 písm. b) GDRP), přičemž smlouvou se v tomto případě rozumí rovněž Stanovy hlavního spolku, kterým se uchazeč o členství a člen dobrovolně podřizují,
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (čl. 6 odst. 1 písm. c) GDPR),
zpracování je nezbytné pro účely oprávněných zájmů správce nebo třetí strany (čl. 6 odst. 1 písm. f) GDPR).
OSOBNÍ ÚDAJE ZPRACOVÁVANÉ U JEDNOTLIVÝCH KATEGORIÍ SUBJEKTU ÚDAJŮ
Správce u jednotlivých kategorií subjektu údajů zpracováváosobní údaje v nezbytném rozsahu uvedenýmv informacích a sděleních poskytovaných subjektům údajů v souladu s GDPR.
Správce v souvislosti se zpracováním osobních údajů uskuteční především následující činnosti:
posoudí kategorii osobních údajů, které hodlá zpracovávat; účel aexistenci právního důvodu,
průběžně kontroluje, zda trvá účel a právní důvod zpracování osobních údajů, aby zpracování bylo zákonné,
v případě zániku účelu nebo právního důvodu pro zpracování osobních údajů a po uplynutí lhůt daných pro uchování osobních údajů zajistí výmaz (likvidaci) osobních údajů,
posoudí stávající technické a organizační zabezpečení zpracování osobních údajů a shledá-li je nedostatečnými, přijme a zavede vhodná technická a organizační opatření,
proškolí všechny osoby podílející se na podkladě jeho pokynů na zpracování osobních údajů včetně proškolení o povinnosti mlčenlivosti,
posoudí stávající rizika zpracování osobních údajů,
posoudí zavedené postupy při poskytování informací subjektům údajů, příjemcům údajů a třetím osobám,
posoudí, zda případně uzavřené smlouvy se zpracovateli osobních údajů splňují podmínky stanovené GDPR.
Správce zavede s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům v souvislosti se zpracováním osobních údajů vhodná technická a organizační opatření, aby zajistil a byl schopendozorovému úřadu nebo kontrolním orgánům doložit, že zpracování osobních údajů provádí v souladu s GDPR.
Správce je povinen veškerá opatření přijatá v souvislosti se zpracováním osobních údajů a jejich ochranou a ochranou pravidelně kontrolovat a aktualizovat.
ZÁZNAMY O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce vede záznamy o činnostech zpracování osobních údajů, za které odpovídá. Tyto záznamy o činnostech vede písemně v listinné nebo elektronické podobě.
Správce na požádání poskytne tyto záznamy o činnostech dozorovému úřadu.
Správce eviduje v rámci záznamů o činnostech zpracování osobních údajůtyto informace:
identifikační a kontaktní údaje správce (případného společného správce),
účely zpracování,
popis kategorií subjektů údajů a kategorií osobních údajů,
kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích,
informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a příp. doložení vhodných záruk,
je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů nebo kritéria pro stanovení doby uložení osobních údajů,
je-li to možné, obecný popis technických a organizačních bezpečnostních opatření zabezpečení zpracování osobních údajů.
ZPŮSOB ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce bude zpracovávat osobní údaje
ručně v papírové (listinné) podobě,
ručně v elektronické podobě a
ručně kombinací papírové a elektronické podoby.
Správce bude véstza podmínek uvedených v předchozím článku této směrnice záznamy o činnostech zpracování osobních údajů.
INFORMACE A SDĚLENÍ O PRÁVECH SUBJEKTU ÚDAJŮ
Vedle již uvedených informací a sdělení správce informuje subjekt údajů, že v souvislosti se zpracováním svých osobních údajů má subjekt údajů zejména tato další práva:
Právo požadovat od správce přístup ke svým osobním údajům. V případě zpracování osobních údajů má subjekt údajů právo získat od správce potvrzení s informacemi o účelu zpracování osobních údajů, kategorií dotčených osobních údajů, příjemců, plánované doby zpracování, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tutu lhůtu může správce s ohledem na složitost a počet žádostí prodloužit o další dva měsíce.
Právo na opravu nepřesných osobních údajů a právo na doplnění neúplných osobních údajů.
Právo kdykoli odvolat souhlas, je-li zpracování osobních údajů založeno na souhlasu subjektu údajů dle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR, aniž by tím byla dotčena zákonnost zpracování osobních údajů založená na souhlasu uděleném před jeho odvoláním,
Právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (www.uoou.cz).
Právo na výmaz (právo být zapomenut) osobních údajů, odpadly-li účely pro jejich zpracování nebo odvolá-li subjekt údajů souhlas udělený podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR a neexistuje-li žádný další právní důvod pro jejich zpracování.
Právo na omezení zpracování osobních údajů v důsledku subjektem údajů namítané nepřesnosti, protiprávnosti, odpadnutí účelu zpracování.
Právo získat osobní údaje poskytnuté správci a předat tyto údaje jinému správci (právo na přenositelnost).
Právo kdykoli vznést námitku proti zpracování osobních údajů na základě čl. 6 odst. 1 písm. e) GDPR z důvodů týkajících se konkrétní situace na straně subjektu údajů.
Právo na oznámení případů porušení zabezpečení svých osobních údajů.
ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
Správce přijme vhodná technická a organizační opatření k zabezpečení zpracováníosobních údajů. Při jejich volbě přihlédne ke stavu techniky, nákladům na provedení opatření, povaze, rozsahu, kontextu a účelům zpracování osobních údajů, a také k různě pravděpodobným a různě závažným rizikům souvisejícím se zpracováním osobních údajů.
Správce v případě změny rizika vhodným způsobem upraví opatření uvedená v předchozím odstavci tohoto článku a přijme opatření ve vztahu k aktuálním rizikům.
Správce ohlašuje jakékoliv porušení zabezpečení osobních údajů dozorovému orgánu (Úřad pro ochranu osobních údajů), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se správce o tomto porušení zabezpečení dozvěděl. Pokud tak učiní později než do 72 hodin od okamžiku, kdy se o tomto porušení zabezpečení dozvěděl, uvede spolu s ohlášením dozorovému orgánu rovněž důvody pozdního ohlášení. Ohlášení porušení zabezpečení osobních údajů není správce povinen provést, pokud tímto porušením nebyly ohroženy či se neohrozí práva a svobody fyzických osob.
V ohlášení dle předchozího odstavce tohoto článku správce popíše:
povahu porušení zabezpečení osobních údajů, a pokud je to možné, i kterých kategorií osobních údajů a záznamů osobních údajů se porušení týká, přibližný počet dotčených subjektů údajů a dotčených záznamů;
jméno a kontaktní údaje kontaktního místa, které může poskytnout bližší informace o porušení,
pravděpodobné důsledky daného porušení,
opatření, která přijal k nápravě, případně ke zmírnění možných nepříznivých dopadů.
Každé porušení zabezpečení osobních údajů musí být správcem řádně zdokumentováno, včetně informací o přijatých nápravných opatřeních.
Jakmile se správce o případném porušení zabezpečení osobních údajů dozví, posoudí, s jakou pravděpodobností představuje toto porušení riziko pro práva a svobody subjektu údajů. Pokud správce vyhodnotí, že toto porušení bude nést vysoké riziko pro práva a svobody subjektu údajů, oznámí dané porušení i subjektu údajů, tj. tomu, koho se dané osobní údaje týkají.
Oznámení subjektu údajů dle předchozího odstavce tohoto článku učiní správce jasně, srozumitelně, s použitím jednoduchých jazykových prostředků a subjektu údajů podá minimálně informace uvedené v odst. 4 písm. b) až d) tohoto článku.
Správce není povinen oznámení subjektu údajů učinit, pokud zavedl náležitá technická a organizační ochranná opatření u osobních údajů dotčených porušením, např. učiní je nesrozumitelnými pro třetí osoby (pomocí šifrování apod.) nebo přijal následná opatření, která zajistí, že se vysoké riziko pro práva a svobody subjektů údajů pravděpodobně již neprojeví a dále pokud by to představovalo nepřiměřené úsilí. I v případě, že by oznámení subjektu údajů představovalo nepřiměřené úsilí, správce informuje dotčené subjekty údajů pomocí veřejného oznámení, např. prostřednictvím svých webových stránek.
ZÁVĚREČNÁ USTANOVENÍ
Změny nebo doplnění této směrnice může provést pouze správce.
Tato směrnice nabývá platnosti dnem vydání a účinnosti dnem 25. 5. 2018.