Podmínky ochrany osobních údajů
Směrnice o zpracování osobních údajů
Čl. I
Předmět úpravy
V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“) a dalších právních předpisů upravuje tato směrnice zpracování osobních údajů v Iniciativa 2023, z.s., IČO: 21527709, sídlem Nad Buďánkami I 2271/3, Smíchov, 150 00 Praha, vedená i Městského soudu v Praze pod sp. zn. L 79080/MSPH (dále jen „Spolek“).
Čl. II
Základní pojmy
„Osobními údaji“ se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Osobními údaji jsou např. jméno, příjmení, datum narození, bydliště a doručovací adresa, telefonní číslo, e-mail, údaj o rodinných příslušnících, dalších osobách blízkých, zdravotním stavu, pohlaví, genderu aj.
„Zpracováním osobních údajů“ se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
„Správcem“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracováni určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení. V této směrnici se za Správce osobních údajů považuje Spolek.
„Zpracovatelem osobních údajů" se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro Spolek.
„Oprávněnou osobou“ se rozumí fyzická osoba, která ve Spolku do kontaktu s osobními údaji v rámci výkonu své funkce. Touto osobou se rozumí zejména předsedkyně spolku, pověření členové spolku, pověření zaměstnanci či pověření dodavatelé služeb.
„Subjektem údajů“ se rozumí fyzická osoba, ke které se osobní údaje vztahují. Ve Spolku se touto osobou rozumí zejména člen Spolku, zaměstnanec Spolku, dodavatel služeb Spolku, respondenti a další účastníci výzkumů organizovaných Spolkem a jiné osoby zapojené do projektů, které Spolek realizuje.
„Příjemcem osobních údajů" se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany osobních údajů pro dané účely zpracování.
„Třetí stranou“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.
„Souhlasem“ je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle (jednání), kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
„Porušením zabezpečení osobních údajů" je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
„Údaji o zdravotním stavu" jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
Definice dalších pojmů užitých při zacházení a ochraně osobních údajů jsou uvedeny v čl. 4 GDPR, případně v textu či přílohách této směrnice tam, kde je to účelné.
Čl. III
Zásady zpracování osobních údajů
Zásady zpracování osobních údajů jsou uvedeny v kapitole 2 GDPR. V souladu s ním musí být osobní údaje:
ve vztahu k subjektu údajů zpracovány zákonným, korektním a transparentním způsobem;
shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovány;
přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Čl. IV
Podmínky, rozsah a forma zpracování osobních údajů
Osobní údaje lze zpracovávat pouze za podmínek stanovených GDPR, obecně závaznými právními předpisy ČR, stanovami Spolku, a za podmínek této směrnice, jakož i příp. dalších souvisejících vnitřních předpisů Spolku.
Spolek zpracovává osobní údaje Subjektů údajů (členů Spolku, zaměstnanců Spolku, dodavatelů služeb Spolku, respondenti a dalších účastníků výzkumů organizovaných Spolkem a jiných osob zapojených do projektů, které Spolek realizuje) zejména s ohledem na níže vyjmenované účely. Osobní údaje členů Spolku jsou zpracovávány zejména za účelem plnění vzájemných práv a povinností vůči Spolku, které vyplývají z právních předpisů a rovněž za účelem zastupování zájmů Spolku při jednáních se třetími osobami, to vše jen v nezbytně nutném rozsahu. Osobní údaje zaměstnanců Spolku jsou shromažďovány zejména za účelem řádného plnění práv a povinností Spolku jakožto zaměstnavatele, s ohledem na druh vykonávané práce, to vše jen v nezbytně nutném rozsahu. Osobní údaje dodavatelů jsou shromažďovány za účelem řádného plnění práv a povinností Spolku jakožto objednatele vyplývající ze smluv a právních předpisů vztahujícím se k dodávkám služeb a zboží pro Spolek. Osobní údaje respondentů jsou shromažďovány zejména s ohledem na účel konkrétního výzkumu a v souladu s informovaným souhlasem, který respondenti před realizací výzkumu podepisují, to vše jen v nezbytném rozsahu. Osobní údaje dalších účastníků výzkumu jsou shromažďovány zejména s ohledem na účel konkrétního výzkumu, a to v nezbytně nutném rozsahu. Údaje jiných osob zapojených do projektů jsou shromažďovány za účelem řádného plnění povinností Spolku vyplývajících z účasti v projektu, to vše jen v nezbytně nutném rozsahu. Podrobnosti týkající se rozsahu zpracování, účelu a lhůt u jednotlivých údajů stanoví čl. VI Směrnice.
Spolek zpracovává osobní údaje v listinné i elektronické podobě.
V případě, že Spolek zamýšlí ke zpracování osobních údajů využít Zpracovatele osobních údajů, je nutno se zpracovatelem osobních údajů uzavřít smluvní vztah a splnit další náležitosti vyžadované GDPR a platnými právními předpisy týkajícími se ochrany osobních údajů.
Čl. V
Zabezpečení osobních údajů
Osobní údaje musí být zabezpečeny proti neoprávněnému přístupu, náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovaných osobních údajů.
K dodržení povinností dle odstavce 1 jsou Oprávněné osoby povinny:
uchovávat osobní údaje v listinné podobě a osobní údaje na fyzických nosičích dat (např. CD, DVD, USB Flash disk) v uzamčených skříních nebo zásuvkách, popř. na jiných místech, kde je možno zajistit jejich ochranu,
před opuštěním kanceláře, ve které jsou uloženy osobní údaje, tyto zabezpečit proti zneužití a místnost řádně uzamknout,
nezpřístupnit třetí osobě klíč od místností, uzamčených skříní nebo zásuvek obsahujících osobní údaje, jeho ztrátu bez prodlení oznámit předsedovi Spolku, příp. výboru Spolku,
data s osobními údaji v elektronické formě uchovávat na počítačích chráněných heslem pouze v dostatečně zabezpečeném úložišti (např. na šifrovaném fyzickém, nebo virtuálním disku přístupném jen s použitím silného hesla), tyto počítače chránit před nahodilou ztrátou a odcizením,
používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný nebo nahodilý přístup k osobním údajům,
uchovávat osobní údaje v elektronické podobě pouze na bezpečných serverech a jen v případech, kdy je to nezbytně nutné,
osobní údaje v elektronické podobě pravidelně zálohovat, přičemž záloha by měla být uložena na zabezpečeném místě odlišném od místa uložení originálních údajů,
média, která sloužila k uchovávání či přenosu osobních údajů a již nejsou dále potřebná nebo dosáhla konce svojí životnosti, bezpečně zlikvidovat,
nesdělovat třetí osobě přístupový login a heslo umožňující pouze oprávněné osobě přístup do informačního systému obsahujícího osobní údaje, nepoužívat jednoduchá a snadno prolomitelná hesla,
nezpřístupnit třetí osobě přístupový klíč k počítači umožňující oprávněné osobě přístup do systému, chránit přístupový klíč k počítači a jeho ztrátu bez prodlení oznámit předsedovi Spolku, příp. výboru Spolku,
zpracovávat osobní údaje pouze po dobu, která je nezbytně nutná k naplnění účelu zpracování, nebo po dobu stanovenou právními předpisy ČR (např. zákon o účetnictví, zákon o archivnictví, zákon o organizaci a provádění sociálního zabezpečení apod.); doklady vztahující se ke členství členů ve Spolku lze uchovávat nejdéle po dobu 4 let po skončení členství ve Spolku,
zpracovávat osobní údaje pouze pro plnění povinností stanovených právními předpisy, Stanovami a dalšími vnitřními předpisy Spolku,
zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení výkonu své funkce ve Spolku ,
nezpřístupnit osobní údaje třetí osobě bez předchozího doložitelného souhlasu (souhlas podepsaný na papíře nebo v důvěryhodném elektronickém záznamu) subjektu údajů,
v případech, kdy Oprávněná osoba zjistí nebo nabude podezření, že by mohlo dojít nebo že došlo k porušení zabezpečení osobních údajů toto neprodleně nahlásit předsedovi Spolku, příp. výboru Spolku.
Čl. VI
Kategorie subjektů, rozsah a účel zpracovávání osobních údajů
Popis kategorií subjektu údajů, kategorií osobních údajů a účelů jejich zpracování:
členové Spolek
Kategorie osobních údajů:
adresní a identifikační údaje – jméno, příjmení, titul, datum narození, bydliště, doručovací adresa, telefon, e-mail, pracovní zařazení
Účel zpracování:
evidence členů Spolku,
poskytování právní pomoci členům Spolku, případně pozůstalým, včetně jejich zastupování před soudy a jinými orgány,
kolektivní vyjednávání, zastupování zájmů členů Spolku při jednáních se zaměstnavatelem, vč. plnění práv a působnosti Spolku na úseku informování, projednávání, spolurozhodování a kontroly podle pracovněprávních předpisů (např. vyšetřování příčin pracovních úrazů, projednání výpovědi apod.),
účast na vzdělávacích a jiných akcích
odměňování členů Spolku za vykonanou práci pro spolek
naplňování cílů Spolku vyplývajících ze stanov
plnění zákonných povinností Spolku vůči orgánům státní správy
zaměstnanci Spolku
Kategorie osobních údajů:
adresní a identifikační údaje - jméno, příjmení, datum narození, adresa trvalého pobytu, doručovací adresa, telefon, e-mail
další údaje pro plnění povinností zaměstnavatele – bankovní spojení, údaje o předchozím zaměstnání (tzv. zápočtový list, příp. pracovní posudek od předchozího zaměstnavatele), údaje o dosaženém vzdělání, praxi, příp. o jiné odborné způsobilosti (např. skutečnost, že je zaměstnanec držitelem řidičského oprávnění určité skupiny), výpis z rejstříku trestů, pokud jej Spolek vyžaduje, potvrzení o době vedení v evidenci uchazečů o zaměstnání na Úřadu práce, pokud byl zaměstnanec do takové evidence před vznikem pracovněprávního vztahu zařazen, údaje o invaliditě nebo zdravotním znevýhodnění, pokud je zaměstnanec osobou se zdravotním postižením
zvláštní kategorie osobních údajů – členství v odborové organizaci
Účel zpracování:
plnění povinností Spolku jako zaměstnavatele vyplývajících z pracovněprávního vztahu a z obecně závazných právních předpisů (např. na úseku plnění daňových povinností, na úseku sociálního zabezpečení atd.)
dodavatelů služeb Spolku, respondenti a dalších účastníků výzkumů organizovaných Spolkem a jiných osob zapojených do projektů, které Spolek realizuje
dodavatelé služeb pro Spolek
Kategorie osobních údajů:
adresní a identifikační údaje – jméno, příjmení, IČO, adresa trvalého pobytu, doručovací adresa, telefon, e-mail
Účel zpracování:
plnění práv a povinností Spolku jako objednatele služeb plynoucích ze smlouvy o dodávce služeb (př. zboží) a dalších zákonných povinností
respondenti a další účastníci výzkumů
Kategorie osobních údajů:
adresní a identifikační údaje – jméno, příjmení, IČO, adresa trvalého pobytu, doručovací adresa, telefon, e-mail
další údaje související z realizovanými výzkumy vyplývající z výzkumných cílů definovaných v návrhu výzkumu, to vše jen v rozsahu nezbytném pro dosažení výzkumného cíle a v souladu s výzkumnými etickými pravidly
zvláštní kategorie osobních údajů – zdravotní stav
Účel zpracování:
naplňování činností a záměrů Spolku definovaných jeho stanovami
osoby zapojené do projektů realizovaných Spolkem
Kategorie osobních údajů:
adresní a identifikační údaje - jméno, příjmení, IČO, adresa trvalého pobytu, doručovací adresa, telefon, e-mail
Účel zpracování:
plnění práv a povinností Spolku jakožto účastníka projektu, které vyplývají z projektových pravidel
osoby objednávající zboží přes eshop Spolku
Kategorie osobních údajů:
adresní a identifikační údaje – jméno, příjmení, adresa trvalého pobytu, doručovací adresa, telefon, e-mail – poskytnuté v rámci objednávání zboží
další údaje poskytnuté v rámci objednávání zboží
Účel zpracování:
plnění smlouvy uzavřené mezi Spolkem a kupujícím
Čl. VII
Lhůty pro uchování a výmaz osobních údajů
Osobní údaje subjektů všech kategorií budou vymazány vždy bez zbytečného odkladu po uplynutí zákonem stanovené doby, po kterou je Spolek povinen tyto údaje uchovávat, nebo doby, kdy je Spolek povinen doklady vztahující se ke členství členů ve Spolku lze uchovávat nejdéle po dobu 4 let po skončení členství ve Spolku. Údaje osob zapojených do projektů realizovaných Spolkem se uchovávají po dobu určenou projektovými pravidly. Údaje získané při objednávání zboží přes eshop Spolku se uchovávají po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu a uplatňování nároků z těchto smluvních vztahů (po dobu 15 let od ukončení smluvního vztahu).
Čl. VIII
Poskytování osobních údajů třetím stranám, Příjemci osobních údajů
Poskytování osobních údajů Třetím stranám mimo Spolek (tj. mimo členy, zaměstnance Spolku a pravidelné dodavatel účetních a právních služeb pro Spolek) se řídí touto směrnicí, vnitřními předpisy Spolku, GDPR a platnými obecně závaznými právními předpisy.
O každém poskytnutí osobních údajů Třetí straně mimo Spolek vyjma případu podle bodu 6. čl. VIII této Směrnice musí být předem písemně informován předseda Spolku se sdělením rozsahu poskytnutých údajů, účelu poskytnutí a identifikací Třetí strany.
Za dodržování správného postupu při poskytování osobních údajů Třetím stranám mimo Spolek v souladu s GDPR a platnými obecně závaznými právními předpisy, touto směrnicí a vnitřními předpisy Spolku je odpovědný předseda Spolku.
Je zakázáno předávat osobní údaje do třetí země nebo mezinárodní organizaci. O výjimce může rozhodnout předseda Spolku. V tom případě je nutno dbát záruk stanovených čl. 46 GDPR.
Spolku poskytne Příjemci osobních údajů osobní údaje subjektu údajů jen v nezbytném rozsahu.
Příjemci osobních údajů získaných při objednávání zboží přes eshop Spolku jsou osoby podílející se na dodání zboží a zajišťující služby provozování eshopu (Shoptet) a další služby v souvislosti s provozováním eshopu.
ČI. IX
Práva subjektu údajů
Právo subjektu údajů na:
přístup k osobním údajům upravuje čl. 15 GDPR;
opravu osobních údajů upravuje čl. 16 a 19 GDPR;
výmaz osobních údajů upravuje čl. 17 a 19 GDPR;
omezení zpracování osobních údajů upravuje čl. 18 a 19 GDPR;
přenositelnost osobních údajů upravuje čl. 20 GDPR;
právo vznést námitku a ochrana proti automatizovanému individuálnímu rozhodování upravuje čl. 21 a 22 GDPR.
ČI. X
Informace poskytované subjektu údajů
Spolek v roli Správce poskytuje Subjektu údajů v souladu s čl. 12 GDPR stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v čl. 13 a 14 GDPR a učiní veškerá sdělení podle čl. 15 až 22 a 34 GDPR o zpracování. Informace je subjektu údajů poskytována formou, kterou subjekt údajů o informaci požádal, případně formou, kterou stanoví předseda Spolku.
Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle této směrnice a GDPR na předsedu Spolku.
ČI. XI
Ohlašovací povinnost v případě porušení zabezpečení osobních údajů
Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu (čl. 33 GDPR) a oznamování případů porušení ochrany osobních údajů subjektu údajů (čl. 34 GDPR) provádí předseda Spolku.
Čl. XII
Závěrečná ustanovení
Gestorem této směrnice je předseda Spolku.
Kontrolu dodržování této směrnice vykonává předseda Spolku.
Správce je oprávněn tato pravidla ochrany osobních údajů změnit. Novou verzi zveřejní na svých internetových stránkách a zároveň Subjektům údajů, jejich údaje získal v rámci objednávání zboží přes eshop Spolku, zašle novou verzi na poskytnutou e-mailovou adresu.
Tato směrnice nabývá platnosti a účinnosti dne 11. 12. 2025.
V Praze dne 11. 12. 2025
_______________________
za Spolek
Julie Lipská, předsedkyně Spolku
PAGE \* MERGEFORMAT7
Dáme odkaz na konkrétní pravidla z Karlovky?