ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ
OBSAH
Všeobecná ustanovení
1.1. Předmět směrnice
1.2. Rozsah platnosti směrnice
1.3. Vymezení základních pojmů
1.4. Zásady zpracování osobních údajů
2. Základní informace o zpracování osobních údajů
2.1. Záznamy o činnostech zpracování
2.2. Vyřizování žádostí a stížností subjektů údajů
2.2.1. Právo na přístup
2.2.2. Právo na výmaz
2.2.3. Právo na přenositelnost
2.2.4. Právo na opravu nebo doplnění
2.2.5. Právo na omezení zpracování
2.2.6. Právo vznést námitku
2.3. Souhlasy subjektů údajů se zpracováním osobních údajů
2.4. Hlášení bezpečnostních incidentů
Ostatní ustanovení
3.1. Poskytování osobních údajů; předávání osobních údajů do zahraničí
3.2. Povinnost mlčenlivosti
3.3. Právní ochrana a odpovědnost
3.4. Závěrečná ustanovení
1. Všeobecná ustanovení
1.1. Předmět směrnice
Tato směrnice upravuje pravidla a podmínky zpracování osobních údajů, včetně postupů pro jejich zpracování, uchovávání a správu společností Montessori Institute Prague s.r.o., se sídlem na adrese Praha 5, Košíře, Pod radnicí 152/3, PSČ 150 00 (dále jen „společnost“), včetně práv subjektů údajů v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen „zákon“), a nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“).
1.2. Rozsah platnosti směrnice
Tato směrnice je závazná pro všechny zaměstnance společnosti a pro další osoby, které jsou ke společnosti v jiném pracovněprávním vztahu na základě dohod mimo pracovní poměr nebo jakéhokoliv jiného právního vztahu.
1.3. Vymezení základních pojmů
Osobní údaje jsou jakékoliv informace vztahující se k určité fyzické osobě (subjektu údajů), ať už jde o identifikační a kontaktní údaje (např. jméno, příjmení, datum narození, adresa bydliště, rodné číslo, IČ/DIČ, telefonní číslo, e-mail), údaje o poloze, popisné údaje o fyziologii člověka (např. výška, váha, velikost bot), informace z fotografií a kamerových záznamů, sociodemografické údaje (věk, pohlaví, rodinný stav, vzdělání, zaměstnání, příjmy a výdaje, počet dětí) nebo údaje o chování a preferencích.
Zvláštní kategorie osobních údajů zahrnují údaje, které jsou obzvláště rizikové z hlediska možného zásahu do zaručených práv a svobod fyzických osob, například údaje o zdravotním stavu, údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském či filozofickém přesvědčení, genetické či biometrické údaje.
Subjekt údajů je každá fyzická osoba, jejíž osobní údaje jsou zpracovávány.
Zpracování osobních údajů je jakékoliv nakládání s osobními údaji, s pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, zpřístupnění, ukládání, uspořádání, vyhledání, pozměňování, používání, šíření atd.
Správce je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává pro správce osobní údaje, pokud ho tím správce pověří, a pouze v rozsahu a za účelem stanoveným správcem; není vyloučeno, že jedna osoba bude zároveň správcem (např. ve vztahu ke svým zaměstnancům) i zpracovatelem (ve vztahu k jinému správci).
Příjemce je jakýkoliv subjekt, kterému jsou osobní údaje poskytnuty (není rozhodující, zda přímo správcem nebo zpracovatelem na pokyn správce); v některých případech se za příjemce nepovažují orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu se zákonem.
Souhlas subjektu údajů je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením nebo jiným zjevným potvrzením svůj souhlas se zpracováním jeho osobních údajů.
Dozorový úřad v České republice dle GDPR je Úřad pro ochranu osobních údajů, se sídlem Praha 7, Pplk. Sochor 27, PSČ 170 00, telefon: +420 234 665 111, web: www.uoou.cz.
1.4. Zásady zpracování osobních údajů
Nařízení GDPR vychází z několika obecných zásad pro zpracování a ochranu osobních údajů (především obsažených v článcích 5, 6, 25 a 32), včetně zásad řízení rizik a informačního sebeurčení subjektů údajů. Tyto zásady zahrnují:
Zásada zákonnosti, korektnosti a transparentnosti znamená, že osobní údaje musejí být zpracovávány vždy zákonným, korektním a transparentním způsobem ve vztahu k subjektu údajů.
Zásada zákonnosti vyžaduje, aby osobní údaje byly zpracovávány na základě legitimních důvodů stanovených zákonem (právních titulů definovaných v článku 6 GDPR), které zahrnují nezbytnost dodržet zákonnou povinnost správce, nezbytnost pro plnění smlouvy, nezbytnost pro oprávněné zájmy nebo zpracování založené na souhlasu subjektu údajů.
Zásada transparentnosti souvisí s plněním informačních povinností vůči dotčeným subjektům údajů, jak vymezuje GDPR v článcích 12 až 14.
Zásada účelového omezení znamená, že každé zpracování osobních údajů musí být v souladu s daným legálním účelem. Osobní údaje musejí být shromažďovány pro konkrétní, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
Zásada minimalizace údajů znamená, že osobní údaje smí být zpracovávány pouze v minimálním rozsahu nezbytném pro dosažení účelu zpracování. Každý správce musí zajistit, aby osobní údaje nebyly shromažďovány ve větším rozsahu, než je nutné.
Zásada přesnosti vyžaduje zpracování přesných, správných a aktuálních údajů. To znamená, že by měla být v pravidelných intervalech aktualizována data v databázi společnosti, například ověřením správnosti kontaktních údajů zaměstnanců.
Zásada omezeného uložení stanovuje povinnost uchovávat osobní údaje pouze po dobu nezbytně nutnou k dosažení účelu zpracování. Tato zásada se uplatňuje zejména prostřednictvím dodržování předepsaných archivačních lhůt.
Zásada integrity a důvěrnosti představuje povinnost zajistit bezpečné zpracování osobních údajů. Při stanovení vhodné úrovně bezpečnosti se zohledňují rizika spojená se zpracováním, jako jsou náhodné nebo protiprávní zničení, ztráta, neoprávněný přístup k osobním údajům nebo jejich neoprávněné zveřejnění.
2. Základní informace o zpracování osobních údajů
2.1. Záznamy o činnostech zpracování
Správce a kontaktní údaje
Správcem je Montessori Institute Prague s.r.o., se sídlem Pod radnicí 152/3, Praha 5, PSČ 150 00, Česká republika. Společnost je zastoupena Miroslavou Vlčkovou, jednatelkou, registrována pod IČ: 254 34 110.
Účel a právní základ zpracování osobních údajů
Zaměstnanci: Zpracování na základě pracovních smluv za účelem plnění povinností podle zákoníku práce a zákona o zaměstnanosti.
Zákazníci/klienti: Zpracování z důvodu oprávněných zájmů pro plnění smlouvy.
Dodavatelé: Zpracování z důvodu oprávněných zájmů pro plnění smlouvy s dodavatelem.
Návštěvníci a třetí osoby: Zpracování za účelem ochrany majetku správce.
Typy shromažďovaných osobních údajů
Zaměstnanci: Jméno, kontaktní údaje, údaje o zaměstnání, finanční a zdravotní stav, trestní rejstřík a záznamy z kamerového systému.
Zákazníci/klienti: Jméno, kontaktní údaje, bankovní informace, právní záznamy a záznamy z kamerového systému.
Dodavatelé: Údaje obdobné jako u zákazníků včetně kontaktních a právních informací.
Návštěvníci a třetí osoby: Jméno a záznamy z kamerového systému.
Zdroje osobních údajů
Informace jsou získávány od subjektů údajů, veřejných zdrojů, správních úřadů a kamerových systémů.
Příjemci osobních údajů
Data mohou být sdílena se soudy, správními úřady, servisními agenturami pro údržbu kamerových a IT systémů a mezinárodně s Association Montessori Internationale (AMI) v Nizozemsku.
Doba uchovávání a likvidace osobních údajů
Údaje jsou uchovávány podle zákonných archivačních lhůt nebo pro stanovenou dobu s nevratným smazáním:
Zaměstnanci: Skartace po uplynutí zákonné lhůty.
Zákazníci/klienti a dodavatelé: Uchovávání po dobu 10 let.
Návštěvníci: Smazání po 1 roce nebo po 3 týdnech (záznamy z kamer).
Proces aktualizace údajů
Data jsou aktualizována prostřednictvím subjektů údajů, veřejných zdrojů a správních orgánů.
Evidence a systémy zpracování
Data jsou spravována v systémech, jako je Google Drive, Mipstation, Schoology, Active Campaign a fakturační program FAPI.
Zabezpečení dat
Organizace používá šifrování při komunikaci s klienty, nevratné mazání v databázích a fyzické zabezpečení papírových záznamů. Datové systémy jsou pravidelně testovány z hlediska bezpečnosti.
Přístup k datům a důvěrnost
Přístup k datům mají pouze oprávnění zaměstnanci s povinností mlčenlivosti. Školení se provádí při nástupu a každoročně.
Přenos osobních údajů do zahraničí
Data jsou přenášena a přístupná v zahraničí v souladu s požadavky GDPR, čímž je zajištěna bezpečnost při přenosech.
2.2. Vyřizování žádostí a stížností subjektů údajů
Pro účely dodržování GDPR je správce povinen zajistit hladký výkon práv subjektů údajů, například prostřednictvím webových stránek nebo fyzických formulářů dostupných na sekretariátu společnosti.
Elektronické žádosti: Pokud subjekt údajů podá žádost v elektronické formě, správce poskytne informace ve formě běžně používané, pokud subjekt údajů nepožádá o jiný způsob. Správce je vždy povinen ověřit totožnost osoby, která žádost podala, aby informace nebyly poskytnuty neoprávněným osobám.
Lhůta: Informace musí být poskytnuta správcem bez zbytečného odkladu a nejpozději do jednoho (1) měsíce od obdržení žádosti. V případě nutnosti může být tato lhůta prodloužena o dva (2) měsíce.
Poplatek: Informace jsou poskytovány zdarma, ale pokud jsou žádosti zjevně neopodstatněné nebo nepřiměřené, může správce požadovat přiměřený poplatek nebo žádost zamítnout.
2.2.1. Právo na přístup
Přístup k osobním údajům zahrnuje právo subjektu údajů získat od správce informaci, zda jsou jeho osobní údaje zpracovávány, a pokud ano, má právo získat tyto údaje a následující informace:
totožnost a kontaktní údaje správce a případného zástupce;
účely zpracování a právní základ;
kategorie osobních údajů;
oprávněné zájmy správce nebo třetí strany;
příjemci osobních údajů;
doba uchovávání údajů;
právo na opravu, výmaz, omezení nebo námitku proti zpracování;
právo podat stížnost u dozorového úřadu;
informace o zdroji údajů, pokud nebyly získány od subjektu údajů;
skutečnost, že probíhá automatizované rozhodování, včetně profilování.
2.2.2. Právo na výmaz
Právo na výmaz ukládá správci povinnost vymazat osobní údaje, pokud:
osobní údaje již nejsou potřebné k účelům, pro které byly shromážděny;
subjekt údajů odvolá souhlas a neexistuje jiný právní důvod pro zpracování;
subjekt údajů vznesl námitku a neexistují žádné převažující oprávněné důvody pro zpracování;
osobní údaje byly zpracovávány protiprávně;
osobní údaje musí být vymazány kvůli právní povinnosti.
2.2.3. Právo na přenositelnost
Právo na přenositelnost je právo subjektu údajů získat osobní údaje, které poskytl správci, a předat je jinému správci, pokud je zpracování založeno na souhlasu nebo smlouvě a probíhá elektronicky.
2.2.4. Právo na opravu nebo doplnění
Subjekt údajů má právo na opravu nepřesných osobních údajů a doplnění neúplných údajů.
2.2.5. Právo na omezení zpracování
Subjekt údajů může požadovat omezení zpracování v určitých případech, jako je spor o přesnost údajů nebo nezákonné zpracování.
2.2.6. Právo vznést námitku
Pokud je zpracování založeno na oprávněném zájmu nebo veřejném zájmu, subjekt údajů má právo vznést námitku.
2.3. Souhlasy subjektů údajů se zpracováním osobních údajů
Zpracování osobních údajů může obecně probíhat se souhlasem subjektu údajů. Souhlas lze kdykoliv odvolat.
2.4. Hlášení bezpečnostních incidentů
Jakékoli narušení bezpečnosti musí být hlášeno dozorovému úřadu do 72 hodin, pokud je pravděpodobné, že došlo k riziku pro práva a svobody fyzických osob.
3. Ostatní ustanovení
3.1. Zpřístupnění osobních údajů; předání osobních údajů do zahraničí
Osobní údaje mohou být zpřístupněny nebo sděleny statutárnímu orgánu správce nebo osobám pověřeným správcem. Za určitých okolností mohou být osobní údaje kromě správce nebo pověřených osob zpřístupněny orgánům činným v trestním řízení (Policie České republiky, státní zastupitelství), soudům nebo jiným státním či místním úřadům zabývajícím se přestupky na základě zákonných předpisů, nebo pojišťovně správce či subjektu údajů, pokud je třeba uplatnit právní nároky. Každý přenos údajů musí být zadán správcem a každý takový přenos musí být evidován.
Jakýkoli přenos osobních údajů do třetí země nebo mezinárodní organizaci může proběhnout pouze tehdy, pokud správce splňuje podmínky stanovené v kapitole V GDPR.
3.2. Povinnost mlčenlivosti
Správce je povinen zachovávat mlčenlivost o osobních údajích získaných od subjektů údajů. Povinnost mlčenlivosti zaniká, pokud je to nezbytné pro plnění úkolů orgánů činných v trestním řízení v trestních řízeních, správních a přestupkových řízeních a v dalších právních záležitostech. V takovém případě povinnost mlčenlivosti zaniká pouze vůči těmto orgánům.
Správce nesmí použít získané osobní údaje k jinému účelu, než který je uveden v této směrnici, ani je zveřejnit nebo zpřístupnit jiným osobám, kromě případů uvedených v článku III, odst. 3.1 této směrnice. Povinnost mlčenlivosti se vztahuje i na další osoby, které v rámci své činnosti přicházejí do kontaktu s osobními údaji. Povinnost mlčenlivosti trvá i po ukončení činnosti správce nebo po ukončení pracovněprávního vztahu.
3.3. Právní ochrana a odpovědnost
Každý subjekt údajů má právo (aniž by byla dotčena jiná správní nebo soudní opatření) podat stížnost u dozorového úřadu, pokud se domnívá, že zpracování jeho osobních údajů porušuje GDPR.
Každý, kdo utrpěl majetkovou nebo nemajetkovou újmu v důsledku porušení GDPR, má právo na náhradu škody od správce nebo zpracovatele za utrpěnou škodu.
Správce odpovídá za škodu způsobenou zpracováním, které porušuje GDPR, pokud neprokáže, že za událost, která vedla ke škodě, nenese žádnou odpovědnost.
3.4. Závěrečná ustanovení
V ostatních záležitostech, které nejsou touto směrnicí upraveny, platí příslušná ustanovení zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, nařízení (EU) 2016/679 Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/45/ES (obecné nařízení o ochraně osobních údajů), a další předpisy upravující ochranu osobních údajů.
Provozovatel se zavazuje tuto směrnici prokazatelně zpřístupnit všem dotčeným osobám (zejména zaměstnancům).
Originál této směrnice bude uložen na našem interním serveru.
Tato směrnice nabývá účinnosti dnem 1. 10. 2024.
Seznam příloh:
Příloha č. 1 – Vzor žádosti o uplatnění práv subjektu údajů
Příloha č. 2 – Vzor odpovědi na žádost o uplatnění práv subjektu údajů
Příloha č. 1 – Vzor žádosti o uplatnění práv subjektu údajů
Žádost subjektu údajů
Identifikace subjektu údajů
Jméno a příjmení:
Datum narození:
Adresa:
Další identifikace (e-mail, telefonní číslo, apod.):
Předmět žádosti – Jaké právo chci využít
Právo na přístup
Chci znát typy osobních údajů, které o mně zpracováváte (např. údaje nutné pro plnění smlouvy nebo sledování služeb, které jsem zakoupil/a).
Chci podrobné informace o všech osobních údajích, které se mě týkají, bez nutnosti obdržet kopie.
Žádám o podrobné informace o všech osobních údajích, které se mě týkají, včetně kopie, a prosím o zaslání na:E-mailovou adresu:
Nebo na fyzickou adresu:
Právo na opravu
Přeji si opravit/doplnit následující osobní údaje:
Skutečná hodnota osobních údajů:
Právo na výmaz
Nepřeji si, aby byly dále zpracovávány následující osobní údaje:
Prosím, vymažte je z vašich systémů.
Právo na omezení zpracování
Přeji si omezit následující zpracování mých osobních údajů:
Specifikujte osobní údaje, které mají být omezeny:
Právo na přenositelnost
Žádám o přenos těchto/všech osobních údajů, které o mně zpracováváte, v následujícím formátu:
Přeneste údaje na e-mailovou adresu:
NEBO
Přeneste údaje přímo novému správci:Jméno nového správce:
Adresa správce:
E-mail správce:
Telefon správce:
Právo vznést námitku proti zpracování
Namítám proti následujícímu zpracování mých osobních údajů:
Doplňující informace
Pokud žádáte o výmaz nebo omezení zpracování a uznáme platnost vaší žádosti, informujeme všechny příjemce, kterým byly vaše osobní údaje poskytnuty, o výmazu, úpravě nebo omezení, pokud to nebude nemožné nebo nebude vyžadovat nepřiměřené úsilí. Chcete být informováni o příjemcích vašich osobních údajů? (Ano/Ne)
Důvod žádosti
Pokud žádáte o výmaz, omezení zpracování nebo vznesení námitky, uveďte prosím důvody své žádosti.
Příloha č. 2 – Vzor odpovědi na žádost o uplatnění práv subjektu údajů
Odpověď na žádost subjektu údajů
Identifikace subjektu údajů
Jméno a příjmení:
Datum narození:
Adresa:
Další identifikace (e-mail, telefonní číslo, apod.):
Odpověď na žádost, Ref:
Vaše žádost týkající se (upřesněte právo uplatněné subjektem údajů) ze dne byla pečlivě přezkoumána s následujícími závěry:
Právo na přístup
Žádali jste o informace o kategoriích osobních údajů, které zpracováváme (např. plnění smlouvy nebo sledování zakoupených služeb).Zpracováváme o vás následující typy osobních údajů:
Žádali jste o podrobné informace o všech osobních údajích, které zpracováváme, bez nutnosti obdržet kopie.Připojujeme podrobný souhrn osobních údajů, včetně účelů zpracování, kategorií osobních údajů, příjemců a doby uchovávání.
Žádali jste o podrobné informace a kopii údajů zaslanou na uvedenou adresu.
Právo na opravu
Vaše žádost vedla k opravě/doplnění následujících osobních údajů:
Příjemci, kterým byly vaše údaje poskytnuty, budou informováni o opravě nebo doplnění, pokud to nebude nemožné nebo nepřiměřené.
Právo na výmaz
Osobní údaje, které můžeme vymazat:
Tyto údaje budou odstraněny z našich systémů do [datum]. Příjemci, kterým byly údaje poskytnuty, budou informováni, pokud to nebude nemožné nebo nepřiměřené.
Osobní údaje, které bohužel nemůžeme vymazat kvůli právním omezením:
Právo na přenositelnost
Osobní údaje, které můžeme přenést:
Přeneseme tyto údaje na vaši e-mailovou adresu nebo novému správci, jak jste uvedli, v následujícím formátu: [formát]. Přenos bude zajištěn bezpečnostními opatřeními a budete informováni po dokončení přenosu.
Osobní údaje, které bohužel nemůžeme přenést kvůli právním omezením:
Důležité informace
Lhůta: Odpovědi jsou poskytovány do jednoho měsíce od obdržení žádosti. Ve výjimečných případech může být lhůta prodloužena s příslušným oznámením a odůvodněním.
Poplatek: Žádosti jsou obecně zdarma. U zjevně nepodložených nebo nepřiměřených žádostí může být účtován administrativní poplatek nebo žádost odmítnuta. V takových případech je poskytována dokumentace.
Právo na stížnost: Pokud nejste spokojeni s vyřízením vaší žádosti, můžete podat stížnost u správce nebo u Úřadu pro ochranu osobních údajů (ÚOOÚ).
Datum: 6. 11.
Podpis: Montessori Institute Prague