GDPR
Směrnice o zpracování a ochraně osobních údajů Komunitního studia Bible, z.s.
Úvodní ustanovení
Článek 1.
Účel úpravy a zmocnění k ní
- 1 V souvislosti s nabytím účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) přijímá Komunitní studium Bible, z.s., IČ 01374346, se sídlem Sněhurčina 709/71, Liberec XV-Starý Harcov, 460 15 Liberec (dále jen „KSB“) tuto Směrnici upravující zpracování a ochranu osobních údajů KSB a dalšími právnickými osobami (dále jen „Směrnice“).
Článek 2.
Předmět úpravy a rozsah působnosti
- Směrnice upravuje postupy zpracování a ochrany osobních údajů zpracovávaných KSB v rámci jeho činnosti jako správce a zpracovatele a povinnosti pracovníků podílejících se na zpracování osobních údajů KSB.
- Směrnice se vztahuje na veškeré činnosti zpracování osobních údajů prováděné KSB v postavení správce i zpracovatele a na všechny pracovníky KSB.
- V případě, že je jiný předpis práva obecného přísnější než tato Směrnice, použije se takového předpisu.
- V případě, že jiné předpisy partikulárního práva stanovují mírnější pravidla pro zpracování osobních údajů, má Směrnice před těmito předpisy aplikační přednost.
Článek 3.
Definice pojmů
Není-li dále stanoveno jinak, mají následující pojmy pro účely Směrnice tento význam:
- pokud je ve Směrnici použit výraz správce KSB, rozumí se tím také administrátor KSB; co je dále stanoveno o správci KSB platí v případě jiných právnických osob o členu statuárního orgánu;
- osobním údajem se rozumí jakákoli informace o identifikované nebo identifikovatelné osobě; identifikovatelnou osobou je každá osoba, kterou lze identifikovat na základě konkrétního osobního údaje buď přímo, nebo ve spojení s jiným osobním údajem;
- citlivými osobními údaji se rozumí osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby a údaje o trestných činech a rozsudcích v trestních věcech;
- důvěrnými osobními údaji se rozumí takové osobní údaje, které fyzické osoby, kterých se týkají, považují za zvlášť významné pro svá práva a svobody;
- subjektem údajů se rozumí fyzická osoba, které se osobní údaje týkají; subjektem údajů není zesnulá fyzická osoba;
- pracovníky KSB se rozumějí kazatelé, misijní pracovníci a další osoby vykonávající pro KSB činnost na základě jmenování, volby nebo obdobného titulu
- externí osobou se rozumí osoba odlišná od pracovníka, zpracovatele a správce;
- zpracováním osobních údajů se rozumí jakákoli operace nebo soubor operací prováděné s osobními údaji nebo jejich souborem, zejména jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
- činností zpracování se rozumí soubor operací zpracování osobních údajů prováděných za jedním účelem;
- správcem osobních údajů (případně též „správce“) se rozumí osoba určující způsob a účel zpracování osobních údajů; zpracování osobních údajů prováděné pracovníky správce podle jeho pokynů se počítá jako zpracování osobních údajů prováděné správcem;
- zpracovatelem osobních údajů se rozumí osoba odlišná od pracovníka, která pro správce provádí zpracování osobních údajů;
- počítačem se rozumí stolní počítač, notebook, tablet, chytrý telefon a jakékoli obdobné zařízení umožňující pracovat s osobními údaji v elektronické formě,
Základní povinnosti
Článek 4.
Zásady zpracování osobních údajů
- KSB zpracovává osobní údaje vždy s vědomím subjektu údajů, kterého se týkají, a způsobem, který může subjekt údajů očekávat a o kterém je informován.
- Zpracování osobních údajů probíhá vždy pro konkrétní stanovený účel, který je subjektu údajů oznámen, případně pro účely se stanoveným účelem související, které subjekt údajů může očekávat.
- Pro každou činnost zpracování musí KSB svědčit zákonný titul ve smyslu čl. 6 GDPR, a to:
- zpracování je prováděno na základě zákonné povinnosti uložené správci,
- zpracování je nezbytné pro splnění smlouvy uzavřené se subjektem údajů nebo pro předsmluvní aktivity,
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu,
- správce nebo třetí osoba má na zpracování osobních údajů oprávněný zájem, který převáží nad zájmem subjektu údajů na nezpracovávání, nebo
- subjekt údajů udělil se zpracování svých osobních údajů souhlas.
- Pokud jsou osobní údaje zpracovávány na základě souhlasu subjektu údajů, dbají zaměstnanci o to, aby byl udělený souhlas svobodný a informovaný. Zakazuje se uvádět souhlasy se zpracováním osobních údajů do smluv, obchodních podmínek a jiných dokumentů, v jejichž rámci by neudělení souhlasu mělo negativní následky pro subjekt údajů.
- KSB dbá na to, aby pro každý stanovený účel zpracovávala pouze osobní údaje, které jsou pro tento účel nezbytné, a aby byly zpracovávané osobní údaje přesné a pravdivé.
- Osobní údaje nesmějí být uchovávány déle, než vyžaduje účel, pro který byly shromažďovány a zpracovávány, nebo než předepisují právní předpisy, kterými se KSB musí v souvislosti s danou činností zpracování řídit.
- KSB zajistí, aby ke zpracovávaným osobním údajům měli přístup pouze ti pracovníci, kteří s nimi musejí pracovat v rámci plnění svých úkolů, a pouze ty externí osoby, které jsou k tomu oprávněny.
- Pokud je zjištěno, že zpracování osobních údajů odporuje zásadám, je přerušeno až do vyřešení problému.
Článek 5.
Základní povinnosti při zpracování
- KSB dbá o dodržování své povinnosti zpracovávat osobní údaje v souladu se základními zásadami GDPR a zajistit ochranu těchto osobních údajů a práv a svobod subjektů údajů ve všech fázích činnosti zpracování.
- Tyto své povinnosti KSB plní zavedením vhodných organizačních a bezpečnostních opatření, kterým podrobí všechny činnosti zpracování, které provádí.
- Při zavádění těchto opatření KSB dbá na to, aby byla přiměřená množství zpracovávaných osobních údajů, počtu subjektů údajů, kterých se týkají, kategorii a důvěrnosti osobních údajů, riziku porušení zabezpečení osobních údajů, míře tohoto rizika a výši a druhu újmy hrozící při porušení zabezpečení subjektům údajů. Měřítkem přiměřenosti je rovněž faktická a finanční proveditelnost.
- O veškerých opatřeních vytváří KSB záznamy, které uchovává po dobu trvání opatření a deset let po jeho změně nebo ukončení.
Článek 6.
Povinnosti pracovníků
- Pracovníci jsou povinni zpracovávat osobní údaje podle zásad uvedených v článku IV. a plnit povinnosti podle článku V.
- Pracovníci jsou povinni seznámit se s ustanoveními GDPR, která se vztahují na KSB a činnosti zpracování, která provádí.
- Pracovníci provádějí jen takové zpracování, které jim KSB uložila, a vynakládají rozumně očekávatelné úsilí, aby osobní údaje nebyly zpřístupněny nepovolaným osobám.
- Pracovníci jsou povinni zachovávat mlčenlivost o všech skutečnostech, o kterých se v rámci zpracování osobních údajů dozvědí, a to i po skončení právního poměru, na jehož základě vyvíjeli činnost pro KSB. Tím nejsou dotčeny jejich povinnosti vyplývající z jiných právních předpisů.
- Pracovníci absolvují jednou za dva roky povinné školení o informační bezpečnosti a ochraně osobních údajů. Toto školení probíhá v pracovní době pracovníků.
Článek 7.
Povinnosti statutárního zástupce
- Jako statutární orgán KSB dohlíží statutární zástupce na dodržování všech předpisů o ochraně osobních údajů, včetně této Směrnice, a řídí zpracování osobních údajů KSB.
- Statutární zástupce může dozorem a úkoly podle bodu 7.1 pověřit jiného pracovníka.
- Statutární zástupce je povinen seznámit se se zprávou o stavu ochrany osobních údajů ve KSB vypracovávanou podle článku VIII. bodu 8.4 písm. h) a přijmout opatření k odstranění případných zjištěných nedostatků.
Článek 8.
Posouzení vlivu činnosti zpracování na ochranu osobních údajů
- Před zahájením zpracování osobních údajů určí statutární zástupce pracovníka, který vypracuje posouzení vlivu činnosti zpracování na ochranu osobních údajů ve smyslu čl. 35 GDPR nebo podle výjimek uvedených v GDPR stanoví, že posouzení není třeba provádět.
- Ustanovení bodu 10.1 platí obdobně v případě, že KSB plánuje zahájit používání nových prostředků zpracování osobních údajů, jako jsou počítačové programy.
- Zamýšlená činnost zpracování musí být upravena podle posouzení a stanoviska tak, aby byla případná rizika pro práva a svobody subjektů údajů minimalizována.
- Pokud nelze rizika snížit na přijatelnou úroveň, činnost zpracování nelze zahájit.
Článek 9.
Záznamy o činnosti zpracování
- O každé činnosti zpracování je vypracován záznam o činnosti zpracování.
- Záznam o činnosti zpracování obsahuje:
- jméno zaměstnance, který záznam vypracoval,
- datum vypracování záznamu,
- účely zpracování,
- kategorie subjektů údajů,
- kategorie osobních údajů,
- kategorie příjemců osobních údajů,
- plánované lhůty pro uchování osobních údajů,
- obecný popis technický a organizačních opatření na ochranu osobních údajů,
- Statutární zástupce určí, který pracovník vypracuje záznam. Tento pracovník záznam předá statutárnímu zástupci. V případě změny v činnosti zpracování vypracuje zaměstnanec nový záznam.
- Záznamy dle tohoto článku se uchovávají po dobu 10 let po ukončení činnosti zpracování nebo od změny činnosti zpracování.
Organizační a bezpečnostní opatření
Článek 10.
Předcházení rizikům
- Pokud u činnosti zpracování nebylo nutné provést posouzení vlivu činnosti zpracování na ochranu osobních údajů, určí statutární zástupce pracovníka, který vypracuje analýzu rizik.
- Analýza rizik obsahuje přinejmenším:
- popis jednotlivých úkonů zpracování v rámci činnosti zpracování,
- hrozby pro ochranu osobních údajů při jednotlivých úkonech zpracování,
- posouzení pravděpodobnosti nastání jednotlivých hrozeb,
- posouzení míry újmy plynoucí z jednotlivých hrozeb,
- stanovení míry rizika plynoucího z jednotlivých hrozeb,
- návrh opatření k odstranění nebo snížení hrozeb.
- Pravděpodobnost nastání hrozby a míra újmy z hrozby plynoucí se hodnotí na stupnici 1-5. Stupeň pět představuje nejvyšší stupeň pravděpodobnosti nastání hrozby a míry újmy.
- Na základě analýzy rizik KSB přijme přiměřená opatření ke snížení rizik.
Článek 11.
Zabezpečení a uchovávání osobních údajů
- Pracovníci dbají na základní pravidla domovní bezpečnosti a zaznamenávají kdo a z jakého důvodu vstupuje do prostor využívaných KSB.
- Externí osoby nesmějí být ponechány o samotě v prostorách, ve kterých jsou uchovávány osobní údaje, zejména KSB záznamy.
- Veškeré dokumenty ve fyzické podobě obsahující osobní údaje jsou v době, kdy nejsou využívány, uchovávány v uzamčených skříních. Mimo uzamčené skříně mohou být uchovávány v uzamčených místnostech, do kterých není umožňován přístup externím osobám.
- Dokumenty ve fyzické podobě obsahující osobní údaje jsou seskupovány podle činnosti zpracování, které se týkají a uchovávány v označených složkách.
- Dokumenty související s vedením KSB záznamů a dokumenty související s vedením účetnictví jsou uchovávány odděleně od ostatních dokumentů obsahujících osobní údaje a od sebe navzájem.
- Pokud je ke zpracování osobních údajů využíván počítač, v to počítaje i uchování osobních údajů, mohou k tomuto počítači přistupovat pouze pracovníci. Použití tohoto počítače externími osobami je zakázáno.
- Počítače používané ke zpracování osobních údajů jsou přístupné pouze na základě zadání přístupového hesla k účtu. Každý pracovník využívající počítač má zřízen vlastní účet, ke kterému přistupuje. Pracovníkům je zakázáno sdělovat své přístupové údaje jiným osobám nebo je kamkoli značit.
- KSB zajistí ochranu osobních údajů uchovávaný v elektronické podobě před jejich nahodilým zničením nebo ztrátou. Za tím účelem zavede systém zálohování dat.
- Počítačové programy využívané ke zpracování osobních údajů jsou přístupné pouze na základě uživatelského jména a hesla. Uživatelské jméno a heslo každého pracovníka jsou totožné pro všechny programy a pro účet na počítači.
- Po skončení práce s fyzickými dokumenty obsahujícími osobní údaje jsou pracovníci povinni uložit je zpět do jejich úložiště. Je zakázáno ponechávat dokumenty obsahující osobní údaje volně ležet.
- Po skončení práce s počítačem užívaným ke zpracování osobních údajů jsou pracovníci povinni se odhlásit ze svého uživatelského účtu. Totéž platí pro používané počítačové programy.
Článek 12.
Používání přenosných úložišť a přenos osobních údajů
- Vnitřní úložiště tabletů a chytrých telefonů, které je využíváno k uchovávání osobních údajů, musí být zašifrováno.
- Pokud pracovníci využívají ke zpracování osobních údajů přístroj v jejich soukromém vlastnictví, jsou povinni zajistit na těchto zařízeních stejnou míru ochrany osobních údajů, jaká je aplikována na počítačích ve vlastnictví KSB.
- V případě, že jsou pro uchovávání nebo přenos osobních údajů využívány datové nosiče (cd, flash disky atd.) jsou dokumenty obsahující osobní údaje na tyto nosiče nahrávány v podobě archivu formátu .rar nebo .zip opatřeného heslem.
- Pokud jsou k přenosu osobních údajů využívány e-mailové zprávy, jsou dokumenty obsahující osobní údaje přenášeny ve formě archivu formátu .rar nebo .zip opatřeného heslem. Heslo k příslušnému archivu je adresátovi e-mailové zprávy zasíláno prostřednictvím sms.
Článek 13.
Nakládání s dokumenty po skončení jejich užívání
- Je-li ukončena činnost zpracování, pro kterou byly osobní údaje zpracovávány, a nejsou-li osobní údaje zpracovávány pro jiný účel ve smyslu čl. 6 odst. 4 GDPR, uchovávají se dokumenty obsahující osobní údaje po dobu trvání lhůt k archivaci stanovených příslušnými předpisy.
- Fyzické dokumenty určené ke skartaci jsou zlikvidovány za využití skartovacího zařízení nebo odborné externí společnosti. S odbornou externí společností bude uzavřena smlouva o zpracování osobních údajů.
- Dokumenty uchovávané v elektronické podobě jsou vymazávány tak, aby nebylo možné jejich obnovení.
Práva subjektů údajů
Článek 14.
Obecná ustanovení
- V souvislosti se zpracováním osobních údajů svědčí subjektům údajů práva upravená v čl. 12 až 22 GDPR, a to:
- právo na informace o zpracování osobních údajů,
- právo na přístup k osobním údajům,
- právo na opravu,
- práva na výmaz,
- právo vznést námitku,
- právo na přenositelnost osobních údajů.
- Při vyřizování žádostí subjektů údajů o uplatnění jejich práv postupují pracovníci vstřícně a se snahou v maximální možné míře vyhovět subjektům údajů při respektování příslušných ustanovení GDPR a zájmů KSB, které nejsou v rozporu s GDPR.
- Pracovníci jsou povinni postupovat při vyřizování žádostí subjektů údajů nebo jednotlivých úkonů vedoucích k vyřízení žádosti pečlivě a bez zbytečných průtahů.
Článek 15.
Informační povinnost
- Pokud KSB získává osobní údaje pro stanovený účel přímo od subjektu údajů, poskytne subjektu údajů informace o zpracování osobních údajů, a to:
- totožnost a kontaktní údaje KSB,
- kontaktní údaje pověřence pro ochranu osobních údajů,
- účely zpracování,
- titul pro zpracování,
- v případě zpracování na základě oprávněného zájmu tento oprávněný zájem,
- kategorie příjemců osobních údajů,
- očekávanou dobu, po kterou budou osobní údaje zpracovávány,
- možnost uplatnit práva podle GDPR,
- pokud je zpracování založeno na souhlasu, možnost odvolat souhlas,
- existenci práva podat stížnost u Úřadu pro ochranu osobních údajů,
- skutečnost, že dochází k automatickému rozhodování a
- u zpracování na základě zákona nebo smlouvy důsledky neposkytnutí osobních údajů.
- Pokud KSB získává osobní údaje z jiného zdroje než od subjektu údajů, poskytuje KSB subjektu údajů při prvním kontaktu se subjektem údajů, nejpozději však do jednoho měsíce od jejich získání, kromě informací podle bodu 22.1 také následující informace:
- kategorie zpracovávaných osobních údajů a
- zdroj, ze kterého byly osobní údaje získány,
- Poskytnutí informace o zpracování osobních údajů podle bodu 22.2 není nutné, pokud je zřejmé, že subjekt údajů už příslušné informace má.
- KSB poskytuje informace podle bodů 22.1 a 22.2 v maximálním možném rozsahu.
- Informace podle bodů 22.1 a 22.2 se poskytují prokazatelnou formou, a to písemně při získání jedné kopie informace podepsané subjektem údajů, doručením informace na e-mail subjektu údajů nebo zobrazením informace jako povinného kroku v rámci webového rozhraní. Forma poskytnutí informace závisí na formě komunikace se subjektem údajů.
- V rámci činnosti zpracování může být zvolen odlišný postup poskytnutí informace, pokud je zajištěna doložitelnost poskytnutí informace.
Článek 16.
Vyřizování žádosti subjektu údajů
- Obdrží-li KSB žádost subjektu údajů o uplatnění jeho práv, vypracuje záznam o přijetí žádosti subjektu údajů.
- Záznamy o přijetí žádosti subjektu údajů uchovává KSB po dobu 10 let od vyřízení žádosti.
Incidenty porušení zabezpečení
Článek 17.
Hlášení porušení zabezpečení
- O porušení zabezpečení osobních údajů informuje KSB prokazatelným způsobem
- KSB současně provede opatření k zamezení pokračování porušení zabezpečení nebo jeho opakování, která může provést.
- Pověřenec pro ochranu osobních údajů posoudí, zda je porušení zabezpečení takového charakteru, že vyžaduje hlášení Úřadu pro ochranu osobních údajů, případně subjektům údajů, jejichž osobních údajů se porušení zabezpečení týká.
- Pokud je nutné provést takové hlášení, provede jej pověřený zaměstnance do 72 hodin od okamžiku, kdy bylo porušení zabezpečení ohlášeno a uvede v něm všechny informace požadované podle čl. 33 GDPR.
Článek 18.
Řešení incidentů porušení zabezpečení
- Řešení incidentu porušení zabezpečení je prioritním úkolem všech pracovníků podílejících se na činnosti zpracování.
- Pracovníci a pověřenec pro ochranu osobních údajů vyvíjejí maximální úsilí o odvrácení negativních následků porušení zabezpečení pro subjekty údajů.
- Byl-li incident porušení zabezpečení ohlášen Úřadu pro ochranu osobních údajů a stanovil-li Úřad pro ochranu osobních údajů nutné kroky nebo dal-li KSB jakákoli doporučení, jsou pracovníci povinni se těmito doporučeními řídit a stanovené kroky provést.
- Statutární zástupce určí pracovníka, který na základě prošetření incidentu porušení zabezpečení provede opětovné posouzení vlivu činnosti na ochranu osobních údajů a stanoví opatření k zamezení opakování incidentu.
Kontrola
Článek 19.
Vnitřní kontrola
- V rámci provádění činnosti zpracování zkoumají pracovníci průběžně, zda zavedené procesy odpovídají GDPR, zda jsou dodržovány, zda jsou dostatečné pro ochranu osobních údajů a zda představují nejlepší dostupné řešení ochrany osobních údajů.
Závěrečná ustanovení
Článek 20.
Přechodná ustanovení
- Posouzení vlivu činnosti na ochranu osobních údajů a záznamy o činnosti zpracování musejí být vypracovány do dvou měsíců ode dne účinnosti Směrnice.
- Pracovníci vykonávající činnost pro KSB v okamžiku účinnosti Směrnice absolvují povinné školení podle bodu 6.5 Směrnice do 6 měsíců ode dne účinnosti Směrnice. Za absolvování povinného školení se počítá také absolvování obdobného školení v období dvou měsíců před nabytím účinnosti Směrnice.
Článek 21.
Účinnost
- Směrnice nabývá účinnosti dne 20. 4. 2018