GDPR

Zásady zpracování osobních údajů pro klienty obecně prospěšné společnosti Geoparku Ralsko

Cílem těchto Zásad zpracování osobních údajů pro klienty obecně prospěšné společnosti Geopark Ralsko (dále jen „společnost“), IČ 01834410, se sídlem Kuřívody 701, Ralsko ( dále jako „Zásady“) je poskytnout informace o tom, jaké osobní údaje zpracovává o fyzických osobách při poskytování svých služeb, k jakým účelům a jak dlouho tyto osobní údaje v souladu s platnými právními předpisy zpracovává, komu a z jakého důvodu je může předat, a rovněž informovat o tom, jaká práva fyzickým osobám v souvislosti se zpracováním jejich osobních údajů náleží.

Tyto Zásady se týkají zpracování osobních údajů klientů obecně prospěšné společnosti Geopark Ralsko a přiměřeně i jejich zástupců či kontaktních osob, a to vždy v rozsahu osobních údajů odpovídajícím jejich postavení vůči společnosti.

Tyto Zásady jsou účinné od 25. 5. 2018 a jsou vydány v souladu s nařízením (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti.

A. Kategorie osobních údajů

V souvislosti s poskytováním služeb může ze strany společnosti dojít ke zpracování následujících kategorií osobních údajů.

1. Základní osobní identifikační údaje a adresní údaje

Takové údaje jsou nutné pro uzavření a plnění smlouvy či obdobného vztahu souvisejícího s poskytováním služby. Jedná se zejména o:

  • akademický titul
  • jméno a příjmení
  • název školy či obdobného zařízení
  • IČO, DIČ
  • adresa trvalého pobytu
  • adresa sídla nebo místa podnikání
  • fakturační adresa
  • identifikační údaje zástupce klienta nebo kontaktní osoby, kterou klient určí
  • identifikační údaje plátce služby
  • bankovní spojení
  • podpis

 

V případě smluv na jednorázový prodej zboží je rozsah omezen na základní identifikační údaje.

2. Kontaktní údaje

  • kontaktní telefonní číslo
  • kontaktní e-mail

3. Údaje o zdravotním stavu účastníků vzdělávacích programů

Jedná se o osobní údaje zpracovávané s cílem ochrany zdraví účastníků vzdělávacích akcí, zejména o případných alergiích, dietetických požadavcích, případně další informace o zdravotním stavu.

4. Ostatní údaje generované v souvislosti s poskytováním vzdělávacích služeb

Tyto údaje vznikají při poskytování vzdělávacích služeb. Může se jednat o termíny návštěv, informace o absolvovaném vzdělávacím programu, vyjádření klienta k programům a podobně.

B. Účely, právní důvody a doby zpracování osobních údajů

Rozsah zpracovávaných údajů závisí na účelu zpracování. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy, oprávněného zájmu nebo na základě zákona (bez souhlasu), pro jiné pouze na základě souhlasu.

1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů

Pro zpracování osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností a ochranu oprávněných zájmů nepotřebujeme souhlas. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné služby poskytovat. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

Jedná se zejména o tyto základní dílčí účely:

  • řádné zajištění vzdělávacích služeb (plnění smlouvy)
  • vyúčtování za služby (plnění smlouvy)
  • plnění zákonných daňových povinností (plnění zákonných povinností)
  • dokladování realizace vzdělávacích aktivit vůči poskytovatelům finančních prostředků (oprávněný zájem)

Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány. Základní lhůty pro zpracování osobních údajů jsou k dispozici níže.

  • U klientů využívajících vzdělávací služby společnosti je tento oprávněn v případě, že mají splněny veškeré své závazky vůči němu, zpracovávat v zákaznické databázi jejich základní osobní, identifikační, kontaktní údaje, údaje o službách a údaje z jejich komunikace se společností po dobu 5 let ode dne ukončení poslední smlouvy.
  • V případě zakoupení zboží od společnosti je tento oprávněn zpracovávat základní osobní, identifikační a kontaktní údaje zákazníka, údaje o zboží a údaje z komunikace mezi zákazníkem a společností po dobu 4 let ode dne uplynutí záruční doby na zboží.
  • Faktury vystavené společností jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty archivovány po dobu 10 let od jejich vystavení. Z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou po dobu 10 let ode dne ukončení smlouvy archivovány i příslušné související dokumenty.
  • Veškerou dokumentaci akcí s finanční podporou z veřejných zdrojů (zejména dotační fondy Evropské Unie, ČR a další) je společnost povinna archivovat po dobu stanovenou příslušnými finančními programy za účelem prokázání oprávněnosti čerpání dotací. Tato doba je obvykle 20-30 let po ukončení realizace projektu v závislosti na zdroji financování.

2. Zpracovávání údajů subjektů, které udělily souhlas se zpracováním údajů

Zpracování těchto údajů není nezbytně nutné k plnění smlouvy nebo zákonných povinností či ochranu oprávněných zájmů společnosti, ale jejich zpracování umožní společnosti nabízet služby a informovat klienty o vzdělávacích akcích společnosti. Jedná se o kontaktní údaje (e-mailová adresa, případně telefonní číslo).

Poskytnutí souhlasu je dobrovolné a zákazník jej může kdykoli odvolat písemně na e-mailu info@geoparkralsko.cz. Tento souhlas zůstává v platnosti do doby, dokud jej zákazník neodvolá.

Osobní údaje získané na základě souhlasu se zpracováním společnost nepředává dalším správcům ani jiným třetím osobám.

3. Zpracovávání cookies z internetových stránek provozovaných společností

Internetové stránky provozované společností nepoužívají cookies a nesbírají žádné údaje o návštěvních a jejich chování.

C. Sdílení osobních údajů s jinými správci

Společnost je povinna poskytnout některé údaje o klientech účastnících se vzdělávacích akcí institucím spravujícím příslušné dotační zdroje za účelem kontroly oprávněnosti vynaložení finančních prostředků. Jedná se o oprávněný zájem společnosti.

Společnost v rámci plnění svých zákonných povinností dále předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

 

D. Externí zpracovatelé osobních údajů

Společnost při plnění svých závazků a povinností ze smluv využívá odborné a specializované služby jiných subjektů. Pokud tito dodavatelé zpracovávají osobní údaje spravované společností mají postavení zpracovatelů osobních údajů a zpracovávají osobní údaje pouze v rámci pokynů od společnosti a nesmí je využít jinak. S každým takovým subjektem uzavíráme smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny přísné povinnosti k ochraně a zabezpečení osobních údajů.

Zpracovateli jsou společnosti se sídlem jak na území České republiky, tak se sídlem v členském státě Evropské unie nebo tzv. státech bezpečných. K předání a zpracování osobních údajů v zemích mimo území Evropské unie, dochází vždy v souladu s platnou legislativou.

E. Způsob zpracování osobních údajů

Společnost zpracovává osobní údaje ručně i automatizovaně a vede evidenci veškerých činností, a to jak ručních tak automatizovaných, při kterých dochází ke zpracování osobních údajů.

F. Informace o právech subjektů údajů v souvislosti se zpracováním osobních údajů platných od 25. 5. 2018

Dle nařízení bude mít subjekt údajů od 25. 5. 2018 v případě, že bude pro společnost identifikovatelnou fyzickou osobou a prokáže společnosti svoji totožnost, následující práva.

1. Právo na přístup k osobním údajům

Dle čl. 15 GDPR bude mít subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od společnosti:

  • potvrzení, zda zpracovává osobní údaje,
  • informace o účelech zpracování, kategoriích dotčených osobních údajů, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, plánované době zpracování, o existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování, právu podat stížnost u dozorového úřadu, o veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů, skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, o vhodných zárukách při předání údajů mimo EU,
  • v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob i kopii osobních údajů.

V případě opakované žádosti bude společnost oprávněna za kopii osobních údajů účtovat přiměřený poplatek. Právo na potvrzení o zpracování osobních údajů a na informace bude možné uplatnit písemně na adresu sídla Kuřívody 701, Ralsko, 471 24.

Právo na kopii osobních údajů bude možné uplatnit v kanceláři společnosti Mírová 108, Mimoň, za podmínky doložení oprávněnosti uvedené žádosti.

2. Právo na opravu nepřesných údajů

Dle čl. 16 GDPR bude mít subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude společnost zpracovávat. Opravu provedeme bez zbytečného odkladu, vždy však s ohledem na dané technické možnosti. Žádost o opravu osobních údajů je možné uplatnit v kanceláři společnosti Mírová 108, 471 24 Mimoň, za podmínky doložení oprávněnosti uvedené žádosti.

3. Právo na výmaz

Dle čl. 17 GDPR bude mít subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost má nastaveny mechanismy pro zajištění anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány. Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může se na nás obrátit písemně na adresu sídla Kuřívody 701, Ralsko, 471 24.

4. Právo na omezení zpracování

Dle čl. 18 GDPR bude mít subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování, a to písemně na adresu sídla Kuřívody 701, Ralsko, 471 24.

5. Právo na oznámení opravy, výmazu nebo omezení zpracování

Dle čl. 19 GDPR bude mít subjekt údajů právo na oznámení ze strany společnosti v případě opravy, výmazu nebo omezení zpracování osobních údajů. Dojde-li k opravě nebo výmazu osobních údajů, budeme informovat jednotlivé příjemce, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Na základě žádosti subjekt údajů můžeme poskytnout informaci o těchto příjemcích.

6. Právo vznést námitku proti zpracování osobních údajů

Dle čl. 21 GDPR bude mít subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti.

V případě, že společnost neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, zpracování na základě námitky ukončí bez zbytečného odkladu. Námitku je možné poslat písemně na adresu sídla Kuřívody 701, Ralsko, 471 24.

8. Právo na odvolání souhlasu se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů účinný od 25.5.2018 je možné kdykoliv po tomto datu odvolat. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle, a to písemně na adresu sídla Kuřívody 701, Ralsko, 471 24 nebo e-mailem na adresu info@geoparkralsko.cz.

9. Automatizované individuální rozhodování včetně profilování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro něj mělo právní účinky nebo se jej obdobným způsobem významně dotklo. Společnost uvádí, že neprovádí automatizované rozhodování bez vlivu lidského posouzení s právními účinky pro subjekty údajů.

10. Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo obrátit se na Úřad pro ochranu osobních údajů (www.uoou.cz).