Informace o získávání a zpracování osobních údajů

Tento dokument zpracovává nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen “nařízení o GDPR”). Účelem samotného nařízení je primárně důraz na informovanost subjektů údajů (osoby o jejichž osobní údaje se jedná), aby věděli kdo, a hlavně jak zpracovává jejich údaje. Tento dokument je tedy hlavně zaměřen na informování o tom, které osobní údaje v rámci své činnosti zpracováváme, za jakým účelem, jakým způsobem je spravujeme, uchováváme. Dále pak formu a zabezpečení či způsob a časový horizont jejich vymazání z našich databází. Nakonec jsou zde uvedena i Vaše práva, která Vám přiznává právě toto nařízení o GDPR.

Co zpracováváme
V rámci naší činnosti zpracováváme o dětech tyto údaje:
  • jméno a příjmení
  • datum narození
  • adresa, PSČ
  • poznámka o zdravotním stavu dítěte.
Vzhledem k pořádání dětských táborů zpracováváme i některé údaje zákonných zástupců:
  • jméno a příjmení
  • telefonní číslo
  • e-mail

Jsme si vědomi toho, že údaje o zdravotním stavu dítěte (jako informace o alergiích, astmatu, lécích a jejich užívání, prohlášení o bezinfekčnosti či o tom, jestli je plavec/neplavec) jsou zvláštní kategorií osobních údajů podle nařízení o GDPR. Tyto však zpracováváme z důvodu ochrany veřejného zdraví a musíme je zpracovávat a následně uchovávat po 6 měsíců od skončení tábora (tyto povinnosti vyplývají ze zákona o ochraně veřejného zdraví - 258/2000 Sb.).

Vzhledem k citlivosti těchto údajů mají ke kompletním informacím o zdravotním stavu přístup pouze hlavní vedoucí a táborový zdravotník. Ti pak tyto informace zprostředkovávají ostatním účastníkům tábora do takové míry, která je nezbytná pro zajištění kvalitního dohledu a práci s dětmi.

Jak je získáváme
Výše popsané údaje získáváme prostřednictvím online přihlášky na našich webových stránkách, z nástupního listu a z posudku o zdravotní způsobilosti dítěte.

Účel zpracování
Některé údaje jsou zpracovávány na základě právních předpisů upravujících letní tábory, některé jsou nezbytné pro komunikaci s účastníkem, resp. zákonným zástupcem. Údaje také slouží k vyřízení táborového pojištění a dalších pracovních úkonů spojených s provozováním táboru.

Právní titul zpracování
Základním právním titulem je smluvní vztah mezi spolkem jako pořadatelem letního tábora a účastníkem, resp. jeho zákonným zástupcem. Na údaje, na které se tento smluvní vztah nevztahuje (např. fotografie či obrazové a zvukové záznamy), si spolek pořizuje souhlas s jejich zpracováním od účastníků, resp. zákonných zástupců.

Forma uchovávání
Většina údajů je zpracovávaná v elektronické podobě, některé údaje je však nutné zpracovávat v papírové podobě (nástupní listy, posudky o zdravotní způsobilosti).

Kde je uchováváme a jaké je zabezpečení
Osobní údaje účastníků jsou uchovávány na serveru společnosti INTERNET CZ, a. s. v MySQL databázi a jsou zabezpečeny přístupovým heslem, které má k dispozici správce webu, hlavní vedoucí a předseda spolku. Údaje zpracovávané v papírové podobě jsou v táborových složkách uchovávané v zamykatelné chatce a po táboře jsou uschovány v domě hlavního vedoucího.

Délka uchování
Údaje uchováváme do ledna následujícího roku (budou sloužit k možnosti automatické obnovení přihlášky). Údaje z posudku o zdravotní způsobilosti a nástupního listu je nutné uchovávat po dobu 6 měsíců od skončení tábora podle právních předpisů (viz. výše). Jediné údaje, které uchováváme déle, jsou údaje o jméně, příjmení, roku narození a pohlaví. Je to z důvodů statistických, kdy se podle nich zařizuje a orientuje činnost spolku do dalších let. Tyto údaje jsou nicméně pořád stejně zabezpečeny a přístup k nim mají pouze hlavní vedoucí, táborový zdravotník a předseda spolku. Tyto údaje uchováváme po dobu 10 let.

Kdo má přístup
K základním údajům má na doméně orvo.cz po přihlášení přístup každý táborový vedoucí. Toto přihlášení je podmíněno přístupovým heslem. Přístup k citlivějším údajům, např. o zdravotním stavu, má pouze hlavní vedoucí a táborový zdravotník. Z tohoto základního nastavení mohou existovat výjimky popsané v tomto dokumentu.

Práva subjektů
Subjekt údajů, tedy ten jehož osobní údaje jsou zpracovávány (v našem případě děti a jejich zákonní zástupci), má samozřejmě řadu práv, která zrcadlí povinnosti správců a vyplývají přímo z nařízení o GDPR.

Právo na přístup k osobním údajům:
Subjekt údajů má právo na to, aby mu správce potvrdil, zda zpracovává jeho osobní údaje, a pokud ano, má právo získat přístup k nim i k informacím, které se tohoto zpracování týkají (tomuto právu subjektu údajů odpovídá povinnost správce sdělit informace). Právo na opravu a doplnění neúplných osobních údajů: Aktivita musí vzejít od subjektu údajů. Pokud se subjekt údajů obrátí na správce s tím, že o něm zpracovávané údaje jsou nepřesné nebo nesprávné, musí je správce bez zbytečného odkladu opravit nebo doplnit.

Právo na výmaz, resp. právo „být zapomenut“:
Nejčastěji připadá v úvahu v případě, kdy je správce povinen zlikvidovat osobní údaje, protože již dále neexistuje právní důvod, aby je dále zpracovával. Taková situace nastane typicky, pokud bylo dosaženo účelu, pro který byly údaje zpracovávány nebo pokud subjekt údajů odvolal souhlas se zpracováním (pokud byly údaje zpracovávány na základě jeho souhlasu).

Právo na omezení zpracování:
K omezení zpracování osobních údajů musí správce přistoupit, pokud subjekt údajů namítne jejich nepřesnost nebo nesprávnost, pokud vznese námitku proti zpracování svých osobních údajů apod.

Právo na přenositelnost údajů:
Subjekt údajů má právo (pokud jsou jeho údaje zpracovávány na základě souhlasu subjektu údajů, na základě uzavřené smlouvy nebo pokud je zpracování prováděno automatizovaně) získat od správce bezplatně své osobní údaje (ve strukturovaném, běžně užívaném a strojově čitelném formátu), a také má právo je bez omezení předat jinému správci.

Právo vznést námitku:
Právo subjektu údajů vznést námitku proti zpracování osobních údajů z důvodu plnění úkolu prováděného ve veř. zájmu nebo při výkonu veř. moci a z důvodu oprávněných zájmů správce či třetí strany (viz čl. 6 odst. 1 písm. e) a f) GDPR). Správce je pak povinen prověřit oprávněnost zpracování osobních údajů a podle výsledků prověření pak zpracování osobních údajů konkrétní osoby dále upravit, popř. v něm nepokračovat, není-li k němu ospravedlnitelný zvlášť závažný důvod.