Jihočeská centrála cestovního ruchu (dále jen „JCCR“ je příspěvkovou organizací založenou Jihočeským krajem sídlem: U zimního stadionu 1952/2, České Budějovice 7, 370 01 České Budějovice. Hlavní činností organizace je koordinace, podpora a rozvoj cestovního ruchu na území Jihočeského kraje, a to z důvodu všeobecně akceptované prospěšnosti turismu. V rámci těchto aktivit je organizací zpracováváno množství osobních, zejména kontaktních údajů. Podpora hospodářských, sociálních a kulturních práv je zakotvena ústavou i mezinárodními smlouvami. Podpora lokální ekonomiky skrze cestovní ruch je prostředkem k dosažení lepší úrovně těchto práv.
V souladu s účinností nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“ nebo „obecné nařízení o ochraně osobních údajů“) byly přijaty tyto Zásady ochrany osobních údajů. Tyto zásady jsou účinné ke dni 25. 5. 2018.
Cílem těchto zásad je seznámit subjekty osobní údajů, tj. veřejnost, poskytovatele produktů a služeb, partnery aj. se zpracováním osobních údajů JCCR a informovat o právech, které mohou subjekty osobních údajů uplatnit.
Písemné znění těchto zásad je dostupné z webových stránek JCCR na www.jccr.cz. a dále jsou k dispozici k nahlédnutí v sídle centrály. Zásady ochrany osobních údajů jsou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování a aktuální právní úpravou.
1. CO JE TO NAŘÍZENÍ GDPR?
Obecné nařízení o ochraně osobních údajů, tzv. GDPR, je uceleným souborem pravidel na ochranu dat v Evropské unii. Cílem je co nejvíce chránit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji; dát jim větší kontrolu na tím, co se s jejich daty děje. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU. GDPR začalo v celé EU platit jednotně od 25. května 2018. V České republice tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice č. 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, který bude v budoucnu nahrazen zákonem o zpracování osobních údajů, tzv. adaptačním zákonem.
Dalšími právními normami zabývajícími se ochranou osobnosti a osobních údajů jsou:
- zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, který řeší zejména otázky ochrany osobnosti, např. pořizování a zveřejňování fotografií,
- zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů, podle kterého jsou kontrolní orgány oprávněny kontrolovat údaje o hospodaření s veřejnými prostředky věrně zobrazují zdroje, stav a pohyb veřejných prostředků a zda tyto údaje odpovídají skutečnostem rozhodným pro uskutečnění veřejných příjmů, výdajů a nakládání s veřejnými prostředky,
- zákon č. 255/2012 Sb., o kontrole, který opravňuje kontrolujícího požadovat poskytnutí údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti kontrolované osoby
- zákon č. 250/2000 Sb., o rozpočtových pravidlech územních samosprávních celků, v němž jsou upraveny vztahy mezi územně samosprávními celky a příspěvkovými organizacemi
GDPR je založeno na principu odpovědnosti správce (Jihočeské centrály cestovního ruchu) a přístupu založeném na riziku:
- princip odpovědnosti znamená odpovědnost centrály za dodržení zásad zpracování, které jsou uvedeny v čl. 5 odst. 1 GDPR a zároveň musí správce být schopen tento soulad doložit (čl. 5 odst. 2 GDPR);
- přístup založený na riziku znamená, že centrála musí přihlížet k pravděpodobným rizikům pro práva a svobody fyzických osob, zejména veřejnosti, a tomu musí přizpůsobit i zabezpečení osobních údajů, tj. zavést vhodná technická a organizační zabezpečení.
Důležité pojmy
Zpracování osobních údajů je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Osobní údaje jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (například jméno, pohlaví, věk a datum narození, osobní stav, IP adresa a fotografický záznam, e-mailová adresa, telefonní číslo apod.). Citlivé údaje jsou zvláštní kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.
Subjekt údajů je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
2. KDO JE SPRÁVCEM OSOBNÍCH ÚDAJŮ?
Správce je osoba, která určuje účely a rozhoduje o tom, jakým způsobem budou osobní údaje zpracovány. V daném případě jde o příspěvkovou organizaci Jihočeského Kraje – Jihočeskou centrálu cestovního ruchu, IČO: 72053127, se sídlem: U zimního stadionu 1952/2, České Budějovice 7, 370 01 České Budějovice
Kontaktní údaje na správce (Jihočeskou centrálu cestovního ruchu):
Jihočeská centrála cestovního ruchu
U zimního stadionu 1952/2, 370 01 České Budějovice
IČO: 72053127
tel.: +420 387 201 283
e-mail: info@jccr.cz
ID datové schránky: 73jpbwd
3. KDO JE POVĚŘENCEM PRO OCHRANU OSOBNÍCH ÚDAJŮ?
Pověřenec pro ochranu osobních údajů, občas označovaný anglickou zkratkou DPO, je osoba, která je zkušená v oblasti ochrany osobních údajů a dělá vše pro to, aby zpracování probíhalo tak, jak má, zejména v souladu s příslušnými právními předpisy. Rovněž je to nejpovolanější osoba pro vyřizování dotazů a žádostí týkajících se osobních údajů.
Pověřencem pro ochranu osobních údajů byla jmenována JUDr. Iva Kuckirová, se sídlem Bašty 413/2, 602 00 Brno.
Kontaktní údaje na pověřence pro ochranu osobních údajů:
JUDr. Iva Kuckirová
Bašty 413/2, 602 00 Brno
tel.: +420 606 789 717
e-mail: advokat@kklegal.cz
ID datové schránky: viex3yi
4. ZA JAKÝM ÚČELEM ZPRACOVÁVÁME VAŠE OSOBNÍ ÚDAJE?
Každé zpracování osobních údajů má svůj účel. Pokud osobní údaje nepotřebujeme, nezpracováváme je. Obecně se účely zpracování osobních údajů rozlišují na
- účely k nimž GDPR nevyžaduje váš souhlas – jedná se o zejména o zpracování v rámci plnění zákonných či smluvních povinnosti, popř. pro zpracování nezbytné pro ochranu práv a právem chráněných zájmů či zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. V daném případě bude JCCR takto využívat především údaje o smluvních partnerech z důvodů plnění smlouvy, vedení účetnictví a plnění daňových povinností, komunikace a koordinace činností souvisejících s cestovním ruchem.
- účely k nimž GDPR vyžaduje váš souhlas – zpracování osobních údajů na vaše přání, kdy zpracování osobních ukončíme ihned, jakmile souhlas odvoláte, např. odebírání newsletterů, či přihlášení do soutěží pořádaných JCCR.
- marketingové účely – v některých případech tato kategorie zpracování souhlas vyžaduje, jindy ne; JCCR je nicméně příspěvkovou organizací nepodnikající, hospodařící s příspěvky Jihočeského Kraje. Souhlas vyžadovaný pro zasílání newsletterů má za cíl podporovat veřejný zájem na využívání produktů a služeb cestovního ruchu, nikoliv produkovat zisk správci.
Přehled právních titulů zpracování osobních údajů
Osobní údaje se mohou v organizaci zpracovávat pouze v souladu s GDPR na základě těchto právních titulů:
- zpracování se souhlasem subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR – Váš souhlas získáváme především za účelem poskytování novinek či jiných sdělení formou newsletter a dále pro případ soutěží a zasílání cen v případě výhra v soutěži. Souhlas subjektu údajů musí být informovaný, svobodný a konkrétní. Souhlas je možné kdykoliv odvolat a to žádostí na e-mailovou adresu správce, osobně nebo i jiným způsobem.
- zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů dle čl. 6 odst. 1 písm. b) GDPR – jde o situaci, kdy JCCR vystupuje jako smluvní partner;
- zpracování, které je nezbytné pro splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR – většina povinností vyplývá ze zákona č. 255/2012 Sb., o kontrole; zákona č. 129/2000 Sb., o krajích; zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě apod.,
- zpracování, které je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby dle čl. 6 odst. 1 písm. d) GDPR – půjde o velmi výjimečné situaci při ochraně života a zdraví,
- zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce dle čl. 6 odst. 1 písm. e) GDPR – podpora cestovního ruchu je veřejným zájmem; je totiž prostředkem k dosažení různých ústavních práv, zejména práv hospodářských, sociálních a kulturních. K tomuto omezení bude nicméně docházet zásadně u smluvních partnerů a zaměstnanců.
- zpracování, které je nezbytné pro účely oprávněných zájmů JCCR dle čl. 6 odst. 1 písm. f) GDPR – těmito zájmy jsou zejména ochrana práv organizace, zejména ochrana reputace a dobrého jména, ochrana majetku organizace, jejich zaměstnanců, vymáhání pohledávek apod.
Účely, k nimž GDPR nevyžaduje váš souhlas:
Bez vašeho souhlasu mohou být osobní údaje v organizaci zpracovávány pouze v souladu s GDPR na základě těchto právních titulů:
- zpracování, které je nezbytné pro splnění právní povinnosti – většina povinností vyplývá ze zákonů o kontrole, zákona o krajích, zákona o veřejné správě apod.;
- zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce – podpora hospodářských, sociálních a kulturních práv je veřejným zájmem; je totiž realizací základních ústavních a mezinárodně uznaných lidských práv
- zpracování, které je nezbytné pro účely oprávněných zájmů JCCR – těmito zájmy jsou zejména ochrana práv organizace, zejména ochrana reputace a dobrého jména, ochrana majetku organizace a jejich zaměstnanců, vymáhání pohledávek, aj.;
- zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – jde o situaci, kdy JCCR uzavírá smlouvy o partnerství a spolupráci a třetími subjekty.
Zde jsou vyjmenovány jednotlivé dílčí účely, které nevyžadují souhlas a využívají výše zmíněné právní tituly:
- prezentace jihočeské centrály cestovního ruchu – jde o oprávněný veřejný zájem na prezentaci výsledků činnosti, další propagaci rozvoje cestovního ruchu hájení jejího dobrého jména a pověsti; osobní údaje jsou bez souhlasu zpracovány pouze v rozumně očekává míře; nedochází k profilování na sociálních sítích;
- plnění účetních povinností – správce jakožto příspěvková organizace je z důvodu financování z veřejných prostředků dozorován mnoha orgány, kterým má povinnost poskytovat součinnost při kontrole;
- Plnění daňových povinností – správce je zaměstnavatelem, na kterého se vztahují daňové předpisy a předpisy mající význam pro výpočet a úhradu zdravotního i sociálního zabezpečení;
- plnění jiných právních povinností, které se na správce vztahují – např. povinnost vyřizovat žádosti o informace;
- plnění smluv mezi správcem a územně samosprávními celky – JCCR je založena z vůle Jihočeského Kraje a řídí se zřizovací listinou. K uzavírání smluv s dalšími územně samosprávními celky dochází při uzavírání smluv o partnerství či spolupráci.
- zajišťování organizace FAM a PRESS zájezdů – na základě smlouvy, jejímž obsahem je poskytování publicity výměnou za zvýhodněnou cenu zájezdu.
Zde jsou uvedeny příklady právních předpisů, na jejichž základě dochází ke zpracování osobních údajů bez vašeho souhlasu:
- zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů,
- zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, který řeší zejména otázky ochrany osobnosti, např. pořizování a zveřejňování fotografií,
- zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů, podle kterého jsou kontrolní orgány oprávněny kontrolovat údaje o hospodaření s veřejnými prostředky, věrně zobrazují zdroje, stav a pohyb veřejných prostředků a zda tyto údaje odpovídají skutečnostem rozhodným pro uskutečnění veřejných příjmů, výdajů a nakládání s veřejnými prostředky,
- zákon č. 255/2012 Sb., o kontrole, který opravňuje kontrolujícího požadovat poskytnutí údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti kontrolované osoby
- zákon č. 250/2000 Sb., o rozpočtových pravidlech územních samosprávních celků, v němž jsou upraveny vztahy mezi územně samosprávními celky a příspěvkovými organizacemi
- zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů,
- zákon č. 500/2004 Sb., o správním řízení (správní řád), ve znění pozdějších předpisů,
- zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů,
- zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů,
- zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů,
- zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů
- zákon č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů
- zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů
- zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů,
- zákon č. 373/2011 Sb., o specifických zdravotních službách, ve znění pozdějších předpisů, ,
- vyhláška č. 98/2012 Sb. o zdravotnické dokumentaci, ve znění pozdějších předpisů.
Účely, k nimž GDPR vyžaduje váš souhlas:
Následující zpracování jsou zcela dobrovolná a záleží pouze na vás, zda na ně přistoupíte:
- odběr novinek (newsletterů) na e-mailové účty
- poskytování informací ohledně pořádaných konferencí, workshopů nebo akcí obdobného charakteru
- sdílení souborů na cloudovém uložišti
- zveřejňování fotografií v tištěných médiích;
- zpracování osobních údajů pro účely zařazení do soutěže a zaslání případné výhry
Marketingové účely:
Jihočeská centrála cestovního ruchu zásadně neposkytuje osobní informace ze zištných nebo jiných důvodů třetím osobám, jestliže nejsou v souladu s hlavním cílem příspěvkové organizace, tedy jestliže nemohou sloužit k rozvoji cestovního ruchu, anebo by takové předání bylo v hrubém nepoměru k zájmům jednotlivců.
5. JAKÉ JSOU NAŠE OPRÁVNĚNÉ ZÁJMY?
Mezi účely, k nimž GDPR nevyžaduje váš souhlas, patří také ochrana našich oprávněných zájmů. Těmi jsou:
- podpora rozvoje cestovního ruchu – podpora cestovního ruchu je prostředkem ke zlepšení ústavních práv hospodářských sociálních a kulturních.
- Mezi hlavní cíle činnosti JCCR se řadí koordinace aktivit, tvorba produktů cestovního ruchu a propagace produktů a služeb cestovního ruchu.
- Prezentace dobrého jména organizace a kraje a ochrana jejich pověstí – z důvodů výše uvedených.
- ochrana majetku a bezpečnosti – z důvodu ochrany našeho majetku a majetku, života a zdraví zaměstnanců, jakož i dalších osob, před protiprávním jednáním, ale i v rámci prevence a objasňování civilních deliktů, přestupků či trestných činů může rovněž dojít ke zpracování vašich osobních údajů; pod tento zájem řadíme i zajištění bezpečného průběhu pořádaných akcí.
- ochrana práv JCCR a vymáhání pohledávek – v případě soudního sporu vzniklého ze vzájemných soukromoprávních i veřejnoprávních vztahů budeme vaše osobní údaje využívat po dobu trvání soudního sporu, vč. všech řádných i mimořádných opravných prostředků, popř. po dobu jiných řízení či realizace výkonu veřejné moci (např. správní řízení, komunikace s veřejným ochráncem práv, trestní stíhání, …); mezi ochranu našich práv řadíme i vymáhání pohledávek;
- usnadnění a urychlení komunikace – pro komunikaci s veřejností využíváme zpravidla e-mailovou adresu, případně i telefonické spojení.
- plnění povinností vyplývajících z projektů financovaných z národních či evropských fondů za účelem kontroly efektivního nakládání s finančními prostředky.
Ve všech těchto případech jde o zpracování na základě titulu oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR. Ve všech těchto případech vám přísluší právo vznést námitku podle čl. 21 GDPR.
Právo vznést námitku podle čl. 21 GDPR
Pokud byste zjistili nebo se jen domníváte, že provádíme zpracování osobních údajů v rozporu s ochranou vašeho soukromého a osobního života nebo v rozporu s právními předpisy (za předpokladu, že osobní údaje jsou správcem zpracovávány na základě výše zmíněných oprávněných zájmů, nebo jsou zpracovávány pro účely přímého marketingu, včetně profilování, či pro statistické účely nebo pro účely vědeckého či historického významu), můžete se na nás obrátit a požádat nás o vysvětlení či odstranění vzniklého závadného stavu. O vaší námitce rozhodneme do jednoho měsíce.
6. JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
JCCR zpracovává pouze takové údaje, které potřebuje pro účely své činnosti. Jedná se o tyto kategorie osobních údajů:
- základní identifikační a kontaktní údaje fyzických osob – jméno a příjmení, e-mailová adresa, telefonní číslo
- v případě podnikajících FO a PO - internetové stránky, IČ, sídlo, případně jiné údaje nutné pro fakturace podle platných právních předpisů, pracovní postavení a životopisy zástupců těchto podnikajících právnických osob případně jejich manažerů, stanovy společností, zápisy z jednání
- informace ze vzájemné korespondence a komunikace mezi organizací a třetími subjekty,
- fotografie –fotografie z výstav, workshopů nebo akcí obdobného charakteru.
7. JAK BYLY OSOBNÍ ÚDAJE ZÍSKÁNY?
Osobní údaje získáme z různých zdrojů, zejména od jejich původců, jejich zástupců, případně od osob oprávněných s těmito údaji disponovat a dále je poskytovat z důvodů veřejného zájmu.
V některých případech, zejména dojde-li ke zpracování pro ochranu našich práv v případě soudního či jiného sporu získáváme osobní údaje také z veřejně dostupných zdrojů, rejstříků a evidencí a od třetích stran, které jsou oprávněny k přístupu a zpracovávání vašich osobních údajů.
8. JSTE POVINNI JCCR OSOBNÍ ÚDAJE PŘEDÁVAT?
Zpracování osobních údajů pro účely, ke kterým nevyžadujeme váš souhlas, je zákonnou či smluvní povinností, popř. je nezbytné pro ochranu našich práv a právem chráněných zájmů či pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. V těchto případech je osoba, jíž se osobní údaje týkají, povinna JCCR osobní údaje při požádání předat. JCCR by bez těchto údajů nebyla schopná zajistit plnění právních povinností, kterými je například vedení zákonem uložené dokumentace a evidence, plnění cílů příspěvkové organizace či plnění daňových a obdobných povinností.
Zpracování osobních údajů pro účely, ke kterým GDPR vyžaduje váš souhlas je zcela dobrovolné. Takové zpracování osobních ukončíme ihned, jakmile souhlas odvoláte, a osobní údaje nám vůbec nemusíte poskytnout.
9. JAK DLOUHO BUDEME OSOBNÍ ÚDAJE UCHOVÁVAT?
Jihočeská centrála cestovního ruchu je povinna uchovávat údaje týkající se jejího hospodaření podle výše zmíněných předpisů. Uchovávání osobních údajů tedy souvisí s povinností vést spisovou službu a pravidly pro skartační řízení. Zákon o archivnictví ukládá organizaci vést spisovou službu a povinnost uchovávat dokumenty a umožnit výběr archiválií. Jde o zákonnou povinnost, a proto jde o zpracování na základě čl. 6 odst. 1 písm. b) GDPR.
Spisovou službu vedeme jak elektronické podobě, tak v určitých případech i v listinné podobě. S tím souvisí i další povinnosti, jako je povinné skartační řízení (§ 7 zákona o archivnictví), povinnost vydat spisový řád (§ 66 odst. 1 zákona o archivnictví), jehož součástí je i spisový a skartační plán, který se zasílá příslušnému archivu bezodkladně po jeho vydání či změně (§ 66 odst. 2 zákona o archivnictví) a povinnost zajistit, aby budova, ve které je umístěna spisovna nebo správní archiv, splňovala stavebně-technické požadavky.
10. BUDEME OSOBNÍ ÚDAJE PŘEDÁVAT NĚKOMU DALŠÍMU?
V případě, že jsou osobní údaje předávány třetím osobám, hovoříme o příjemcích nebo zpracovatelích.
Dle čl. 4 odst. 8 GDPR je zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
V případě, že jsou osobní údaje předávány zpracovatelům je nezbytné tyto osobní údaje dostatečně zabezpečit. S každým zpracovatelem je potřeba uzavřít tzv. zpracovatelskou smlouvu, kde se zpracovatelé zavazují k mlčenlivosti a dále k tomu, že budou zpracovávat vaše osobní údaje výhradně dle našich pokynů. O vaše osobní údaje se tak nemusíte bát.
Dle čl. 4 odst. 9 GDPR je příjemcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu EU, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.
Osobní údaje subjektů a jejich zástupců jsou předávány příjemcům nebo zpracovatelům v případech, kdy to vyžadují právní předpisy. Jedná se o předávání orgánům veřejné moci, soudům, kontrolním orgánům, popř. společnostem, které správce pověří činností, pro kterou je zpracování osobních údajů nezbytné, jako např. pořadatel veletrhů, workshopů, soutěží nebo obdobných akcí.
V případě informací na našich internetových stránkách a v tištěných i elektronických médiích, např. reportážní fotografie ze sportovních, kulturních a vzdělávacích akcí, je příjemcem osobních údajů veřejnost.
V případě výkonu našich práv mohou být předávány osobní údaje podnikatelům poskytující odborné a konzultační služby (zejména účetní, daňoví poradci, soudní znalci a administrátoři veřejných zakázek) a podnikatelé poskytující právní služby (advokáti, notáři, soudní exekutoři a insolvenční správci).
V žádném případě s osobními údaji neobchodujeme ani je nepředáváme třetím osobám za účelem přímého či nepřímého marketingu.
11. BUDEME OSOBNÍ ÚDAJE PŘEDÁVAT DO TŘETÍ ZEMĚ NEBO MEZINÁRODNÍ ORGANIZACI?
Osobní údaje nepředáváme do zemí mimo Evropskou unii nebo Evropský hospodářských prostor, ani žádné mezinárodní organizaci.
V případě, kdy by mělo dojít k předání do třetí země nebo mezinárodní organizaci, o tomto budete v konkrétním případě informováni. V takovém případě budete odkázáni na existenci či neexistenci rozhodnutí Evropské komise o odpovídající ochraně nebo, v případech předání uvedených v čl. 46, 47 a 49 odst. 1 GDPR, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
12. JAK JSOU OSOBNÍ ÚDAJE ZABEZPEČENY?
V rámci objektové bezpečnosti dodržujeme několik základních bezpečnostních opatření. Listinná vyhotovení dokumentů, ve kterých jsou obsaženy vaše osobní údaje, jsou uložena v šanonech v uzamykatelných spisových skříních nebo v uzamčených kancelářích, kde nikdy nezůstávají bez dozoru oprávněných osob.
K osobním údajům mají přístup pouze oprávnění pracovníci, nadřízení zaměstnanci, vedení příspěvkové organizace a další oprávněné osoby, které je potřebují pro svou činnost, např. účetní.
Všichni zaměstnanci nakládají s osobní údaji v souladu s přijatou směrnicí o ochraně osobních údajů, a těmito základními zásadami:
- zásada zákonnosti – zpracování osobních údajů na základě právní titulu v souladu s čl. 6 GDPR, popř. v případě zvláštní kategorie osobních údajů, tj. zejména osobních údajů o zdravotním stavu, rovněž v souladu se zvláštním důvodem pro zpracování dle čl. 9 odst. 2 GDPR;
- zásada korektnosti – správné a společensky bezvadné použití osobních údajů;
- zásada transparentnosti – všechny informace o ochraně osobních údajů určené zaměstnanci musí být stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků;
- zásada účelového omezení – shromažďování osobních údajů jen za jasně stanoveným účelem;
- zásada minimalizace údajů – nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné;
- zásada přesnosti – zpracovávané osobní údaje musí být přesné, tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to zaměstnavatel musí snažit;
- zásada omezení uložení – osobní údaje jsou uloženy jen po dobu nezbytně nutnou;
- zásady integrity a důvěrnosti – náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením;
- zásada odpovědnosti správce – zajištění vhodných technických a organizačních opatření, aby byl správce schopen doložit, že zpracování je prováděno v souladu s GDPR a předpisy na ochranu osobních údajů.
Technologické zabezpečení zajišťuje externí společnost se zaměřením na bezpečnost IT. Soubory jsou softwarově chráněny. Přístup k elektronickým datovým souborům je zabezpečen hesly v souladu s nastavením přístupových práv. Zaměstnanci byli poučeni o tom, jak pracovat s prostředky ICT technologií.
Systém pro zabezpečení ochrany osobních údajů je zabezpečen následujícími instrumenty:
- uložení dokumentů podle spisového a skartačního řádu,
- zřízení funkce pověřence pro ochranu osobních údajů, který provádí nezávislou kontrolní funkci ochrany osobních údajů u správce,
- shromažďování pouze nezbytných osobních údajů, například seznamy zájemců o newsletter obsahují pouze kontaktní e-mailovou adresu, jméno, příjmení a případně telefonní kontakt.
- povinnost skartovat již nepotřebné údaje,
- zachovávat mlčenlivost o osobních údajích,
- neposkytovat osobní údaje osobám nevykonávajícím veřejnoprávní cíle organizace
- ochrana osobních údajů při práci s ICT technikou.
13. JSOU OSOBNÍ ÚDAJE AUTOMATICKY VYHODNOCOVÁNY?
Osobní údaje jsou zpracovávány v listinné nebo elektronické podobě neautomatizovaným způsobem. Neprovádíme tedy žádné automatizované rozhodování.
14. JAKÁ JSOU NAŠE PRÁVA SOUVISEJÍCÍ SE ZPRACOVÁVÁNÍM OSOBNÍCH ÚDAJŮ?
V souladu s ustanoveními čl. 12 až 22 nařízení GDPR mohou subjekty uplatnit svá práva.
- právo na přístup k osobním údajům (čl. 15 nařízení GDPR) – subjekty údajů a jejich zákonní zástupci mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává;
- právo na opravu osobních údajů (čl. 16 nařízení GDPR) – subjekty údajů a jejich zákonní zástupci mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají; tím není dotčena povinnost hlásit změny týkající se osobních údajů a uvádět organizaci správné a úplné osobní údaje potřebné k realizaci vzdělávání;
- právo na výmaz osobních údajů (čl. 17 nařízení GDPR) – v určitých stanovených případech má subjekty údajů a zákonný zástupce právo požadovat, aby organizace osobní údaje vymazala; mezi takové případy patří například, že zpracovávané údaje nejsou pro výše zmíněné účely nadále potřebné; organizace osobní údaje sama maže po uplynutí doby nezbytnosti, tj. zejména příslušné skartační lhůty automaticky; subjekt údajů se však může na organizaci se svou žádostí kdykoliv obrátit; žádost subjektu údajů pak podléhá individuálnímu posouzení (i přes právo subjektu údajů na výmaz může mít organizace povinnost či oprávněný zájem si osobní údaje ponechat) a o jejím vyřízení bude subjekt údajů detailně informován;
- právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR) – organizace zpracovává osobní údaje subjekty údajů a zákonných zástupců pouze v nezbytně nutném rozsahu; pokud by však subjekt údajů či zákonný zástupce měl pocit, že organizace překračuje výše stanovené účely, pro které osobní údaje zpracovává, může subjekt údajů či zákonný zástupce podat žádost, aby jeho/její osobní údaje byly zpracovávány výhradně pro nejnutnější zákonné důvody nebo aby byly osobní údaje zpracovány v omezeném režimu (pouze uchovávány); žádost subjektu údajů pak podléhá individuálnímu posouzení a o jejím vyřízení budete detailně informováni;
- právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR) – v případech zpracování osobních údajů subjektu jejich zákonných zástupců na základě právního titulu oprávněného nebo veřejného zájmu mají subjekty a jejich zákonní zástupci právo vznést námitku proti zpracování; v takovém případě správce nebo jeho pověřenec provede balanční test (test proporcionality), ve kterém porovná protichůdné zájmy, a vznesenou námitku vyhodnotí;
- právo podat stížnost u Úřadu pro ochranu osobních údajů – subjekt údajů nebo zákonný zástupce se může kdykoliv obrátit s podnětem či stížností ve věci zpracování osobních údajů na Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7; více informace lze nalézt na webové stránce www.uoou.cz.
V případě zpracování na základě souhlasu máte právo souhlas kdykoli odvolat. Odvoláním souhlasu ovšem není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.
15. JAK MŮŽU UPLATNIT SVÁ PRÁVA?
Jednotlivá práva můžete uplatnit přímo u správce nebo u pověřence pro ochranu osobních údajů.
Kontaktní údaje na správce (Jihočeskou centrálu cestovního ruchu):
Jihočeská centrála cestovního ruchu
U zimního stadionu 1952/2, 370 01 České Budějovice
IČO: 72053127
tel.: +420 387 201 283
e-mail: info@jccr.cz
ID datové schránky: 73jpbwd
Kontaktní údaje na pověřence pro ochranu osobních údajů:
JUDr. Iva Kuckirová
Bašty 413/2, 602 00 Brno
tel.: +420 606 789 717
e-mail: advokat@kklegal.cz
ID datové schránky: viex3yi
Obecné informace k uplatnění práv
Veškerá sdělení a vyjádření k vámi uplatněným právům poskytujeme bezplatně. Pokud by však byla žádost zjevně nedůvodná nebo nepřiměřená, zejména proto, že by se opakovala, jsme oprávněni si účtovat přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací. V případě opakovaného uplatnění žádosti poskytnutí kopií zpracovávaných osobních údajů si vyhrazujeme právo z tohoto důvodu účtovat přiměřený poplatek za administrativní náklady.
Vyjádření a případně informace o přijatých opatřeních vám poskytneme co nejdříve, nejpozději však do jednoho měsíce. Lhůtu jsme oprávněni v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o dva měsíce. O prodloužení včetně uvedení důvodů vás budeme informovat.