GDPR- CIMA jako správce osobních údajů
Autor / zdroj: CIMA
Zveřejněno: 28.5.2018
Přečteno: 2399x
Informace o CIMA jako Správci osobních údajů
(Nařízení Evropského parlamentu a Rady EU 2016/679 (GDPR)
- CIMA v roli správce osobních údajů zpracovává osobní údaje subjektů v rámci naplňování úkolů souvisejících s realizací aktivit dle Stanov CIMA, zejména však zpracovává osobní údaje uchazečů o certifikaci CIMA, dále spolupracujících subjektů v rámci akreditace lektorů CIMA, členů spolku CIMA a spolupracovníků na DPP.
- CIMA zpracovává osobní údaje subjektů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR).
- Subjekt osobních údajů poskytuje správci své osobní údaje zákonným způsobem v závislosti na účelu jejich zpracování:
- pro splnění právních povinností správce,
- pro splnění případných úkonů prováděných ve veřejném zájmu,
- pro účely oprávněných zájmů CIMA,
- pro splnění smlouvy mezi subjektem a CIMA,
- pro jiné účely se souhlasem subjektu se zpracováním jeho osobních údajů.
- Souhlas se zpracováním osobních údajů je subjektem osobních údajů udělován v žádosti o certifikaci CIMA, a/nebo v případech, kdy nelze pro účel zpracování použít jiný právní titul. Souhlas subjektu údajů je vždy svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost předcházejícího zpracování osobních údajů subjektu, vycházejícího z jím dříve uděleného souhlasu. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
- CIMA je malou organizací.
2. Účel zpracování osobních údajů subjektů osobních údajů
- Správce nevykonává činnosti za účelem sběru/shromáždění osobních dat, ale zpracovává osobní data za nezbytným účelem vyplývajícím z činnosti realizace certifikačních, vzdělávacích a společenských aktivit, pro které je nutné sbírat osobní data v zájmu jednoznačné identifikace uchazeče o certifikaci/účastníka vzdělávacího procesu s komerčním označením CIMA, případně údajů vyžadovaných zákonem. Zpracování dat, uchovávání dat je stanoveno ve Statutu certifikace CIMA, kde jsou specificky uvedeny rozsah, účel a systém uchovávání dat uchazečů, ochrana dat o certifikaci/účastníků vzdělávacích kurzů, povinnosti Správce(CIMA) a práva správce včetně možnosti aplikace práva na výmaz, a to v souladu s nařízením GDPR. Osobní údaje jsou zpracovávány na základě souhlasu subjektu a pro splnění smlouvy o provedení certifikace nebo evidence posluchače a/nebo evidence člena spolku CIMA. Kontaktní emailová adresa a další osobní údaje nebudou při zpracování k uvedeným účelům předmětem automatizovaného individuálního rozhodování, včetně profilování ve smyslu čl. 22 obecného nařízení. Správce zpracovává údaje také pro možnost dodatečného ověření provedené certifikace nebo účasti na vzdělávacím procesu, vydání kopie certifikátu CIMA v souladu s požadavky Nařízení GDPR. Správce nezpracovává citlivé údaje. Správce uchovává tyto údaje minimálně 10 let, maximálně 40 let. Správce zpracovává osobní údaje při dodržení zásad Nařízení GDPR:
- zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně
- účelové omezení shromažďování – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
- minimalizace údajů – jedna z nejdůležitějších zásad, osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
- přesnost – osobní údaje musí být přesné a v případě potřeby aktualizované
- omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány
- integrita a důvěrnost – osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
- CIMA dále zpracovává osobní údaje subjektů k zabezpečení svých smluvních vztahů, vedení účetnictví a personální a mzdové agendy.
- CIMA je oprávněn vyžadovat od subjektu osobních údajů při podání žádosti o naplnění některého z uvedených práv subjektů jeho osobní identifikaci, a v případech, které vymezuje právní předpis, za poskytnutí informace o zpracovávaných osobních údajích subjektu požadovat přiměřenou úhradu, nepřevyšující náklady nezbytné na poskytnutí informace.
3. Kategorie zpracovávaných osobních údajů
- CIMA shromažďuje, zpracovává a uchovává následující kategorie osobních údajů subjektů:
- adresní a identifikační osobní údaje – zejména jméno, příjmení, datum narození, místo narození, státní příslušnost, bydliště, telefonní číslo, e-mail, doručovací adresu,
- jiné údaje – např. fotografie, kamerové záznamy, zkušební podklady (bez osobní identifikace)
4. Způsob zpracování a uchování osobních údajů a doba jejich uložení
- CIMA zpracovává osobní údaje subjektu manuálně či automatizovaným způsobem a zabezpečeně je uchovává v listinné či elektronické podobě po dobu stanovenou normou pro certifikaci osob, spisovým a skartačním řádem. Minimální doba je 10 let, maximální doba je 40 let.
5. Předávání osobních údajů
- Cima může získané osobní údaje subjektu předat třetí osobě jen na základě zákonného titulu, zejména pro splnění úkolu vyplývajícího z právního předpisu. O jednotlivých případech předávání je subjekt informován.
- Se souhlasem subjektu, resp. v případě, že účinně nevznese námitku po obdržení oznámení, mohou být jeho osobní údaje předány i dalším subjektům.
6. Práva subjektů osobních údajů
- být jasně a srozumitelně informovány, že správce údajů zpracovává jejich osobní údaje a v jakém rozsahu
- opravovat chyby ve svých osobních údajích
- vznést námitku proti zpracování osobních údajů – subjekt údajů může kdykoliv odmítnout přímý marketing
- právo na přenositelnost osobních údajů od jednoho správce k druhému
- právo na výmaz – relevantní pouze pro zpracování založené na právním základu oprávněného zájmu nebo veřejném zájmu
- právo být zapomenut v případě, že údaje nejsou potřeba, byl odvolán souhlas, byly vzneseny námitky nebo bylo zpracování protiprávní
- Pokud je zpracování založeno na souhlasu subjektu údajů, existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním, možnost podat stížnost u Úřadu pro ochranu osobních údajů.
- Pokud CIMA bude osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu. Subjekt osobních údajů, který zjistí nebo se domnívá, že správce nebo jiná osoba, která pro správce zpracovává osobní údaje, provádí zpracování jeho osobních údajů v rozporu s GDPR, může požádat o vysvětlení nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Nevyhoví-li správce nebo příslušný zpracovatel žádosti, může se subjekt osobních údajů obrátit na Úřad pro ochranu osobních údajů. Právo subjektu obrátit se přímo na UOOU tím není dotčeno.