nám. Republiky 400, 277 11 Neratovice
603 868 798 (kazatel Tomáš Grohman)
neratovice@cb.cz

GDPR

Poznejte nás a naši víru - Zveme vás do naší církve

Stáhnout PDF
Stáhnout DOCX

GDPR. Pravidla zpracování osobních údajů

GDPR. Sbor Církve bratrské v Neratovicích, IČ: 73633704 Sídlo: Na Výsluní 1305, 27711 Neratovice Tento dokument definuje pravidla Sboru Církve bratrské v Neratovicích (dále jen „Sboru“ nebo CB Neratovice“) coby „Správce údajů“pro zpracování osobních údajů fyzických osob coby „Subjektů údajů“, se kterými přijde Sbor do styku v rámci své činnosti, dále jen „Pravidla“.
Preambule
GDPR. Tato Pravidla jsou vyhotovena s cílem zajistit co nejlepší možnou implementaci Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – General data protection regulation, dále jen jako „GDPR“, které nabývá účinnosti 25. 5. 2018.
Sbor v těchto Pravidlech vymezuje především, s jakými kategoriemi subjektů údajů pracuje, jaké osobní údaje o nich zpracovává, za jakým účelem a na jak dlouhoa stanovuje zásady zpracování osobních údajů. Pravidla také obsahují katalog práv fyzických osob v souvislosti se zpracováním jejich osobních údajů a popisují způsob jejich výkonu.

  1. Kategorie subjektů údajů Sboru
    Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“), kterými jsou vzhledem ke Sboru, především: • členové Sboru • dárci • uživatelé služeb (účastníci akcí/aktivit pořádaných Sborem; svatby; křty) • dodavatelé služeb, externí spolupracovníci…
  2. Evidence osobních údajů a kategorie osobních údajů
    Sbor používá jako klíčový nástroj evidence osobních údajů svých členů:
    a) Knihu členů –„matriku“ (dle pokynů Řádu správy Církve bratské, paragraf 37)
    Seznam členů: • Identifikační údaje: jméno, příjmení, datum narození • Údaje vztahující se k náboženství/vyznání: datum křtu vč. denominace; datum a důvod vzniku/zániku členství v Církvi bratrské • Demografické údaje: rodinný stav, jméno a příjmení manžela/manželky
    Seznam nezletilých dětí členů • Identifikační údaje: jméno, příjmení, datum narození • Údaje vztahující se k náboženství/vyznání: datum křtu vč. denominace; příp. datum požehnání dítěte • Datum vzniku a zániku evidence
    Seznam svatebních bohoslužeb • Identifikační údaje: jméno, příjmení snoubenců, svědků, oddávajícího • Datum a místo sňatku
    Seznam křtů • Identifikační údaje: jméno, příjmení, datum narození křtěného; jméno a příjmení křtícího • Datum křtu
    b) Adresář sboru (evidence kontaktních údajů poskytovaných se souhlasem členů a přátel Sboru, v rozsahu daném souhlasem člena či přítele Sboru). • Identifikační údaje: jméno, příjmení • Kontaktní údaje: Adresa, telefon, email, sociální média
    c) Evidence dárců • Identifikační údaje: jméno, příjmení, datum narození, adresa • Kontaktní údaje: číslo účtu, email (pro zaslání potvrzení o darech)
    Sbor zpracovává Zvláštní osobní údaje (o náboženském vyznání), a to v souladu s GDPR, kap II. Čl. 9 coby organizace sledující náboženské cíle v rámci svých oprávněných činností. Zpracovává přitom údaje o současných či bývalých členech a o osobách, s nimiž udržuje pravidelné styky vsouvislosti s cíli Sboru, aniž by údaje bez souhlasu subjektu zpřístupňoval mimo Sbor. Sbor neuchovává genetické a biometrické osobní údaje.
  3. Správce údajů
    Sbor coby správce údajů určuje účely a prostředky zpracování osobních údajů. Jeho úkolem je: • zavádět organizační a technická opatření pro zajištění zpracování osobních údajů v souladu s GDPR, přezkoumávat je a dle potřeby aktualizovat; • spolupracovat na požádání s dozorovým úřadem; • ohlašovat dozorovému úřadu porušení zabezpečení osobních údajů (pokud možno do 72 hodin od okamžiku, kdy se o nich dověděl); • oznamovat bez zbytečného odkladu případy porušení zabezpečení osobních údajů subjektu údajů, pokud existuje vysoké riziko pro práva a svobody subjektu údajů.
  4. Externí zpracovatelé údajů
    Je-li nezbytné využít při zpracování osobních údajů služeb externího zpracovatele, uzavře Sbor s externím zpracovatelem smlouvu o zpracování osobních údajů. Smlouva specifikuje činnost zpracovatele pro Sbor a obsahuje náležitosti podle čl. 28 GDPR.
  5. Způsob a rozsah zpracování osobních údajů
    Způsob a rozsah zpracování osobních údajů je pro různé případy zpracování, k nimž vrámci činnosti Sboru standardně dochází, vymezen v Přehledu zpracování osobních údajů zveřejněném na www.cb.cz/neratovice/.
  6. Zásady zpracování osobních údajů
    Sbor zpracovává osobní údaje v souladu s těmito zásadami: •Zákonnost, korektnost a transparentnost: Sbor zpracovává osobní údaje na základě legitimního opodstatnění (právního titulu), přičemž subjekt údajů je srozumitelně informován o jejich zpracování. • Účelové omezení: Sbor stanovuje legitimní účel zpracování a nesmí zpracovávat údaje za jiným účelem. • Minimalizace údajů: Sbor zpracovává údaje pouze v nezbytném rozsahu vzhledem k účelu; po vyprchání účelu pro zpracování údajů údaje vymazává, příp. anonymizuje (pro účely statistik či reportů). • Přesnost: Sbor aktualizuje údaje a na žádost subjektu údajů provádí opravy. • Omezení uložení: Sbor ukládá údaje pouze na dobu nezbytnou pro účel zpracování. • Integrita a důvěrnost: Sbor organizačními i technickými opatřeními zabezpečuje osobní údaje proti různým formám narušení (neoprávněný přístup, odcizení, ztráta, poškození nebo zničení…) • Odpovědnost: Sbor odpovídá za dodržování výše uvedených zásad a soulad s nimi může doložit.
  7. Právní základ pro zpracování osobních údajů
    Aby bylo zpracování osobních údajů zákonné, musí vždy vycházet z nějakého právního titulu/základu:
    a) Zpracování je nezbytné pro • plnění smlouvy (např. s uživatelem služby apod…) • plnění právní povinnosti • pro účely oprávněných zájmů Správce (př. zveřejnění fotek vedení na webu Sboru) • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; Ke zpracování osobních údajů z výše uvedených důvodů není zapotřebí souhlas subjektu údajů.
    b) Subjekt údajů udělil SOUHLAS se zpracováním osobních údajů pro jeden či více
    konkrétních účelů. Konkrétní účel je vždy jasně vymezen v rámci uděleného souhlasu a údaje
    mohou být zpracovány jen po dobu platnosti tohoto souhlasu.
    Souhlas musí být:
    • svobodný (např. nesmí jím být podmíněno plnění smlouvy, vč. poskytnutí služby)
    • doložitelný (písemný, př. zaškrtávací políčko)
    • odvolatelný: Subjekt údajů může souhlas kdykoli odvolat a o právu na odvolání
    souhlasu musí být informován. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle.
    Souhlas se zpracováním osobních údajů dítěte mladšího 16let musí být vyjádřen nebo
    schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
  8. Organizační a bezpečnostní opatření
    a) Obecná pravidla přístupu k osobním údajům
    • Přístup k dokumentům obsahujícím osobní údaje je omezen pouze na
    pracovníky, kteří s nimi musejí nezbytně pracovat pro plnění svých pracovních úkolů.
    • Za obsahovou správnost, kompletnost a následné uložení dat v počítačové evidenci a
    ochranu dat podléhajících ochraně osobních údajů v okamžiku pořízení či změny zodpovídá
    pracovník, který data pořídil či změnil.
    • Pracovníci přistupují k dokumentům v elektronické podobě na základě přihlášení se
    K uživatelskému účtu zabezpečeném silným heslem.
    b) Fyzická bezpečnost osobních údajů
    • Pracovníci Sboru dbají na základní pravidla bezpečnosti, dokumenty ukládají do určených
    zamykatelných skříní. Externí osoby nesmějí být ponechány v prostorách pracoviště, kde jsou uloženy dotčené dokumenty, bez dozoru pracovníka.
    • Při odchodu z pracoviště je pracovník povinen zajistit, aby k jeho uživatelskému účtu nemohla přistoupit třetí osoba.
    c) Uchovávání fyzických dokumentů obsahujících osobní údaje
    • Fyzické dokumenty obsahující osobní údaje jsou uchovávány v kancelářích, které jsou využívány pracovníky provádějícími danou činnost zpracování, nebo v jiných k tomu určených prostorách.
    • Veškeré fyzické dokumenty obsahující osobní údaje jsou vdobě, kdy nejsou přímo využívány, uloženy v uzamykatelných skříních. Výjimku tvoří případ, pokud kancelář užívá pouze jeden pracovník, který ji při svém odchodu zamyká.
    d) Bezpečnost informačních systémů a zálohování
    • Provozní počítačová data pracovníků kanceláře Sboru jsou ukládána v zabezpečeném počítači, ke kterému má přístup pouze odpovědný pracovník sboru.
    • Pracovníci jsou povinni užívat aktualizovaný antivirový program.
    e) Používání notebooků, tabletů, chytrých telefonů a přenos osobních údajů
    • Jsou-li ke zpracování osobních údajů využívány notebooky, tablety nebo chytré telefony, je
    povinností pracovníka opatřit tyto přístroje bezpečným heslem.
    • Datové soubory (zpravidla formátu Word, Excel, PDF apod.) obsahující osobní údaje musí být zabezpečeny heslem (resp. šifrovány). Jedná-li se o uchování osobních údajů mimo zašifrované soubory (např. v kontaktech mobilního telefonu apod.), musí být v nitřní úložiště
    tabletů a chytrých telefonů, které je využíváno k uchovávání osobních údajů, zašifrováno.
    • Pokud pracovníci využívají ke zpracování osobních údajů přístroj v jejich soukromém vlastnictví, jsou povinni zajistit na těchto zařízeních stejnou míru ochrany osobních údajů, jaká je aplikována na počítačích ve vlastnictví Sboru.
    • V případě, že data či soubory obsahující osobní údaje jsou zasílány elektronicky (např.
    mailem apod.), nebo jsou -li pro uchovávání či přenos osobních údajů využívány datové nosiče (cd, flash disky apod.), je vzájemná komunikace šifrována, příp. data (resp.
    soubory formátu Word, Excel, PDF apod.) jsou opatřeny heslem, nebo formou zaheslovaného archivu formátu .rar nebo .zip.
    f) Nakládání s dokumenty po skončení jejich užívání
    • Je-li ukončena činnost zpracování, pro kterou byly osobní údaje zpracovávány, a nejsou-li
    osobní údaje zpracovávány pro jiný účel ve smyslu čl. 6 odst. 4 GDPR, uchovávají se dokumenty obsahující osobní údaje po dobu trvání lhůt k archivaci stanovených pravidly
    Sboru nebo příslušnými právními předpisy.
    • Dokumenty uchovávané v elektronické podobě jsou vymazávány tak, aby nemohlo možné
    jejich obnovení.
  9. Práva subjektů údajů
    Ve smyslu GDRP má každý subjekt údajů v případě, že bude pro Sbor identifikovatelnou osobou a prokáže Sboru svoji totožnost, níže uvedená práva:
    • Požadovat přístup / výpis
    • Požadovat opravu
    • Požadovat výmaz
    • Požadovat omezení zpracování
    • Požadovat výpis v přenositelném formátu
    • Podat námitku proti zpracování
    • Podat námitku proti automatizovanému rozhodování
    • Podat stížnost na dozorový úřad
    • Odvolat souhlas se zpracováním
    Upřesňující popis práv subjektu, včetně pokynů ke způsobu výkonu práv a formuláře k podání žádosti o uplatnění práv, jsou k dispozici na
    www.cb.cz/neratovice/.
  10. Závěrečná ustanovení
    Odpovědnou osobou za plnění této směrnice je správce Sboru.
    Změny a doplňky této směrnice jsou možné pouze po schválení staršovstvem Sboru. Touto směrnicí nejsou nijak dotčena ani nahrazena ustanovení obecně závazných právních předpisů.

Kde se scházíme: Nám. Republiky 400, 277 11 Neratovice -

neratovice@cb.cz

kazatel Tomáš Grohman +420 603 868 798

©  2024 Církev bratrská Neratovice. Vytvořil David Grohman