GDPR – ochrana osobních údajů v Knihovně Václava Čtvrtka v Jičíně (dále KVČ) | Knihovna Václava Čtvrtka v Jičíně

GDPR – ochrana osobních údajů v Knihovně Václava Čtvrtka v Jičíně (dále KVČ)

Zásady zpracování osobních údajů (v souladu s článkem 5 Nařízení GDPR)

KVČ se při zpracování osobních údajů řídí zásadami, které jsou v souladu s článkem 5 Nařízení o ochraně osobních údajů (679/2016). Osobní údaje musí být:

  1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“);
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
  4. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
  5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);
  6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

Knihovna Václava Čtvrtka jako správce osobních údajů

Knihovna Václava Čtvrtka v Jičíně, Denisova 400, 506 01 Jičín, IČO 0370967, tel. 493532833, e-mail: knihovna@knihovna.jicin.cz

Pověřenec pro ochranu osobních údajů

Kontaktní údaje pověřence pro ochranu osobních údajů:
Mgr. Martin Hlava, Město Jičín, Žižkovo náměstí 18, tel.: 493545110, mobil: 737269884, e-mail: poverenec@mujicin.cz

Vaše práva jako subjektu údajů

Svá práva můžete uplatnit

  • prostřednictvím pověřence pro ochranu osobních údajů, jímž je Mgr. Martin Hlava, zaměstnanec města Jičín zařazený do MěÚ Jičín, Žižkovo náměstí 18, tel.: 493545110, mobil: 737269884, e-mail: poverenec@mujicin.cz
  • přímo u správce – tj. Knihovna Václava Čtvrtka v Jičíně, nejlépe na e-mailové adrese benesova@knihovna.jicin.cz

Pokud se jedná o Vaše případné žádosti o výkon níže uvedených práv (podle článků 15 až 22 obecného nařízení), musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Právo subjektu údajů na přístup k osobním údajům

Co se rozumí přístupem k osobním údajům?
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
účely zpracování, kategorie dotčených osobních údajů, příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, plánovaná doba, po kterou budou osobní údaje uloženy, existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku, právo podat stížnost u dozorového úřadu, veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů, skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

ŽÁDOST O POTVRZENÍ A PŘÍSTUP K OSOBNÍM ÚDAJŮM

Právo na opravu

Co když jsou údaje nepřesné?
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

ŽÁDOST O OPRAVU OSOBNÍCH ÚDAJŮ

Právo na omezení zpracování

  1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
     
    1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
    2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
    3. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
    4. subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
  2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
  3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

ŽÁDOST O OMEZENÍ ZPRACOVÁNÍ

Právo na přenositelnost

Co znamená právo na přenositelnost údajů?
Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.
Společné podmínky k aplikaci práva na přenositelnost:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
  • zpracování se provádí automatizovaně.

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

ŽÁDOST O PŘENOSITELNOST DAT

Právo vznést námitku

Kdy lze vznést námitku proti zpracování osobních údajů?
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

NÁMITKA PROTI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Právo podat stížnost k dozorovému orgánu

Právo podat stížnost u dozorového úřadu

  1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.
  2. Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany.

STÍŽNOST na porušení ochrany osobních údajů

Právo na odvolání souhlasu

Podmínky vyjádření souhlasu

  1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
  2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.
  3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
  4. Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

ODVOLÁNÍ SOUHLASU SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

ODVOLÁNÍ SOUHLASU SE ZPRACOVÁNÍM CITLIVÝCH ÚDAJŮ

Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování

Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.
Nelze tak například automatizovaně pokutovat, aniž by pokutu nepřezkoumal člověk.

ŽÁDOST O VYLOUČENÍ Z AUTOMATIZOVANÉHO INDIVIDUÁLNÍHO ROZHODOVÁNÍ

Právo na výmaz (právo být zapomenut)

Co znamená právo být zapomenut?
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.

Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost.
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

ŽÁDOST O VÝMAZ OSOBNÍCH ÚDAJŮ

Informace o zpracovávaných osobních údajích aneb jaké osobní údaje zpracováváme?

Informace o zpracovávaných osobních údajích
Osobní údaje čtenářů zpracováváme v rámci:

Uzavírání a plnění smlouvy (přihlášky do knihovny) jejíž smluvní stranou je subjekt údajů pro účel plnění smlouvy o poskytování knihovnických služeb. Osobní údaje zpracováváme v tomto rozsahu: jméno, příjmení, rok narození, titul, číslo občanského průkazu, adresa trvalého pobytu a dle uvážení subjektu údajů kontaktní adresa (pokud se liší od adresy trvalého pobytu) a e-mail nebo číslo mobilního telefonu.
V případě dětí zpracováváme tyto údaje: jméno, příjmení, rok narození, adresa trvalého pobytu a případně kontaktní adresu. Zároveň zpracováváme osobní údaje zákonného zástupce v tomto rozsahu: jméno, příjmení, rok narození, titul, číslo občanského průkazu, adresa trvalého pobytu a případně kontaktní adresu a e-mail nebo číslo mobilního telefonu.
V případě návštěvníků klubu pro mladé zpracováváme tyto údaje: jméno, příjmení, rok narození. U dětí do 15 let zároveň zpracováváme osobní údaje zákonného zástupce v tomto rozsahu: jméno, příjmení, rok narození, titul, číslo občanského průkazu, adresa trvalého pobytu a případně kontaktní adresu a e-mail nebo číslo mobilního telefonu.
Poskytnutí osobních údajů je nutným požadavkem pro uzavření a plnění smlouvy. Osobní údaje získáváme od subjektu údajů a zpracovávají se po dobu trvání smluvního vztahu + 10 pracovních dnů po doručení výpovědi smlouvy (ukončení členství v knihovně). Smlouva může být ze strany subjektu údajů vypovězena až po úplném vyrovnání jeho dluhů vůči knihovně. Údaje budou zpracovávány automatizovaně v programu Verbis a budou v podobě listinné uloženy v knihovně, kde k nim budou mít přístup pouze povolané osoby. Údaje nebudou poskytovány jiným osobám.

Osobní údaje nebudou poskytovány do třetích zemí.

← zpět


Top