Informace organizace ohledně ochrany osobních údajů

Úvodní ustanovení

  1. Tyto informace organizace ohledně ochrany osobních údajů jsou určeny subjektům údajů, jejichž osobní údaje organizace zpracovává v souvislosti s výkonem své hlavní činnosti stanovené zákonem, popř. jí svěřené zřizovací listinou.
  2. Ochrana organizací zpracovávaných osobních údajů se řídí Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „ Nařízení GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.
  3. Organizace nakládá s osobními údaji subjektů údajů v souladu s Nařízením GDPR, a neposkytuje tyto osobní údaje žádné třetí osobě bez předchozího souhlasu subjektu údajů či případů, kdy ji k tomu opravňuje či jí tak ukládá právní předpis.
  4. Veškeré osobní údaje jsou organizací zpracovávány s úrovní zabezpečení odpovídající povaze konkrétních osobních údajů a jsou přístupné pouze v rámci organizace k tomu povolaným osobám, přičemž s konkrétními osobními údaji nakládá vždy výlučně osoba v daném případě k tomu v rámci organizace určená.
  5. Organizace při své činnosti předpokládá, že veškeré osobní údaje jakéhokoliv subjektu údajů byly organizaci sděleny v souladu s právními předpisy, a jsou pravdivé, úplné a aktuální.
  6. Organizace ve vztahu k osobním údajům subjektů údajů zpracovávaných organizací v souvislosti s výkonem své hlavní činnosti stanovené zákonem, popř. jí svěřené zřizovací listinou, vystupuje v postavení správce osobních údajů.

Totožnost a kontaktní údaje správce

Pedagogicko – psychologická poradna Karlovy Vary, příspěvková organizace

se sídlem Lidická 590/38, 360 01 Karlovy Vary
IČ: 497 53 843
zastoupená PhDr. Jolanou Mižikarovou, ředitelkou
tel: +420 353 176 511
Datová schránka: pjshn2g
E–mail: sekretariat@pppkv.cz

Kontaktní údaje pověřence pro ochranu osobních údajů

Mgr. Nikola Rovenská, advokátka

e–mail: poverenec@cmhl.cz
telefon: +420 724 770 780

Kategorie zpracovávaných osobních údajů

  1. Organizace zpracovává jakožto správce následující kategorie osobních údajů:
    • Jméno, příjmení, datum narození a adresa bydliště klienta
    • údaje o škole a třídě navštěvované klientem
    • jméno, příjmení, bydliště, telefonní číslo a e – mailová adresa zákonného zástupce klienta, resp. další osoby zákonným zástupcem zmocněné k jednání s organizací
    • jméno, příjmení, věk, vzdělání a povolání rodičů a nevlastních rodičů klienta
    • jméno, datum narození a škola sourozenců klienta
    • jméno, příjmení, datum narození, rodné číslo, adresa trvalého pobytu, telefonní číslo, údaje o zdravotní pojišťovně a údaje o dosaženém vzdělání zaměstnanců organizace
    • jméno, příjmení, telefonní číslo, sídlo, telefonní číslo, e – mailová adresa, bankovní spojení, IČ a DIČ smluvního partnera, je-li tento fyzickou osobou
    • jméno a příjmení kontaktních a statutárních osob smluvních partnerů
    • podobu, jednání, chování a další osobnostní prvky pořízené prostřednictvím kamerového záznamu v herně organizace
  2. Organizace zpracovává jakožto správce tyto kategorie zvláštních osobních údajů:
    • údaje o zdravotním stavu
  3. Správce zpracovává osobní údaje subjektů údajů výlučně v souvislosti s výkonem své hlavní činnosti stanovené zákonem, popř. jí svěřené zřizovací listinou, přičemž se jedná o takové druhy osobních údajů, jejichž znalost je pro organizaci s ohledem na podstatu její činnosti nezbytná.

Účel zpracování osobních údajů, právní základ pro zpracování osobních údajů 

  1. Organizace zpracovává osobní údaje výlučně za účelem:
    • plnění právních povinností správce při výkonu jeho hlavní činnosti
    • plnění právních povinností správce stanovené správci zejména pracovněprávními, účetními a daňovými právními předpisy
    • pro uzavření a splnění smlouvy
    • ochrany majetku organizace, zajištění a sledování bezpečného pohybu v prostorách herny, zajištění důkazu pro případ šetření bezpečnostního incidentu nebo protiprávního jednání.
  2. Za právní základ pro zpracování osobních údajů považuje organizace:
    • plnění právní povinnosti správce ve smyslu ustanovení čl. 6 odst. 1 písm. c) Nařízení GDPR
    • uzavření a splnění smlouvy ve smyslu ustanovení čl. 6 odst. 1 písm. b) Nařízení GDPR
    • souhlas subjektu údajů se zpracováním osobních údajů ve smyslu ustanovení čl. 6 odst. 1 písm. a) Nařízení GDPR
    • oprávněný zájem organizace ve smyslu ustanovení čl. 6 odst. 1 písm. f) Nařízení GDPR
  3. Organizace zpracovává osobní údaje zvláštní kategorie výlučně za účelem:
    • plnění právních povinností správce při výkonu jeho hlavní činnosti
  4. Za právní základ pro zpracování osobních údajů zvláštní kategorie považuje organizace:
    • plnění právní povinnosti správce ve smyslu ustanovení čl. 6 odst. 1 písm. c) Nařízení GDPR
    • souhlas subjektu údajů se zpracováním osobních údajů zvláštní kategorie ve smyslu ustanovení čl. 9 odst. 2 písm. a) Nařízení GDPR
  5. Přehled účelů a právních základů pro zpracování:
    Účel zpracování: právní základ pro zpracování
    Vyšetření klienta plnění právních povinností správce při výkonu jeho hlavní činnosti, souhlas zákonných zástupců klienta
    Vystavení zprávy a doporučení pro školní zařízení plnění právních povinností správce při výkonu jeho hlavní činnosti, souhlas zákonných zástupců klienta
    Vedení záznamů o klientech plnění právních povinností správce při výkonu jeho hlavní činnosti
    Vedení matriky klientů plnění právních povinností správce při výkonu jeho hlavní činnosti
    Vedení pracovněprávní dokumentace zaměstnanců plnění právních povinností správce vyplývajících z pracovněprávních předpisů, splnění pracovní smlouvy
    Vedení mzdové agendy zaměstnanců plnění právních povinností správce vyplývajících z pracovněprávních a daňových předpisů, splnění pracovní smlouvy
    Vedení účetní evidence plnění právních povinností správce vyplývajících z účetních a daňových právních předpisů
    Vedení obchodních smluv plnění právních povinností správce při zajištění chodu organizace, splnění smlouvy
    Pořizování a uchovávání záznamů kamerových systémů Oprávněný zájem organizace

     

Doba zpracovávání osobních údajů, resp. kritéria použitá pro stanovení této doby

Organizace zpracovává veškeré osobní údaje pouze po dobu nezbytně nutnou ke splnění účelu zpracování osobních údajů. Doba, po kterou jsou organizací zpracovávány jednotlivé osobní údaje, je stanovena pro jednotlivé kategorie osobních údajů zvláštními zákony, a organizace tyto lhůty řádně plní.

Záznamy z kamerových systémů jsou uchovávány po dobu 24 hodin od jejich pořízení a následně jsou automaticky smazány; archivovány jsou v nezbytném rozsahu pouze záznamy, které zachycují bezpečnostní incident nebo protiprávní jednání, a to po dobu nezbytně nutnou k jejich vyřešení. 

Práva subjektu údajů

  1. Subjekt údajů má následující práva, jichž se může domáhat po organizaci jakožto správci osobních údajů:
    1. právo subjektu údajů na přístup k osobním údajům, které se ho týkají, ve smyslu čl. 15 Nařízení GDPR.
    2. žádat po organizaci potvrzení o tom, zda jsou osobní údaje, které se ho týkají, zpracovávány či nikoliv.
    3. právo podat stížnost u dozorového úřadu, tedy u Úřadu pro ochranu osobních údajů.
    4. právo na bezodkladnou opravu jakéhokoliv osobního údaje, který se ho týká a který je chybný nebo nepřesný, či doplnění jakéhokoliv osobního údaje, který je neúplný, ve smyslu čl. 16 Nařízení GDPR.
    5. právo na výmaz osobních údajů, které se týkají subjektu údajů, pokud je dán jeden z těchto důvodů.
      • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
      • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování
      • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
      • osobní údaje byly zpracovány protiprávně
      • osobní údaje musí být vymazány ke splnění právní povinnosti
      • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Nařízení GDPR
    6. právo na omezení zpracování.
    7. právo na přenositelnost údajů.
  2. Organizace má oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování.

Právo vznést námitku

  1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
    • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen
    • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany
  2. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Automatizované individuální rozhodování, včetně profilování

Organizace tímto informuje každý subjekt údajů, že neprovádí automatizované rozhodování ani profilování ve smyslu ustanovení čl. 22 Nařízení GDPR.

Příjemci osobních údajů

  1. Organizace tímto informuje subjekty údajů, že osobní údaje mohou být zpřístupněny některým z následujících příjemců osobních údajů:
    • zaměstnancům organizace a osobám vykonávajícím pro organizaci práci na základě dohod o práci konané mimo pracovní poměr
    • orgánům veřejné moci při plnění zákonných povinností ze strany organizace
    • školám, České školní inspekci a Národnímu ústavu pro vzdělávání
    • Policii České republiky, soudům, státním zastupitelstvím a OSPOD
    • společnosti zajišťující pro organizaci IT služby – Edefi s.r.o., IČ: 11876638
    • osobě zajišťující pro organizaci právní služby
    • osobě zajišťující pro organizaci účetnictví, mzdové účetnictví a daňové poradenství
    • společnosti zajišťující pro organizaci software pro vedení účetnictví GORDIC – GORDIC spol. s  r.o., IČ: 47903783
    • společnosti zajišťující pro organizaci software pro vedení mzdového účetnictví Avensio - AlfaSoftware s.r.o., IČ: 263 59 812
    • společnosti zajišťující pro organizaci software pro vedení matriky klientů Didanet - ARET Praha  s.r.o. 25113852
  2. Organizace nepředává osobní údaje subjektů údajů do třetích zemí

Zabezpečení zpracování

  1. Organizace informuje subjekt údajů, že v souvislosti s jí prováděným zpracováním osobních údajů shledává případná následující rizika:
    • náhodné či protiprávní zničení
    • ztráta
    • pozměnění
    • neoprávněné zpřístupnění.
  2. Organizace dodržuje veškerá vhodná technická a organizační opatření, aby zajistila úroveň zabezpečení zpracování osobních údajů odpovídající rizikům specifikovaným výše, a to zejména
    • zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování
    • zajištění schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů
    • zajištění procesů pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Uplatnění práva subjektem údajů

Uplatnit práva subjektu údajů vůči organizaci či vznášet jakékoliv žádosti ve vztahu k osobním údajům subjektu lze písemně na adrese sídla organizace či elektronicky na e–mailové adrese: sekretariat@pppkv.cz

Právo podat stížnost u dozorového orgánu

Organizace informuje subjekt údajů o právu podat stížnost u Úřadu pro ochranu osobních údajů, se  sídlem Pplk. Sochora 27, 170 00 Praha 7, telefon: +420 234 665 111, pokud se domnívá, že při  zpracování jeho osobních údajů došlo k porušení pravidel ochrany osobních údajů.