Informace o zpracování osobních údajů
Americké jaro, z.ú.
Americké jaro, z.ú., se sídlem Jugoslávská 620/29, Vinohrady, 120 00 Praha 2, IČO: 04440706 (dále „Ústav“) vytvořil toto prohlášení o zpracování osobních údajů (dále jen „Prohlášení“), a to s ohledem na práva a povinnosti stanovená nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).
I. Pojmy
Pro účely tohoto Prohlášení se použijí níže uvedené pojmy v tom významu, v jakém jsou specifikovány níže. Veškeré pojmy je dále nezbytné vykládat v souladu s GDPR.
Níže uvedené pojmy používané v tomto Prohlášení mají následující význam:
Osobní údaje – veškeré informace o subjektu údajů
Subjekt údajů – fyzická osoba, o níž jsou shromažďovány osobní údaje
Zpracování – jakákoliv operace s osobními údaji, zejména jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
Správce osobních údajů – fyzická nebo právnická osoba nebo orgán veřejné moci, který určuje účely a prostředky zpracování osobních údajů
Zpracovatel osobních údajů – fyzická nebo právnická osoba nebo orgán veřejné moci, která zpracovává osobní údaje pro správce
Souhlas – jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle
II. Zpracovávané osobní údaje
Identifikační údaje subjektu údajů
jméno,
příjmení,
adresa bydliště/sídla,
IČO, DIČ (v případě fyzické osoby podnikající),
IP adresa, cookies, ostatní síťové identifikátory, údaje týkající se chování subjektu údajů v rámci internetových stránek Ústavu, údaje o chování subjektu údajů v rámci internetových stránek získané prostřednictvím jiných internetových stránek a další nezbytné elektronické údaje,
údaj, zda se týká o osobu se ZTP/ZTPP, a to pouze za účelem poskytnutí zvláštních prostor a slevy,
Kontaktní údaje
doručovací adresa,
fakturační adresa,
telefonní číslo,
e-mailová adresa,
číslo faxu,
Obrazové a zvukové záznamy
fotografie subjektu údajů,
video nahrávky subjektu údajů.
III. Zdroje osobních údajů
Ústav zpracovává osobní údaje subjektů údajů, které získal buď přímo od subjektů údajů, nebo od třetích osob, které předmětné osobní údaje předaly Ústavu, to však pouze za předpokladu, že má tato osoba souhlas subjektů údajů se zpracováním předmětných osobních údajů, nebo že je dán jiný účel zpracování, jako je plnění právní povinnosti, plnění smlouvy či oprávněný zájem.
IV. Rozsah zpracovávání
Ústav zpracovává osobní údaje v tom rozsahu, v jakém je tak oprávněn učinit na základě účelů zpracovávání a právního základu pro zpracování osobních údajů, a dále v tom rozsahu, v jakém mu byly tyto osobní údaje poskytnuty jiným správcem. V každém případě však dochází ke zpracování osobních údajů v souladu s platnými právními předpisy.
V. Účel zpracování osobních údajů, právní základ pro zpracování osobních údajů
Ústav má postavení správce i zpracovatele osobních údajů. Jako správce určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Jako zpracovatel provádí s osobními údaji zpracovatelské operace pro správce. Zpracování a práce s osobními údaji podléhá předmětným smlouvám, jež byly za tímto účelem mezi správcem a zpracovatelem uzavřeny.
V souladu s čl. 6 GDPR Ústav zpracovává osobní údaje na základě těchto zákonných důvodů:
(i) zpracování je nezbytné pro splnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů dle čl. 6 odst. 1 písm. b) GDPR;
(ii) zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany dle čl. 6 odst. 1 písm. f) Nařízení GDPR;
(iii) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje dle čl. 6 odst. 1 písm. c) GDPR);
(iv) subjekt údajů udělil se zpracování svých osobních údajů souhlas dle čl. 6 odst. 1 písm. a) GDPR.
Ad (i) Zpracování na základě plnění smlouvy
Ústav zpracovává výše uvedené osobní údaje za účelem realizace smlouvy uzavřené mezi subjektem údajů a Ústavem, zejména potom, nikoli však výlučně, pro uskutečnění rezervace a nákupu/prodeje vstupenek, zprostředkování informace týkající se průběhu kulturních akcí, na něž jsou vstupenky prodávány, pro řádné vyřízení požadavků subjektů údajů, mj. i pro vyřízení uplatnění jejich práv. Explicitní souhlas subjektu údajů v takovém případě není nutný.
Ad (ii) Zpracování na základě oprávněného zájmu
Zpracování osobních údajů na základě oprávněného zájmu uskutečňuje Ústav za účelem ochrany a zachování svých práv, jež mu vznikly či vzniknou ze vztahu uzavřeného mezi subjektem údajů a Ústavem.
Mezi oprávněné zájmy Ústavu též patří zpracování osobních údajů za účelem přímého marketingu, tedy zejména, nikoli však výlučně, za účelem rozesílání nabídek Ústavu, avšak to pouze za podmínky, že subjekt údajů již v minulosti uskutečnil prostřednictvím Ústavu či jiného zprostředkovatele rezervaci či nákup vstupenek, ledaže je tak vyloučeno smlouvou mezi Ústavem a daným zprostředkovatelem. Dále je za oprávněný zájem Ústavu považována též analýza chování subjektu údajů v rámci internetových stránek Ústavu. V souladu s GDPR není ani pro takové zpracovávání osobních údajů na základě oprávněného zájmu nezbytný explicitní souhlas subjektu údajů. Subjekt údajů však může uplatnit vůči Ústavu své právo (viz čl. XIII Prohlášení), na základě něhož Ústav přestane pro tyto účely osobní údaje zpracovávat. Veškeré zpracovávané údaje daného subjektu údajů budou na základě uplatnění práv subjektu údajů vymazány. Uplatněním předmětného práva subjektu údajů tak přestane Ústav zasílat subjektu údajů jakékoli sdělení týkající se přímého marketingu.
Ad (iii) Zpracování na základě plnění právních povinností
Zpracování osobních údajů subjektů údajů na základě plnění právních povinností spočívá ve zpracování osobních údajů za účelem plnění těch právních povinností Ústavu, jež mu jsou uloženy na základě příslušných právních předpisů, zejména potom, nikoli však výlučně, práva uložená Ústavu příslušnými daňovými a účetními předpisy či předpisy týkajícími se ochrany spotřebitele. Pro zpracovávání osobních údajů na základě plnění právních povinností není zapotřebí explicitního souhlasu subjektu údajů s předmětným zpracováním osobních údajů.
Ad (iv) Zpracování na základě souhlasu
Ústav zpracovává osobní údaje subjektů údajů na základě jimi uděleného souhlasu zejména, nikoli však výlučně, pro účely zasílání aktualit, newsletterů, novinek či jiných obchodních sdělení (ledaže je takové zasílání umožněno i bez souhlasu subjektu údajů z důvodu oprávněného zájmu Ústavu, jak je uvedeno shora), dále též pro účely cíleného marketingu a reklamního sdělování, v každém případě však pouze k těm účelům, ke kterým je souhlas udělen.
Subjekt údajů může jím udělený souhlas se zpracováním osobních kdykoliv odvolat. Takové odvolání souhlasu musí být uskutečněno prostřednictvím zaslání písemnosti či emailu prostřednictvím kontaktních údajů Ústavu uvedených níže v článku XV. tohoto Prohlášení.
VI. Zpracovávání zvláštní kategorie osobních údajů
Ústav za účelem zpracovávání na základě plnění smlouvy zpracovává zvláštní kategorie osobních údajů, resp. zpracovává informace či osobní údaje týkající se zdravotního stavu subjektu údajů, avšak pouze v tom rozsahu, v jakém je to nezbytné pro uplatnění slevy subjektu vyplývající ze skutečnosti, že se jedná o osobu se ZTP/ZTPP, a poskytnutí veškerých výhod či úlev s tím spojených. Ústav prohlašuje, že kromě osobních údajů spočívající v kategorizaci osob se ZTP/ZTPP nezpracovává jakékoli jiné informace či osobní údaje týkající se zdravotní stavu, a dále též v žádném případě nezpracovává jakékoli osobní údaje týkající se rasového či etnického původu, politických názorů, náboženského vyznání nebo filosofického přesvědčení, členství v odborech, genetických údajů, biometrických údajů či údajů o sexuálním životě nebo sexuální orientaci.
VII. Zpracovávání cookies, serverových identifikátorů a dalších technologií
Internetové stránky Ústavu zpracovávají cookies a další serverové identifikátory a technologie, které umožňují sledovat chování subjektů údajů v rámci internetových stránek Ústavu. Ke zpracovávání cookies je nezbytný souhlas se zpracováním cookies udělený při návštěvě internetových stránek Ústavu. Ústav následně zpracovávané cookies používá (nikoli však výlučně) ke správnému nastavení a fungování internetových stránek Ústavu, či za účelem předání těchto cookies příslušným reklamním a sociálním sítím. Internetové prohlížeče subjektů osobních údajů též ovlivňují rozsah zpracovávaných osobních údajů. K zajištění těchto a dalších shora uvedených funkcí jsou využívány další analytické nástroje, zejména, nikoli však výlučně, Google Analytics. Ústav dále sleduje chování subjektu údajů v rámci internetových stránek Ústavu a zpracovává předmětné osobní údaje též za účelem cílování reklamy a přizpůsobení obsahu a reklamy subjektu údajů, k čemuž využívá zejména, nikoli však výlučně, nástroje Facebook Pixel, Google Adwords.
VIII. Způsob uchovávání osobních údajů
Zpracovávání osobních údajů je uskutečněno řádně proškolenými osobami, a to jak s použitím výpočetní techniky, tak bez ní. V žádném případě však nedochází k automatizovanému rozhodování a/nebo profilování. Ústav se zavazuje zajistit bezpečné uchovávání osobních údajů. Ústav se dále zavazuje, že bude s předmětnými osobními údaji nakládat řádně a s veškerou nezbytnou obezřetností. Ústav tímto prohlašuje, že přijal veškerá bezpečnostní, technická, organizační a jiná opatření k zajištění ochrany zpracovávaných osobních údajů, zejména, nikoli však výlučně, veškerá opatření k tomu, aby bylo předejito jakémukoli neoprávněnému či nahodilému přístupu k osobním údajům, jejich ztrátě, zničení nebo změně, a dále též neoprávněným přenosům, zpracování i dalšímu neoprávněnému užití předmětných osobních údajů. Ústav prohlašuje, že tato opatření jsou průběžně revidována a aktualizována.
Ústav dále prohlašuje, že tento způsob uchovávání osobních údajů zajistí u zpracovatelů osobních údajů a dalších třetích osob, jimž předmětné osobní údaje předává.
IX. Doba uchovávání osobních údajů
Osobní údaje subjektů údajů jsou zpracovávány po dobu nezbytnou k plnění jednotlivých účelů zpracování, zejména potom, nikoli však výlučně, pro výkon a uplatnění veškerých práv a povinností, jež vyplývají ze smluv či právních předpisů. Osobní údaje jsou v každém případě uchovávány maximálně po dobu , neplyne-li z právních předpisů či smluv uzavřených s jinými správci, zpracovateli či třetími osobami jiná povinnost, na základě níž by musely osobních údaje být uchovávány po dobu kratší nebo delší, než dobu uvedenou. Ústav se zavazuje, že osobní údaje, u nichž uplynula doba pro jejich uchovávání stanovená tímto Prohlášení, bez zbytečného odkladu vymaže.
Shora uvedená doba uchovávání osobních údajů neplatí pro ty údaje, které byly, jsou nebo budou zpracovávány na základě souhlasu subjektů údajů. Osobní údaje získané a zpracované na základě souhlasu subjektu údajů jsou zpracovávány pouze po dobu, pro kterou je tento souhlas .
X. Odepření poskytnutí osobních údajů a odvolání souhlasu
Pro řádné plnění smluvních povinností Ústavu je poskytnutí osobních údajů nezbytné, a tedy bez jejich poskytnutí nemohou být tyto povinnosti řádně plněny.
V případě, že jsou osobní údaje zpracovávány na základě poskytnutí souhlasu subjektu údajů, může být takový souhlas, způsobem uvedeným shora, kdykoli odvolán. Neposkytnutím souhlasu v případě, kdy jsou osobní údaje zpracovávány pouze na základě uděleného souhlasu se zpracováním osobních údajů, nedojde k takovému zpracování. V případě, že dojde k odvolání souhlasu, není odvoláním souhlasu dotčena zákonnost zpracování osobních údajů před jeho odvoláním za předpokladu, že k takovému zpracování byl původně souhlas udělen.
XI. Předávání osobních údajů
Ústav jako správce osobních údajů předává v souvislosti se shora uvedenými účely osobní údaje subjektů údajů dalším zpracovatelům či třetím osobám, a to zejména, nikoli však výlučně, kvůli zabezpečení předmětného nákupu/prodeje vstupenek, a dále též k zabezpečení správného fungování serverových, cloudových, webových a dalších IT služeb, jejichž užití je nezbytné pro jejich správné fungování. Ústav dále předává, jestliže je to nezbytně nutné, předmětné osobní údaje těm zpracovatelům či třetím osobám, které zajišťují pro Ústav marketingové služby, dále těm zpracovatelům či třetím osobám, které zajišťují správné fungování rezervačního systému, a dále těm zpracovatelům či třetím osobám, které zajišťují fungování přepravních služeb a dalších činností Ústavu. Ústav prohlašuje, že s každým jednotlivým zpracovatelem či třetí osobou, jemuž osobní údaje předává, uzavře smlouvu.
Mezi tyto zpracovatele či třetí osoby patří, nikoli však výlučně, následující společnosti:
- Wedos Internet, a.s.;
- Google LLC;
- Dropbox;
- GoOut s.r.o.;
- Facebook.
Ústav se zavazuje, že zajistí, že všichni zpracovatelé osobních údajů či třetí osoby, jimž jsou předmětné osobní údaje předávány Ústavem, poskytnou pro předmětné osobní údaje stejné záruky ochrany pro zpracování osobních údajů, k jakým se zavázal Ústav.
Ústav tímto prohlašuje, že může, v souladu s GDPR, předávat předmětné osobní údaje do jiných zemí, a to zejména, nikoli však výlučně, za účelem užívání IT služeb, kdy provozovatelé těchto serverových, webových, cloudových a jiných IT služeb mají uložiště v těchto zemích. Ústav prohlašuje, že vychází ze skutečnosti, že veškeří provozovatelé těchto serverových, webových, cloudových a jiných IT služeb zpracovávají osobní údaje v souladu s GDPR, resp. zachovávají minimálně stejnou úroveň ochrany osobních údajů subjektu údajů jako Ústav sám.
XII. Ohlašování případů porušení zabezpečení osobních údajů
Ústav, v případě, že vystupuje jako správce, ohlásí jakékoli porušení zabezpečení osobních údajů dozorovému úřadu bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o porušení zabezpečení osobních údajů dozví, ledaže takové porušení zabezpečení osobních údajů nepředstavuje riziko pro práva subjektů osobních údajů. V případě, že dojde k porušení zabezpečení osobních údajů, při kterém Ústav vystupuje v roli zpracovatele osobních údajů, oznámí takové porušení zabezpečení osobních údajů bez zbytečného odkladu správci. Ústav dále prohlašuje, že v případě, kdy by došlo k porušení zabezpečení osobních údajů, jehož následkem bude vysoké riziko týkající se práv subjektů údajů, oznámí Ústav takové porušení zabezpečení osobních údajů bez zbytečného odkladu subjektům údajů.
XIII. Ústav jako zpracovatel osobních údajů
Ústav vystupuje v postavení zpracovatele osobních údajů v případech, kdy jsou mu předány osobní údaje jiným správcem osobních údajů. K tomu dochází důsledku zejména, nikoli však výlučně, zpracováváním osobních údajů z důvodu nákupu a prodeje vstupenek. Ústav prohlašuje, že zachovává minimálně stejnou úroveň ochrany osobních údajů, jaká je uplatňována správcem osobních údajů. Ústav dále prohlašuje, že za účelem takového zpracování osobních údajů je mezi ním jako zpracovatelem a správcem osobních údajů uzavřena smlouva.
XIV. Práva subjektu údajů
Subjekt osobních údajů může uplatňovat vůči Ústavu práva uvedená v tomto článku Prohlášení, jež vyplývají z příslušných právních předpisů. Takové uplatnění musí být učiněno prostřednictvím písemnosti nebo emailu na kontaktní adresu Ústavu uvedenou v článku XV. tohoto Prohlášení.
- Právo na přístup k osobním údajům dle čl. 15 GDPR;
- Právo na opravu osobních údajů dle čl. 16 GDPR;
- Právo na doplnění osobních údajů dle čl. 16 GDPR;
- Právo na výmaz osobních údajů dle čl. 17 GDPR;
- Právo na omezení zpracování osobních údajů dle čl. 18 GDPR;
- Právo podat stížnost Úřadu pro ochranu osobních údajů dle čl. 77 GDPR;
- Právo na přenositelnost údajů dle čl. 20 GDPR;
- Právo vznést námitku proti zpracování dle čl. 21 GDPR;
- Právo odvolat souhlas se zpracováním osobních údajů dle čl. 7 GDPR.
Ústav má, v souladu s GDPR, povinnost oznámit všem příjemcům osobních údajů, jimž byly předmětné osobní údaje poskytnuty, jejich opravy, omezení zpracování či výmaz, ledaže je takové oznámení nemožné nebo vyžaduje nepřiměřené úsilí.
XV. Kontaktní údaje
E-mail: info@americkejaro.cz
Adresa: Jugoslávská 620/29, Vinohrady, 120 00 Praha 2
Ústav tímto prohlašuje, že nejmenoval žádného pověřence pro ochranu osobních údajů, neboť na něj tato povinnost uložená čl. 37 GDPR nedopadá, a to z důvodu, že není orgánem veřejné moci či veřejným subjektem, jeho činnosti nevyžadují rozsáhlé a pravidelné a systematické monitorování subjektu údajů a hlavní činnost Ústavu nespočívá v rozsáhlém zpracování zvláštních kategorií údajů. Ústav prohlašuje, že vzhledem ke skutečnosti, že dochází, nikoli však pravidelně, ke zpracovávání zvláštní kategorie osobních údajů, zpracovává Ústav záznamy o činnostech v souladu s čl. 30 GDPR.