Zásady ochrany osobních údajů v Calmu

1. Zásady, rozsah a cíle

1.1 Prohlášení

Vedení Calmu, se sídlem na adrese Robert Owenstraat 21, 3045 PT, Rotterdam, Nizozemsko, se zavazuje dodržovat všechny příslušné zákony EU týkající se ochrany osobních údajů a chránit „práva a svobody“ jednotlivců, jejichž informace Calm shromažďuje, v souladu s obecným nařízením o ochraně údajů (GDPR). Za tímto účelem Calm vyvinul dokumentovaný informační systém správy osobních údajů (dále jen „PIMS“), který uvedl do provozu, udržuje jej a neustále zlepšuje.

1.2 Rozsah

Rozsah systému PIMS odpovídá organizační struktuře, odpovědnosti za řízení, jurisdikci a geografii. PIMS může zahrnovat všechny země, s nimiž Calm pracuje, nebo jen vymezenou část těchto zemí.

1.3 Cíle PIMS

Cílem nadace Calm ohledně PIMS je plnění vlastních požadavků týkajících se nakládání s osobními informacemi, podpora vlastních organizačních cílů a závazků, zajištění kontroly v souladu s přijatelnou úrovní rizika, dodržování příslušných zákonných, regulačních, smluvních a/nebo profesionálních povinností a ochrana zájmů jednotlivců a dalších klíčových zainteresovaných subjektů.

1.4 Závazek

Calm se zavazuje dodržovat zákony týkající se ochrany osobních údajů a osvědčené postupy, což zahrnuje následující:


  1. zpracovávat osobní údaje výhradně na základě oprávněných potřeb organizace;
  2. shromažďovat minimální množství osobních údajů potřebných pro výše uvedené účely a neshromažďovat nadbytečné údaje;
  3. poskytovat jasné informace o tom, jak budou osobní údaje jednotlivých uživatelů použity a kdo s nimi bude nakládat;
  4. zpracovávat pouze relevantní osobní údaje v přiměřeném rozsahu;
  5. zpracovávat osobní údaje korektně a zákonným způsobem;
  6. udržovat seznam kategorií osobních údajů zpracovávaných Calmem;
  7. dohlížet na správnost osobních údajů a aktualizovat je podle potřeby;
  8. uchovávat osobní údaje pouze po dobu, která je z právních nebo regulačních důvodů nezbytná, nebo z oprávněných organizačních důvodů;
  9. respektovat individuální práva týkající se osobních údajů jednotlivců, včetně jejich práva na přístup k těmto údajům;
  10. zajistit bezpečnost všech osobních údajů, přičemž k údajům umožnit přístup pouze minimu lidí jen v nezbytně nutných případech;
  11. umožnit přenos osobních údajů mimo EU, jen pokud bude zabezpečena jejich přiměřená ochrana;
  12. uplatňovat výjimky vyplývající z odpovídajících předpisů na ochranu osobních údajů;
  13. vyvíjet a používat systém PIMS tak, aby bylo možné příslušné předpisy realizovat;
  14. identifikovat interní i externí partnery a stupeň jejich zapojení do správy Calm systému PIMS;
  15. identifikovat pracovníky, kteří mají v rámci systému PIMS konkrétní povinnosti a odpovědnost.

1.5 Účel shromažďování a ukládání dat

Calm a její zaměstnanci (pomocníci dle níže uvedené definice) shromažďují a vyhodnocují informace za těmito účely:umožnit asistujícímu učiteli nebo pověřenému pomocníkovi posoudit, zda je student způsobilý absolvovat kurz;umožnit správě centra naplánovat studentům ubytování, stravování, případně dopravu;poskytnout uchazečům řádné pokyny a asistenci před zahájením kurzu meditace vipassana, během kurzu a po jeho ukončení tak, aby byly dodrženy právní náležitosti a podmínky plnění smlouvy, které souvisí s účastí studenta nebo pomocníka na kurzu nebo v centru a s poskytováním dalších souvisejících služeb na základě předem uděleného souhlasu nebo zřetelně projeveného zájmu.


Oznámení


1.6 Calm oznámil Úřadu na ochranu osobních údajů (DPA - „De Autoriteit Persoonsgegevens“) v nizozemském Haagu, že je správcem osobních údajů a že zpracovává určité informace o subjektech údajů. Calm identifikoval veškeré osobní údaje, které zpracovává, a zařadil je do registru dat (Data Inventory Register).


1.7 Kopii tohoto oznámení uchovává pověřenec pro ochranu osobních údajů (DPO Data Protection Officer) a příručku úřadu DPA (DPA Notification Handbook) používá jako závazný návod pro podání oznámení.


1.8 Oznámení úřadu DPA se každoročně aktualizuje.


1.9 Pověřenec pro ochranu osobních údajů odpovídá za každoroční aktualizaci tohoto oznámení s přihlédnutím k případným změnám v činnosti Calmu, které jsou určovány změnami v registru dat a přezkoumáním řízení a dalšími požadavky identifikovanými prostřednictvím posouzení vlivu na úroveň ochrany údajů.

Zásady platí pro všechny zaměstnance/personál [a další zainterestované strany] Calmu, například pro externí dodavatele. Jakékoliv porušení GDPR nebo systému PIMS bude řešeno v souladu s disciplinárním řádem Calmu a může být také považováno za trestný čin. V takovém případě bude přestupek co možná nejdříve nahlášen příslušným orgánům.

Od partnerů a jakýchkoli třetích stran spolupracujících s Calmem, které mají nebo mohou mít přístup k osobním informacím, se očekává, že se seznámí s těmito pravidly, porozumí jim a budou je dodržovat. Žádná třetí strana nebude mít k osobním údajům svěřeným Calmem přístup, aniž by nejdříve neuzavřela dohodu o mlčenlivosti, která ukládá třetím stranám stejné povinnosti, k nimž se zavázal Calm, a která opravňuje Calm kontrolovat dodržování takové dohody.

2. Okolnosti vzniku Obecného nařízení o ochraně údajů („GDPR”)

Obecné nařízení o ochraně údajů 2016 nahrazuje směrnici EU o ochraně údajů z roku 1995 a také právní předpisy jednotlivých členských států, které byly vypracovány v souladu se směrnicí o ochraně údajů 95/46/ES. Jeho účelem je chránit „práva a svobody“ občanů a zajistit, aby osobní údaje nebyly zpracovávány bez jejich vědomí a kdykoli je to možné, aby byly zpracovávány s jejich souhlasem.

3. Definice používané organizací (vyvozené z GDPR)

Územní rozsah – GDPR se bude vztahovat na všechny správce, kteří působí v zemích EU (Evropská unie a země Evropského hospodářského prostoru), kteří zpracovávají osobní údaje subjektů údajů v kontextu dané instituce. To se bude vztahovat i na správce mimo EU, kteří zpracovávají osobní údaje s cílem nabízet zboží a služby nebo sledovat chování subjektů údajů, které mají bydliště v EU.

Sídlo – hlavním sídlem správce v EU bude místo, ve kterém správce rozhoduje o účelu svých činností v oblasti zpracování údajů. Hlavním sídlem zpracovatele v EU bude jeho správní centrum. Pokud je správce umístěn mimo EU, bude muset jmenovat zástupce v jurisdikci, ve které provozovatel působí, aby jednal jeho jménem a spolupracoval s orgány dohledu.

Osobní údaje – veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „subjekt údajů“); identifikovatelná fyzická osoba je osoba, která může být identifikována přímo nebo nepřímo, a to zejména odkazem na identifikátor jako název, identifikační číslo, údaje o poloze, on-line identifikátor nebo jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu dané fyzické osoby.

Zvláštní kategorie osobních údajů – osobní údaje odkrývající rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborových organizacích, zpracování genetických nebo biometrických údajů za účelem jednoznačného určení fyzické osoby, údaje o zdravotním stavu nebo údaje týkající se sexuálního života či sexuální orientace fyzické osoby.

Správce údajů – fyzická nebo právnická osoba, orgán veřejné správy, agentura nebo jiný subjekt, který sám nebo ve spolupráci s jinými určuje účel a prostředky zpracování osobních údajů; pokud jsou účely a způsoby takového zpracování stanoveny právními předpisy Evropské Unie nebo členského státu, mohou být buď správce, nebo zvláštní kritéria pro jeho jmenování, stanovena právními předpisy Evropské Unie nebo jejího členského státu.

Subjekt údajů – jakákoli živá osoba, která je předmětem osobních údajů držených organizací.

Zpracování – jakýkoliv úkon nebo sada úkonů, které se provádějí s osobními údaji nebo se soubory osobních údajů, ať již automatizovanými prostředky či nikoliv, včetně jejich shromažďování, zaznamenávání, organizace, strukturování, uchovávání, přizpůsobení nebo změny, vyhledávání, konzultace, zveřejnění prostřednictvím přenosu, šíření nebo jiného zpřístupnění, uspořádání nebo kombinování, omezení, vymazání nebo zničení.

Profilování – jakákoli forma automatizovaného zpracování osobních údajů určená k vyhodnocení určitých osobních aspektů vztahujících se k fyzické osobě nebo k analýze či předpovídání pracovní výkonnosti, hospodářské situace, lokace, zdraví, osobních preferencí, spolehlivosti nebo chování této osoby. Tato definice je spojena s právem subjektu údajů vznést námitku proti profilování a s právem být informován o existenci profilování, o opatřeních založených na profilování a předpokládaném vlivu profilování na jednotlivce.

Porušení ochrany osobních údajů – porušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změnám, neoprávněnému vyzrazení nebo přístupu k osobním údajům přenášeným, uloženým nebo jinak zpracovávaným. Provozovatel má povinnost ohlásit porušení ochrany osobních údajů orgánu dozoru a upozornit na situaci, kdy by tímto porušením ochrany osobních údajů mohlo dojít k nepříznivému ovlivnění nebo k narušení soukromí subjektu údajů.

Souhlas subjektu údajů – jakékoli svobodné, specifické, informované a jednoznačné vyjádření přání subjektu údajů, jímž vyjadřuje souhlas se zpracováním osobních údajů.

Dítě – GDPR definuje dítě jako osobu mladší 16 let. Zpracování osobních údajů dítěte mladšího 13 let je zákonné pouze tehdy, pokud byl získán souhlas rodiče nebo opatrovníka.

Třetí osoba – fyzická nebo právnická osoba, veřejný orgán, agentura nebo subjekt jiný než subjekt údajů, správce, zpracovatel a osoby, které jsou pod přímým vedením provozovatele nebo zpracovatele oprávněny zpracovávat osobní údaje.

Registrační systém – jakýkoli strukturovaný soubor osobních údajů, které jsou přístupné podle konkrétních kritérií, ať již centralizovaných, decentralizovaných nebo rozptýlených na základě funkčnosti nebo zeměpisného umístění.


Další specifické definice


Student –každý, kdo vyplní přihlášku nebo absolvuje kurz meditace vipassana vedený asistujícím učitelem S. N. Goenky.

Asistující učitel –každý, kdo byl jmenován S. N. Goenkou nebo jeho zástupci, aby vedl kurzy meditace vipassana, včetně učitelů.

Starý student –každý, kdo absolvoval kurz meditace vipassana pod vedením S. N. Goenky nebo některým z jeho asistujících učitelů.

Pomocník –starý student, který pomáhá na kurzu nebo v centru.

4. Odpovědnosti podle Obecného nařízení o ochraně údajů

4.1 Calm je správcem údajů v souladu s GDPR.

4.2 Vrcholový management a všichni, kdo jsou v řídících nebo dozorčích funkcích Calmu, jsou odpovědní za rozvoj a prosazování správných postupů zpracování informací v rámci organizaceů; tyto povinnosti jsou uvedeny v jednotlivých popisech náplně pracovních pozic.

4.3 Pověřenec pro ochranu osobních údajů a členové představenstva Calmu jsou odpovědní dozorčí radě Calmu za správu osobních údajů v rámci Calmu a za zajištění souladu s právními předpisy o ochraně údajů a za dodržování osvědčených postupů. Tato odpovědnost zahrnuje:

4.3.1 vývoj a implementaci systému PIMS tak, jak to vyžadují tyto zásady; a

4.3.2 zajištění bezpečnosti a řízení rizik ve vztahu k dodržování těchto zásad.

4.4 Členové správní rady DPO a Calm jsou považováni za přiměřeně kvalifikované a zkušené a byli jmenováni tak, aby převzali odpovědnost za dodržování těchto zásad v běžné praxi a zejména mají, stejně jako členové dozorčí rady, přímou odpovědnost za dodržování GDPR při zpracování dat, ke kterému dochází v oblasti jejich odpovědnosti.

4.5 Pověřenec pro ochranu osobních údajů a jeho místní zástupci mají zvláštní odpovědnost za postupy při zpracování osobních údajů žadatelů o kurz a jsou prvním kontaktem pro studenty a pomocníky, kteří žádají o vyjasnění všech aspektů dodržování ochrany údajů.

4.6 Dodržování právních předpisů týkajících se ochrany osobních údajů je odpovědností všech pomocníků, kteří zpracovávají osobní informace.

4.7 Zásady pro vedení kurzů Calm stanovují specifické požadavky na školení a osvětu v souvislostí s konkrétními úlohami a povinnostmi pomocníků pracujících s Calmem.

4.8 Pomocníci pracující s Calmem odpovídají za to, aby veškeré osobní údaje, které jim byly poskytnuty, byly přesné a aktuální.

5. Posouzení rizik

Cíl: Zajistit, aby si Calm byl vědom veškerých rizik spojených se zpracováním konkrétních typů osobních údajů. Calm má systém na hodnocení úrovně rizika spojeného se zpracováním osobních informací každého jedince. Rizika budou také posuzována v souvislosti se zpracováním údajů jinými organizacemi pověřenými Calmem. Calm bude řešit všechna rizika, která z posouzení vyplynou, aby se snížila pravděpodobnost narušení těchto zásad.

Pokud hrozí, že by způsob zpracování, zejména s využitím nových technologií a při zohlednění povahy, rozsahu, kontextu a účelů zpracování, zapříčinil vysoké riziko ohrožení „práv a svobod“ fyzických osob, posoudí Calm předem dopad zamýšlených úkonů na ochranu osobních údajů.

Jedno posouzení se může zabývat celým souborem podobných operací, které představují obdobně vysoké riziko.

Pokud je v důsledku posouzení dopadů na ochranu osobních údajů jasné, že se Calm chystá zahájit zpracování osobních údajů, které by mohly způsobit škodu nebo jinou újmu subjektům údajů, musí o dalším pokračování tohoto procesu rozhodnout pověřenec pro ochranu osobních údajů. V případě závažných obav ohledně možného poškození nebo újmy či množství dotčených údajů postoupí pověřenec pro ochranu osobních údajů záležitost správní radě nebo dozorčí radě Calmu.

Za účelem snížení míry rizika spojeného se zpracováním jednotlivých údajů na přijatelnou úroveň budou vybrány a uplatněny vhodné kontrolní mechanismy s odkazem na doložená kritéria přijatelnosti rizik Calmu a na požadavky GDPR.

6. Zásady ochrany údajů

Veškeré zpracování osobních údajů musí být prováděno v souladu s následujícími zásadami ochrany údajů obsaženými v tomto nařízení. Zásady a postupy Calmu jsou navrženy tak, aby bylo zaručeno jejich dodržování.

6.1  Osobní údaje musí být zpracovány podle zákona, správně a transparentně.

GDPR zavádí požadavek na transparentnost, a proto má správce k dispozici transparentní a snadno dostupné zásady týkající se zpracování osobních údajů a uplatnění „práv a svobod“ jednotlivců. Informace musí být sděleny subjektu údajů ve srozumitelné podobě pomocí jasného a jednoduchého jazyka.

Specifické informace, které musí být subjektu údajů poskytnuty, musí přinejmenším zahrnovat:

6.1.1 identifikační a kontaktní údaje správce a, pokud existuje, i jeho zástupce;

6.1.2 kontaktní údaje pověřence pro ochranu osobních údajů;

6.1.3 účely zpracování, pro které jsou osobní údaje určeny, jakož i právní základ pro jejich zpracování;

6.1.4 dobu, po kterou budou osobní údaje uloženy;

6.1.5 právo vyžádat si přístup, opravu, vymazání nebo vznést námitku proti zpracování;

6.1.6 příslušné kategorie daných osobních údajů;

6.1.7 příjemce nebo kategorie příjemců osobních údajů;

6.1.8 případně údaj, že správce má v úmyslu předat osobní údaje příjemci ve třetí zemi s označením úrovně ochrany těchto údajů;

6.1.9 veškeré další informace nezbytné k zajištění správného zpracování.

6.2  Osobní údaje lze shromažďovat pouze pro konkrétní, explicitní a legitimní účely.

Údaje získané pro stanovené účely nesmějí být použity pro účely odlišné od těch, které byly formálně oznámeny úřadu DPA (Autoriteit Persoonsgegevens) jako součást registrace Calmu.

6.3  Osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné pro zpracování.

6.3.1 Pověřenec pro ochranu osobních údajů odpovídá za to, aby nebyly shromažďovány údaje, které nejsou zcela nezbytné pro účel, k němuž byly získány.

6.3.2 Pověřenec pro ochranu osobních údajů musí schválit všechny formuláře sběru dat (elektronické nebo papírové), včetně požadavků na shromažďování údajů v nových informačních systémech.

6.3.3 Pověřenec pro ochranu osobních údajů zajistí, aby byly všechny metody shromažďování údajů každoročně přezkoumány interním auditem, aby se zajistilo, že shromážděné údaje budou i nadále přiměřené, relevantní a nebudou nadbytečné.

6.3.4 Pokud jsou poskytnuté nebo získané údaje nadbytečné nebo nejsou výslovně požadovány podle zdokumentovaných postupů Calmu, je pověřenec pro ochranu osobních údajů/vlastník GDPR odpovědný za to, že budou bezpečně odstraněny nebo zlikvidovány v souladu s postupy pro odstraňování dat.

6.4  Osobní údaje musí být přesné a aktualizované.

6.4.1 Údaje, které jsou uchovávány po delší dobu, musí být podle potřeby revidovány a aktualizovány. Žádná data by neměla být uchovávána, pokud nelze předpokládat, že jsou správná.

6.4.2 Místně příslušné trusty a Calm odpovídají za to, že budou všichni pomocníci vyškoleni o tom, jak je důležité shromažďovat jen přesná data a jak je aktualizovat.

6.4.3 Je také odpovědností každého jednotlivce, aby údaje uchovávané Calmem byly přesné a aktuální. Vyplnění příslušného registračního formuláře nebo přihlášky bude považováno za ukazatel toho, že údaje obsažené v tomto dokumentu jsou ke dni podání přesné.

6.4.4 Aby mohly být osobní záznamy odpovídajícím způsobem aktualizovány, měli by pomocníci a studenti informovat Calm o jakýchkoli změnách. Pokyny pro aktualizaci záznamů jsou k dispozici. Calm odpovídá za to, aby bylo každé oznámení týkající se změn vzato v úvahu a požadované změny patřičně zaznamenány.

6.4.5 Pověřenec pro ochranu osobních údajů je odpovědný za přijetí příslušných dodatečných kroků k zajištění přesnosti a aktuálnosti osobních údajů s přihlédnutím k objemu shromážděných údajů, k rychlosti, s jakou by se mohly měnit, a k jakýmkoliv dalším relevantním faktorům.

6.4.6 Pověřenec pro ochranu osobních údajů nejméně jednou ročně přezkoumá všechny osobní údaje uchovávané Calmem s odkazem na Rejstřík inventarizace údajů, a zajistí, aby veškeré údaje, které již nejsou zapotřebí v souvislosti s registrovaným účelem, byly bezpečně odstraněny nebo zničeny.

6.4.7 Pověřenec pro ochranu osobních údajů je zodpovědný za přijetí vhodných opatření, došlo-li k předání nepřesných nebo zastaralých osobních údajů organizacím třetích stran. V takovém případě je nutné těmto organizacím oznámit, že informace jsou nepřesné a/nebo zastaralé a že nesmí být použity jako podklad k rozhodnutí o dotyčných osobách. V případě potřeby je nutné zajistit předání opravených osobních údajů třetím stranám.

6.5  Osobní údaje musí být uchovávány v takové podobě, aby mohl být subjekt údajů identifikován pouze po dobu nezbytnou pro zpracování.

6.5.1 Pokud se osobní údaje uchovávají i po uplynutí stanoveného data pro zpracování, budou minimalizovány tak, aby byla chráněna identita subjektu údajů, kdyby došlo k porušení ochrany údajů.

6.5.2 Osobní údaje budou uchovávány v souladu s pravidly o uchovávání záznamů a po uplynutí stanovené doby musí být bezpečně zničeny, jak je určeno tímto postupem.

6.5.3 Pověřenec pro ochranu osobních údajů musí výslovně schválit každé uchovávání údajů, u nichž je překročena doba uchovávání a musí zajistit, aby bylo toto odůvodnění jasně identifikováno a bylo v souladu s právními předpisy o ochraně údajů. Toto rozhodnutí musí být uděleno písemně (lze použít i e-mail).

6.6  Osobní údaje musí být zpracovány tak, aby byla zajištěna jejich bezpečnost.

6.7  Musí být přijata vhodná technická a organizační opatření proti neoprávněnému nebo protiprávnímu zpracování osobních údajů a proti náhodné ztrátě, zničení nebo poškození osobních údajů.

Tato kontrolní opatření jsou stanovena na základě zjištěných rizik pro osobní údaje a možností poškození nebo újmy jednotlivců, jejichž údaje jsou zpracovávány.

Soulad Calmu s těmito zásadami je obsažen v systému řízení bezpečnosti informací (ISMS), který byl vyvinut v souladu s normou ISO/IEC 27001:2013. Bezpečnostní kontroly podléhají auditu a revizi.

6.8  Osobní údaje nesmějí být převedeny do země nebo na území mimo Evropskou unii, pokud tato země nebo území nezajišťuje odpovídající úroveň ochrany „práv a svobod“ subjektů údajů v souvislosti se zpracováním osobních údajů.

Předávání osobních údajů mimo území EU je zakázáno, pokud se na něj nevztahuje jedna nebo více specifikovaných ochranných opatření nebo výjimek.

6.8.1  Ochranná opatření

Správce údajů posoudí přiměřenost opatření a zohlední přitom tyto faktory:

  •  povaha převáděných informací;
  •   země nebo oblast původu a konečného místa určení informací;
  •   jak budou informace využívány a jak dlouho;
  •   zákony a postupy země přijímajícího, včetně příslušných interních předpisů a mezinárodních závazků; a

6.8.2  Závazná firemní pravidla

Calm přijme schválená závazná interní pravidla pro přenos dat mimo EU a další opatření, jako je štít soukromí pro přenos údajů do Spojených států.

6.8.3  Vzorové smluvní doložky

Calm může přijmout schválené vzorové smluvní doložky pro přenos dat mimo EU. Pokud Calm přijme vzorové smluvní doložky schválené úřadem pro ochranu osobních údajů, bude ochrana automaticky uznána jako přiměřená.

6.8.4   Výjimky

Pokud neexistuje rozhodnutí o přiměřenosti, včetně závazných interních předpisů, uskuteční se přenos osobních údajů do třetí země nebo do jiné mezinárodní organizace pouze za jedné z následujících podmínek:

  •  subjekt údajů výslovně souhlasil s navrhovaným převodem poté, co byl informován o možných rizicích takového přenosu pro dotčenou osobu v důsledku neexistence rozhodnutí o přiměřenosti a vhodných záruk;
  •  převod je nezbytný pro plnění smlouvy mezi subjektem údajů a správcem nebo pro provádění předsmluvních opatření přijatých na žádost subjektu údajů;
  •  převod je nezbytný pro uzavření nebo plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;
  •  převod je nezbytný z důležitých důvodů veřejného zájmu;
  •  převod je nezbytný pro vznik, výkon nebo obranu právních nároků;
  •  převod je nezbytný k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob, pokud je subjekt údajů fyzicky nebo právně neschopný poskytnout souhlas;
  •  převod je proveden z rejstříku, který je podle práva EU nebo práv členského státu určen k informování veřejnosti a který je otevřen konzultaci buď pro obecnou veřejnost, nebo pro jakoukoli osobou, která může prokázat oprávněný zájem, ale pouze v případě, že jsou dodrženy podmínky stanovené pro konzultaci v právních předpisech EU nebo členských států pro danou konkrétní situaci.

Seznam zemí, které splňují požadavky Komise na přiměřenost, jsou zveřejněny v Úředním věstníku Evropské unie.

6.9  Odpovědnost

GDPR zavádí zásadu odpovědnosti, která stanoví, že správce je odpovědný nejen za zajištění shody, ale také za prokázání skutečnosti, že všechny úkony odpovídají požadavkům GDPR.

Správci mají zejména povinnost uchovávat potřebnou dokumentaci o všech úkonech, provádět příslušná bezpečnostní opatření, provádět DPIA (posouzení dopadů zpracování dat), splňovat požadavky na předběžná oznámení nebo schvalovat orgány dozoru a jmenovat pověřence pro ochranu osobních údajů. Ústředním pracovníkem ochrany údajů pro Calm je jmenován nizozemský pověřenec ochrany údajů.

7. Práva subjektů údajů

Subjekty údajů mají následující práva týkající se zpracování dat a údajů o nich zaznamenaných:

7.1 Požádat o přístup k informacím, které jsou o nich vedeny, včetně toho, komu byly zveřejněny.

7.2 Zabránit zpracování, které by je mohlo poškodit nebo jim způsobit újmu.

7.3 Zabránit zpracování za účelem přímého marketingu.

7.4 Být informováni o způsobu automatizovaného rozhodovacího procesu, který na ně může mít významný vliv.

7.5 Zabránit tomu, aby byla významná rozhodnutí, která by je ovlivnila, zpracována pouze automatizovaným procesem.

7.6 Požádat o náhradu škody, pokud utrpí škodu porušením GDPR.

7.7 Požádat o opravu, zablokování, výmaz, včetně práva být zapomenut, nebo zničení nepřesných údajů.

7.8 Požádat úřad DPA (Autoriteit Persoonsgegevens), aby posoudil, zda nebyla některá ustanovení GDPR porušena.

7.9 Právo na poskytnutí osobních údajů v strukturovaném, běžně používaném a strojově čitelném formátu a právo na předání těchto údajů jinému správci.

7.10 Právo vznést námitky proti automatizovanému profilování bez předchozího souhlasu.

Subjekty údajů mohou požadovat přístup k údajům. Jsou stanoveny postupy, které popisují, jak se Calm stará o to, aby jeho odpověď na žádost o přístup k datům odpovídala požadavkům nařízení.

Stížnosti

Subjekty údajů, které si chtějí stěžovat na Calm ohledně zpracování svých osobních údajů, mohou podat stížnost přímo u pověřence pro ochranu osobních údajů.

Subjekty údajů si mohou také stěžovat přímo u úřadu DPA (de Autoriteit Persoonsgegevens).

Pokud si subjekty údajů chtějí stěžovat na to, jakým způsobem byla jejich stížnost vyřizována, nebo se odvolat proti jakémukoli rozhodnutí učiněnému na základě jejich stížnosti, mohou podat další stížnost pověřenci pro ochranu osobních údajů. Toto právo by mělo být zahrnuto do postupu podávání stížností a studenti a pomocníci by s ním měli být seznámeni.

8. Souhlas

Calm chápe „souhlas“ jako výslovně a svobodně podané, konkrétní, informované a jednoznačné vyjádření přání subjektu údajů, jímž potvrzuje svůj souhlas se zpracováním svých osobních údajů. Souhlas subjektu údajů lze kdykoli odvolat.

Pro Calm „souhlas“ znamená, že dotyčná osoba byla plně informována o zamýšleném zpracování a vyjádřila svůj souhlas při plném vědomí a bez nátlaku. Souhlas získaný pod nátlakem nebo na základě zavádějících informací nebude platným základem pro zpracování. Mezi stranami, které prokazují aktivní souhlas, musí existovat aktivní komunikace. Souhlas nelze odvodit z absence odpovědi na komunikaci. U citlivých údajů musí být získán výslovný písemný souhlas subjektů údajů, pokud neexistuje alternativní legitimní základ pro zpracování.

Ve většině případů získává Calm souhlas se zpracováváním osobních a citlivých údajů běžně pomocí standardních dokumentů, jako je přihláška studenta nebo pomocníka na kurz. Pokud poskytuje Calm on-line služby dětem, je třeba získat souhlas rodičů nebo opatrovníků. Tento požadavek se vztahuje na děti mladší 16 let (pokud členský stát nestanoví nižší věkovou hranici, která však nesmí být nižší než 13 let).

9. Zabezpečení údajů

Všichni pomocníci odpovídají za to, aby byly veškeré osobní údaje, které Calm vlastní a za které odpovídá, bezpečně uchovávány a nebyly v žádném případě předávány třetí straně, ledaže by byla tato třetí strana výslovně pověřena Calmem k získání těchto informací a uzavřela dohodu o mlčenlivosti.

Všechny osobní údaje by měly být přístupné pouze těm, kteří je potřebují používat. Přístup k údajům je udělen pouze v souladu se zásadami kontroly přístupu. Osobní údaje musí být uchovávány:

  • v uzamykatelné místnosti s řízeným přístupem; a/nebo
  • v uzamčené zásuvce nebo kartotéce; a/nebo
  • chráněné heslem v souladu s podnikovými požadavky kontroly přístupu, pokud jsou v počítači; a/nebo
  • uložené na (přenosném) počítačovém médiu, které je šifrované a
  • tam, kde je to možné, anonymizované nebo pseudonymizované.

Je třeba dbát na to, aby obrazovky a terminály počítače nebyly viditelné nikomu kromě oprávněných pomocníků. Všichni pomocníci jsou povinni podepsat smlouvu o bezpečném zacházení s údaji dříve, než jim bude umožněn přístup k organizačním informacím jakéhokoli druhu.

Manuální záznamy nesmí být ponechány tam, kde mohou být přístupné neoprávněnému personálu, a nesmějí být z pracoviště přemístěny bez výslovného souhlasu. Jakmile již nejsou manuální záznamy pro každodenní podporu klientů nutné, musí být ze zabezpečené archivace odstraněny.

Osobní údaje smí být smazány nebo odstraněny pouze v souladu se směrnicí o uchovávání údajů. Manuální záznamy, které dosáhly lhůty určené pro jejich uchování, se musí skartovat a zničit jako „důvěrný odpad“. Pevné disky vyřazených osobních počítačů je třeba před likvidací vymontovat a okamžitě zničit.

Zpracování osobních údajů „mimo sídla správce“ představuje potenciálně větší riziko ztráty, krádeže nebo poškození osobních údajů. Pomocníci musí být výslovně pověřeni zpracovávat údaje mimo sídlo správce a musí vědět, jak postupovat v případě porušení ochrany údajů.

10. Právo na přístup k údajům

Subjekty údajů mají právo na přístup k jakýmkoli osobním údajům (tj. údajům o nich), které jsou v Calmu uchovávány v elektronické podobě, a k manuálním záznamům, které jsou součástí příslušného registračního systému. To zahrnuje právo na kontrolu důvěrných osobních referencí, které Calm obdržel, a informací získaných od organizací třetích stran.

11. Zpřístupnění údajů

Calm musí zajistit, aby osobní údaje nebyly zpřístupněny neoprávněným třetím stranám, což zahrnuje členy rodiny, přátele, vládní orgány a za určitých okolností i policii. Všichni pomocníci by měli dbát zvýšené opatrnosti, když budou požádáni o zpřístupnění osobních údajů jiné osoby třetí straně. Pomocníci budou povinně proškoleni, aby dokázali takovou rizikovou situaci účinně řešit. Je důležité důkladně zvážit, zda je zpřístupnění konkrétních informací relevantní a nezbytné pro vedení kurzů.

GDPR umožňuje určité zpřístupnění údajů bez souhlasu, pokud jsou informace požadovány pro jeden nebo více z následujících účelů:

  • zajištění národní bezpečnosti;
  • prevence nebo odhalování trestného činu včetně obvinění nebo stíhání pachatelů;
  • stanovení nebo výběr daně;
  • plnění regulačních funkcí (zahrnuje zdraví, bezpečnost a sociální zabezpečení osob při práci);
  • zabránění vážnému poškození třetí strany;
  • ochrana životních zájmů jednotlivce v ohrožení života.

Všechny žádosti o poskytnutí údajů z některého z těchto důvodů musí být doloženy příslušnou dokumentací a každé takové zpřístupnění údajů musí být výslovně povoleno pověřencem pro ochranu osobních údajů.

12. Uchovávání a odstraňování údajů

Osobní údaje nesmí být uchovávány delší dobu, než je požadováno. Jakmile již pomocník v centru nepracuje nebo se student přestal ucházet o kurzy, není nutné jejich údaje dále uchovávat. Některé údaje budou uchovávány delší dobu než jiné a ve všech případech bude dodržován postup Calmu pro uchovávání a odstraňování údajů.

Odstraňování záznamů

Osobní údaje musí být odstraněny způsobem, který chrání „práva a svobody“ subjektů údajů (např. skartací, likvidací pro případ důvěrného odpadu, zabezpečeným elektronickým výmazem) a v souladu s postupem pro bezpečné odstranění.

13. Porušení ochrany údajů

Calm má stanovený postup na kontrolu porušení ochrany údajů. Každé porušení musí být oznámeno pověřenci pro ochranu osobních údajů v souladu se schválenými zásadami.

14. Datum nabytí účinnosti

Tyto zásady na ochranu osobních údajů jsou platné od 26. května 2018. Calm si vyhrazuje právo tyto zásady upravit a/nebo přepracovat. Všichni uživatelé služeb Calmu jsou těmito zásadami vázáni. To zahrnuje správní radu, dozorčí radu, trust Calmu, pověřence pro ochranu osobních údajů, trusty a pomocníky používající Calm a třetí země a strany, pokud jsou jejich závazky v rámci těchto zásad uvedeny.

15. Sdílení informací

Tyto zásady budou srozumitelně a v plném rozsahu sdíleny se studenty a pomocníky, kteří se hlásí na kurzy. Kopie těchto zásad je všem uživatelům Calmu na požádání k dispozici a lze ji také nalézt na webové stránce.