Захист даних має надзвичайно важливе значення для «Об’єднання з запровадження знання Ґраля від Абд-ру-шина, Фомперберг», яке є правовласником Міжнародного Руху Ґраля. Далі у документі буде використовуватися термін «Міжнародний Рух Ґраля».
Користування сайтом Міжнародного Руху Ґраля принципово можливе без вказання будь-яких даних про особистість. Якщо суб’єкт даних захоче скористатися послугами нашого Об’єднання через наш сайт, то все ж таки може знадобитися опрацювання персональних даних. Якщо виникає необхідність в опрацюванні персональних даних і для такого опрацювання нема законних підстав, то, як правило, ми запитуємо про згоду суб’єкта даних.
Опрацювання персональних даних, наприклад імені, адреси, електронної адреси або номера телефону (див. Додаток А), суб’єкта даних завжди проводиться згідно з основними правилами захисту даних та відповідно до специфічних для країн постанов із захисту даних, що стосуються Міжнародного Руху Ґраля. За допомогою цієї Декларації про захист даних наше Об’єднання хотіло б проінформувати громадськість про характер, обсяг та мету збору, використання та опрацювання персональних даних. Надалі за допомогою цієї Декларації про захист даних суб’єктам даних роз’яснюються права, які вони мають.
Міжнародний Рух Ґраля, як контролер, вжив багато технічних та організаційних заходів, щоб забезпечити, наскільки можливо, повний захист персональних даних, що опрацьовуються. Проте внесення даних через Інтернет принципово може мати прогалини у безпеці, так що абсолютний захист гарантувати неможливо. З цієї причини кожному суб’єкту даних надається можливість передати нам персональні дані за допомогою альтернативних засобів, наприклад поштою.
1. Визначення термінів
Декларація про захист даних Міжнародного Руху Ґраля базується на сукупності термінів, які були використані Європейським регуляторним органом, що видає директиви та постанови, при виданні Загального регламенту захисту даних (GDPR). Наша Декларація про захист даних повинна легко читатися та бути зрозумілою як для громадськості, так і для однодумців та членів нашого Об’єднання. Щоб це забезпечити, ми хотіли б спочатку роз’яснити використані терміни.
У цій Декларації про захист даних ми використовуємо серед інших такі терміни:
- а) персональні дані
Персональні дані – це вся інформація, що стосується фізичної особи (далі «суб’єкта даних»), яка ідентифікована або може бути ідентифікована. Фізичною особою, яка може бути ідентифікована, вважається така, яку прямо чи непрямо, зокрема за допомогою зіставлення з такими ідентифікаторами як ім’я, ідентифікаційний код, дані про місцезнаходження, онлайн-ідентифікатор або одна чи більше особливих ознак, що виражають фізичну, фізіологічну, генетичну, психічну, економічну, культурну чи соціальну ідентичність цієї фізичної особи, можна ідентифікувати.
- b) суб’єкт даних
Суб’єкт даних – це ідентифікована або така, що може бути ідентифікована, фізична особа, чиї персональні дані опрацьовуються контролером.
- c) опрацювання
Опрацювання – це будь-яка операція чи низка операцій, що здійснюється за допомогою або без допомоги автоматизованих процедур у зв’язку з персональними даними, як-от зібрання, облік, організація, упорядкування, зберігання, адаптація або зміна, читання, запит, використання, розкриття через передачу, розповсюдження чи іншу форму надання, зіставляння або зв’язування, обмеження, стирання або знищення.
- d) обмеження опрацювання
Обмеження опрацювання – це маркірування персональних даних, що зберігаються, з метою обмеження їхнього подальшого опрацювання.
- e) профайлінг
Профайлінг – це будь-який вид автоматичного опрацювання персональних даних, яке полягає в тому, що ці персональні дані використовуються для того, щоб оцінити певні особистісні аспекти, що стосуються фізичної особи, зокрема щоб проаналізувати чи передбачити те, що стосується виконання праці, економічної ситуації, здоров’я, особистих уподобань, інтересів, надійності, поводження, місця проживання або зміни місця проживання цієї фізичної особи.
- f) псевдонімізація
Псевдонімізація – це опрацювання персональних даних таким чином, що їх більше не можна віднести до певного суб’єкта даних без залучення додаткової інформації, за умови, що ця інформація зберігається окремо й підлягає технічним та організаційним заходам, які забезпечують те, що персональні дані не зіставляються з ідентифікованою фізичною особою або такою, що може бути ідентифікована.
- g) контролер або оператор
Контролер або оператор – це фізична або юридична особа, орган влади, установа або інша інстанція, яка сама або разом з іншими приймає рішення про мету та засоби опрацювання персональних даних. Якщо мета та засоби цього опрацювання встановлені союзним законом або законом держави-члена, то контролер або певні критерії його призначення можуть бути передбачені згідно з союзним законом або законом держави-члена.
- h) виконувач опрацювання
Виконувач опрацювання – це фізична або юридична особа, орган влади, установа або інша інстанція, яка опрацьовує персональні дані за дорученням контролера.
- i) одержувач
Одержувач – це фізична або юридична особа, орган влади, установа або інша інстанція, якій передаються персональні дані, незалежно від того, чи йде тут мова про третю сторону, чи ні. Однак органи влади, які за союзним законом або законом держави-члена можуть отримувати персональні дані в рамках певного доручення на дослідження, не вважаються одержувачем.
- j) третя сторона
Третя сторона – це фізична або юридична особа, орган влади, установа або інша інстанція, крім суб’єкта даних, контролера, виконувача опрацювання та осіб, які уповноважені опрацьовувати персональні дані під безпосередньою відповідальністю контролера або виконувача опрацювання.
- k) згода
Згода – це будь-яке повідомлене та недвозначне волевиявлення суб’єкта даних, добровільно дане у певному випадку у вигляді заяви або іншої підтверджувальної дії, якою суб’єкт даних дає зрозуміти, що він згоден з опрацюванням персональних даних, що його стосуються.
2. Назва та адреса контролера
Контролер щодо Загального регламенту захисту даних, інших законів із захисту даних, чинних у державах-членах Європейського Союзу, та інших постанов, що стосуються захисту даних:
Міжнародний Рух Ґраля
Internationale Gralsbewegung
Marktstraße 19
6130 Schwaz
Österreich
Tel.: (+43) (0) 5242 71383
Fax: (+43) (0) 5242 71383-14
E-Mail: office@internationale–gralsbewegung.org
Website: www.internationale-gralsbewegung.org
3. Збір загальних даних та інформації в мережі Інтернет
Веб-сайт Міжнародного Руху Ґраля при кожному відвідуванні сайту суб’єктом даних або автоматизованою системою збирає низку загальних даних та інформації. Ці загальні дані та інформація зберігаються у log-файлах сервера. Можуть бути записані (1) використані типи та версії браузера, (2) операційна система, використана системою доступу, (3) веб-сайт, з якого система доступу потрапляє на наш веб-сайт (так званий реферер), (4) сторінки нашого веб-сайту, до яких йде звернення через систему доступу, (5) дата та час доступу на веб-сайт, (6) адреса інтернет-протоколу (IP-адреса), (7) провайдер послуг Інтернету системи доступу та (8) інші подібні дані та інформація, які слугують запобіганню небезпеки у разі атак на наші інформаційно-технологічні системи.
При використанні цих загальних даних та інформації Міжнародний Рух Ґраля не робить ніяких висновків про суб’єкт даних. Скоріше, ця інформація потрібна, щоб (1) коректно подати зміст нашого веб-сайту, (2) оптимізувати зміст нашого веб-сайту, а також повідомлення про нього, (3) забезпечити тривалу працездатність наших інформаційно-технологічних систем та техніки нашого веб-сайту, а також, (4) у разі кібератаки, надати органам кримінального переслідування необхідну інформацію для кримінального переслідування. Тому ці дані та інформація, що збираються анонімно, використовуються Міжнародним Рухом Ґраля, з одного боку, для статистики, а з іншого – з метою підвищення захисту даних та безпеки даних у нашому Об’єднанні, щоб врешті-решт забезпечити оптимальний рівень захисту для персональних даних, які нами опрацьовуються. Анонімні дані log-файлів сервера зберігаються окремо від усіх персональних даних, що надані суб’єктом даних.
- 3.1 Збір даних для обрядів Ґраля
Це опрацювання базується на добровільній згоді. Стаття 6 I a GDPR
- 3.2 Збір даних членів Об’єднання
Це опрацювання базується на добровільній згоді. Стаття 6 I a GDPR
4. Звичайне стирання та блокування персональних даних
Контролер опрацьовує та зберігає персональні дані суб’єкта даних лише протягом часу, необхідного для досягнення мети зберігання, або строку, передбаченого Європейським регуляторним органом, що видає директиви та постанови, або іншим законодавцем у законах або приписах, яким підлягає контролер.
Якщо мета зберігання перестає існувати або минає строк зберігання, передбачений Європейським регуляторним органом, що видає директиви та постанови, або іншим компетентним законодавцем, персональні дані звичайним чином та згідно з установленим законом порядком блокуються або стираються.
5. Права суб’єкта даних
- а) Право на підтвердження
Кожний суб’єкт даних має право, дане Європейським регуляторним органом, що видає директиви та постанови, вимагати від контролера підтвердження того, що його персональні дані опрацьовуються. Якщо суб’єкт даних хоче скористатися цим правом підтвердження, він може у будь-який час звернутися до нашого уповноваженого із захисту даних або іншого співробітника контролера.
- b) Право на інформацію
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, у будь-який час отримувати від контролера безоплатну інформацію про збережені персональні дані, що стосуються його особи, та отримати копію цієї інформації. Додатково Європейський регуляторний орган, що видає директиви та постанови, визначив таку інформацію, яка належить суб’єкту даних:
- мета опрацювання;
- категорії персональних даних, які опрацьовуються;
- одержувачі або категорії одержувачів, яким були відкриті чи ще відкриті персональні дані, особливо при одержувачах в третіх країнах або при міжнародних організаціях;
- якщо можливо, запланований строк, протягом якого зберігаються персональні дані, або, якщо це неможливо, критерії визначення цього строку;
- існування права на корегування або стирання її персональних даних або на обмеження опрацювання контролером або права на заперечення опрацювання;
- існування права скарги до наглядового органу;
- якщо персональні дані взяті не в суб’єкта даних: вся наявна інформація про джерело даних;
- існування автоматизованого пошуку рішення, включаючи профайлінг, згідно зі статтею 22 абз. 1 та 4 GDPR та, щонайменше в цих випадках, змістовна інформація про логіку, що в цьому міститься, а також про обсяг та бажані результати такого опрацювання для суб’єкта даних.
Крім того, суб’єкту даних належить право на інформацію про те, чи були передані персональні дані третій країні або міжнародній організації. Якщо це так, то суб’єкту даних також належить право отримати інформацію про слушні гарантії щодо цієї передачі.
Якщо суб’єкт даних хоче скористатися цим правом на інформацію, він може у будь-який час звернутися до нашого уповноваженого із захисту даних або іншого співробітника контролера.
- с) Право на коригування
Кожний суб’єкт даних, чиї персональні дані були опрацьовані, має право, дане Європейським регуляторним органом, що видає директиви та постанови, вимагати негайного коригування неправильних персональних даних, що його стосуються. Крім того, суб’єкту даних належить право, зважаючи на цілі опрацювання, вимагати доповнення неповних персональних даних також за допомогою додаткової декларації.
Якщо суб’єкт даних хоче скористатися цим правом на коригування, він може у будь-який час звернутися до нашого уповноваженого із захисту даних або іншого співробітника контролера.
- d) Право на стирання (право на забуття)
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, вимагати від контролера, щоб його персональні дані були негайно стерті, якщо наявна одна з таких причин та коли опрацювання не є необхідним:
- Персональні дані були взяті або опрацьовані іншим чином з такою метою, для якої вони більше не потрібні.
- Суб’єкт даних відкликає свою згоду, на яку опиралося опрацювання за статтею 6 абз.1 а GDPR або статтею 9 абз.2 а GDPR, та не існує інших законних причин для опрацювання.
- Суб’єкт даних висуває заперечення проти опрацювання за статтею 21 абз.1 GDPR, і нема ніяких важливіших виправданих причин для опрацювання, або суб’єкт даних висуває заперечення проти опрацювання за статтею 21 абз.2 GDPR.
- Персональні дані були опрацьовані неправомірно.
- Стирання персональних даних необхідне, щоб виконати правові обов’язки за законом Союзу або законом держави-члена, якому підлягає контролер.
- Персональні дані були взяті у зв’язку з пропонованим сервісом інформаційної компанії за статтею 8 абз.1 GDPR.
Якщо існує одна з названих причин і суб’єкт даних хоче, щоб його персональні дані, які зберігаються в Міжнародному Рухові Ґраля, були стерті, він може у будь-який час звернутися до нашого контролера. Уповноважений Міжнародного Руху Ґраля вживе заходів, щоб бажання стирання було невідкладно здійснене.
Якщо персональні дані були оприлюднені Міжнародним Рухом Ґраля та якщо наше Об’єднання як відповідальне за статтею 17 абз.1 GDPR зобов’язали стерти персональні дані, то Міжнародний Рух Ґраля вживе належних заходів, у тому числі технічних, з урахуванням наявних технологій та витрат на здійснення, щоб повідомити інших контролерів, які опрацьовують оприлюднені персональні дані, що суб’єкт даних вимагає від цих інших контролерів стирання всіх лінків до цих персональних даних, або копій, або реплікацій цих персональних даних, якщо це опрацювання не потрібне. Уповноважений Міжнародного Руху Ґраля вживе необхідних у кожному випадку заходів.
- e) Право на обмеження опрацювання
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, вимагати від контролера обмеження опрацювання, коли виявляється одна з таких умов:
- Правильність персональних даних заперечується суб’єктом даних, й при тому на період, який дозволяє контролеру перевірити правильність персональних даних.
- Опрацювання неправомірне, суб’єкт даних відмовляється від стирання персональних даних та замість цього бажає обмеження використання персональних даних.
- Контролер більше не потребує персональних даних для мети опрацювання, однак суб’єкт даних має потребу в них для пред’явлення, здійснення або захисту правових претензій.
- Суб’єкт даних висуває заперечення проти опрацювання за статтею 21 абз.1 GDPR, і ще не визначено, чи переважують виправдані причини контролера виправдані причини суб’єкта даних.
Якщо наявна одна з названих умов і суб’єкт даних бажає обмеження опрацювання його персональних даних, які зберігаються в Міжнародному Рухові Ґраля, він може у будь-який час звернутися до нашого контролера даних. Уповноважений Міжнародного Руху Ґраля вживе заходів для обмеження опрацювання.
- f) Право на можливість передачі даних
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, отримувати персональні дані, що його стосуються, які були надані контролерові суб’єктом даних, у структурованому, вживаному та машиночитаному форматі. Крім того, він має право передати ці дані іншому контролеру без перешкод з боку контролера, якому ці персональні дані були надані, за умови, що опрацювання базується на згоді за статтею 6 абз.1 а GDPR або статтею 9 абз.2 а GDPR або згідно з договором за статтею 6 абз.1 b GDPR та опрацювання виконується за допомогою автоматизованих процедур, за умови, що опрацювання не потрібне для здійснення завдання, пов’язаного з громадськими інтересами, або здійснення функцій державної влади, доручених контролеру.
Крім того, за статтею 20 абз.1 GDPR суб’єкт даних при використанні свого права на передачу даних має право домагатися, щоб персональні дані були передані безпосередньо від одного контролера до іншого контролера, якщо це технічно можливо та якщо цим не порушуються права та свободи інших осіб.
Для здійснення права на передачу даних суб’єкт даних може у будь-який час звернутися до уповноваженого Міжнародного Руху Ґраля.
- g) Право на заперечення
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, за причинами, що виникли через його особливу ситуацію, у будь-який час висувати заперечення проти опрацювання персональних даних, що його стосуються, яке здійснюється за статтею 6 абз.1 e або f GDPR. Це стосується також профайлінгу, який опирається на ці положення.
Міжнародний Рух Ґраля у разі заперечення більше не опрацьовує персональні дані, хіба що ми можемо довести настійні причини для опрацювання, які переважують інтереси, права та свободи суб’єкта даних, або опрацювання слугує для подання, здійснення або захисту правових претензій.
Якщо Міжнародний Рух Ґраля опрацьовує персональні дані, щоб провадити поштову рекламу, то суб’єкт даних має право у будь-який час висунути заперечення проти опрацювання персональних даних з метою такої реклами. Це стосується також профайлінгу, якщо він пов’язаний з такою поштовою рекламою. Якщо суб’єкт даних заперечує проти опрацювання Міжнародним Рухом Ґраля з метою поштової реклами, то Міжнародний Рух Ґраля більше не опрацьовує ці персональні дані з такою метою.
Щоб здійснити право на заперечення, суб’єкт даних може звернутися безпосередньо до уповноваженого Міжнародного Руху Ґраля. Крім того, суб’єкт даних вільний здійснити своє право на заперечення у зв’язку з користуванням сервісами інформаційних компаній за допомогою автоматизованих процедур, в яких використовуються технічні специфікації, незважаючи на Директиву 2002/58/EC.
- h) Автоматизовані рішення в окремих випадках включно з профайлінгом
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, не бути підпорядкованим рішенню, що опирається виключно на автоматизоване опрацювання, включно з профайлінгом, яке має правову дію проти нього або серйозно шкодить йому подібним чином, за умови, що таке рішення (1) не потрібне для укладання або виконання договору між суб’єктом даних та контролером або (2) не допустиме за законами Союзу або держави-члена, яким підлягає контролер, і ці закони містять належні заходи для захисту прав та свобод, а також виправданих інтересів суб’єкта даних, або (3) не здійснюється з визначеною згодою суб’єкта даних.
Якщо рішення (1) необхідне для укладання або виконання договору між суб’єктом даних та контролером або (2) здійснюється з визначеною згодою суб’єкта даних, Міжнародний Рух Ґраля вживає належних заходів, щоб захистити права та свободи, а також виправдані інтереси суб’єкта даних, до чого належить, щонайменше, право домагання на втручання особи з боку контролера, висловлення власної позиції та заперечування рішення.
Якщо суб’єкт даних бажає здійснити право щодо автоматизованих рішень, він може у будь-який час звернутися безпосередньо до нашого уповноваженого із захисту даних або іншого співробітника контролера.
- i) Право на відкликання згоди за законом про захист даних
Кожний суб’єкт даних, якого стосується опрацювання персональних даних, має право, дане Європейським регуляторним органом, що видає директиви та постанови, у будь-який час відкликати згоду на опрацювання персональних даних.
Якщо суб’єкт даних бажає здійснити своє право на відкликання згоди, він може у будь-який час звернутися до нашого уповноваженого.
6. Правова основа опрацювання
Стаття 6 I а GDPR слугує для нашого Об’єднання правовою основою для процедур опрацювання, для яких ми отримуємо згоду для певної мети опрацювання. Якщо опрацювання персональних даних потрібне для виконання договору, стороною якого є суб’єкт даних, як, наприклад, у разі процедур опрацювання, які необхідні для доставки товарів або надання інших послуг або винагороди, то опрацювання опирається на статтю 6 I b GDPR. Те ж саме стосується процедур опрацювання, необхідних для проведення заходів, що передують укладанню договору, наприклад у випадках запитів про наші продукти або послуги. Якщо наше Об’єднання підлягає правовому обов’язку, через який потрібне опрацювання персональних даних, як, наприклад, для виконання податкових обов’язків, то опрацювання опирається на статтю 6 I c GDPR. Зрідка опрацювання персональних даних потрібне, щоб захистити життєво важливі інтереси суб’єкта даних або іншої фізичної особи. Це може бути у разі, якщо відвідувач ушкоджується в нашій організації й після цього треба передати його ім’я, вік, дані медичного страхування або іншу життєво важливу інформацію лікарю, у лікарню або іншим третім особам. Тоді опрацювання опирається на статтю 6 I d GDPR. Врешті-решт, процедури опрацювання можуть опиратися на статтю 6 I f GDPR. На цій правовій основі базуються процедури опрацювання, які не охоплюються жодною з вищезгаданих правових основ, якщо опрацювання потрібне для захисту виправданих інтересів нашого Об’єднання або третьої сторони, за умови, що інтереси, основні права та свободи суб’єкта даних не переважують. Такі процедури опрацювання дозволені нам, зокрема, тому, що вони спеціально вказані Європейським регуляторним органом, що видає директиви та постанови. Стосовно цього він дотримується погляду, що виправданий інтерес може бути прийнятим, якщо суб’єкт даних клієнт контролера (декларативна частина 47, теза 2 GDPR).
7. Виправдані інтереси в опрацюванні, які переслідує контролер або третя сторона
Якщо опрацювання персональних даних базується на статті 6 I f GDPR, наш виправданий інтерес – це здійснення нашої підприємницької діяльності на користь добробуту всіх наших співробітників та членів Об’єднання.
8. Тривалість зберігання персональних даних
Критерій тривалості зберігання персональних даних – це відповідний легальний строк зберігання. Після закінчення строку відповідні дані звичайним чином стираються, якщо вони не потрібні для виконання або укладання договору.
9. Правові та договірні положення про надання персональних даних; обов’язковість для укладання договору; обов’язок суб’єкта даних надавати персональні дані; можливі наслідки ненадавання
Ми повідомляємо вас, що надання персональних даних почасти приписується законом (наприклад, правила оподаткування) або може виходити також з регламенту договорів (наприклад, дані про партнерів договору). Іноді для укладання договору може бути необхідним, щоб суб’єкт даних надав нам персональні дані, які потім повинні бути опрацьовані нами. Наприклад, суб’єкт даних зобов’язаний надати нам персональні дані, якщо наше Об’єднання укладає з ним договір. Наслідком ненадавання персональних даних може бути те, що з суб’єктом даних не можна буде укласти договір. Перед наданням персональних даних суб’єктом даних він повинен звернутися до нашого уповноваженого із захисту даних. Наш уповноважений із захисту даних у зв’язку з окремим випадком повідомляє суб’єкт даних про те, чи передбачене законом або договором або потрібне для укладання договору надання персональних даних, чи існує зобов’язання надати персональні дані та які наслідки може мати ненадання персональних даних.
10. Існування автоматизованого прийняття рішення
Як відповідальне Об’єднання, ми відмовляємося від автоматизованого прийняття рішень або профайлінгу.
Додаток А
Категорії даних для обрядів ґраля
Дані |
Імена пошуку |
Імена |
Прізвища |
Місце= коло Ґраля |
Адреса |
Стать |
Дата народження |
Прізвище при народженні |
Громадянство |
Місце народження |
Сімейний стан |
Дата обряду Ґраля |
Порядковий номер |
Обряд Ґраля |
Категорії даних члена об’єднання
Дані |
Ім’я/Прізвище |
Вулиця |
Поштовий код |
Місто |
Номер телефону |
Дата народження |
Категорії даних постачальників
Дані |
Ім’я/Прізвище/Назва підприємства |
Адреса |
Вулиця |
Поштовий код |
Місто |
Номер телефону |
UID номер |
IBAN |
BIC |
Номер телефону контактної особи постачальника |
E-Mail контактної особи постачальника |
У кожному окремому випадку передача відповідних даних відбувається на основі правових положень або договірних угод до таких адресатів:
- регіональні адміністрації Руху Ґраля
- податковий консультант (зовнішньо)
- фінансова служба
- партнери договору або бізнесу, які беруть участь у виконанні договору, наприклад поштові службовці/постачальники, виробники
- банки
- відповідні правові представники
- відповідні суди
- відповідні органи влади
- відповідні страхувальники