Smernica o ochrane a spracovaní osobných údajov
Obsah
l. Základné pojmy
2. Mapovanie osobných údajov
3. Zásady spracúvania osobných údajov (článok 5 GDPR)
4. Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(článok 7 GDPR)
5. Podmienky uplatnitel’né na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti (článok 8 GDPR)
6. Spracúvanie osobitných kategórií osobných údajov (článok 9 GDPR)
7. Práva dotknutej osoby (kapitola 3 GDPR)
8. Zodpovednosť prevádzkovatel’a (článok 24 GDPR)
9. Špecificky navrhnutá a štandardná ochrana osobných údajov
(článok 25 GDPR)
10. Sprostredkovatel‘ (článok 28 GDPR)
ll. Záznamy o spracovatel’ských činnostiach (článok 30 GDPR)
12. Bezpečnosť spracúvania (článok 32 GDPR)
13. Oznámenie porušenia ochrany osobných údajov dozornému orgánu
(článok 33 a 34 GDPR)
14. Posúdenie vplyvu na ochranu údajov (článok 35)
15. Určenie zodpovednej osoby (kapitola 4 oddiel 4 GDPR)
16. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie
17. Mlčanlivosť (§ 79 ZoOOÚ)
Podl’a ustanovení nariadenia európskeho parlamentu a rady {EÚ) 2016/679, z 27. apríla
2016o ochrane fyzických osôb pri spracúvaní osobných údajov a o vol’nom pohybe takýchto údajov, {ďalej len GDPR) a podl’a ustanovení zákona 18/2018 z.z, z 29. novembra
2017o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, {ďalej len
ZoOOÚ)
Obsahuje technické a organizačné opatrenia, ktoré sa naša spoločnosť zaviazala dodržiavať, keďže je podľa článku 24 GDPR s ohl’adom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb zodpovedná, aby zabezpečila a bola schopná preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR.
úradu na ochranu osobných údajov Slovenskej republiky
Hraničná 12, 820 07 Bratislava 27
Tel: 02/ 32 313214
E-mail: statny.dozor@pdp.gov.sk
{ďalej len .,dozorný orgán“)
l. Základné pojmy
dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovate!‘ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,
sprostredkovatel’om každý, kto spracúva osobné údaje v mene prevádzkovateľa,
spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhl’adávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva aizovanými prostriedkami alebo neaizovanými prostriedkami,
súhlasom dotknutej osoby akýkol’vek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov
informačným systémom akýkol’vek usporiadaný súbor osobných údajov, ktoré sú prístupné podl’a určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s ciel’om obmedziť ich spracúvanie v budúcnosti, profilovaním akákoľvek forma aizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spol’ahlivosťou, správaním, polohou alebo pohybom,
pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovatel’nej fyzickej osobe,
šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kl’úč alebo heslo,
online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä lP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej
osoby a na jej identifikáciu,
porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov alebo k neoprávnenému prístupu k nim,
prijemcom každý, komu sa osobné údaje poskytnú bez ohl’adu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovatel‘ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovatel’a alebo sprostredkovatel’a spracúva osobné údaje,
2. Mapovanie osobných údajov
Naša spoločnosť sa v tomto kroku rozhodla definovať, aké osobné údaje spracúva, aby bola schopná zanalyzovať spracúvanie osobných údajov a zabezpečiť súlad s GDPR.
jednotlivé kategórie osobných údajov si zadefinujeme ako jednotlivé informačné systémy
(IS).
IS Zákazníci
meno, priezvisko, titul, ulica a číslo, PSČ, mesto, email, telefónny kontakt, prihlasovacie meno, heslo, údaje k reklamácii
účel spracovania: vystavenie daňového dokladu, zmluvné a predzmluvné vzťahy, reklamácie.
IS Kamerový systém
Tvár monitorovanej fyzickej osoby a iné črty osoby ktoré môžu byť odhalené kamerovým systémom
Účel spracovania: ochrana práv a majetku.
IS BOZP
Meno, priezvisko, dátum a druh školenia
Účel spracovania: evidencia školení BOZP.
3. Zásady spracúvania osobných údajov {článok S
GDPR)
Naša spoločnosť bude dodržiavať nasledovné zásady spracúvania osobných údajov:
3.1 Zákonnosť, spravodlivosť a transparentnosť (článok 5 ods.1písm. a) GDPR)
Osobné údaje budú spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (.,zákonnosť, spravodlivosť a transparentnosť“);
3.1.1 Zákonnosť spracúvania (článok 6 GDPR)
Naša spoločnosť sa zaviazala spracúvať údaje len zákonným spôsobom tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
Spracúvanie osobných údajov našou spoločnosťou bude zákonné a to zabezpečením, že sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá
osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred
uzatvorením zmluvy
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo
medzinárodnej zmluvy, ktorou je Slovenská republika viazaná (§ 13 ods. l písmeno c
ZoOOÚ)
dl spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo
pri výkone verejnej moci zverenej prevádzkovateľovi
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje
prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
Právne základy pre jednotlivé účely spracovania osobných údajov sú definované v záznamoch o spracovatel’ských činnostiach.
3.2 Zásada obmedzenia účelu (článok 5 ods.l písm. b) GDPR)
Naša spoločnosť bude získavať osobné údaje len na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Naša spoločnosť informuje dotknutú osobu o účele spracúvania osobných údajov pred ich spracúvaním.
V časti mapovanie osobných údajov sme si stanovili účely spracovania jednotlivých IS
a osobné údaje budeme spracúvať len na účely uvedené v tejto časti.
3.3 Zásada minimalizácie osobných údajov (článok 5 ods.l písm. c) GDPR)
Naša spoločnosť bude spracúvať osobné údaje tak, aby toto spracúvanie primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
S cieľom zabezpečiť minimalizáciu osobných údajov sa naša spoločnosť rozhodla zanalyzovať, či sú spracuvávané údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
Výsledky analýzy minimalizácie údajov sú uvedené v záznamoch o spracovateľských činnostiach.
3.4 Zásada správnosti (článok 5 ods.lpísm. d) GDPR)
Naša spoločnosť bude spracúvať osobné údaje tak, aby boli správne a podľa potreby aktualizované; a prijme primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
Na zabezpečenie zásady správnosti má naša spoločnosť v písomnom súhlase so spracovaním osobných údajov nasledovnú formuláciu:
Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. V prípade zmeny osobných údajov je dotknutá osoba povinná zmenu bezodkladne oznámiť prevádzkovateľovi.
3.5 Zásada minimalizácie uchovávania (článok 5 ods.lpísm. e) GDPR)
Osobné údaje bude naša spoločnosť uchováť vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
3.6 Zásada integrity a dôvernosti (článok 5 ods.lpísm. f) GDPR)
Osobné údaje budú v našej spoločnosti spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov a to prostredníctvom primeraných technických alebo organizačných opatrení.
3.6.1Osobné údaje uložené v elektronickej podobe
Osobné údaje sú uložené v počitači, ktorý je chránený heslom
Elektronicke dokumenty zálohujeme na externý disk
Dáta na externom disk sú chránené heslom
Dáta na externom disk sú šifrovane
Dáta uložené na servery sú chránené heslom
Dáta uložené na servery sú šifrované
Počitače sú chránené heslom, káždy opravnený má svoje pristupové meno a heslo Pristup k počítačom prideluje IT oddelenie na základe rozhodnutia nadriadených Osobné údaje sú uložené v prečinkoch ku ktorým majú prístupy len opravnené osoby
3.6.2 Osobné údaje uložené v papierovej (vytlačenej) podobe
Dokumenty sú uložené v obaloch a v šanonoch (chránené pred poškodením)
3.7 Zásada zodpovednosti (článok 5 ods. 2 GDPR)
Naša spoločnosť je zodpovedná za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinná tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
4. Podmienky poskytnutia súhlasu so spracúvaním osobných údajov (článok 7 GDPR)
Spoločnosť zabezpečí splnenie nasledovných podmienok pri vyjadrení súhlasu dotknutou osobou
a) súhlas so spracúvaním osobných údajov musí byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle.
b) žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšitel’ná od týchto iných skutočností, v zrozumitel’nej a l’ahko dostupnej forme a formulovaná jasne a jednoducho.
c) dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
5. Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti (článok 8 GDPR)
Ak sa uplatňuje článok 6 ods. l písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil
nositel‘ rodičovských práv a povinností.
Naša spoločnosť vynaloží primerané úsilie, aby si v takýchto prípadoch overila, že nositel‘ rodičovských práv a povinností vyjadril súhlas alebo ho schválil, pričom zohl’adní dostupnú technológiu.
6. Spracúvanie osobitných kategórií osobných údajov (článok 9 GDPR)
Podl’a GDPR sa zakazuje spracúvanie osobných údajov, ktoré odhal’ujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Tento zákaz sa však neuplatňuje, ak platí niektorá z podmienok článku 9 ods. 2 GDPR
písm. a)- j)
a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku l nemôže dotknutá osoba zrušiť; b) spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovatel’a alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany
7. Práva dotknutej osoby (kapitola 3 GDPR)
Práva dotknutej osoby sú upravené kapitolou 3 GDPR a naša spoločnosť sa zaväzuje ich dodržiavať.
Ide napríklad o nasledovné práva:
7.llnformácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby (článok 13 GDPR)
Naša spoločnosť poskytne dotknutej osobe pri spracúvaní osobných údajov nasledovné informácie:
a) údaje o našej spoločnosti
b) kontaktné údaje prípadnej zodpovednej osoby;
c) účely spracúvania
d) právny základ spracúvania
e) ak sa spracúvanie zakladá na článku 6 ods. l písm. f) GDPR, oprávnené záujmy, ktoré sleduje prevádzkovatel‘ alebo tretia strana;
f) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;
g) v relevantnom prípade informácia o tom, že naša spoločnosť zamýšl’a preniesť osobné
údaje do tretej krajiny alebo medzinárodnej organizácii
h) doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
i) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim
sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; j) ak je spracúvanie založené na článku 6 ods. l písm. a) alebo na článku 9 ods. 2 písm.
a) GDPR, existencia práva kedykol’vek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;
k) právo podať sťažnosť dozornému orgánu;
l) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;
m) existencia aizovaného rozhodovania vrátane profilovania uvedeného v článku
22 ods. l a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
7.2 Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby (článok 14 GDPR)
Naša spoločnosť poskytne dotknutej osobe, ak tieto osobné údaje neboli získané od nej, všetky informácie uvedené v bode 7.1tejto organizačnej smernice a tiež z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.
Tieto informácie poskytne naša spoločnosť dotknutej osobe v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohl’adní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú uvedené v článku 14 ods. 3 GDPR
Naša spoločnosť neposkytne dotknutej osobe tieto informácie v prípadoch uvedených v článku 14 ods. 5 GDPR, najmä ak:
a) dotknutá osoba má už dané informácie b) sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie c) sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovatel‘ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby
7.3 Právo dotknutej osoby na prístup k údajom (článok 15 GDPR)
Dotknutá osoba má právo získať od prevádzkovatel’a potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom
7.4 Právo na opravu (článok 16 GDPR)
Dotknutá osoba má právo na to, aby prevádzkovatel‘ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zretel’om na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
7.5 Právo na vymazanie (právo „na zabudnutie“, článok 17 GDPR)
Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovatel‘ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali; b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podl’a článku 6 ods. l písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
c) dotknutá osoba namieta voči spracúvaniu podl’a článku 21ods. l a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podl’a článku 21ods. 2;
d) osobné údaje sa spracúvali nezákonne;
e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podl’a práva Únie alebo práva členského štátu, ktorému prevádzkovate!‘ podlieha;
f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podl’a článku 8 ods. l.
7.6 Právo na obmedzenie spracúvania (článok 18 GDPR)
Dotknutá osoba má právo na to, aby prevádzkovate!‘ obmedzil spracúvanie, pokial‘ ide o jeden z týchto prípadov:a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožilujúceho prevádzkovatel’ovi overiť správnosť osobných údajov;
b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;
c) prevádzkovate!‘ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatilovanie alebo obhajovanie právnych nárokov;
d) dotknutá osoba namietala voči spracúvaniu podl’a článku 21ods. l, a to až do overenia, či oprávnené dôvody na strane prevádzkovatel’a prevažujú nad oprávnenými dôvodmi dotknutej osoby.
Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (článok 19 GDPR)
Prevádzkovate!‘ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podl’a článku 16, článku 17 ods. l a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovate!‘ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
7.7 Právo na prenosnosť údajov (článok 20 GDPR)
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovatel’ovi, v štruktúrovanom, bežne používanom a strojovo čitatel’nom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovatel’ovi bez toho, aby jej prevádzkovate!‘, ktorému sa tieto osobné údaje poskytli, bránil, ak:
a) a spracúvanie zakladá na súhlase podl’a článku 6 ods.l písm. a) alebo článku 9 ods. 2 písm. a), alebo na zmluve podl’a článku 6 ods. l písm. b), a
b) ak sa spracúvanie vykonáva aizovanými prostriedkami.
Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podl’a odseku l právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovatel’ovi, pokiaľ je to technicky možné.
7.8 Právo namietať (článok 21GDPR)
Dotknutá osoba má právo kedykol’vek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. l písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach.
7.9 Automatizované individuálne rozhodovanie vrátane profilovania (článok 22
GDPR)
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovala rozhodnutie, ktoré je založené výlučne na aizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
8. Zodpovednosť prevádzkovatel’a (článok 24
GDPR)
Naša spoločnosť sa ako prevádzkovate!‘ zaväzuje dodržiavať nasledovné všeobecné povinnosti:
a) S ohl’adom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby sa zaväzujeme prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s GDPR.
b) Uvedené opatrenia budeme podl’a potreby aktualizovať.
c) Budeme pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho
splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov.
d) Naša spoločnosť bude zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva.
Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
9. Špecificky navrhnutá a štandardná ochrana osobných údajov (článok 25 GDPR)
Naša spoločnosť sa zaväzuje pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, napríklad aj vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie nariadenia GDPR.
Naša spoločnosť sa zaväzuje pri špecificky navrhnutej ochrane osobných údajov zohl’adniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
Naša spoločnosť sa zaväzuje zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov.
Naša spoločnosť zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
10. Sprostredkovatel‘ (článok 28 GDPR)
Sprostredkovatel‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovatel’a.
Naša spoločnosť ako prevádzkovateľ využíva sprostredkovateľov, ktorí v jej mene spracuvávajú osobné údaje. Ide napríklad o účtovnícke a právnicke spoločnosti. Pre našu spoločnosť spracuvávajú údaje sprostredkovatelia uvedený v prílohe Sprostredkovatelia
Naša spoločnosť bude využívať len sprostredkovatel’ov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spfňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutej osoby.
Spracúvanie sprostredkovateľom pre našu spoločnosť sa riadi ..zmluvou o spracovaní osobných údajov“, ktorej vzor je prílohou tohto dokumentu. Zaväzuje sprostredkovatel’a voči prevádzkovatel’ovi a stanovuje sa ňou predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa a sprostredkovatel’a.
Naša spoločnosť podpíše dodatky k zmluvám so spomenutými sprostredkovateľmi, aby zmluvy spfňali všetky náležitosti GDPR.
ll. Záznamy o spracovatel’ských činnostiach (článok 30 GDPR)
11.1 Záznamy o spracovaterských činnostiach prevádzkovatera
Naša spoločnosť ako prevádzkovateľ vedie záznamy o spracovatel’ských činnostiach a na požiadanie ich sprístupní dozornému orgámu. Tieto záznamy obsahujú nasledovné údaje:
a) meno/názov a kontaktné údaje prevádzkovatel’a a v príslušnom prípade spoločného prevádzkovatel’a, zástupcu prevádzkovatel’a a zodpovednej osoby;
b) účely spracúvania;
c) opis kategórií dotknutých osôb a kategórií osobných údajov;
dlkategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;
e) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii
vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods.l druhom pododseku GDPR dokumentáciu primeraných záruk;
f) podl’a možností predpokladané lehoty na vymazanie rôznych kategórií údajov;
g) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. l. GDPR
11.2 Záznamy o spracovaterských činnostiach sprostredkovatera
Naša spoločnosť ako sprostredkovatel‘ vedie záznamy o spracovatel’ských činnostiach a na požiadanie ich sprístupní dozornému orgámu. Tieto záznamy obsahujú nasledovné údaje:
a) meno/názov a kontaktné údaje sprostredkovatel’a alebo sprostredkovatel’ov a každého prevádzkovatel’a, v mene ktorého sprostredkovatel‘ koná, a v príslušnom prípade zástupcu prevádzkovatel’a alebo sprostredkovatel’a a zodpovednej osoby;
b) kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;
clv príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods.l druhom pododseku dokumentáciu primeraných záruk;
dlpodľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. l. GDPR
12. Bezpečnosť spracúvania (článok 32 GDPR)
Naša spoločnosť prijme so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s ciel’om zaistiť úroveň bezpečnosti primeranú tomuto riziku.
Poverenie spracúvať osobné údaje (článok 32 ods. 4 GDPR)
Naša spoločnosť podnikne kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe našich pokynov s výnimkou prípadov, keď sa to od nej vyžaduje podl’a práva Únie alebo práva členského štátu.
13. Oznámenie porušenia ochrany osobných údajov dozornému orgánu (článok 33 a 34 GDPR)
V prípade porušenia ochrany osobných údajov naša spoločnosť bez zbytočného odkladu a podl’a možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedela, oznámi porušenie ochrany osobných údajov dozornému orgánu.
Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.
Oznámenie o porušení ochrany osobných údajov bude obsahovať aspoň:
a) opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka a kategórií a približného počtu dotknutých záznamov o osobných údajoch;
b) kontaktné údaje zodpovednej osoby v našej spoločnosti, kde možno získať viac informácií o porušení ochrany osobných údajov;
c) opis pravdepodobných následkov porušenia ochrany osobných údajov;
dlopis opatrení prijatých alebo navrhovaných prevádzkovateľom s ciel’om napraviť porušenie ochrany osobných údajov vrátane, podl’a potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
Naša spoločnosť zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, naša spoločnosť bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.
14. Posúdenie vplyvu na ochranu údajov (článok 35)
Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovate!‘ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov.
Posúdenie vplyvu na ochranu údajov sa vyžaduje najmä v prípadoch:
a) systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na aizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;
b) spracúvania vo vel’kom rozsahu osobitných kategórií údajov podl’a článku 9 ods.l alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo
c) systematické ho monitorovania verejne prístupných miest vo vel’kom rozsahu.
Spracovateľské činnosti našej spoločnosti nezahfňajú prípady uvedené vyššie, z tohto dôvodu nie je potrebné vykonať posúdenie vplyvu na ochranu osobných údajov.
15. Určenie zodpovednej osoby {kapitola 4 oddiel 4
GDPR)
Prevádzkovate!‘ je povinný určiť zodpovednú osobu, ak
a) spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovatel’ské operácie, ktoré si vzhl’adom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie
dotknutej osoby vo veľkom rozsahu alebo
c) hlavnými činnosťami prevádzkovatel’a alebo sprostredkovatel’a je spracúvanie osobitných kategórií
osobných údajov podl’a článku 9 GDPR vo veľkom rozsahu alebo spracúvanie osobných údajov
týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podl’a článku 10 GDPR vo veľkom rozsahu.
Nakol’ko naša spoločnosť nespfňa ani jednu zo spomentých podmienok, zodpovednú osobu neurčuje.
16. Prenos osobných údajov do tretej alebo medzinárodnej organizácie
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácie, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovatel‘ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácie.
úrad na ochranu osobných údajov uverejňuje na svojej webstránke zoznam tretích krajín, území
a určených sektorov v danej tretej krajine a medzinárodných organizácií, v prípade ktorých Európska komisia rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná
úroveň ochrany zaručená.
Zoznam je dostupný na stránkehttps://dataprotection.gov.sk/uoou/sk/content/pren…
Naša spoločnosť bude tento zoznam pravidelne sledovať a v prípade, že by prenášala osobné údaje do krajín mimo zoznam úradu na ochranu osobných údajov, bude postupovať podľa kapitoly 4 GDPR.
17. Mlčanlivosť {§ 79 ZoOOÚ)
Naša spoločnosť je povinná zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
Naša spoločnosť je tiež povinná zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.