ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV A SYSTÉM OCHRANY OSOBNÝCH ÚDAJOV PODĽA NARIADENIA GDPR
Tieto Zásady spracúvania osobných údajov a systém ochrany osobných údajov podľa Nariadenia GDPR (ďalej len „Zásady") ustanovujú pravidlá spracúvania osobných údajov Prevádzkovateľom uvedeným nižšie v tomto dokumente v súvislosti s výkonom jeho podnikateľskej činnosti, najmä v súvislosti s prevádzkovaním webovej stránky dostupnej na adrese www.drevo-shop.sk.
Zásady sú vypracované v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR") a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „ZOOÚ").
Účelom týchto Zásad je najmä informovať dotknuté osoby o tom, akým spôsobom Prevádzkovateľ spracúva osobné údaje, na aké účely, na akom právnom základe a aké práva majú dotknuté osoby v súvislosti so spracúvaním osobných údajov.
Prevádzkovateľ prijíma primerané technické a organizačné opatrenia s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, ako aj na riziká pre práva a slobody dotknutých osôb, a tieto opatrenia priebežne aktualizuje s cieľom zabezpečiť primeranú úroveň ochrany spracúvaných osobných údajov.
Tento dokument zároveň predstavuje interný rámec systému ochrany osobných údajov Prevádzkovateľa, ktorého cieľom je zabezpečiť súlad spracúvania osobných údajov s požiadavkami právnych predpisov a minimalizovať riziko porušenia ochrany osobných údajov.
Tieto Zásady sa vzťahujú na všetky fyzické osoby, ktorých osobné údaje sú spracúvané v súvislosti s činnosťou Prevádzkovateľa. Zásady obsahujú najmä prehľad jednotlivých účelov spracúvania osobných údajov, kategórií dotknutých osôb, uplatniteľných právnych základov spracúvania, ako aj informácie o právach dotknutých osôb a o spôsobe ich uplatňovania.
Prevádzkovateľ
Kontaktné údaje Prevádzkovateľa
(ďalej len „Prevádzkovateľ")
Organizácia a dohľad
Zodpovedná osoba (DPO)
Prevádzkovateľ nemá povinnosť vymenovať zodpovednú osobu podľa čl. 37 GDPR, a preto táto funkcia nie je ustanovená.
Dohľad nad spracúvaním osobných údajov
Dohľad nad spracúvaním osobných údajov v rámci organizácie vykonáva poverená osoba:
Hlásenie bezpečnostných incidentov
Kontaktné údaje pre hlásenie bezpečnostných incidentov:
Uplatnenie práv dotknutých osôb
Kontaktné údaje pre uplatnenie práv dotknutých osôb:
Všeobecné informácie k spracúvaniu osobných údajov
Prevádzkovateľ zodpovedá za spracúvanie osobných údajov v súlade s Nariadením GDPR, t. j. Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
Zásady spracúvania osobných údajov
Prevádzkovateľ je povinný dodržiavať zásady spracúvania osobných údajov podľa čl. 5 Nariadenia GDPR, ktoré zahŕňajú najmä:
- povinnosť spracúvať osobné údaje zákonne, korektne a transparentne,
- povinnosť získavať osobné údaje len na vymedzené, výslovne uvedené a legitímne účely a ďalej ich nespracúvať spôsobom nezlučiteľným s týmito účelmi,
- povinnosť spracúvať osobné údaje len v rozsahu primeranom, relevantnom a nevyhnutnom vzhľadom na účel,
- povinnosť uchovávať osobné údaje v podobe umožňujúcej identifikáciu dotknutých osôb najviac po dobu nevyhnutnú na účely spracúvania,
- povinnosť zabezpečiť správnosť a aktualizáciu osobných údajov; nepresné údaje musia byť bezodkladne opravené alebo vymazané,
- povinnosť spracúvať osobné údaje spôsobom, ktorý zabezpečí ich primeranú bezpečnosť,
- povinnosť byť schopný preukázať súlad so zásadami spracúvania na požiadanie dozorného orgánu.
Zákonný dôvod spracúvania osobných údajov
Spracúvanie osobných údajov Prevádzkovateľom je zákonné len vtedy, ak sa vykonáva na základe niektorého z právnych základov ustanovených v Nariadení GDPR a v ZOOÚ. Právnymi základmi sú najmä:
- a) Čl. 6 ods. 1 písm. a) Nariadenia GDPR, resp. § 13 ods. 1 písm. a) ZOOÚ – súhlas dotknutej osoby so spracúvaním osobných údajov na jeden alebo viaceré konkrétne účely.
- b) Čl. 6 ods. 1 písm. b) Nariadenia GDPR, resp. § 13 ods. 1 písm. b) ZOOÚ – spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe jej žiadosti.
- c) Čl. 6 ods. 1 písm. c) Nariadenia GDPR, resp. § 13 ods. 1 písm. c) ZOOÚ – spracúvanie osobných údajov je nevyhnutné na splnenie zákonnej povinnosti, ktorá sa na Prevádzkovateľa vzťahuje.
- d) Čl. 6 ods. 1 písm. f) Nariadenia GDPR, resp. § 13 ods. 1 písm. f) ZOOÚ – spracúvanie osobných údajov je nevyhnutné na účely oprávnených záujmov Prevádzkovateľa alebo tretej strany, okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, najmä ak je ňou dieťa.
- e) Ďalšie spracúvanie osobných údajov na účel archivácie, vedeckého alebo historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
Prehlásenie
Prehlasujeme, že ako Prevádzkovateľ vašich osobných údajov spĺňame všetky zákonné povinnosti vyžadované platnou legislatívou, najmä podľa ZOOÚ a Nariadenia GDPR, a teda že:
- budeme spracúvať vaše osobné údaje len na základe platného právneho dôvodu v súlade s Nariadením GDPR a ZOOÚ uvedeného vyššie,
- budeme postupovať v súlade so zásadami spracúvania osobných údajov podľa čl. 5 Nariadenia GDPR, ktoré sú uvedené v týchto Zásadách,
- si týmto plníme informačnú povinnosť podľa čl. 13 Nariadenia GDPR voči dotknutým osobám,
- umožníme vám a budeme vás podporovať v uplatňovaní a plnení vašich práv podľa ZOOÚ a Nariadenia GDPR.
Plnenie informačnej povinnosti voči dotknutým osobám
Plnenie informačnej povinnosti voči dotknutým osobám sa uskutočňuje v súlade s článkom 13 Nariadenia GDPR. Konkrétne informácie sú dotknutým osobám poskytované prostredníctvom týchto Zásad. Podrobné informácie sú uvedené pri jednotlivých účeloch spracúvania nižšie.
Účely spracúvania osobných údajov
I. Informácie pre návštevníkov webovej stránky
1. Prevádzka, správa a bezpečnosť webovej stránky
Účel spracúvania: Zabezpečenie technickej prevádzky, správy, funkčnosti, stability a bezpečnosti webovej stránky vrátane technickej prevádzky webových rozhraní a súvisiacich systémových komponentov. Spracúvanie zahŕňa najmä:
- hosting a technickú správu webovej stránky,
- údržbu, servis a aktualizácie systémov,
- monitorovanie dostupnosti, výkonu a technického stavu webovej stránky,
- zabezpečenie ochrany webovej stránky pred neoprávneným prístupom, zneužitím a kybernetickými útokmi,
- logovanie technických udalostí a bezpečnostných incidentov,
- zabezpečenie bezpečného prenosu údajov pri používaní webových rozhraní a formulárov.
Dotknuté osoby: návštevníci webovej stránky; osoby, ktorých technické a bezpečnostné údaje sú spracúvané v súvislosti s používaním webovej stránky.
Kategória osobných údajov: Bežné osobné údaje – technické a prevádzkové údaje.
Rozsah: IP adresa zariadenia; typ zariadenia, prehliadač, operačný systém a jazykové nastavenia; dátum, čas a trvanie návštevy; technické údaje o požiadavkách na server (URL, stavové kódy, referrer); bezpečnostné a systémové logy; technické metaúdaje o odoslaní formulára.
Právny základ: Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem Prevádzkovateľa spočívajúci v zabezpečení funkčnosti, stability a bezpečnosti webovej stránky.
Príjemcovia: Sprostredkovatelia podľa čl. 28 GDPR – poskytovateľ domény a infraštruktúrnych služieb, poskytovateľ platformy pre emailovú komunikáciu, poskytovateľ dátových a telekomunikačných služieb. Orgány verejnej moci so zákonným oprávnením (súdy, orgány činné v trestnom konaní, Úrad na ochranu osobných údajov).
Prenos do tretích krajín / medzinárodných organizácií / zverejňovanie: Nedochádza.
Doba uchovávania: bežné logy servera – 6 mesiacov; bezpečnostné logy – do 1 roka; záznamy o incidente alebo technickej chybe – do ich vyriešenia.
Poskytnutie údajov: Prebieha automatizovane pri návšteve a používaní webovej stránky a je nevyhnutné na zabezpečenie jej technickej prevádzky, funkčnosti a bezpečnosti.
Zdroj: Automatizované získanie prostredníctvom webovej stránky, webového servera a súvisiacich monitorovacích nástrojov.
Automatizované rozhodovanie: Nedochádza k automatizovanému individuálnemu rozhodovaniu vrátane profilovania.
2. Priame kontaktovanie Prevádzkovateľa prostredníctvom kontaktných údajov zverejnených na webovej stránke
Účel: Prijatie, evidencia a vybavenie otázok, podnetov alebo požiadaviek osôb, ktoré kontaktovali Prevádzkovateľa (najmä e-mailom alebo telefonicky) – zabezpečenie rýchlej a efektívnej komunikácie, poskytnutie odpovede a umožnenie následnej komunikácie.
Dotknuté osoby: návštevníci webovej stránky, ktorí kontaktovali Prevádzkovateľa; fyzické osoby vystupujúce ako kontaktné osoby podnikateľských subjektov.
Rozsah: Bežné osobné údaje – meno a priezvisko (ak je uvedené), e-mailová adresa, telefónne číslo, obsah správy alebo požiadavky, dátum a čas kontaktu, údaje poskytnuté počas komunikácie.
Právny základ: Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem (riadna a efektívna komunikácia, vybavenie podnetov, evidencia komunikácie na účely nadväznosti alebo ochrany právnych nárokov).
Príjemcovia: Sprostredkovatelia podľa čl. 28 GDPR – poskytovateľ domény a infraštruktúrnych služieb, poskytovateľ emailovej platformy, poskytovateľ dátových a telekomunikačných služieb. Prípadne orgány verejnej moci so zákonným oprávnením.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Najviac 6 mesiacov od poslednej komunikácie.
Poskytnutie údajov: Dobrovoľné, vychádza z iniciatívy dotknutej osoby. Bez poskytnutia základných kontaktných údajov nemusí byť možné požiadavku vybaviť.
Zdroj: Priamo od dotknutej osoby. Automatizované rozhodovanie: Nedochádza.
II. Informácie pre klientov – podnikateľské subjekty (B2B)
1. Spracúvanie dopytov a komunikácia s potenciálnymi klientmi
Účel: Prijatie, evidencia a vybavenie dopytov a komunikácie zo strany potenciálnych klientov; poskytnutie informácií o službách, príprava ponuky a komunikácia v predzmluvnej fáze.
Dotknuté osoby: fyzické osoby vystupujúce ako kontaktné osoby podnikateľských subjektov; osoby, ktoré v mene podnikateľského subjektu komunikujú s Prevádzkovateľom v predzmluvnej fáze.
Rozsah: meno a priezvisko, e-mailová adresa, telefónne číslo, názov spoločnosti, pracovná pozícia (ak je uvedená), obsah dopytu, dátum a čas komunikácie.
Právny základ: Čl. 6 ods. 1 písm. b) GDPR – vykonanie opatrení pred uzatvorením zmluvy na žiadosť dotknutej osoby.
Príjemcovia: Poskytovateľ domény a infraštruktúrnych služieb, poskytovateľ emailovej platformy, poskytovateľ dátových a telekomunikačných služieb; orgány verejnej moci so zákonným oprávnením.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Po dobu vybavenia dopytu, najdlhšie 6 mesiacov od poslednej komunikácie, ak nedôjde k uzatvoreniu zmluvy.
Poskytnutie údajov: Dobrovoľné, avšak nevyhnutné na vybavenie dopytu.
Zdroj: Priamo od dotknutej osoby. Automatizované rozhodovanie: Nedochádza.
2. Uzatváranie a plnenie zmluvných vzťahov s klientmi
Účel: Uzatváranie, evidencia a plnenie zmluvných vzťahov s klientmi – podnikateľskými subjektmi, vrátane poskytovania služieb, správy zmluvných vzťahov a súvisiacej komunikácie.
Dotknuté osoby: štatutárni zástupcovia podnikateľských subjektov; kontaktné osoby klientov; osoby oprávnené konať v mene klienta.
Rozsah: meno a priezvisko, e-mail, telefón, názov spoločnosti, identifikačné údaje spoločnosti (IČO, sídlo), pracovná pozícia, obsah komunikácie súvisiacej so zmluvným vzťahom.
Právny základ: Čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy.
Príjemcovia: Poskytovateľ účtovných služieb a vedenia účtovnej evidencie; orgány verejnej moci so zákonným oprávnením.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Po dobu trvania zmluvy a 5 rokov od jej ukončenia, ak osobitný predpis nestanovuje dlhšiu dobu.
Poskytnutie údajov: Nevyhnutné na uzatvorenie a plnenie zmluvy.
Zdroj: Priamo od dotknutej osoby alebo od podnikateľského subjektu. Automatizované rozhodovanie: Nedochádza.
3. Ekonomická a účtovná agenda
Účel: Vedenie ekonomickej a účtovnej evidencie v súvislosti so zmluvnými vzťahmi s klientmi – vystavovanie a evidencia účtovných dokladov, vedenie účtovníctva, archivácia, správa finančných operácií a plnenie zákonných povinností v oblasti účtovníctva a daní.
Dotknuté osoby: štatutárni zástupcovia klientov, kontaktné osoby uvedené na zmluvách alebo účtovných dokladoch, osoby uvedené na obchodných dokumentoch.
Rozsah: meno a priezvisko, obchodné meno, sídlo/miesto podnikania, IČO, DIČ, IČ DPH, e-mail, telefón, údaje uvedené na faktúrach, zmluvách a účtovných dokladoch, údaje o platbách.
Právny základ: Čl. 6 ods. 1 písm. c) GDPR – splnenie zákonnej povinnosti (zákon č. 431/2002 Z. z. o účtovníctve a súvisiace daňové predpisy).
Príjemcovia: Poskytovateľ účtovných služieb; daňové, kontrolné a dozorné orgány, súdy, orgány činné v trestnom konaní.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Spravidla 10 rokov nasledujúcich po roku, ktorého sa účtovný doklad týka.
Poskytnutie údajov: Zákonná požiadavka. Zdroj: Priamo od klienta. Automatizované rozhodovanie: Nedochádza.
4. Vytknutie vady služby (uplatnenie práv zo zodpovednosti za vady podľa Obchodného zákonníka)
Účel: Evidencia a vybavenie uplatnených nárokov kupujúcich – podnikateľov vyplývajúcich z vytknutia vady, vrátane komunikácie o priebehu vybavovania; plnenie zákonných povinností; uplatňovanie alebo obhajoba právnych nárokov.
Dotknuté osoby: kupujúci – podnikateľský subjekt; štatutárni zástupcovia, poverené kontaktné osoby alebo iné osoby zapojené do procesu vybavovania nárokov.
Rozsah: Obchodné meno, IČO, adresa sídla, meno a priezvisko štatutára/kontaktnej osoby, pracovná pozícia, telefón, e-mail; údaje o službe (číslo objednávky, faktúry, popis vady), komunikačné záznamy.
Právny základ: Čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy; Čl. 6 ods. 1 písm. c) GDPR – zákonná povinnosť (Obchodný zákonník – zákon č. 513/1991 Zb.); Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem.
Príjemcovia: Poskytovateľ účtovných služieb; kontrolné a dozorné orgány (vrátane Úradu na ochranu osobných údajov), súdy a orgány trestného konania, Slovenská obchodná inšpekcia, daňové úrady a iné zákonom oprávnené subjekty.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: 5 rokov pre prípadné spory; doklady súvisiace s vrátením peňazí – 10 rokov podľa zákona o účtovníctve.
Poskytnutie údajov: Nevyhnutné na vybavenie nárokov. Zdroj: Najmä priamo od dotknutej osoby, prípadne od tretích strán. Automatizované rozhodovanie: Nedochádza.
III. Informácie pre obchodných partnerov – dodávateľov a ich zamestnancov alebo zástupcov
1. Riadenie obchodných vzťahov a komunikácia s obchodnými partnermi – dodávateľmi
Účel: Identifikácia a oslovenie potenciálnych dodávateľov; evidencia kontaktných údajov existujúcich dodávateľov a ich zamestnancov; kontaktovanie dodávateľov v súvislosti s plnením zmluvných alebo predzmluvných vzťahov.
Dotknuté osoby: Kontaktné osoby alebo zamestnanci potenciálneho/existujúceho dodávateľa; štatutárne orgány alebo iné osoby oprávnené konať v mene dodávateľa.
Rozsah: Názov organizácie, titul, meno a priezvisko, e-mailová adresa (pracovná), telefónne číslo (pracovné).
Právny základ: Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem (efektívna komunikácia, riadenie obchodných vzťahov, vedenie agendy a plnenie zmluvných záväzkov pri objednávkach, fakturácii, prijímaní služieb alebo tovaru).
Príjemcovia: Poskytovateľ emailovej platformy, poskytovateľ dátových a telekomunikačných služieb; orgány verejnej moci so zákonným oprávnením.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Do naplnenia účelu spracúvania; po dobu trvania zmluvného vzťahu a ďalších 5 rokov od jeho ukončenia.
Poskytnutie údajov: Potrebné na základe oprávneného záujmu; bez údajov môže byť ohrozené nadviazanie alebo udržiavanie obchodného vzťahu.
Zdroj: Priamo od dotknutej osoby alebo obchodných partnerov, prípadne z verejne dostupných zdrojov. Automatizované rozhodovanie: Nedochádza.
2. Ekonomická a účtovná agenda (dodávateľ – zmluvný obchodný partner)
Účel: Evidencia obchodných zmlúv; prijatie a spracovanie faktúr od dodávateľov; spracovanie daňových dokladov a bankových výpisov, daňová a účtovná evidencia.
Dotknuté osoby: Dodávatelia – podnikateľské subjekty, ich štatutárni zástupcovia, poverené osoby alebo zamestnanci konajúci v ich mene.
Rozsah: Evidencia zmlúv – názov organizácie, titul, meno, priezvisko, e-mail, telefón, podpis. Fakturácia – obchodné meno, adresa sídla, IČO, DIČ/IČ DPH, titul, meno, priezvisko, telefón, e-mail, číslo bankového účtu, podpis. Daňové doklady a bankové výpisy – rovnaký rozsah ako pri fakturácii.
Právny základ: Čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy; Čl. 6 ods. 1 písm. c) GDPR – zákonná povinnosť (zákon č. 431/2002 Z. z. o účtovníctve, zákon č. 222/2004 Z. z. o DPH, zákon č. 513/1991 Zb. Obchodný zákonník, zákon č. 595/2003 Z. z. o dani z príjmov).
Príjemcovia: Poskytovateľ účtovných služieb; daňové, kontrolné a dozorné orgány, súdy, orgány činné v trestnom konaní.
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: Minimálne 10 rokov po roku, ktorého sa týkajú; následná likvidácia podľa zákona č. 395/2002 Z. z. o archívoch a registratúrach.
Poskytnutie údajov: Zmluvná a zároveň zákonná požiadavka. Zdroj: Priamo od dotknutej osoby alebo osoby konajúcej v mene dodávateľa. Automatizované rozhodovanie: Nedochádza.
IV. Informácie pre dotknuté osoby – výkon práv podľa GDPR a zákona č. 18/2018 Z. z.
Uplatňovanie a vybavovanie práv dotknutých osôb
Účel: Vybavovanie žiadostí, ktorými si dotknuté osoby uplatňujú svoje práva podľa GDPR a Zákona o ochrane osobných údajov, a vedenie súvisiacich evidencií.
Dotknuté osoby: Fyzická osoba, ktorá podala žiadosť alebo uplatnila svoje práva.
Rozsah: Titul, meno, priezvisko, adresa, podpis, e-mailová adresa, ďalšie údaje vzťahujúce sa k uplatňovanému právu.
Právny základ: Čl. 6 ods. 1 písm. c) GDPR – splnenie zákonnej povinnosti (zákon č. 18/2018 Z. z., Nariadenie (EÚ) 2016/679).
Príjemcovia: Údaje sú spracúvané výlučne Prevádzkovateľom. Môžu byť sprístupnené oprávneným subjektom podľa zákona – Úrad na ochranu osobných údajov, súdy a orgány trestného konania, Slovenská obchodná inšpekcia, daňové orgány; iným prevádzkovateľom v rozsahu vyžadovanom GDPR (napr. oznámenie opravy alebo výmazu).
Prenos / zverejňovanie: Nedochádza.
Doba uchovávania: 5 rokov odo dňa uplatnenia práv; 5 rokov odo dňa vybavenia uplatnených práv.
Poskytnutie údajov: Zákonná požiadavka. Ak dotknutá osoba neposkytne údaje na overenie totožnosti, Prevádzkovateľ nemôže žiadosť vybaviť. Zdroj: Priamo od dotknutej osoby. Automatizované rozhodovanie: Nedochádza.
Zabezpečenie a ochrana osobných údajov
Prevádzkovateľ prijal všetky primerané technické a organizačné opatrenia, ktorých cieľom je zabezpečiť ochranu spracúvaných osobných údajov pred neoprávneným prístupom, zmenou, zničením, stratou alebo iným neoprávneným spracúvaním. Tieto opatrenia sú navrhnuté s ohľadom na charakter, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody dotknutých osôb.
Prevádzkovateľ je zároveň povinný bez zbytočného odkladu oznámiť závažné bezpečnostné incidenty dozornému orgánu v súlade s článkom 33 GDPR.
Vaše práva v súvislosti s ochranou osobných údajov
Spôsob a forma spätnej reakcie
Odpovede na žiadosti a informácie sa poskytujú v takej forme, v akej bola žiadosť podaná (písomne, elektronicky alebo ústne), pokiaľ dotknutá osoba nepožiadala o iný spôsob. Ústne poskytovanie informácií môže byť podmienené preukázaním totožnosti dotknutej osoby.
Ak má Prevádzkovateľ oprávnené pochybnosti o totožnosti fyzickej osoby, je oprávnený požiadať o poskytnutie dodatočných informácií potrebných na overenie jej totožnosti, a to výlučne v rozsahu nevyhnutnom na ochranu osobných údajov.
Lehota na vybavenie žiadosti
V zmysle § 29 ods. 3 ZOOÚ je lehota na vybavovanie žiadostí dotknutých osôb jednomesačná od doručenia žiadosti. Lehotu je možné predĺžiť v odôvodnených prípadoch o ďalšie dva mesiace, a to aj opakovane. O každom takomto predĺžení musí byť dotknutá osoba informovaná.
Transparentná informácia o poplatkoch
Žiadosti a informácie sa primárne vybavujú bezodplatne. Primeraný poplatok zohľadňujúci administratívne náklady možno požadovať za druhú a ďalšiu kópiu dokumentov alebo za vybavenie žiadosti, ktorá je zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu.
Vhodné opatrenia na uplatňovanie práv
Prevádzkovateľ si vyhradzuje právo vybaviť žiadosti online, pokiaľ túto možnosť uzná za najvhodnejšiu.
Výpočet práv priznaných dotknutým osobám
Tento výpočet práv je aplikovateľný, a dotknutá osoba si môže tieto práva u Prevádzkovateľa uplatňovať len za splnenia zákonných podmienok.
1. Právo na prístup
Dotknutá osoba má právo získať od Prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom. Prevádzkovateľ poskytne kópiu osobných údajov. Za akékoľvek ďalšie kópie môže Prevádzkovateľ účtovať primeraný poplatok.
2. Právo na opravu
Dotknutá osoba má právo na to, aby Prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov.
3. Právo na výmaz (právo byť zabudnutý)
Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak:
- a) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
- b) dotknutá osoba odvolá súhlas a neexistuje iný právny základ pre spracúvanie,
- c) dotknutá osoba namieta spracúvanie a neprevažujú žiadne oprávnené dôvody,
- d) osobné údaje sa spracúvajú nezákonne,
- e) dôvodom je splnenie povinnosti podľa zákona alebo medzinárodnej zmluvy,
- f) údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Prevádzkovateľ nie je povinný údaje vymazať, ak je spracúvanie potrebné na uplatnenie práva na slobodu prejavu, splnenie zákonnej povinnosti, z dôvodov verejného záujmu, na účel archivácie/výskumu, alebo na uplatnenie právneho nároku.
4. Právo na obmedzenie spracúvania
Dotknutá osoba má právo na obmedzenie spracúvania v prípadoch, ak napadne správnosť údajov, ak je spracúvanie protizákonné a žiada obmedzenie namiesto výmazu, ak Prevádzkovateľ údaje už nepotrebuje ale potrebuje ich dotknutá osoba na právne nároky, alebo ak namietala voči spracúvaniu.
5. Právo na prenosnosť
Dotknutá osoba má právo získať osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich ďalšiemu Prevádzkovateľovi (aj priamo, ak je to technicky možné).
6. Právo namietať spracúvanie osobných údajov
Dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu na základe oprávneného záujmu, vrátane profilovania. Ak sa údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať.
7. Právo na neúčinnosť automatizovaného individuálneho rozhodovania vrátane profilovania
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie založené výlučne na automatizovanom spracúvaní, okrem prípadov, ak je to nevyhnutné na zmluvu, povolené právom alebo založené na výslovnom súhlase.
8. Právo odvolať súhlas
Pokiaľ sa údaje spracúvajú na základe súhlasu, dotknutá osoba má právo ho kedykoľvek odvolať, a to rovnako jednoduchou formou, akou bol poskytnutý.
9. Právo podať sťažnosť dozornému orgánu
Dotknutá osoba má právo podať sťažnosť na Úrad na ochranu osobných údajov SR (Hraničná 12, 820 07 Bratislava 27, https://dataprotection.gov.sk), ak sa domnieva, že došlo k porušeniu jej práv.
Matica právnych základov a práv dotknutých osôb
Nasledujúci prehľad priraďuje konkrétne práva k jednotlivým právnym základom spracúvania podľa čl. 6 ods. 1 GDPR. Pre každý právny základ je uvedené, ktoré práva si dotknutá osoba môže uplatniť.
Súhlas dotknutej osoby
čl. 6 ods. 1 písm. a) GDPRZmluvné a predzmluvné vzťahy
čl. 6 ods. 1 písm. b) GDPRZákonná povinnosť
čl. 6 ods. 1 písm. c) GDPRŽivotne dôležité záujmy
čl. 6 ods. 1 písm. d) GDPRVerejný záujem
čl. 6 ods. 1 písm. e) GDPROprávnený záujem
čl. 6 ods. 1 písm. f) GDPRLegenda: áno – právo je možné uplatniť áno* – uplatniteľné s obmedzením nie – právo sa neuplatňuje. AIR = automatizované individuálne rozhodovanie vrátane profilovania.
Uplatnenie práv (Kontaktné údaje)
Vaše právo si môžete uplatniť kedykoľvek, a to písomnou formou alebo elektronicky doručením žiadosti:
Vzory k uplatneniu práv dotknutých osôb (na stiahnutie)
Stiahnite si vzor žiadosti, doplňte svoje údaje a doručte ho Prevádzkovateľovi e-mailom alebo poštou.
Mlčanlivosť
Prevádzkovateľ si dovoľuje uistiť dotknuté osoby, že všetky osoby, ktoré sa podieľajú na spracúvaní osobných údajov v jeho mene alebo na jeho pokyn – vrátane spolupracovníkov, zmluvných partnerov a oprávnených osôb – sú povinné zachovávať mlčanlivosť o osobných údajoch, ktorých sprístupnenie by mohlo ohroziť ich bezpečnosť. Táto povinnosť mlčanlivosti trvá aj po skončení právneho alebo iného oprávneného vzťahu s Prevádzkovateľom. Bez výslovného súhlasu dotknutej osoby nebudú jej osobné údaje poskytnuté tretej strane.