COOKIES - https://minilab.sk

a) na webovom sídle www.minilab.sk

vyhotovená v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679

o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe

takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie

o ochrane údajov) účinné od: 25.5.2018

Preambula

(1) Spracúvanie osobných údajov je nevyhnutnou súčasťou výkonu podnikateľskej činnosti. Súlad spracovateľských operácií s právnymi predpismi, predovšetkým s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“), zákonom č. 18/2018 Z.z. o ochrane osobných údajov („Zákon“), ako aj inými príslušnými právnymi predpismi, je základnou povinnosťou prevádzkovateľov informačných systémov a sprostredkovateľov.

(2) Živnostník Katarína Illésová - QUICK-FOTO, IČO: 46490451, DIČ: 1084327662, SK NACE: 74200 Fotografické činnosti, Gercenova 1158/13, 85101 Bratislava-Petržalka (ďalej len „Spoločnosť“),

a. si váži dôveru svojich zamestnancov, zákazníkov, dodávateľov a prípadných iných

osôb, ktorých osobné údaje spracúva,

b. uznáva dôležitosť ochrany osobných údajov, ktoré spracúva, a

c. priebežne prijíma kroky nevyhnutné a účelné na zabezpečenie súladu s právnymi

predpismi a tieto podľa potreby aktualizuje.

(3) Z týchto dôvodov Spoločnosť prijíma túto internú Smernicu o ochrane osobných údajov (ďalej len „Smernica“) vyhotovenú v zmysle ustanovení GDPR, ktorá upravuje spracúvanie

osobných údajov v rámci Spoločnosti a určuje práva a povinnosti osôb účastných na

spracúvaní t.j. dotknutých osôb a osôb oprávnených nakladať s osobnými údajmi v mene

Spoločnosti.

1. Pôsobnosť a aplikácia Smernice

1.1 Táto Smernica sa vzťahuje na operácie týkajúce sa spracúvania osobných údajov,

realizovaných Spoločnosťou počnúc dňom 25.5.2018.

1.2 Táto Smernica sa nevzťahuje na také spracúvanie osobných údajov, na ktoré sa nevzťahuje GDPR.

1.3 GDPR predstavuje všeobecný právny predpis Európskej únie pre oblasť ochrany osobných údajov. Na výkon podnikateľskej činnosti Spoločnosti a súvisiace spracúvanie osobných údajov sa vzťahujú aj ďalšie právne predpisy, napr. môže ísť o Zákon, zákonník práce, zákon o účtovníctve, zákon o elektronických komunikáciách a podobne.

1.4 Pojmy použité v tejto Smernici majú rovnaký význam ako rovnaké pojmy definované v čl. 4 GDPR.

2. Postavenie Spoločnosti pri spracúvaní osobných údajov

2.1 Spoločnosť má pri spracúvaní osobných údajov postavenie prevádzkovateľa v zmysle článku 4 bodu 7 GDPR.

2.2 Spoločnosť nie je prevádzkovateľom, ak získa osobné údaje náhodným spôsobom bez predchádzajúceho určenia účelov a prostriedkov spracúvania, pričom v takom prípade sa na ňu GDPR nevzťahuje. Môže ísť o situácie, kedy sú Spoločnosti poskytnuté osobné údaje omylom alebo sú mu poskytnuté také osobné údaje, o ktoré nežiadal a nemá záujem tieto osobné údaje ďalej spracúvať na žiadne účely. Uchovanie týchto údajov napr. z dôvodu ich vrátenia oprávnenej osobe alebo ich vymazania v primeranej lehote nepredstavuje spracúvanie osobných údajov spadajúce pod pôsobnosť GDPR.

Účely spracúvania osobných údajov

3.1 Nižšie uvedený zoznam predstavuje kategórie účelov spracúvania, ku ktorým dochádza pri realizácii podnikateľskej činnosti Spoločnosti.

3.1.1 Personalistika a mzdy

3.1.2 Personálne agentúry, brigádnici a leasingoví pracovníci

3.1.3 Výberové konania – noví uchádzači o zamestnanie

3.1.4 Zákaznícky servis (komunikácia so zákazníkmi, vybavovanie objednávok)

3.1.5 Databáza zákazníkov, potenciálnych zákazníkov

3.1.6 Databáza dodávateľov, potenciálnych dodávateľov

3.1.7 Vedenie účtovníctva

3.1.8 Prideľovania IT prístupov a vybavenia, nahlasovanie problémov IT online

3.1.9 Plnenie právnych povinností

3.1.10 Poskytovanie tovarov alebo služieb; poskytujú sa:

3.1.11 Kamerové záznamy

3.2 Bližší popis skutočností relevantných pre zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi, ako sú účely spracúvania, okruh dotknutých osôb, kategórie

spracúvaných osobných údajov, právne základy spracúvania a retenčné (úložné) doby, sú

uvedené v dokumente Prehľad spracúvaných osobných údajov (data mapping).

4. Základné zásady spracúvania osobných údajov

4.1 GDPR upravuje základné zásady spracúvania osobných údajov v článku 5 GDPR.

Spoločnosť priebežne zabezpečuje, aby všetky spracovateľské operácie boli realizované

v súlade so všetkými zásadami uvedenými nižšie.

Zákonnosť, spravodlivosť a transparentnosť

4.2 Spoločnosť spracúva osobné údaje dotknutých osôb zákonným spôsobom, spravodlivo a transparentne.

4.2.1 Zákonný spôsob spracúvania znamená, že spracúvanie osobných údajov je založené na niektorom z právnych základov spracúvania uvedených v článkoch 6 až 11 a 89 GDPR.

4.2.2 Spravodlivosť a transparentnosť znamená, že Spoločnosť poskytuje dotknutým

osobám, ktorých osobné údaje spracúva, jasné a zrozumiteľné informácie

o podmienkach spracúvania a o právach, ktoré majú v tejto súvislosti. Popri

poučení o svojich právach sú dotknuté osoby v zákonnom rozsahu informované

o osobitostiach spracúvania, vrátane toho, na aké účely sa údaje spracúvajú a na

základe akého právneho základu. Rozsah informačnej povinnosti je upravený v čl.

13 a 14 GDPR a pri žiadosti dotknutej osoby v článku 15 GDPR. Z týchto ustanovení

vyplýva, že právo dotknutých osôb na poskytovanie informácií nie je absolútne

a v niektorých prípadoch Spoločnosť nie je povinná výslovne informovať dotknuté

osoby.

Obmedzenie účelu

4.3 Osobné údaje Spoločnosť získava na konkrétne určené, výslovne uvedené a legitímne účely

a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Ďalšie

spracúvanie za iným účelom než tým, na ktorý boli osobné údaje získané, je za istých

podmienok dovolené, to znamená, že aj keď Spoločnosť získa osobné údaje na konkrétny

účel, za splnenia určených podmienok môže tieto údaje spracúvať aj na iný než pôvodný

účel („test zlučiteľnosti“).

4.4 Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo

historického výskumu či štatistické účely sa v zmysle GDPR považuje za zlučiteľné s

pôvodným účelom. Spoločnosť za týmto účelom zabezpečí primerané záruky pre práva a

slobody dotknutej osoby.

Minimalizácia údajov

4.5 Osobné údaje, ktoré Spoločnosť spracúva, sú primerané, relevantné a obmedzené na

rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Za týmto účelom

Spoločnosť zrealizovala pred nadobudnutím účinnosti GDPR audit spracúvania osobných

údajov a tiež priebežne monitoruje spracovateľské operácie. Spoločnosť priebežne

monitoruje, aby vedela preukázať, že všetky spracúvané osobné údaje potrebuje na

dosiahnutie sledovaných účelov spracúvania.

Zásada správnosti

4.6 Spoločnosť vynakladá primerané úsilie, aby osobné údaje spracúvané Spoločnosťou boli správne a podľa potreby aktualizované. Spoločnosť priebežne zabezpečuje, aby sa osobné údaje, ktoré sú nesprávne, bezodkladne vymazali alebo opravili. Dotknuté osoby sú povinné za každých okolností poskytovať Spoločnosti správne osobné údaje, a tieto priebežne efektívne (napr. písomne vrátane prostredníctvom e-mailu) u Spoločnosti aktualizovať, ak napr. dôjde k ich zmene.

4.7 Spoločnosť predpokladá, že osobné údaje poskytnuté dotknutými osobami sú pravdivé, aktuálne, úplné a správne, a to až do momentu oznámenia zmeny zo strany dotknutej osoby, v ktorom prípade Spoločnosť bezodkladne zabezpečí zmenu, doplnenie alebo opravu príslušného osobného údaja.

Minimalizácia uchovávania

4.8 Spoločnosť uchováva osobné údaje vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Ak sú osobné údaje spracúvané na viacero účelov, Spoločnosť je oprávnená ich spracúvať dovtedy, pokiaľ trvá niektorý z nich. Osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely. V takom prípade Spoločnosť zabezpečí prijatie primeraných technických a organizačných opatrení na ochranu práv a slobôd dotknutých osôb.

4.9 Retenčné doby (t.j. doby uloženia) môžu v niektorých prípadoch vyplývať z osobitných

predpisov. Niektoré osobitné predpisy však stanovujú len minimálnu zákonnú dobu

uchovávania, pričom retenčné doby môžu byť v daných prípadoch dlhšie. Zásada

minimalizácie uchovávania dovoľuje pokračovať v spracúvaní osobných údajov po uplynutí

retenčných dôb na niektoré ďalšie vymedzené účely. Ide o účely archivácie vo verejnom

záujme, účely vedeckého alebo historického výskumu a štatistické účely upravené v článku 89 GDPR.

Integrita a dôvernosť

4.10  Spoločnosť zabezpečuje, že osobné údaje sa spracúvajú spôsobom, ktorý zaručuje

primeranú  bezpečnosť  osobných  údajov,  vrátane  ochrany  pred  neoprávneným  alebo  

nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to

prostredníctvom primeraných technických alebo organizačných opatrení (tzv.  

„bezpečnostné opatrenia“).  

4.11  Táto  zásada  je  dotvorená  ďalšími  povinnosťami  týkajúcich  bezpečnosti  osobných  údajov,  ktorým sa GDPR venuje v samostatnom oddiely 2 kapitoly IV, konkrétne v článkoch 32 až 34 GDPR. Zásada integrity a dôvernosti je bližšie vysvetlená v bode 8 nižšie.

Zodpovednosť

4.12  Spoločnosť  je  zodpovedná  za  spracúvanie  osobných  údajov  v súlade  s vyššie  uvedenými  zásadami, pričom prijíma opatrenia na preukázanie súladu každej spracovateľskej operácie.

Za týmto účelom napr. vypracúva písomné podklady o tom, že všetky aspekty

spracovateľských  operácií  v rámci  Spoločnosti  boli  interne  posúdené,  pričom  výsledkom  tohto posúdenia je  súlad s ustanoveniami GDPR. Povinnosť preukázať súlad existuje výlučne voči príslušnému Úradu na ochranu osobných údajov.  

4.13  V súlade so zásadou zodpovednosti môže Spoločnosť preukázať splnenie základných zásad spracúvania osobných údajov napr. niektorým z nasledovných spôsobov (ak sa aplikujú na Spoločnosť):

4.13.1  prijatím a dodržiavaním tejto Smernice;

4.13.2  uzatvorením  zmlúv  so  sprostredkovateľmi  alebo  spoločnými  prevádzkovateľmi

podľa článkov 26 alebo 28 GDPR;  

4.13.3  vedením záznamov o spracovateľských činnostiach podľa článku 30 GDPR;

4.13.4  poskytnutím  súčinnosti  príslušnému  Úradu  na  ochranu  osobných  údajov  pri  

výkone jeho úloh a právomocí podľa článku 31 GDPR;

4.13.5  prijatím primeraných bezpečnostných opatrení podľa článku 32 GDPR;

4.13.6  vykonaním posúdenia vplyvu a prípadnej predchádzajúcej konzultácie podľa

článku 35 a 36 GDPR;  

4.13.7  vzdelávaním zamestnancov v oblasti ochrany osobných údajov;

4.13.8  vymenovania zodpovednej osoby podľa článkov 37 až 39 GDPR;  

4.13.9  dodržiavaním pravidiel a primeraných záruk pri cezhraničných prenosoch

osobných údajov do tretích krajín alebo medzinárodných organizácií;  

4.13.10  dodržovaním schválených certifikačných mechanizmov, pečatí alebo značiek podľa článku 42 a nasl. GDPR.

4.14  Spoločnosť vyvíja primerané úsilie na zabezpečenie ochrany osobných údajov

prostredníctvom  špecificky  navrhnutej  („data  protection  by  design“)  a štandardnej  („data protection by default“) ochrany osobných údajov.  

4.14.1  Špecificky  navrhnutá  ochrana  osobných  údajov  znamená,  že  Spoločnosť,  so  

zreteľom na rôzne aspekty spracúvania (napr. najnovšie poznatky, povahu, rozsah

a účely spracúvania, riziká vyplývajúce pre práva dotknutých osôb), pred začatím

spracúvania  prijme  primerané  technické  a  organizačné  opatrenia  a záruky  na  

ochranu  osobných  údajov,  a tieto  priebežne  adaptuje  na  aktuálne  podmienky  

spracúvania.   

4.14.2  Štandardná ochrana osobných údajov znamená, že Spoločnosť zabezpečí, aby sa

spracúvali  len  osobné údaje  nevyhnutné  pre každý konkrétny  účel  spracúvania.  

Tiež  zabezpečí,  aby  osobné  údaje  neboli  bez  zásahu  fyzickej  osoby  štandardne  

prístupné neobmedzenému počtu fyzických osôb.  

 

5.  Spracúvanie osobitných kategórií osobných údajov   

5.1  GDPR medzi osobitnú kategóriu osobných údajov  (tzv. „citlivé údaje“) zahŕňa také osobné údaje,  ktoré  odhaľujú  rasový  alebo  etnický  pôvod,  politické  názory,  náboženské  alebo filozofické presvedčenie alebo členstvo v odborových organizáciách. Ďalej, ako citlivé osobné údaje  GDPR  výslovne  uvádza  aj  genetické  údaje,  biometrické  údaje  na  individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Podľa článku 9 ods. 1 GDPR platí všeobecný zákaz ich spracúvania, ktorý sa neuplatní iba ak sú splnené podmienky uvedené v článku 9 ods. 2 GDPR.  

5.2  Na  rozdiel  od  predchádzajúcej  úpravy  sa  rodné  čísla  a osobné  údaje  týkajúce  sa  uznania  viny za trestné činy a priestupky nepovažujú za citlivé údaje. Rovnako ani fotografia sa už nepovažuje  za  citlivý  údaj,  a teda  bežný  záznam  z bezpečnostnej  kamery  alebo  kópia  dokladu totožnosti vrátane fotografie na danom doklade  túto podmienku nespĺňajú.  

5.3  Spoločnosť pri spracúvaní osobných údajov môže prichádzať do styku aj s citlivými údajmi.

Pôjde predovšetkým o údaje týkajúce sa zdravia pre pracovnoprávne účely.  

5.4  Spracúvanie  citlivých  údajov  je  možné  vykonávať  na  účely  plnenia  povinností  a  výkonu  osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany. Spoločnosť je oprávnená pre pracovnoprávne účely spracúvať citlivé údaje aj bez súhlasu dotknutej osoby. V prípade, ak Spoločnosť bude spracúvať citlivé údaje na základe súhlasu dotknutej osoby, obstará si od dotknutej osoby výslovný súhlas na tento účel.    

6.  Práva dotknutých osôb   

Právo na informácie   

6.1  Transparentnosť je jednou zo základných zásad spracúvania osobných údajov. Spoločnosť do svojich interných postupov preto implementuje opatrenia s cieľom poskytnúť dotknutým osobám informácie týkajúce sa spracúvania. Právny rámec poskytovania informácii dotknutej osobe je upravený nasledovne:  

6.1.1  informácie sa poskytnú v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej

forme, formulované jasne a jednoducho;  

6.1.2  informácie  sa môžu podať písomne, elektronicky alebo inými prostriedkami alebo

na požiadanie ústne;  

6.1.3  informácie sa poskytnú bezplatne, v prípade neopodstatnených alebo

neprimeraných žiadostí dotknutých osôb je Spoločnosť oprávnená účtovať

primeraný poplatok alebo nekonať;

6.1.4  Spoločnosť je  oprávnená  žiadať  o poskytnutie  dodatočných  informácií  potrebných  na potvrdenie totožnosti dotknutej osoby.  

6.2  Spoločnosť  je  oprávnená  splniť  si  informačnú  povinnosť  podľa  článkov  13  a 14  GDPR  akýmkoľvek vhodným a preukázateľným spôsobom, bez ohľadu na formu a podobu poskytnutých  informácií.  Spoločnosť  sa  vzhľadom  na  okolnosti  daného  spracúvania  môže  rozhodnúť  pre  poskytovanie  týchto  informácií  napríklad  prostredníctvom  odkazu  na  svoje webové  sídlo,  elektronicky  prostredníctvom  webu,  v rámci  samostatného  pop-up  okna, fyzicky v tlačenej podobe, zakomponovaním do zmluvnej dokumentácie alebo všeobecných obchodných podmienok, certifikovanými mechanizmami, značkami alebo pečaťami,

zaslaním na e-mailovú alebo poštovú adresu dotknutej osoby alebo ústnym alebo písomným poskytnutím.

Rozsah informačnej povinnosti

6.3  V  prípadoch,  keď  sa  od  dotknutej  osoby  získavajú  osobné  údaje,  ktoré  sa  jej  týkajú, poskytne Spoločnosť pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

6.3.1  totožnosť  a  kontaktné  údaje  prevádzkovateľa  a  v  príslušných  prípadoch  zástupcu prevádzkovateľa;

6.3.2  kontaktné údaje prípadnej zodpovednej osoby;

6.3.3  účely spracúvania, na ktoré sú osobné údaje určené, ako aj  právny základ

spracúvania;

6.3.4  ak  sa  spracúvanie  zakladá  na  článku  6  ods.  1  písm.  f),  oprávnené  záujmy,  ktoré sleduje prevádzkovateľ alebo tretia strana;

6.3.5  príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

6.3.6  v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje  do  tretej  krajiny  alebo  medzinárodnej  organizácii  a informácia  o  existencii alebo  neexistencii  rozhodnutia  Komisie  o primeranosti  alebo,  v  prípade  prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli

poskytnuté.

6.4  Okrem  informácií  v  čl.  6.3,  Spoločnosť  poskytne  dotknutej  osobe  pri  získavaní  osobných údajov tieto ďalšie informácie, ak sú potrebné na zabezpečenie spravodlivého a

transparentného spracúvania:

6.5  doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

6.6  existencia  práva  požadovať  od  prevádzkovateľa  prístup  k  osobným  údajom  týkajúcim  sa dotknutej  osoby  a práva  na  ich  opravu  alebo  vymazanie  alebo  obmedzenie  spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

6.7  ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

6.8  právo podať sťažnosť dozornému orgánu;

6.9  informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou

požiadavkou,  alebo  požiadavkou,  ktorá  je  potrebná  na  uzavretie  zmluvy,  či  je  dotknutá osoba  povinná  poskytnúť  osobné  údaje,  ako  aj  možné  následky  neposkytnutia  takýchto údajov;

6.10  existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods.1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

Lehoty na splnenie informačnej povinnosti

6.11  Ohľadne lehôt týkajúcich sa splnenia informačnej povinnosti platí nasledovné:  

6.11.1  ak  Spoločnosť  získava  osobné  údaje  od  dotknutej  osoby,  informuje  ju  pri  získaní údajov;  

6.11.2  ak  Spoločnosť  nezískava  osobné  údaje  priamo  od  dotknutej  osoby,  tieto  údaje poskytne:  

6.11.2.1  v  primeranej  lehote  po  získaní  osobných  údajov,  najneskôr  však  do  

jedného  mesiaca,  pričom  zohľadní  konkrétne  okolnosti,  za  ktorých  sa  osobné  

údaje spracúvajú;

6.11.2.2  ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou,

najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

6.11.2.3  ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi,

najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

Právo na prístup k osobným údajom

6.12  Právo  na  prístup  zaručuje  dotknutej  osobe  možnosť  preveriť,  aké  osobné  údaje  o nej  Spoločnosť spracúva.  

6.13  Dotknutá  osoba  má  právo  žiadať  Spoločnosť  o  prístup  k osobným  údajom  v súlade s podmienkami  podľa  článku  15  GDPR.  Právo  na  prístup  v prvom  rade  zahŕňa  právo dotknutej  osoby  získať  informáciu,  či  o nej  Spoločnosť  spracúva  osobné  údaje.  Len v prípade,  že  Spoločnosť  spracúva  osobné  údaje  o dotknutej  osoby,  má  dotknutá  osoba  právo ďalej uplatniť ďalšie práva, menovite:

6.13.1  právo na poskytnutie informácií podľa článku 15 ods. 1 GDPR;

6.13.2  právo získať prístup1 k osobným údajom spracúvaných Spoločnosťou;

6.13.3  právo na poskytnutie kópie spracúvaných osobných údajov.  

6.14  Ak dotknutá žiadosti výslovne neuvedie, že žiada aj o získanie prístupu k osobným údajom alebo o poskytnutie kópie osobných údajov podľa bodov 6.5.1 a 6.5.2 vyššie, je Spoločnosť oprávnená všeobecnú žiadosť podľa článku 15 GDPR považovať za žiadosť o potvrdenie, či sú osobné údaje spracúvané.

6.15  Pri poskytovaní informácií podľa článku 15 ods. 1 GDPR je Spoločnosť oprávnená použiť ten istý spôsob a metódu poskytovania informácií, aký sa uplatňuje na poskytovanie informácií podľa článkov 13 a 14 GDPR. Informácie podľa článku 15 GDPR ale musia byť prispôsobené okolnostiam  týkajúcim  sa  konkrétnej  dotknutej  osoby.  Napr.  ak  Spoločnosť  poskytla všeobecné informácie o spracúvaní osobných údajov podľa článkov 13 a 14 GDPR, poskytujú neadresný  prehľad  účelov  spracúvania,  ku  ktorým  môže  dochádzať.  Pri  práve  na  prístup  Spoločnosť upresní tieto informácie vo vzťahu ku konkrétnej dotknutej osobe a teda mali by poskytovať  informácie  o účeloch  spracúvania,  ktoré  sa  týkajú  tejto  konkrétnej  dotknutej osoby.  

6.16  Právo  na  poskytnutie  kópie  osobných  údajov  podľa  článku  15  ods.  3  GDPR  predstavuje  doplnkové právo dotknutej osoby v rámci práva na prístup. Uplatnením práva na poskytnutie informácií podľa článku 15 ods. 1 GDPR Spoločnosť poskytne dotknutej osobe len kategórie dotknutých osobných údajov, ktoré spracúva o konkrétnej dotknutej osobe (napr.: meno, vek). Právom na poskytnutie kópie osobných údajov podľa článku 15 ods. 3 GDPR dotknutá osoba uplatňuje právo na poskytnutie konkrétnej „hodnoty“ týchto osobných údajov (napr.: Jozef,  41).  Kópie  osobných  údajov  môžu  byť  poskytované  v akejkoľvek  bežne  používanej  elektronickej  podobe,  pričom  na  žiadosť  dotknutej  osoby  odpovedajú  písomne  alebo elektronicky – podľa toho ako o kópie osobných údajov žiada dotknutá osoba.   

6.17  Právo na prístup podľa článku 15 GDPR vrátane akýchkoľvek špecifickejších práv ktoré sú jeho súčasťou nesmie mať nepriaznivé dôsledky na práva a slobody iných. Medzi „iných“ je možné zaradiť napr. iné dotknuté osoby alebo iné osoby ako je dotknutá osoba uplatňujúca žiadosť.

Právo na opravu  

6.18  Dotknutá osoba má právo žiadať Spoločnosť o opravu nesprávnych osobných údajov, ktoré sa jej týkajú a má právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. O tom, či sú osobné údaje neúplné z pohľadu účelov spracúvania  však  rozhoduje  Spoločnosť  ako  prevádzkovateľ.  Spoločnosť  nie  je  povinná doplniť  osobné  údaje  podľa  žiadosti  dotknutej  osoby,  ak  ich  nepovažuje  za  potrebné  pre dané účely,  nakoľko  Spoločnosť má  všeobecnú  povinnosť  spracúvať  len  tie  osobné údaje, ktoré sú nevyhnutné na dané účely.  

Právo na vymazanie

6.19  Právo  na  vymazanie  osobných  údajov  býva  verejnosťou  mylne  vnímané  ako  absolútne  právo,  ktorým  je  možné  kedykoľvek  dosiahnuť  vymazanie  všetkých  osobných  údajov.  

V skutočnosti  sa  právo  na  vymazanie  aplikuje  len  v prípadoch  vymedzených  v  článku  17  GDPR,  ktoré  nemajú  všeobecnú  alebo  absolútnu  povahu.  Dotknutá  osoba  má  právo  dosiahnuť vymazanie svojich osobných údajov zo strany Spoločnosti, ak preukáže splnenie niektorých  z uvedených  podmienok.  Ak  dotknutá  osoba  žiada  vymazanie  jej  osobných údajov  z dôvodov  nezákonnosti  spracúvania,  za  nezákonné  spracúvanie  sa  považuje  pre  účely  tohto  práva  len  také  spracúvanie,  o ktorého  nezákonnosti  právoplatne  rozhodol príslušný súd alebo Úrad na ochranu osobných údajov.  

6.20  Dotknutá  osoba  musí  žiadosť  o výmaz  osobných  údajov  dostatočne  odôvodniť,  najmä  odkazom na právny predpis, podľa ktorého by mali jej osobné údaje byť vymazané (článok 17 ods. 1 písm. e) GDPR) alebo odkazom na rozhodnutie, podľa ktorého sú osobné údaje spracúvané  Spoločnosťou  nezákonne  (článok  17  ods.  1  písm.  d)  GDPR).  Spoločnosť  je oprávnená žiadať doplnenie informácií dotknutou osobou. Spoločnosť je zároveň oprávnená odmietnuť  konať  na  základe  žiadosti  o vymazanie  osobných  údajov,  ak  platí  niektorý  z dôvodov uvedený v článku 17 ods. 3 GDPR.  

Právo na obmedzenie spracúvania

6.21  Dotknutá  osoba  má  právo  žiadať  Spoločnosť  o  obmedzenie  spracúvania  v situáciách  predpokladaných v článku 18 GDPR, pričom obsah naplnenia týchto povinností sa posudzuje primeraným  spôsobom  ako  pri  posudzovaní  dôvodov  na  vymazanie  osobných  údajov vysvetlených v bode 6.4.2 vyššie. Ak sú splnené podmienky na obmedzenie spracúvania, Spoločnosť je povinná pristúpiť k obmedzeniu spracúvania v primeranej lehote podľa článku 12 GDPR.  Spoločnosť v tejto lehote posúdi, či je žiadosť opodstatnená.  

Právo na prenosnosť údajov

6.22  Dotknutá  osoba  má  právo  žiadať  o  poskytnutie  osobných  údajov  podľa  článku  20  ods.  1  GDPR len vo vzťahu k osobným údajom, ktoré:  

6.22.1  sú spracúvané automatizovaným prostriedkami (t.j. elektronicky);

6.22.2  sú spracúvané na právnom základe súhlasu alebo plnenia zmluvy (podľa článkov 6

ods. 1 písm. a) alebo b) GDPR); a  

6.22.3  ktoré aktívne poskytla banke samotná dotknutá osoba.  

6.23  Právo na prenosnosť sa nevzťahuje na osobné údaje, ktoré Spoločnosť spracúva na iných právnych  základoch  ako  je  súhlas  alebo  plnenie  zmluvy.  Pod  kategórie  údajov,  ktoré nespadajú pod právo prenosnosť sa vzťahujú predovšetkým všetky osobné údaje

spracúvané  na  právom  základe  vyplývajúcom  z osobitných  predpisov  alebo  oprávnených  záujmov Spoločnosti vysvetlených vyššie.

Právo namietať  

6.24  Dotknuté osoby majú právo namietať z dôvodov týkajúcich sa ich konkrétnej situácie proti spracúvaniu osobných údajov Spoločnosťou na právnom základe verejného alebo

oprávneného  záujmu.  Po  prijatí  žiadosti  dotknutej  osoby  je  Spoločnosť  povinná  v lehote podľa  článku  12  GDPR  preukázať  dotknutej  osobe  nevyhnutné  oprávnené  dôvody  na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.  

6.25  Dotknuté osoby majú právo namietať proti spracúvaniu osobných údajov na účely priameho marketingu, pričom v tomto prípade je Spoločnosť povinná v rámci lehoty podľa článku 12 GDPR prestať s daným spracúvaním osobných údajov.  

Automatizované individuálne rozhodovanie vrátane profilovania

6.26  Spoločnosť nerealizuje automatizované individuálne rozhodovanie, ani profilovanie.  

Uplatňovanie práv dotknutých osôb    

6.27  Dotknuté osoby sú oprávnené uplatňovať svoje práva z GDPR voči Spoločnosti

prostredníctvom  žiadostí.  Vybavovanie  žiadostí  dotknutých  osôb  je  súčasťou  pracovnej  náplne  zamestnanca  na  pozícii  Obchodný  riaditeľ,  ktorý  je  povinný  postupovať  v súlade  s týmito Zásadami a GDPR.  

6.28  Pri akejkoľvek žiadosti na základe práv dotknutých osôb vyplývajúcich z GDPR Spoločnosť v prvom  rade  identifikuje  dotknutú  osobu  v súlade  s ustanoveniami  článku  12  GDPR.  Spoločnosť  nie  je  povinná  konať  na  základe  žiadosti  dotknutej  osoby,  pokiaľ  nie  je  jednoznačne  overená  totožnosť  dotknutej  osoby.  Dotknuté  osoby  sa  môžu  na  Spoločnosť obrátiť osobne, písomne, elektronicky alebo telefonicky. V každom z týchto prípadov je však Spoločnosť oprávnená požadovať poskytnutie dodatočných informácií na overenie totožnosti dotknutej osoby. Táto skutočnosť vyplýva aj z článku 12 ods. 6 GDPR, podľa ktorého, ak má Spoločnosť  oprávnené  pochybnosti  v  súvislosti  s  totožnosťou  fyzickej  osoby  podávajúcej  žiadosť,  môže  požiadať  o  poskytnutie  dodatočných  informácií  potrebných  na  potvrdenie  totožnosti  dotknutej  osoby.  Spoločnosť  je  oprávnená  v takom  prípade  napr.  odkázať

dotknutú osobu na osobné overenie totožnosti v priestoroch Spoločnosti.    

6.29  Všeobecná lehota na vybavenie žiadosti dotknutej osoby podľa článkov 15 až 20 GDPR je jeden  mesiac  od  doručenia  žiadosti,  pričom  ak  v momente  doručenia  žiadosti  totožnosť dotknutej  osoby  nie  je  úspešne  overená,  mesačná  lehota  začína  plynúť  až  od  úspešného  

overenia totožnosti dotknutej osoby (ďalej len „mesačná lehota“). Spoločnosť je oprávnená

rozhodnúť  o predĺžení  tejto  mesačnej  lehoty  o  ďalšie  dva  mesiace,  pričom  zohľadní

komplexnosť žiadosti a celkový počet žiadostí, ktoré v danom období Spoločnosť obdržala. Vždy  keď  Spoločnosť  rozhodne  o  predĺžení  danej  lehoty,  je  povinná  informovať  dotknutú  osobu o každom takomto predlžení spolu s dôvodmi zmeškania lehoty v pôvodnej mesačnej lehote.  

6.30  Ak Spoločnosť neprijme opatrenia na základe žiadosti dotknutej osoby, je povinná

v mesačnej  lehote  informovať  dotknutú  osobu  o dôvodoch  nekonania  a o možnosti  podať sťažnosť na Úrade na ochranu osobných údajov alebo uplatniť súdny prostriedok nápravy  do jedného mesiaca od doručenia žiadosti. Táto povinnosť sa však nevzťahuje na situáciu, kedy  Spoločnosť  neprijme  opatrenia  na  základe  žiadosti  dotknutej  osoby  z dôvodu,  že  Spoločnosť  nevie  dotknutú  osobu  identifikovať  alebo  dotknutá  osoba  odmietne  poskytnúť dodatočné informácie na overenie jej identity.  

6.31  Spoločnosť  je  oprávnená  z dôvodov  uvedených  v  článku  12  ods.  5  druhej  vety  GDPR  odmietnuť  konať  na  základe  žiadosti  alebo  požadovať  primeraný  poplatok  zohľadňujúci administratívne náklady Spoločnosti v súvislosti s poskytnutím informácií, oznámení alebo v súvislosti s uskutočnením požadovaného oprávnenia. Spoločnosť môže týmto spôsobom postupovať vždy, keď sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané,  najmä  pre  ich  opakujúcu  sa  povahu.  Za  neopodstatnené  žiadosti  dotknutej  osoby sa považujú najmä také žiadosti:  

6.31.1  na  základe  ktorých  dotknutá  osoba  neoprávnene  žiada  prístup  k dôverným  alebo citlivým informáciám bez ohľadu na jej úmysel v súvislosti s týmito informáciami;    

6.31.2  ktoré majú výslovne šikanózny charakter voči zamestnancom Spoločnosti alebo voči samotnej Spoločnosti;

6.31.3  ktoré  sú  vulgárne  alebo  obsahujú  prvky  rasovej,  etnickej,  rodovej,  pohlavnej,  

sexuálnej alebo náboženskej nenávisti;   

6.31.4  ktoré  majú  tak  všeobecný  charakter  alebo  sú  tak  nezrozumiteľné,  že  Spoločnosť nevie z danej žiadosti posúdiť, aké právo dotknutá osoba uplatňuje;

6.31.5  ktorými  dotknutá  osoba  žiada  informácie,  oznámenia  alebo  na  uskutočnenie

opatrení, ktoré výslovne nevyplývajú z článkov 15 až 20 GDPR;

6.31.6  ktoré smerujú opakovane k tej istej skutočnosti, ktorú Spoločnosť už viacnásobne

vysvetlila dotknutej osobe, pričom dotknutej osobe musí byť z okolností jasné, že

odpoveď Spoločnosti sa nemala prečo zmeniť;

6.31.7  ktoré  vzbudzujú  podozrenie  z úmyslu  dotknutej  osoby  v súvislosti  s jej  žiadosťou dopustiť sa konania, ktoré by mohlo mať za následok trestnoprávnu zodpovednosť alebo škodu vzniknutú Spoločnosti alebo iným osobám;

6.31.8  pri ktorých dotknutá osoba vyhotovuje obrazové, zvukové alebo obrazovo-zvukové

záznamy zamestnancov Spoločnosti alebo Spoločnosti;

6.31.9  pri ktorých dotknutá osoba koná agresívne, pod vplyvom alkoholu alebo omamných látok  alebo  ohrozuje  bezpečnosť  ostatných  osôb  nachádzajúcich  sa  v danom priestore.   

7.  Posúdenie vplyvu a predchádzajúca konzultácia  

7.1  Spoločnosť  vykonala  analýzu  povinnosti  posúdenia  vplyvu  a predchádzajúcej  konzultácie,  

a tieto povinnosti jej v súvislosti so spracovateľskými operáciami realizovanými

Spoločnosťou nevyplývajú.   

8.  Bezpečnosť osobných údajov   

Primeranosť bezpečnostných opatrení

8.1  Spoločnosť osobným údajom, ktoré spracúva, zabezpečuje v každom čase primeranú úroveň ochrany v súlade s GDPR so zreteľom na:   

8.1.1  najnovšie poznatky;

8.1.2  náklady na vykonanie opatrení;

8.1.3  na povahu, rozsah, kontext a účely spracúvania;  

8.1.4  riziká  s  rôznou  pravdepodobnosťou  a  závažnosťou  pre  práva  a  slobody  fyzických osôb.

8.2  Spoločnosť  na  zabezpečenie  bezpečnosti  a integrity  osobných  údajov  implementovala  niektoré alebo všetky z nasledovných opatrení:

8.2.1  pseudonymizáciu a šifrovanie osobných údajov;

8.2.2  schopnosť  zabezpečiť  trvalú  dôvernosť,  integritu,  dostupnosť  a  odolnosť  systémov  spracúvania a služieb;

8.2.3  schopnosť  v čas  obnoviť  dostupnosť  osobných  údajov  a  prístup  k  nim  v  prípade fyzického alebo technického incidentu;

8.2.4  proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a

organizačných opatrení na zaistenie bezpečnosti spracúvania.

8.3  Spoločnosť zabezpečuje ochranu osobných údajov aj prostredníctvom pravidelných školení zamestnancov, ktorým z náplne ich pracovnej pozície vyplýva oprávnenie prístupu

k osobným údajom. Školenia sa realizujú minimálne 1x ročne.   

8.4  Spoločnosť prostredníctvom svojich zamestnancov na úseku IT vykonáva činnosť za účelom identifikácie,  vyhodnotenia  a riadenia  rizík  informačnej  bezpečnosti.  Existujúci  a nový hardware  sa  konfiguruje  profesionálne.  Spoločnosť  zabezpečuje  bezpečné  používanie  prenosných  pamäťových  zariadení  (USB,  CD).  Spoločnosť  prideľuje  užívateľské  kontá  pre zamestnancov  tak,  aby  mali  prístup  iba  k takým  informáciám/zariadeniam/dátam,  ktoré  potrebujú  k výkonu  svojej  práce.  Spoločnosť  ukladá  svojim  zamestnancom  povinnosť pravidelne  obmieňať  prístupové  heslá  do  počítačov  a programov.  Spoločnosť  zabezpečuje

zisťovanie akýchkoľvek neautorizovaných prístupov k nim.   

Oznamovanie porušení ochrany osobných údajov

8.5  Spoločnosť oznamuje porušenie ochrany osobných údajov v lehote 72 hodín od overenia, či nastalo  porušenie  ochrany  osobných  údajov  a aké  môže  predstavovať  riziká  pre  práva  a  slobody fyzických osôb. Spoločnosť je povinná vykonávať overenie podľa predchádzajúcej vety bezodkladne po zistení, že porušenie ochrany osobných údajov mohlo nastať.  

8.6  Spoločnosť oznámi porušenie ochrany osobných údajov podľa článku 33 GDPR

prostredníctvom osobitného formulára uvedeného v prílohe č. 1 týchto Zásad.  

9.  Ďalšie subjekty zapojené do spracúvania osobných údajov    

Poskytovanie osobných údajov

9.1  Pri výkone činnosti Spoločnosti dochádza k poskytovaniu osobných údajov Spoločnosťou ako prevádzkovateľom  iným  subjektom.  Vzhľadom  na  to,  že  GDPR  ani  Zákon  o ochrane  osobných výslovne nepodmieňujú poskytnutie osobných údajov inému subjektu súhlasom dotknutej osoby platí, že poskytovanie osobných údajov je spracovateľskou operáciou, ktorá môže prebiehať na akomkoľvek právnom základe dovolenom GDPR.   

9.2  Spoločnosť je v niektorých prípadoch povinná podľa osobitných predpisov poskytovať osobné údaje  iným  subjektom.  K osobným  údajom  spracúvaným  Spoločnosťou  môže  mať  prístup Úrad na ochranu osobných údajov, orgány činné v trestnom konaní, daňové úrady a ďalšie subjekty.   

Použitie sprostredkovateľov  

9.3  Spoločnosť    môže  použi ť  na  spracúvanie  osobných  údajov  sprostredkovateľov,  ktorí spracúvajú  osobné  údaje  v jej  mene.  Použitie  sprostredkovateľov  nepodlieha  súhlasu dotknutej osoby. Ak sa má spracúvanie uskutočniť v mene Spoločnosti, Spoločnosť využíva len  sprostredkovateľov  poskytujúcich  dostatočné  záruky  na  to,  že  sa  prijmú  primerané  technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutej osoby.  

10.  Zodpovedná osoba (DPO)    

10.1  Spoločnosť vykonala analýzu povinnosti ustanoviť zodpovednú osobu, a výsledkom analýzy je skutočnosť, že takúto povinnosť nemá.  

11.  Likvidácia osobných údajov  

11.1  Spoločnosť  pravidelne  likviduje  osobné  údaje,  ktorým  zanikol  účel  spracúvania.  Výmaz  neaktuálnych a nepotrebných osobných údajov vykonávajú určení zamestnanci Spoločnosti pravidelne 1x ročne. Likvidácia sa uskutočňuje technicky bezpečným spôsobom tak, aby sa eliminovalo riziko zneužitia údajov. Listinné nosiče údajov sa skartujú a elektronické nosiče sa vymazávajú, aby sa zabezpečila nemožnosť obnovenia osobných údajov.   

12.  Záverečné ustanovenia  

12.1  Tieto Zásady boli prijaté Spoločnosťou za účelom zabezpečenia súladu s GDPR a úpravy práv a povinností príslušných subjektov podieľajúcich sa na spracovateľských operáciách.  

12.2  Znenie  Zásad  bolo  vypracované  v súlade  s  GDPR  a v nevyhnutnom  rozsahu  s osobitnými právnymi predpismi.  

12.3  Neoddeliteľnou súčasťou týchto Zásad sú aj prílohy.  

12.4  Tieto  Zásady  a všetky  vzťahy  z neho  vyplývajúce  sa  budú  spravovať  právnym  poriadkom Slovenskej republiky.

V Bratislave, dňa 25.05. 2018