Ochrana osobných údajov

PRIMERANÉ POLITIKY PREVÁZKOVATEĽA (KÓDEX SPRÁVANIA)

 

VŠEOBECNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB PRI ICH SPRACÚVANÍ

 

1. ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

 

Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby sa nepovažuje za nezlučiteľné s pôvodným účelom.

 

Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

 

Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.

 

Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

 

Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

 

Zákonnosť spracúvania
Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a)dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b)spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c)spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d)spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e)spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f)spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

 

Právny základ na spracúvanie osobných údajov podľa písm. c) a e) musí byť ustanovený v zákone na ochranu osobných údajov, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.

 

Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov, okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom, povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku, možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

 

Podmienky poskytnutia súhlasu so spracúvaním osobných údajov:
Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.

 

Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.

 

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.

 

Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

 

Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti: Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca. Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov, pričom zohľadní dostupnú technológiu.

 

Spracúvanie osobitných kategórií osobných údajov:
Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

 

Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak

  1. a)  dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na

    jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,

  2. b)  spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov

    dotknutej osoby,

  3. c)  spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo

    inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť

    svoj súhlas,

  4. d)  spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo

    nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na

ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,

  1. e)  spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,

  2. f)  spracúvanie je nevyhnutné na uplatnenie právneho nároku alebo pri výkone súdnej

    právomoci,

  3. g)  spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného

    predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,

  4. h)  spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,

  5. i)  spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,

  6. j)  spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,

  7. k)  spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

    Spracúvanie osobných údajov bez potreby identifikácie:
    Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad so zákonom na ochranu osobných údajov.

    Ak v prípadoch uvedených vyššie prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné.

Dotknutá osoba na účel vykonania svojich práv môže poskytnúť dodatočné informácie umožňujúce jej identifikáciu.

 

2. PRÁVA DOTKNUTEJ OSOBY

 

INFORMÁCIE A PRÍSTUP K OSOBNÝM ÚDAJOM
Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby:

Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,

b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) prípadné oprávnené záujmy prevádzkovateľa alebo tretej strany
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené.

Okrem vyššie uvedených informácií je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o
a) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia, b) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,

c) práve kedykoľvek svoj súhlas odvolať,
d) práve podať návrh na začatie konania o ochrane osobných údajov,
e) tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
f) existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie uvedené vyššie, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Uvedené vyššie sa neuplatňuje v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.

Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby:
Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) kategórie spracúvaných osobných údajov,
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos.

Okrem týchto informácií je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o a) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia, b) prípadných oprávnených záujmoch prevádzkovateľa alebo tretej strany,
c) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,

d) práve kedykoľvek svoj súhlas odvolať,
e) práve podať návrh na začatie konania na ochranu osobných údajov,
f) zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
g) existencii automatizovaného individuálneho rozhodovania vrátane profilovania, v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

 

Prevádzkovateľ je povinný poskytnúť informácie
- najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
- najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
- najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

 

Vyššie uvedené sa neuplatňuje:
a)v rozsahu, v akom dotknutá osoba už dané informácie má,
b)v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky, alebo ak je pravdepodobné, že táto informačná povinnosť znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,

c) v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
d) ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.

Právo na prístup k osobným údajom:
Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o
a)účele spracúvania osobných údajov,
b)kategórii spracúvaných osobných údajov,
c)identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
d)dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia, e)práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
f)práve podať návrh na začatie konania na ochranu osobných údajov
g) zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
h) existencii automatizovaného individuálneho rozhodovania vrátane profilovania, v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.

Právo získať osobné údaje nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.

 

OPRAVA A VYMAZANIE A OBMEDZENIE SPRACÚVANIA OSOBNÝCH ÚDAJOV

 

Právo na opravu osobných údajov:

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

Právo na výmaz osobných údajov:

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz, ak

a) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
c)dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov pri prevažujúcich oprávnených záujmoch prevádzkovateľa,
d) osobné údaje sa spracúvajú nezákonne,
e) je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
f) sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti.

Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie na účel informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.

Vyššie sa neuplatňuje, ak je spracúvanie osobných údajov potrebné
a) na uplatnenie práva na slobodu prejavu alebo práva na informácie,
b) na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
c) z dôvodov verejného záujmu v oblasti verejného zdravia,
d) na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
e) na uplatnenie právneho nároku.

Právo na obmedzenie spracúvania osobných údajov:
Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
a) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,

b) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
c) prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo

d) dotknutá osoba namieta spracúvanie osobných údajov pri prevažujúcich oprávnených záujmoch prevádzkovateľa, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Ak sa spracúvanie osobných údajov obmedzilo, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.

Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov:
Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.

Prevádzkovateľ o príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

 

PRÁVO NA PRENOSNOSŤ, PRÁVO NAMIETAŤ A AUTOMATIZOVANÉ INDIVIDUÁLNE ROZHODOVANIE

 

Právo na prenosnosť osobných údajov:
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel, výslovný súhlas so spracovaním osobitných kategórii osobných údajov aspoň na jeden konkrétny účel alebo je to potrebné na účely plnenia zmluvy a spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.

 

Uplatnením tohto práva nie je dotknuté právo na výmaz osobných údajov. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Toto právo nesmie mať nepriaznivé dôsledky na práva iných osôb.

 

Právo namietať spracúvanie osobných údajov:
Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie, ak dochádza k spracúvaniu osobných údajov nevyhnutných na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh, taktiež vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.

Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.

Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na tieto práva pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií.

 

V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.

Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel.

 

Automatizované individuálne rozhodovanie vrátane profilovania:
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.

 

To sa neuplatňuje, ak je rozhodnutie
a)nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
b) vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby, alebo
c) založené na výslovnom súhlase dotknutej osoby.

V prípadoch a) a c) je prevádzkovateľ povinný vykonať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

Rozhodnutia a), b) a c) sa nesmú zakladať na osobitných kategóriách osobných údajov okrem prípadov, ak sa uplatňuje výslovný súhlas dotknutej osoby alebo spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby a súčasne sú zavedené vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.

 

3. PRIMERANÉ BEZPEČNOSTNÉ OPATRENIA

 

Prevádzkovateľ vrámci svojej prevádzky pri spracúvaní osobných údajov prijíma tieto technické a organizačné bezpečnostné opatrenia:

Prevádzkovateľ zabezpečí prijatie týchto technických opatrení v konkrétnych podmienkach:

Technické opatrenie realizované prostriedkami fyzickej povahy

Zabezpečenie objektu pomocou mechanických zábranných prostriedkov –uzamykateľné bezpečnostné dvere, uzamykateľné okná.

Zabezpečenie objektu pomocou elektronických zabezpečovacích systémov- alarm, kamerový systém – označenie monitorovaného miesta.

Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu- steny, uzamykateľné dvere, okná.

 

Protipožiarne opatrenia- hasiace prístroje, požiarne hlásiče, protipožiarne dvere.

Umiestnenie dôležitých prostriedkov informačných technológií v chránenom priestore a ochrana informačnej infraštruktúry pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia- ich umiestnenie v uzamykateľnom objekte, uzamykateľnej kancelárií.

Bezpečné uloženie fyzických nosičov osobných údajov vrátane bezpečného uloženia listinných dokumentov- ich umiestnenie v uzamykateľnom objekte, v uzamykateľnej kancelárií do uzamykateľnej skrine.

 

Opatrenie pre zamedzenie náhodného prečítania osobných údajov zo zobrazovacích jednotiek- vhodné umiestnenie zobrazovacích jednotiek, šetrič obrazovky s prístupovým heslom.

Prevádzkovateľ minimálne jedenkrát mesačne, alebo po nesprávnom ukončení alebo výpadku energie zabezpečí systémovú kontrolu pevného disku (scandisk).

Prevádzkovateľ používa nepretržitý zdroj napájania.

 

Ochrana pred neoprávneným prístupom

Šifrová ochrana uložených a prenášaných údajov . Pseudonymizácia alebo anonymizácia osobných údajov.

Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza- nedochádza.

Pravidlá prístupu sprostredkovateľom k informačnému systému, ak k takému prístupu dochádza- na základe osobitnej zmluvy medzi prevádzkovateľom a sprostredkovateľom.

 

Riadenie prístupu poverených osôb

Riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov- na základe poučení oprávnených osôb.

 

Riadenie zraniteľností

Opatrenia pre detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu- inštalácia a pravidelná aktualizácia antivírusového systému.

Ochrana pred nevyžiadanou elektronickou poštou- antispamový systém, neotváranie podozrivých e-mailov a odkazov.

 

Používanie legálneho a prevádzkovateľom schváleného softvéru.

Prevádzkovateľ pravidelne aktualizuje operačný systém a programové aplikačné vybavenie. Bezpečné a kontrolované sťahovanie súborov z verejne prístupnej počítačovej siete.

Zhromažďovanie informácií o technických zraniteľnostiach informačných systémov, vyhodnocovanie úrovne rizík a implementácia opatrení na potlačenie týchto rizík.

Sieťová bezpečnosť

 

Kontrola prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou- antivírusový program, antispamový program, neotváranie podozrivých e-mailov a odkazov. Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástrojov sieťovej bezpečnosti – firewall, switch.

 

Zamedzenie pripojenia k určitým rizikovým adresám, používanie sieťových protokolov.

Definovanie zložitých prístupových práv a hesiel do aplikácií a do sieťových adresárov.

Vykonávať pravidelný upgrade firmware aktívnych sieťových prvkov. Pri zmenách aktívnych sieťových prvkov, inak s periodicitou každých 4-5 rokov vykonávať penetračné testovanie sieťovej infraštruktúry útokom na perimeter zvonku. Primerane renovovať sieťovú infraštruktúru, aktívne prvky vymieňať pravidelne každých 4-5 rokov.

 

Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok)- chránenie WiFi silným heslom, zmena prednastavených hesiel od výrobcu, neznáme programy neinštalovať.

 

Aktualizácia operačného systému a programového aplikačného vybavenia- softvéru.

 

Zálohovanie

Test funkčnosti záložných dátových nosičov- externý server.
Vytváranie záloh s vopred zvolenou periodicitou (denne, týždenne, mesačne)

Určenie doby uchovávania záloh a kontrola jej dodržiavania- po dobu potrebnú na dosiahnutie účelu spracúvania, kontrola, či účel trvá.

 

Test obnovy informačného systému zo zálohy.

Bezpečné ukladanie záloh- šifrovanie a uloženie záložného nosiča- zabezpečenie uzamknutím.

Test obnoviteľnosť informačného obsahu zničených aktív živelnou pohromou zo zálohy.

Likvidácia osobných údajov a dátových nosičov

Technické opatrenia pre bezpečné vymazanie osobných údajov z dátových nosičov. Vymazanie záznamu z kamerového systému v 14 dňovej lehote.

 

Prevádzkovateľ všetky nepotrebné listiny sosobnými údajmi bezodkladne zlikviduje skartovaním.

Nepotrebné listiny s osobnými údajmi prevádzkovateľ nikdy nevyhodí do koša.

Zariadenie na mechanické zničenie dátových nosičov osobných údajov- zariadenie na skartovanie listín a rozbitie dátových médií.

 

Prevádzkovateľ zabezpečí prijatie týchto organizačných opatrení v konkrétnych podmienkach:


Personálne opatrenia

Ustanovenie si zodpovednej osoby pri spracovaní osobných údajov.

Poverenie osoby prevádzkovateľom alebo sprostredkovateľom, ktorá má prístup k osobným údajom- k osobným údajom má prístup len prevádzkovateľ a oprávnené osoby.

Pokyny prevádzkovateľa na spracúvanie osobných údajov, najmä

vymedzenie osobných údajov, ku ktorým má mať oprávnené osoba prístup na účel plnenia jeho povinností alebo úloh určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov.

 

vymedzenie základných postupov alebo operácií s osobnými údajmi. vymedzenie zodpovednosti za porušenie zákona alebo osobitného predpisu. záväzok mlčanlivosti o osobných údajoch dotknutej osoby a zákaz predkladať osobné údaje dotknutých osôb neoprávneným osobám.

poučenie o informačnej povinnosti prevádzkovateľa- oprávnená osoba informuje dotknutú osobu o spracúvaní osobných údajov a o právach dotknutej osoby, ak osobné údaje získa priamo od dotknutej osoby pri prvom získaní osobných údajov a ak osobné údaje nezíska priamo od dotknutej osoby najneskôr do 30 dní od ich získania. poučenie o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov).

 

- Príloha č. 3 POUČENIE OPRÁVNENEJ OSOBY

Prevádzkovateľ preukázateľne informuje dotknutú osobu o spracúvaní osobných údajov a o právach dotknutej osoby, ak osobné údaje získa priamo od dotknutej osoby pri prvom získaní osobných údajov a ak osobné údaje nezíska priamo od dotknutej osoby najneskôr do 30 dní od ich získania.

 

- Príloha č. 4 INFORMAČNÁ POVINNOSŤ PREVÁDZKOVATEĽA A PRÁVA DOTKNUTEJ OSOBY Vedenie a pravidelná aktualizácia záznamov o spracovateľských činnostiach prevádzkovateľa,

pri informačných systémoch.

 

- Príloha č. 5 ZÁZNAM O SPRACOVATEĽSKÝCH ČINNOSTIACH

Riadenie aktív

Vedenie inventárneho zoznamu aktív a jeho pravidelná aktualizácia.

Evidencia všetkých miest prepojenia sietí vrátane prepojení s verejne prístupnou počítačovou sieťou- v rámci prevádzky, chráneného priestoru prevádzkovateľa a sprostredkovateľov.

S aktívami v rámci chráneného priestoru manipuluje iba prevádzkovateľ a na to oprávnené osoby a sprostredkovatelia.

Riadenie prístupu osôb k osobným údajom

Pravidlá fyzického vstupu do objektu a chránených priestorov prevádzkovateľa- iba v sprievode prevádzkovateľa alebo oprávnenej osoby.

Správa kľúčov- kľúčom od chráneného priestoru disponuje prevádzkovateľ a oprávnené osoby.

Zápis o pridelení kľúčov konkrétnej oprávnenej osobe.

Bezpečné uloženie rezervných kľúčov do uzamykateľnej skrine alebo trezora, od ktorého má kľúče prevádzkovateľ.

Politika hesiel a pravidlá používania autorizačných a autentizačných prostriedkov-
- správa prístupov administrátorom,
- do počítačového systému a informačných systémov sa prevádzkovateľ a oprávnené osoby prihlasujú prostredníctvom prístupových hesiel, občasná zmena hesiel prevádzkovateľom.

Organizácia spracúvania osobných údajov

Na preukázanie súladu s Nariadením prevádzkovateľ príjme pravidlá spracúvania osobných údajov v chránenom priestore vo forme dokumentácie o primeraných zárukách ochrany osobných údajov GDPR prevádzkovateľa, ktorého obsahom sú technické a organizačné opatrenia prijaté prevádzkovateľom v konkrétnych podmienkach prevádzky a vo forme primeraných bezpečnostných politík prevádzkovateľa (kódex správania).

 

Príloha č. 9 PRIMERANÉ POLITIKY PREVÁDZKOVATEĽA (KÓDEX SPRAVANIA)

Nepretržitá prítomnosť prevádzkovateľa alebo oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné osoby.

Režim údržby a upratovania chránených priestorov sa vykonáva oprávnenou osobou.

Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá- nedochádza.

 

Likvidácia osobných údajov

Bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov skartovaním, rozbitím dátových nosičov.

Vymazanie záznamu z kamerového systému v 14 dňovej lehote.

Prevádzkovateľ a oprávnené osoby všetky nepotrebné listiny s osobnými údajmi bezodkladne zlikvidujú skartovaním.

Nepotrebné listiny s osobnými údajmi prevádzkovateľ a oprávnené osoby nikdy nevyhodia do koša.

Porušenia ochrany osobných údajov

Pri akomkoľvek porušení ochrany osobných údajov je oprávnená osoba povinná ihneď hlásiť incident prevádzkovateľovi.

Oznámenie porušenia ochrany osobných údajov úradu a dotknutej osobe na účel včasného prijatia preventívnych alebo nápravných opatrení- úradu do 72 hodín od zistenia bezpečnostného incidentu, dotknutej osobe bezodkladne.

Pravidelné preskúmavanie záznamov udalostí, záznamov o aktivitách používateľov, záznamov o výnimkách.

Evidencia porušení ochrany osobných údajov a použitých riešení.

Identifikácia a individuálne riešenie jednotlivých typov porušení ochrany osobných údajov.

Odstraňovanie následkov porušení ochrany osobných údajov.

Zaručenie kontinuity pri haváriách, poruchách a iných mimoriadnych situáciách. Pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania.

 

- Príloha č. 6 ZÁZNAM O BEZPEČNOSTNOM INCIDENTE

Kontrolná činnosť

Kontrolná činnosť zameraná na dodržiavanie prijatých bezpečnostných opatrení vykonávaná prevádzkovateľom min. raz za 3 mesiace resp. náhodne.

 

- Príloha č. 7 ZÁZNAM Z KONTROLNEJ ČINNOSTI PREVÁDZKOVATEĽA

Dodávateľské vzťahy

Overenie dostatočných záruk- sprostredkovateľom prijaté azdokumentované primerané záruky, politiky ochrany osobných údajov, resp. kódex správania alebo certifikát.

Začlenenie požiadaviek na ochranu údajov do požiadaviek pre nové systémy a do pravidiel pre vývoj a nákup systémov.

Začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami- zmluva s externou spoločnosťou na spracovanie personalistiky, miezd a účtovníctva.

Testovanie bezpečnostných funkcií počas vývoja systémov.

Monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi.

 

Príloha č. 8 ZMLUVA MEDZI PREVÁDZKOVATEĽOM A SPROSTREDKOVATEĽOM

 

Crater-5 /outdoor bluetooth speaker/

CONTACT

Orava Retail 1, a.s.
Seberíniho 2, 821 03 Bratislava
Telephone: 043/53 060 01
Fax: 043/53 060 51
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.