hwa s.r.o.
J. Bottu 420/44, 956 18 Bošany, Slovenská republika
IČO : 46 942 653
Bezpečnostná smernica
o ochrane osobných údajov v zmysle Zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (General Data Protection Regulation, „GDPR“)
O b s a h :
- Účel a cieľ
- Rozsah platnosti
- Definícia pojmov
- Zásady spracúvania osobných údajov
- Bezpečnostné opatrenia
- Rozsah oprávnení
- Rozsah zodpovednosti
- Kontrolná činnosť
- Núdzové postupy
Prevádzkovateľom osobných údajov podľa § 5 písm. o) zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „Zákon“) je :
obchodné meno : hwa s.r.o.
so sídlom : J. Bottu 420/44, 956 18 Bošany, Slovenská republika
IČO : 46 942 653
kontaktné údaje :
e-mail: info@hwa.sk
tel. kontakt: +421 915 666 245
(ďalej len: „prevádzkovateľ“)
- ÚČEL A CIEĽ
- Bezpečnostná smernica stanovuje pravidlá pre spracúvanie osobných údajov.
- Cieľom je zabezpečiť ochranu osobných údajov pri manuálnom a automatizovanom spracúvaní osobných údajov.
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov je účinný od 25. mája 2018, týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe zákona. Týmto zákonom sa zrušuje zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z., vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014 Z. z., vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby.
- Nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES bolo prijaté dňa 27. apríla 2016 (ďalej tiež ako „nariadenie GDPR“ alebo „gdpr nariadenie“). GDPR je skratka nového nariadenia v anglickom jazyku (General Data Protection Regulation).
- Medzi základné práva patrí ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) je stanovené, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. Nariadenie GDPR stanovuje, že v zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov. Nariadením GDPR sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.
- Účelom spracúvania osobných údajov sú evidencia zamestnancov počas trvania pracovného pomeru, predzmluvné vzťahy, účelom spracúvania osobných údajov je identifikácia zákazníkov, účelom spracúvania osobných údajov je potvrdenie záujmu o službu alebo tovar, a to telefonicky alebo prostredníctvom elektronickej pošty.
- ROZSAH PLATNOSTI
- Bezpečnostná smernica platí pre všetky oprávnené osoby. Záväzne stanovuje povinnosti pre všetky oprávnené osoby, ktoré spracúvajú osobné údaje a zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
- Smernica platí pre všetkých zamestnancov hwa s.r.o.. Záväzne stanovuje povinnosti pre všetky oprávnené osoby, ktoré spracúvajú osobné údaje a zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Porušenie smernice sa považuje za závažné porušenie pracovnej disciplíny.
- Osobné údajesú podľa Článku 4 odsek 1 nariadenia GDPR akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
- V tejto súvislosti nariadenie GDPR konštatuje, aby sa posilnilo „právo na zabudnutie“ v online prostredí, malo by sa rozšíriť právo na vymazanie aj tým, aby prevádzkovateľ, ktorý osobné údaje zverejnil, bol povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, o vymazaní všetkých odkazov na tieto osobné údaje alebo kópií či replík týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky, so zohľadnením dostupnej technológie a prostriedkov, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby. Osobné údaje je za určitých okolností možné zverejniť aj bez súhlasu dotknutej osoby.
- Podľa § 78 ods. 3 zákona o ochrane osobných údajov, prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby.
- Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
- Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisoma ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.
- Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
- Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
- Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.
- Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
- Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
- Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
- DEFINÍCIA POJMOV
- Osobné údaje – údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takouto osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Spracúvanie osobných údajov – vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
- Spracúvanie osobných údajov – je vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich (cezhraničný) prenos, poskytovanie, sprístupňovanie alebo zverejňovanie
- Prevádzkovateľ – hwa s.r.o., je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky
- Podnikom – fyzická osoba podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,
- Vnútropodnikovými pravidlami – postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
- Oprávnená osoba – každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru u prevádzkovateľa.
- Zodpovedná osoba – osoba poverená výkonom dohľadu, ktorú prevádzkovateľ informačného systému písomne poveril dozerať na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
- Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
- Súhlas dotknutej osoby – akýkoľvek slobodne daný, výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov
- Údajmi týkajúcimi sa zdravia – osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,
- Profilovaním – akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
- Pseudonymizáciou – spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,
- Sprostredkovateľ – je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 Zákona a v súlade so Zákonom
- Príjemcom – každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
- Treťou stranou – každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
- Informačný systém – akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu nato, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.
- Automatizovaný informačný systém – (ďalej len „AIS“) súhrn technických prostriedkov výpočtovej techniky, programové a aplikačné vybavenie, údajová základňa, pamäťové médiá s údajmi, inštalačné médiá, dokumentácia súvisiaca s technickým a programovým vybavením určeným na automatizované spracovanie údajov.
- Používateľský účet – slúži na identifikáciu používateľa v automatizovanom informačnom systéme, umožňuje správne priradenie pridelených používateľských práv prihlásenému používateľovi, tvorí ho názov účtu a heslo.
- Oprávnený používateľ – osoba, ktorej bol zriadený používateľský účet a pridelené príslušné prístupové práva umožňujúce mu plnenie súvisiace s užívaním účtu.
- Pracovné dokumenty – všetky súbory, ktoré používatelia automatizovaného informačného systému vytvorili alebo prevzali pre potreby spoločnosti.
- Likvidácia osobných údajov – zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
- Bezpečnostné opatrenie – vykonávaná prax, pracovný postup alebo zariadenie, ktoré znižujú riziko.
- Porušením ochrany osobných údajov – porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,
- Stav núdze – udalosť, ktorej pretrvávanie alebo opakovanie by mohlo spôsobiť ohrozenie záujmov prevádzkovateľa.
- Úrad na ochranu osobných údajov Slovenskej republiky (ďalej aj „Úrad“) – orgán štátnej správy s celoslovenskou pôsobnosťou so sídlom v Bratislave, ktorý vykonáva nezávislý dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov
- Zverejňovanie osobných údajov – je publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste.
- Kódexom správania – je súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
- Zásady spracúvania osobných údajov
- Osobné údaje možno spracúvať len spôsobom ustanoveným zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.
- Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
- Prevádzkovateľom na účely spracúvania osobných údajov v registri trestov podľa osobitného zákona, môže byť len štátny orgán ustanovený zákonom.
- Súhlas osoby so spracovaním osobných údajovnie je potrebný, keďže prevádzkovateľ spracúva osobné údaje osoby na účely plnenia zmluvy. Nie je teda potrebné, aby dotknutá osoba podala svoj výslovný a bezvýhradný súhlas na spracúvanie jeho osobných údajov na účely spracúvania účtovných dokladov a vedenia účtovníctva.
- Doba spracúvania osobných údajov zamestnanca na vyššie uvedené účely by teda vo všeobecnosti mala zodpovedať dobe, po ktorú je hwa s.r.o. povinná osobné údaje alebo niektoré z nich archivovať v súlade s platnými právnymi predpismi. Po splnení účelu spracúvania osobných údajov osoby je hwa s.r.o. povinná tieto údaje bezodkladne zlikvidovať.
- Monitorovanie osôb (v prevádzkach hwa s.r.o.) je však oblasť spracúvania osobných údajov, kde súhlas osoby so spracovaním osobných údajov potrebný je. Okrem toho, hwa s.r.o. je pri monitorovaní osôb povinná splniť zákonné predpoklady, ktoré určuje právny predpis. Ochrana osobných údajov osoby je teda zabezpečená.
- Na základe legitímneho právneho základu spracúva hwa s.r.o. osobné údaje kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií a to na účely uzatvorenia zmluvy.
- Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Prevádzkovateľ spracúva osobné údaje v súlade so spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.
- Prevádzkovateľ je povinný :
- pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
- určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,
- získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
- zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
- zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely,
- spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
- zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
- zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených zákonom,
- spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
- Prevádzkovateľ nemá povinnosť podľa odseku bodu 9 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v bode 9 písm. a).
- Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania osobných údajov podľa bodu 9 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis.
- Ostatné povinnosti podľa bodu 9 písm. c) až i) je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; tým nie je dotknuté ustanovenie.
- Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
- Počas trvania pôvodne určeného účelu spracúvania osobných údajov, ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania, a zlikvidovať ich ihneď, ako sa stanú nepotrebnými.
- BEZPEČNOSTNÉ OPATRENIA
- Medzi základné realizované bezpečnostné opatrenia patria:
- povinná identifikácia a autentizácia pri prístupe k IS,
- zálohovanie a antivírová ochrana,
- uzamykanie miestností.
- Bezpečnostné opatrenia slúžia na obmedzenie a riadenie fyzického prístupu osôb, na riadenie logického prístupu k osobným údajom v elektronickej forme, na zabezpečenie dôvernosti a dostupnosti chránených osobných údajov.
- Všetky oprávnené osoby sú povinné:
- dodržiavať bezpečnostné opatrenia, ktoré sú realizované na ochranu objektov, majetku osôb a osobných údajov,
- dodržiavať interné smernice a predpisy,
- v prípade úniku alebo podozrenia z úniku informácií z informačného systému, oznámiť túto skutočnosť zodpovednej osobe.
- Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní osobných údajov prijme na základe vyhodnotenia rizík opatrenia na
- kontrolu prístupu k zariadeniam, aby sa zabránilo neoprávnenému prístupu k zariadeniam na spracúvanie osobných údajov, ktoré sa používajú na spracúvanie
- kontrolu nosičov osobných údajov, aby sa zabránilo neoprávnenému čítaniu nosičov osobných údajov, kopírovaniu nosičov osobných údajov, pozmeňovaniu nosičov osobných údajov alebo odstráneniu nosičov osobných údajov
- kontrolu uchovávania osobných údajov, aby sa zabránilo neoprávnenému vkladaniu osobných údajov do informačného systému a neoprávnenému prehliadaniu osobných údajov v informačnom systéme, pozmeňovaniu osobných údajov v informačnom systéme alebo vymazaniu osobných údajov z informačného systému
- kontrolu užívateľa informačného systému, aby sa zabránilo použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos osobných údajov
- kontrolu prístupu k osobným údajom, aby sa zabezpečilo, že osoby oprávnené používať systém automatizovaného spracúvania budú mať prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup
- kontrolu prenosu údajov, aby sa zabezpečila možnosť overiť a zistiť subjekty, ktorým sa preniesli osobné údaje alebo poskytli osobné údaje, alebo overiť a zistiť subjekty, ktorým sa môžu preniesť osobné údaje, alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos osobných údajov
- kontrolu vkladania údajov do informačného systému, aby sa zabezpečilo, že bude možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil
- kontrolu prepravy osobných údajov, aby sa zabránilo neoprávnenému čítaniu osobných údajov, kopírovaniu osobných údajov, pozmeňovaniu osobných údajov alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča osobných údajov
- obnovu osobných údajov, aby sa zabezpečilo, že sa inštalované systémy obnovia, ak dôjde k ich prerušeniu
- zabezpečenie spoľahlivosti informačného systému, aby sa zabezpečilo, že funkcie tohto systému fungujú a hlási sa výskyt chýb v jeho funkciách
- zabezpečenie integrity informačného systému, aby sa uchovávané osobné údaje nemohli poškodiť, ak nastane porucha tohto systému.
- ROZSAH OPRÁVNENÍ
- Medzi oprávnené osoby patria:
- Všetky osoby, ktorých pracovnou náplňou je spracúvanie osobných údajov – oprávnené osoby – musia byť poučené o povinnostiach vyplývajúcich zo zákona č. 122/2013 Z. z. o ochrane osobných údajov. O poučení sa vedie písomný záznam.
- Osobné údaje je možné spracúvať pre potreby len na základe platných zákonov, právnych predpisov a interných dokumentov.
- Spracúvajú sa len typy osobných údajov, ktoré je nevyhnutné spracúvať.
- Likvidáciu osobných údajov môže oprávnená osoba vykonať len na základe súhlasu zodpovednej osoby.
- Pri dočasnom opustení pracoviska sú všetci zamestnanci povinní odhlasovať sa z programov na spracovanie osobných údajov, prípadne používať šetrič obrazovky s nastaveným heslom, odkladať a uzamykať písomné dokumenty, ktoré obsahujú osobné údaje.
- Oprávnenými osobami sú konateľ hwa s.r.o., spolupracujúce SZČO, ekonómka, účtovníčka, zamestnanci.
- Spôsob identifikácie a autentizácie:
- Všetky oprávnené osoby sú povinné pri prístupe k informačnému a kamerovému systému prihlásiť sa menom a heslom.
- Heslo musí obsahovať minimálne 6 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod.
- Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%, /, #, @, &, $, (, …, bez použitia diakritických znamienok. Heslá je potrebné pravidelne meniť každých 45 – 90 dní, po uplynutí doby platnosti sa heslá nesmú opakovať.
- Za utajenie hesla zodpovedá používateľ. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.
- Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužitie a spôsobené škody.
- Povinnosti používateľov informačného systému:
- Informačný systém je určený na výkon prác súvisiacich s činnosťou prevádzkovateľa a môže byť používaný len na tento účel. IS nesmie byť používaný na súkromné, alebo iné účely, ktoré nesúvisia s činnosťou prevádzkovateľa.
- Základnými prostriedkami IS, ktoré je možné používať pre plnenie stanovených pracovných povinností sú:
- počítač, ktorý smie oprávnený používateľ používať,
- nainštalované programové vybavenie,
- sieťové služby dátových serverov,
- výpočtová kapacita počítačových systémov pri používaní firemných sieťových aplikácií.
- Používateľ nesmie sám inštalovať akékoľvek programy, nesmie používať a šíriť nelegálne programové vybavenie, nesmie kopírovať a distribuovať nainštalované programy a operačné systémy, ich časti, súvisiacu dokumentáciu a manuály.
- Všetky zmeny v konfigurácii počítača a ostatného technického vybavenia môžu byť vykonávané len administrátorom IS.
- Používateľ sa nesmie žiadnymi prostriedkami pokúšať získať prístupové práva, alebo privilegovaný stav, ktorý mu nebol nastavený administrátorom IS. Pokiaľ používateľ v dôsledku chyby programových alebo technických prostriedkov získa privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli pridelené a nastavené, je povinný túto skutočnosť bezprostredne oznámiť zodpovednej osobe a administrátorovi IS.
- Používateľ nesmie vykonávať takú činnosť, ktorá by ostatným používateľom bránila v riadnom používaní IS.
Používateľ je povinný rešpektovať štruktúru adresárov na svojom počítači i na sieti, udržiavať poriadok v adresároch, rušiť nepotrebné súbory v týchto adresároch, nevytvárať prázdne adresáre, chaotické kópie a pod.
- Súhlas dotknutej osoby
(1) Ak sa na spracúvanie osobných údajov neuplatňuje spracúvanie osobných údajov bez súhlasu dotknutej osoby, prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.
(2) Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.
(3) Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo zákonom.
(4) Súhlas sa preukazuje elektronickým, zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom. Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.
(5) Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané.
(6) Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
- Získavanie osobných údajov
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie:
- a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,
- b) identifikačné údaje sprostredkovateľa;
- c) účel spracúvania osobných údajov,
- d) zoznam osobných údajov alebo rozsah osobných údajov
- e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie, pokiaľ sú potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
- a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
- b) zoznam osobných údajov,
- c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
- d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
- e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
- f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
- g) poučenie o právach dotknutej osoby.
(3) Ekonómka a hwa s.r.o. sú oprávnený zisťovať osobné údaje o zamestnancoch a zákazníkoch, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre personálnu a mzdovú agendu a obchodnú činnosť; opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby. Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania.
(4) V prípade žiadostí o prijatie do zamestnania, ktoré sú doručené poštou, je potrebné písomne oznámiť žiadateľovi termín do kedy bude jeho žiadosť evidovaná a následne zlikvidovaná. Zároveň je potrebné ho požiadať, aby do tohto termínu zasielal prípadné zmeny osobných údajov. Ak je žiadosť bezpredmetná, žiadateľ nie je vhodný, je potrebné písomne oznámiť žiadateľovi okamžitú likvidáciu žiadosti a jeho osobných údajov. Úradné doklady a kópie úradných dokladov, ktoré obsahujú osobné údaje, je potrebné vrátiť odosielateľovi. Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané.
(5) Oprávnené osoby môžu telefonicky potvrdiť, že dotyčná osoba je zamestnaná v organizácii, bez poskytovania ďalších osobných údajov.
(6) Preberať potvrdenia o práceneschopnosti môže iba poučená osoba.
(7) Povinnosti používateľov automatizovaného informačného systému Automatizovaný informačný systém je určený na výkon prác súvisiacich s činnosťou organizácie a môže byť používaný len na tento účel. AIS nesmie byť používaný na súkromné, alebo iné účely, ktoré nesúvisia s činnosťou organizácie. Základnými prostriedkami AIS, ktoré je možné používať pre plnenie stanovených činností sú: · počítač, ktorý smie oprávnený používateľ používať, · nainštalované programové vybavenie, · sieťové služby dátových serverov, · výpočtová kapacita počítačových systémov pri používaní firemných sieťových aplikácií. Používateľ nesmie sám inštalovať akékoľvek programy, nesmie používať a šíriť nelegálne programové vybavenie, nesmie kopírovať a distribuovať nainštalované programy a operačné systémy, ich časti, súvisiacu dokumentáciu a manuály. Všetky zmeny v konfigurácii počítača a ostatného technického vybavenia môžu byť vykonávané len administrátorom AIS.
(8) Používateľ sa nesmie žiadnymi prostriedkami pokúšať získať prístupové práva, alebo privilegovaný stav, ktorý mu nebol nastavený administrátorom AIS. Pokiaľ používateľ v dôsledku chyby programových alebo technických prostriedkov získa privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli pridelené a nastavené, je povinný túto skutočnosť bezprostredne oznámiť zodpovednej osobe a administrátorovi AIS. Používateľ nesmie vykonávať takú činnosť, ktorá by ostatným používateľom bránila v riadnom používaní AIS. Používateľ je povinný rešpektovať štruktúru adresárov na svojom počítači i na sieti, udržiavať poriadok v adresároch, rušiť nepotrebné súbory v týchto adresároch, nevytvárať prázdne adresáre, chaotické kópie a pod.
(9) Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť podľa § 21 až 27; ustanovenie § 18 tým nie je dotknuté.
(10) Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah povinností a práv podľa § 19 až 29 a podľa § 41, ako aj zásady podľa § 6 až 12, ak sa týkajú práv a povinností podľa § 19 až 29, ak je také obmedzenie ustanovené s cieľom ako je uvedené v § 30 zákona o ochrane osobných údajov.
(11) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, funkčné zaradenie, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(12 ) Príjemcovia osobných údajov sú osoby :
- Podieľajúce sa na dodávaní tovaru / služieb / realizácii platieb na základe zmluvy,
- zaisťujúce služby prevádzkovania e-shopu a ďalšie služby v súvislosti s prevádzkovaním e-shopu,
- zaisťujúce marketingové služby.
- Prevádzkovateľ nemá / má v úmysle odovzdať osobné údaje do tretej krajiny (do krajiny mimo EU) alebo medzinárodnej organizácii. Príjemcovia osobných údajov v tretích krajinách sú poskytovatelia mailingových služieb / cloudových služieb.
- Osobnými údajmi sa rozumejú všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe; identifikovateľnou fyzickou osobou je fyzická osoba, ktorú možno priamo či nepriamo identifikovať, najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, sieťový identifikátor alebo odkazom na jeden či viac zvláštnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo spoločenskej identity tejto fyzickej osoby.
- Prevádzkovateľ spracováva osobné údaje, ktoré mu poskytol zákazník alebo osobné údaje, ktoré prevádzkovateľ získal na základe plnenia jemu zaslanej objednávky.
- Prevádzkovateľ spracováva Vaše identifikačné a kontaktné údaje a údaje nutné pre plnenie zmluvy.
- Zákonným dôvodom spracovania osobných údajov je :
- plnenie zmluvy medzi zákazníkom a prevádzkovateľom podľa § 13 ods. 1 písm. b) Zákona,
- oprávnený záujem prevádzkovateľa na poskytovaní priameho marketingu (najmä pre zasielanie obchodných oznamov a newsletterov) podľa § 13 ods. 1 písm. f) Zákona
- súhlas zákazníka – dotknutej osoby so spracovaním pre účely poskytovania priameho marketingu (najmä pre zasielanie obchodných oznamov a newsletterov) podľa § 13 ods. 1 písm. a) Zákona v prípade, že nedošlo k objednávke tovaru alebo služby.
- Účelom spracovania osobných údajov je :
- vybavenie objednávky a výkon práv a povinností vyplývajúcich zo zmluvného vzťahu medzi zákazníkom a prevádzkovateľom; pri objednávke sú vyžadované osobné údaje, ktoré sú nutné pre úspešné vybavenie objednávky (meno a adresa, kontakt), poskytnutie osobných údajov je nutnou požiadavkou pre uzavretie a plnenie zmluvy, bez poskytnutia osobných údajov nie je možné zmluvu uzavrieť či ju zo strany prevádzkovateľa plniť,
- zasielanie obchodných oznamov a výkon ďalších marketingových aktivít.
- Zo strany prevádzkovateľa nedochádza k automatickému individuálnemu rozhodovaniu v zmysle § 28 Zákona.
- Pravdivosť, správnosť a aktuálnosť osobných údajov
(1) Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
(2) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ.
(3) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
- Likvidácia osobných údajov
(1) Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov.
(2) Odsek 1 sa nepoužije, ak osobné údaje sú súčasťou registratúrneho záznamu. Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu.
- ROZSAH ZODPOVEDNOSTI
- Zodpovednosť oprávnených osôb
- Všetky oprávnené osoby sú povinné zachovávať mlčanlivosť o osobných údajoch, s ktorými prídu do styku, nesmú ich využívať pre vlastnú potrebu, nesmú ich zverejňovať ani nikomu sprístupniť.
- Povinnosť mlčanlivosti trvá i po skončení pracovného pomeru.
- Zodpovednosť zodpovednej osoby
- Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi. Ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba Úradu na ochranu osobných údajov SR
- Dohľadom nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov musí byť písomne poverená zodpovedná osoba, ktorá bola odborne vyškolená. Rozsah odborného školenia zodpovedá najmä obsahu zákona o ochrane osobných údajov a medzinárodných zmlúv o ochrane osobných údajov. Absolvent odborného školenia obdrží písomné potvrdenie o absolvovaní.
- Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb.
- Zodpovedná osoba zabezpečuje:
- potrebnú súčinnosť s Úradom na ochranu osobných údajov SR,
- dohľad nad plnením základných povinností prevádzkovateľa
- pred začatím spracúvania jednoznačne a konkrétne vymedziť účel spracúvania,
- určiť prostriedky spôsob spracúvania,
- získavať osobné údaje výlučne na vymedzený účel,
- zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu a sú nevyhnutné na dosiahnutie účelu spracúvania,
- na rozdielne účely získavať osobné údaje osobitne,
- osobné údaje získané na rôzne účely nezdružovať,
- spracúvať len správne, úplné a aktualizované osobné údaje,
- nesprávne a neúplné osobné údaje blokovať, opraviť alebo doplniť,
- údaje, ktoré nie je možné opraviť alebo doplniť zlikvidovať,
- zabezpečiť, aby osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
- zlikvidovať osobné údaje, ktorých účel spracúvania sa skončil,
- spracúvať osobné údaje v súlade s dobrými mravmi,
- nevynucovať súhlas dotknutej osoby hrozbou odmietnutia zmluvného vzťahu, dodania služieb alebo tovaru,
- poučenie oprávnených osôb do 30 dní na vybavovanie žiadostí dotknutých osôb
- vo všeobecne zrozumiteľnej forme poskytnúť informácie o stave spracúvania osobných údajov v rozsahu: názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa; meno a priezvisko štatutárneho orgánu prevádzkovateľa a zodpovednej osoby; identifikačné označenie informačného systému; účel spracúvania, zoznam osobných údajov a okruh dotknutých osôb; okruh príjemcov, ktorým sú alebo budú údaje sprístupnené, tretie strany, ktorým osobné údaje sú alebo budú poskytnuté; tretie krajiny, do ktorých sa uskutočňuje prenos osobných údajov; právny základ informačného systému; formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva; všeobecnú charakteristiku opatrení za zabezpečenia ochrany osobných údajov a dátum začatia spracúvania,
- vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého boli osobné údaje získané,
- vo všeobecne zrozumiteľnej forme odpis osobných údajov,
- opraviť nesprávne, neúplné alebo neaktuálne osobné údaje,
- likvidovať osobné údaje po splnení účelu spracúvania; vrátiť úradné doklady, ak boli predmetom spracúvania,
- likvidáciu osobných údajov, ak došlo k porušeniu zákona.
- bezodkladné písomné oznámenie dotknutej osobe a Úradu na ochranu osobných údajov SR, že na základe písomnej žiadosti oprávnenej osoby, ktorej práva boli obmedzené, boli jej nesprávne, neúplné alebo neaktuálne osobné údaje opravené,
- prípadne zlikvidované; ak boli predmetom spracúvania úradné doklady obsahujúce osobné údaje, že jej boli vrátené,
- do 30 dní vybavovanie námietok dotknutých osôb voči
- spracúvaniu osobných údajov na účely priameho marketingu bez jej súhlasu,
- využívaniu osobných údajov na účely priameho marketingu v poštovom styku,
- poskytovaniu osobných údajov na účely priameho marketingu,
- realizáciu technických, personálnych a organizačných opatrení a dohliada na ich aplikáciu v praxi,
- dohľad pri výbere sprostredkovateľa a prípravu písomnej zmluvy alebo poverenia pre sprostredkovateľa; preveruje dodržiavanie dohodnutých podmienok,
- dohľad nad cezhraničným tokom osobných údajov,
- prihlásenie informačných systémov na osobitnú registráciu, oznamovanie zmien a odhlásenie; o informačných systémoch, ktoré nepodliehajú registrácii, vedie predpísanú evidenciu.
- Zodpovedná osoba odporúča technické, organizačné a personálne bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania. V spolupráci s oprávnenými osobami navrhuje úpravy programového vybavenia a tlačených formulárov na základe zmien príslušných zákonov a predpisov tak, aby sa spracúvali iba nevyhnutne potrebné typy osobných údajov.
- KONTROLNÁ ČINNOSŤ
Zodpovedná osoba vykoná na základe zistenia narušenia práv a slobôd dotknutých osôb, minimálne však jeden krát ročne, kontrolu zameranú na dodržiavanie ochrany osobných údajov v príslušných informačných systémoch.
Zodpovedná osoba vykoná kontrolu:
- archivovania písomných dokumentov – vhodnosť podmienok na archivovanie,
- v spolupráci s administrátorom IS kontrolu funkčnosti a úplnosti záloh,
- interných predpisov – presnosť a jednoznačnosť pracovných postupov pri spracúvaní osobných údajov.
Prevádzkovateľ je povinný požiadať úrad o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Poučenie oprávnenej osoby
(1) Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
(2) Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov.
(3) Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam. Záznam o poučení obsahuje
- a)identifikačné údaje prevádzkovateľa,
- b)titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,
- c)titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
- d)informácie podľa odseku 2,
- e)deň poučenia a deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.
(4) Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.
Poskytnutie informácií dotknutej osobe
(1) Žiadosť dotknutej osoby vybaví prevádzkovateľ bezplatne.
(2) Žiadosť dotknutej osoby vybaví prevádzkovateľ bezplatne okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.
(3) Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.
(4) Za podmienok stanovených v Zákone má dotknutá osoba :
– právo na prístup ku svojím osobným údajom podľa § 21 Zákona,
– právo na opravu osobných údajov podľa § 22 Zákona, poprípade obmedzenie spracovania podľa § 24 Zákona,
– právo na výmaz osobných údajov podľa § 23 Zákona,
– právo vzniesť námietku proti spracovaniu podľa § 27 Zákona,
– právo na prenositeľnosť údajov podľa § 26 Zákona,
– právo odvolať súhlas so spracovaním písomne alebo elektronicky na adresu alebo email prevádzkovateľa uvedený v čl. III týchto podmienok.
– Ďalej má právo podať sťažnosť u Úradu pre ochranu osobných údajov v prípade, že sa domnieva, že bolo porušené jej právo na ochranu osobných údajov.
- NÚDZOVÉ POSTUPY
V prípade zlyhania automatizovaného informačného systému, ak budú ohrozené osobné údaje uložené na sieťovom úložisku v informačnom systéme, ktoré môžu byť zneužité inými osobami, je potrebné neodkladne informovať správcu IS o vzniknutom probléme.
Administrátor IS ďalej rozhodne o ďalšom postupe a s ohľadom na zabezpečenie osobných údajov informuje zodpovednú osobu ak technický prostriedok alebo nosič informácií obsahujúce osobné údaje, ktoré budú kvôli vykonaniu servisného zásahu premiestnené mimo areál zamestnávateľa, prípadne ak servisný zásah bude vykonávať externá firma.
V prípade úniku a možného zneužitia informovať Úrad na ochranu osobných údajov Slovenskej republiky ako orgán štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva nezávislý dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
Poučenie dotknutej osoby o poskytnutí ne / súhlasu :
„ Odoslaním objednávky z internetového objednávkového formulára potvrdzujete, že ste oboznámený/á s podmienkami ochrany osobných údajov a že ich v celom rozsahu prijímate.
S týmito podmienkami súhlasíte zaškrtnutím súhlasu prostredníctvom internetového formulára. Zaškrtnutím súhlasu potvrdzujete, že ste oboznámený/oboznámená s podmienkami ochrany osobných údajov a že ich v celom rozsahu prijímate.
Prevádzkovateľ je oprávnený tieto podmienky zmeniť. Novú verziu podmienok ochrany osobných údajov zverejní na svojich internetových stránkach a zároveň Vám zašle novú verziu týchto podmienok na Vašu e-mailovú adresu, ktorú ste prevádzkovateľovi poskytol/la.“
Táto smernica bola schválená dňa 18.02.2021
Smernica nadobúda účinnosť dňom 18.02.2021.
Bošany, dňa 18.02.2021
hwa s.r.o.
Ing. Igor Tvrdý
konateľ spoločnosti