Výsledky vyhľadávania

Bezpečnostná smernica

BEZPEČNOSTNÁ SMERNICA

NA OCHRANU OSOBNÝCH ÚDAJOV DOTKNUTÝCH OSÔB

v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES  a zákona č. 18/2018 Z.z., o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Bezpečnostná smernica“).

Spoločnosť:

Obchodné meno: BAU Holding Slovensko družstvo
Sídlo: Karpatské námestie 10A, 831 06 Bratislava – mestská časť Rača
IČO: 53 304 691
Zastúpenie: Michal Obročník, predseda družstva

(ďalej ako: „Spoločnosť“ alebo „Prevádzkovateľ“)

Táto bezpečnostná smernica nadobúda účinnosť dňa 04.06.2020.

Túto smernicu schválil:

BAU Holding Slovensko družstvo
Michal Obročník, predseda družstva

Preambula

Spracúvanie a ochrana osobných údajov v Spoločnosti je v súlade s príslušnými ustanoveniami Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Nariadenie o ochrane osobných údajov, ďalej len „GDPR“) a zákona č. 18/2018 Z.z., o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).

I. VŠEOBECNÉ A ÚVODNÉ USTANOVENIA

1.1. Spoločnosť má záujem na dodržiavaní a ochrane osobných údajov všetkých dotknutých fyzických osôb, ktorých údaje sú pre potreby činnosti Spoločnosti za určitým účelom spracúvané. Za týmto účelom Spoločnosť ako prevádzkovateľ v zmysle GDPR a Zákona prijíma Bezpečnostnú smernicu na ochranu osobných údajov dotknutých fyzických osôb a primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti ochrany osobných údajov v súlade s GDPR a Zákonom.

1.2. Prevádzkovateľ sa zaväzuje:

a) spracúvať osobné údaje zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe;

b) spracúvať získané osobné údaje na konkrétne určené, výslovne uvedené a legitímne účely a zaväzuje sa nespracúvať ich spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s GDPR nepovažuje za nezlučiteľné s pôvodnými účelmi;

c) spracúvať osobné údaje dotknutých osôb v rozsahu, ktorý je primeraný, relevantný a obmedzený na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú;

d) spracúvať osobné údaje dotknutých osôb, ktoré sú správne a podľa potreby aktualizované; Prevádzkovateľ prijme všetky potrebné opatrenia, aby zabezpečil, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia;

e) uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; Prevádzkovateľ môže osobné údaje uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 GDPR za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných GDPR a Zákonom.

f) spracúvať osobné údaje dotknutých osôb spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

1.3. Prevádzkovateľ sa zaväzuje spracúvať osobné údaje iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel;

b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby;

c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;

d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby;

e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej Prevádzkovateľovi;

f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov Prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;

1.4. Prevádzkovateľ sa zaväzuje, že nebude spracúvať osobitné kategórie osobných údajov, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Tento bod neplatí, ak:

a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel, ak takýto súhlas nevylučuje osobitný predpis; (Vzor súhlasu tvorí Príloha č. 1)

b) spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv Prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c) spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas;

d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

e) spracúvanie je nevyhnutné na uplatnenie právneho nároku;

f) spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

g) spracúvanie je nevyhnutné na účel plnenia povinností alebo uplatnenia práv Prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;

h) spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

II. OSOBNÉ ÚDAJE A ICH ZÍSKAVANIE A SPRACÚVANIE

2.1. Pod pojmom „osobné údaje“ sa rozumejú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby; (ďalej len „osobné údaje“).

2.2. Pod spracovaním osobných údajov sa rozumie akákoľvek činnosť, ktorá sa osobnými údajmi priamo alebo nepriamo vykonáva alebo plánuje vykonať, vrátane akejkoľvek činnosti ako je zhromažďovanie, zaznamenávanie, hosting, zasielanie, organizovanie, štruktúrovanie, ukladanie / uchovávanie, prispôsobovanie / upravovanie, vyhľadávanie, konzultovanie / sprístupňovanie, používanie, oznamovanie prenosom alebo sprístupňovanie iným spôsobom, spojovaním alebo kombinovaním, obmedzovanie, výmaz/odstraňovanie, atď.

2.3. Niektoré osobné údaje sú povinné napríklad z týchto dôvodov:

  • plnenie pracovnej zmluvy uzatvorenej medzi dotknutou osobou a prevádzkovateľom,
  • odpoveď na žiadosť, ktorú zaslala dotknutá osoba (napr. o zaslanie informácií, o potvrdenie dovolenky, registrácii/prihlásení sa na školenie),
  • používanie určitých nástrojov alebo
  • dodržiavanie právnych povinností.

2.4. Účel a prostriedky spracúvania osobných údajov stanovuje prevádzkovateľ pre tie informačné systémy, ktorých je prevádzkovateľom, pokiaľ účel a prostriedky spracúvania osobných údajov pre konkrétny informačný systém nie je stanovený osobitným zákonom.

2.5. Ak účel spracúvania osobných údajov stanovuje osobitný zákon, v takom prípade zabezpečí prevádzkovateľ jeho primeranú aplikáciu.

2.6. Účelom spracúvania osobných údajov je vopred jednoznačne vymedzený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť. Účel spracúvania osobných údajov prevádzkovateľom musí byť v súlade s jeho pôsobnosťou určenou zriaďovacou listinou, organizačným poriadkom a/alebo štatútom. Spracúvanie osobných údajov za iným účelom sa zakazuje.

2.7. Spôsob a podmienky spracúvania osobných údajov musia vždy zodpovedať stanovenému účelu ich spracúvania a musí byť v súlade s príslušnou právnou úpravou.

2.8. Spracúvanie osobných údajov iným spôsobom, ako stanovuje táto bezpečnostná smernica sa zakazuje.

2.9. Získavanie osobných údajov je vykonávanie akýchkoľvek operácií, ktoré vedú k nadobudnutiu osobných údajov o dotknutej osobe na ich systematické spracúvanie v informačnom systéme, ktoré sa vykonáva v zmysle vopred stanoveného účelu ich spracúvania.

2.10. Dotknutá osoba musí byť pred poskytnutím svojich osobných údajov vopred oboznámená s podmienkami ich spracúvania v informačnom systéme, a to v rozsahu stanovenom GDPR a Zákonom. Prevádzkovateľ musí vedieť preukázať zákonný dôvod spracúvania v zmysle čl. 6 GDPR alebo § 13 Zákona.

2.11. V prípade, ak prevádzkovateľ získa osobné údaje z iného zdroja ako od samotnej dotknutej osoby, musí byť pred ich vložením do informačného systému rozhodnuté o spôsobe oboznámenia dotknutej osoby s podrobnosťami ich spracúvania v súlade s GDPR a so Zákonom2.7.

2.12. Do informačného systému možno poskytnúť len pravdivé osobné údaje. Prevádzkovateľ považuje poskytnutý osobný údaj za pravdivý, kým sa nepreukáže opak.

2.13. Opravu nepravdivých, nesprávnych alebo neaktuálnych osobných údajov oznámi prevádzkovateľ do 30 dní od jej vykonania dotknutej osobe a každému, komu ich poskytol. Od oznámenia možno upustiť, ak sa tým neporušia práva dotknutej osoby.

2.14. Pokiaľ získavanie a následné spracúvanie osobných údajov nie je vykonávané podľa osobitných zákonov, ktoré stanovujú účel a podmienky ich spracúvania alebo pri ich získavaní nie je možné uplatniť výnimky stanovené GDPR alebo Zákonom, musí byť vždy pred ich zaradením do informačného systému získaný predchádzajúci písomný súhlas dotknutej osoby.

2.15. Po splnení účelu spracúvania sú osobné údaje archivované a neskôr vyraďované podľa platných interných predpisov prevádzkovateľa.

2.16. Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených Zákonom.

2.17. Likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od jej vykonania dotknutej osobe a každému, komu ich poskytla. Od oznámenia možno upustiť, ak sa tým neporušia práva dotknutej osoby.

2.18. Likvidáciu osobných údajov prevádzkovateľ vykonáva vhodným spôsobom v závislosti od formy, ktorej obsahom sú osobné údaje, a to najmä a) výmazom, ak ide o elektronickú formu, b) skartáciou, ak ide o listinnú formu. Nie sú vylúčené aj iné spôsoby likvidácie osobných údajov, ak je to pre konkrétnu formu nosiča osobných údajov vhodnejšie a účelnejšie.

2.19. Osobné údaje, ich rozsah, účel spracúvania, zákonný dôvod spracúvania je v prípade zamestnancov prevádzkovateľa bližšie špecifikovaný v Prílohe č. 2 a v prípade klientov prevádzkovateľa v Prílohe č. 3.

2.20. V prípade návštev prevádzkovateľ od dotknutých osôb osobné údaje nezískava ani žiadnym spôsobom nespracováva.

2.21. Prevádzkovateľ spracováva osobné údaje svojich zamestnancov aj za účelom ich uverejnenia na svojom webovom sídle. V prípade týchto osobných údajov a fotografií na webovom sídle prevádzkovateľa je zabezpečený osobitný súhlas dotknutej fyzickej osoby.

III. PRÍSTUP K OSOBNÝM ÚDAJOM 

3.1. Zamestnanci prevádzkovateľa

3.1.1. Pre každý účel spracúvania osobných údajov musí byť určené a zrejmé, ktorý zamestnanec / člen prevádzkovateľa takéto spracúvanie zabezpečuje. Prístup k určitému rozsahu osobných údajov majú iba osoby určené štatutárnym orgánom prevádzkovateľa – t.j. oprávnené osoby a ktoré za daným účelom zabezpečujú spracúvanie osobných údajov.

3.1.2. Prístup zamestnancov prevádzkovateľa k spracúvaným osobným údajom dotknutých osôb je možný len za účelom plnenia určených pracovných povinností. Prístup nad uvedený rámec sa zakazuje. Fyzická osoba navrhovaná na oboznamovanie sa s osobnými údajmi v rámci jej pracovného zaradenia absolvuje poučenie oprávnenej osoby prijímanej do pracovného pomeru spravidla ku dňu vzniku pracovného pomeru, avšak vždy pred vydaním prvého pokynu k spracovateľskej operácii.

3.1.3. Poučenie oprávnenej osoby vykonáva prevádzkovateľ, jeho štatutárny orgán alebo zodpovedná osoba, ak bola ustanovená v rozsahu:

a) o právach a povinnostiach ustanovených GDPR a Zákonom, inými právnymi predpismi a o zodpovednosti za ich porušenie;

b) o rozsahu oprávnení;

c) o rozsahu a popise povolených činností pri prístupe k osobným údajom;

d) o podmienkach spracúvania osobných údajov;

e) o spôsobe výkonu uložených činností pri práci s informačným systémom;

f) o pravidlách a spôsobe ochrany osobných údajov pred ich stratou, poškodením alebo neautorizovaným prístupom;

g) o povinnosti mlčanlivosti o osobných údajov, ktoré trvá aj po zániku funkcie oprávnenej osoby, ale aj po skončení pracovného pomeru.

3.1.4. Sprístupnenie osobných údajov ďalším zamestnancom / členom prevádzkovateľa schvaľuje štatutárny orgán prevádzkovateľa. Prevádzkovateľ vedie agendu žiadostí o prístup k osobným údajom, zoznam oprávnených osôb s prístupom k osobným údajom a na základe predložených požiadaviek vykonáva jeho aktualizáciu.

3.1.5. Prístup k spracúvaným osobným údajom nad vymedzený rámec sa zakazuje.

3.1.6. Každá iná fyzická osoba a pracovník tretej strany, ktorému budú sprístupnené osobné údaje spracúvané prevádzkovateľom, musí byť informovaný o:

a) rozsahu oprávnení a povolených činností pri prístupe k osobným údajom;

b) spôsobe výkonu uložených činností pri práci s informačným systémom;

c) pravidlách a spôsobe ochrany osobných údajov pred ich stratou, poškodením alebo neautorizovaným prístupom;

d) poučený o mlčanlivosti v súlade s GDPR a Zákonom.

3.1.7. Oprávnená osoba má právo vykonávať spracovateľské operácie s osobnými údajmi spracúvanými v informačných systémoch, v ktorých bola určená ako oprávnená osoba na základe pokynu štatutárneho zástupcu prevádzkovateľa alebo osoby, ktorú na to prevádzkovateľ poveril, výlučne v súlade s právnym základom, od ktorého prevádzkovateľ odvodzuje oprávnenie spracúvať osobné údaje, a to len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného alebo vymedzeného účelu spracúvania a je v súlade s GDPR a so Zákonom a inými zákonmi, všeobecne záväznými právnymi predpismi a internými smernicami prevádzkovateľa.

3.1.8. Oprávnená osoba má právo najmä na:

a) pridelenie prístupových práv do určených informačných systémov osobných údajov prevádzkovateľa v rozsahu nevyhnutnom na plnenie jej úloh; nevyhnutnosť priamo determinuje pracovné zaradenie oprávnenej osoby v rozsahu opisu činností jej pracovného miesta;

b) opätovné poučenie, ak došlo k podstatnej zmene jej pracovného alebo funkčného zaradenia a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného alebo funkčného zaradenia;

c) porušenie povinnosti mlčanlivosti, ak je to nevyhnutné na plnenie úloh súdov a orgánov činných v trestnom konaní podľa osobitného zákona alebo vo vzťahu k Úradu na ochranu osobných údajov Slovenskej republiky pri plnení jeho úloh podľa GDPR a Zákona; ustanovenia o povinnosti mlčanlivosti podľa osobitných predpisov tým nie sú dotknuté;

d) vykonávanie spracovateľských operácii s osobnými údajmi v mene prevádzkovateľa, vrátane osobitnej kategórie osobných údajov, v rozsahu nevyhnutnom na plnenie pracovných úloh určených opisom pracovného miesta oprávnenej osoby;

e) odmietnutie vykonať pokyn k spracúvaniu osobných údajov, ktorý je v rozpore so všeobecne záväznými právnymi predpismi alebo dobrými mravmi;

f) na vydanie dokladu (poverenia), ktorým bude preukazovať svoju pracovnú príslušnosť k zamestnávateľovi / prevádzkovateľovi v prípade, že získava osobné údaje mimo sídla prevádzkovateľa.

3.1.9. Rozsah konkrétnych spracovateľských operácií, ktorý bude oprávnená osoba vykonávať, je definovaný úrovňou prístupu k jednotlivým informačným systémom osobných údajov, ktorá je zaznamenaná vo formulári s názvom Určenie oprávnených osôb s prístupom k osobným údajom (Príloha č. 4 ).

3.1.10. Oprávnená osoba nesmie osobné údaje spracúvané prevádzkovateľom využiť pre osobnú potrebu, či potrebu inej osoby alebo na iné, než služobné účely. Je zakázané poskytovať alebo sprístupňovať osobné údaje dotknutých osôb iným osobám ako oprávneným alebo subjektom určeným osobitným zákonom, poskytovať osobné údaje a dôverné informácie k nim prostredníctvom telefónu, kedy nie je možné overiť totožnosť prijímateľa a jeho faktické oprávnenie na oboznamovanie sa so spracúvanými osobnými údajmi. V prípade pochybnosti o správnosti postupu je oprávnená osoba povinná vopred informovať poverenú zodpovednú osobu a vyžiadať si jej stanovisko.

3.1.11. Oprávnená osoba je povinná:

a) stanovovať úschovné lehoty záznamov, ktoré obsahujú osobné údaje, v súlade s Registratúrnym poriadkom a registratúrnym plánom prevádzkovateľa a u záznamov, ktoré sú zaradené do predarchívnej starostlivosti stanovovať len dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených osobitným zákonom (napr. Antidiskriminačný zákon);

b) prevádzkovateľovi alebo poverenej zodpovednej osobe, ak bola ustanovená, bezodkladne oznámiť skutočnosti o porušení ustanovení GDPR a Zákona alebo o vzniku bezpečnostného incidentu;

c) získavať na základe svojho pracovného zaradenia pre Prevádzkovateľa len nevyhnutné osobné údaje výlučne na zákonom ustanovený alebo vymedzený účel; je neprípustné, aby oprávnená osoba získavala osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti;

d) vykonávať povolené spracovateľské operácie len so správnymi, úplnými a podľa potreby aktualizovanými osobnými údajmi vo vzťahu k účelu spracúvania;

e) nesprávne a neúplné osobné údaje je bez zbytočného odkladu povinná opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné je povinná blokovať, kým sa rozhodne o ich likvidácii v súlade s Registratúrnym poriadkom a registratúrnym plánom prevádzkovateľa;

f) pred získavaním osobných údajov od dotknutej osoby ju oboznámiť s názvom a sídlom prevádzkovateľa, účelom spracúvania osobných údajov, rozsahom spracúvania osobných údajov, predpokladanom okruhu tretích strán pri poskytovaní osobných údajov alebo príjemcov pri sprístupňovaní osobných údajov, o forme zverejnenia, ak sa osobné údaje zverejňujú a o tretích krajinách, ak sa predpokladá, alebo je zrejmé, že sa do týchto krajín uskutoční cezhraničný prenos osobných údajov a o ďalších informáciách vždy v súlade s GDPR a Zákonom;

g) poučiť dotknutú osobu o dobrovoľnosti, alebo povinnosti poskytnutia osobných údajov a o existencii jej práv v zmysle GDPR a Zákona;

h) zabezpečiť preukázateľný súhlas na spracúvanie osobných údajov dotknutej osoby v informačnom systéme osobných údajov prevádzkovateľa, ak sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, alebo ak to vyžaduje GDPR alebo Zákon alebo osobitný zákon;

i) získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií len vtedy, ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby alebo na základe písomného súhlasu dotknutej osoby, ak je to nevyhnutné na dosiahnutie účelu spracúvania;

j) postupovať výlučne v súlade s technickými, organizačnými a personálnymi opatreniami prijatými prevádzkovateľom a ostatnými internými normami prevádzkovateľa;

k) vykonať likvidáciu osobných údajov, ktoré sú súčasťou už nepotrebných pracovných dokumentov (napr. rôzne pracovné súbory, pracovné verzie dokumentov v listinnej podobe) rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať; to neplatí vo vzťahu k osobným údajom, ktoré sú súčasťou obsahu registratúrnych záznamov prevádzkovateľa;

l) chrániť prijaté dokumenty a súbory pred stratou, poškodením, zneužitím, odcudzením, neoprávneným sprístupnením, poskytnutím alebo inými neprípustnými formami spracúvania;

m) dodržiavať mlčanlivosť o osobných údajoch, s ktorými oprávnená osoba v rámci svojho pracovného pomeru prichádza do styku, a to aj po zániku jej statusu.

n) dodržiavať všetky povinnosti, o ktorých bola oprávnená osoba poučená.

3.1.12. Oprávnená osoba môže v súvislosti s protiprávnym nakladaním s osobným údajmi čeliť aj trestnému stíhaniu za trestné činy podľa § 247 a § 374 zákona č. 300/2005 Z. z. Trestný zákon v znení neskorších predpisov.

3.2. Sprostredkovateľ

3.2.1. Sprostredkovateľ je povinný spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo inom právnom úkone v súlade s čl. 28 a nasl. GDPR súčasne s § 34 a nasl. Zákona.

3.2.2. Zmluva musí byť uzavretá pred začiatkom spracúvania osobných údajov sprostredkovateľom a musí obsahovať:

a) údaje o zmluvných stranách, teda identifikačné údaje prevádzkovateľa a sprostredkovateľa;

b) predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

3.2.3. V  zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný:

a) spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,

b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,

c) vykonať opatrenia podľa § 39 Zákona súčasne čl. 32 GDPR,

d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa § 34 odsekov 2 a 5 Zákona súčasne čl. 28 ods. 2 a 4 GDPR,

e) po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy Zákona, súčasne kapitoly III GDPR,

f) poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 Zákona, súčasne šl. 32 až 36 GDPR s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,

g) vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,

h) po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,

i) poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.

3.2.4. Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje Zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.

3.2.5. Sprostredkovateľ musí poskytovať záruky bezpečnosti pri spracúvaní osobných údajov, najmä v oblasti technickej, organizačnej a personálnej bezpečnosti. Prevádzkovateľ pred uzavretím zmluvy alebo iného právneho úkonu so sprostredkovateľom primeraným spôsobom zhodnotí dostatočnosť a mieru naplnenia týchto záruk, za týmto účelom môže požadovať od sprostredkovateľa súčinnosť. Sprostredkovateľ je povinný prijať so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú:

a) pseudonymizáciu a šifrovanie osobných údajov,

b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb,

c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu,

d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

3.2.6. Sprostredkovateľ musí spĺňať požiadavky kladené na spracúvanie osobných údajov vyplývajúce z GDPR a zo Zákona.

IV. ZODPOVEDNÁ OSOBA – DOHĽAD NAD OCHRANOU OSOBNÝCH ÚDAJOV

4.1. Prevádzkovateľ zabezpečuje výkon dohľadu nad ochranou osobných údajov v rozsahu a za podmienok určených GDPR a Zákonom. Prevádzkovateľ môže písomne poveriť výkonom dohľadu zodpovednú osobu. Prevádzkovateľ musí písomne poveriť výkonom dohľadu zodpovednú osobu, ak mu túto povinnosť ukladá GDPR a/alebo Zákon.

4.2. Ustanoviť zodpovednú osobu je oprávnený štatutárny orgán prevádzkovateľa, pritom postupuje podľa ustanovení GDPR a Zákona.

4.3. V prípade, že prevádzkovateľ je povinný určiť zodpovednú osobu alebo ju určí bez toho, aby mu takáto povinnosť vyplývala z príslušných právnych predpisov, zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39 GDPR a § 46 Zákona.

4.4. Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb ako externý subjekt.

4.5. Prevádzkovateľ zverejní kontaktné údaje zodpovednej osoby a oznámi ich Úradu na ochranu osobných údajov Slovenskej republiky.

4.6. Zodpovedná osoba musí byť riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov. Prevádzkovateľ podporuje zodpovednú osobu pri plnení úloh uvedených v článku 39 GDPR a § 46 Zákona, a to tak, že poskytuje zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

4.7. Prevádzkovateľ zabezpečí, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ju nesmie odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu Prevádzkovateľa.

4.8. Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s príslušnými právnymi predpismi.

4.9. Zodpovedná osoba je povinná zabezpečiť:

a) poskytovanie informácií a poradenstva prevádzkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa GDPR, Zákona a iných právnych predpisov týkajúcich sa ochrany údajov;

b) monitorovanie súladu s GDPR, Zákonom a inými právnymi predpismi týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

c) poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania;

d) spolupráca s Úradom na ochranu osobných údajov Slovenskej republiky;

e) plnenie úlohy kontaktného miesta pre Úrad na ochranu osobných údajov Slovenskej republiky v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie a podľa potreby aj konzultácie v akýchkoľvek iných veciach;

4.10. Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

V. OCHRANA PRÁV DOTKNUTÝCH OSÔB A VYBAVOVANIE ŽIADOSTÍ DOTKNUTÝCH OSÔB

5.1. Ochranu práv dotknutých osôb upravuje kapitola III, odd. 1, čl. 12 a nasl. GDPR a súčasne druhá hlava, 1. oddiel, §19 a nasl. Zákona.

5.2. Prevádzkovateľ je povinný poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 GDPR a všetky oznámenia podľa článkov 15 až 22 a článku 34 GDPR, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

5.3. Prevádzkovateľ garantuje výkon práv dotknutej osoby podľa článkov 15 až 22 GDPR a súčasne podľa § 21 až 28. Zákona. Dotknutá osoba má najmä právo na:

a) právo na prístup k údajom (čl. 15 GDPR a §21 Zákona),

b) právo na opravu osobných údajov (čl. 16 GDPR a §22 Zákona),

c) právo na výmaz (právo „na zabudnutie“) (čl. 17 GDPR a §23 Zákona),

d) právo na obmedzenie spracúvania osobných údajov (čl. 18 GDPR a §24 Zákona),

e) právo na prenosnosť údajov (čl. 20 GDPR a §26 Zákona),

f) právo namietať spracúvanie osobných údajov (čl. 21 GDPR a §27 Zákona),

g) právo, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú (čl. 22 GDPR a 28 Zákona).

5.4. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti podľa článkov 15 až 22 GDPR, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5.5. Informácie poskytnuté podľa článkov 13 a 14 GDPR a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 GDPR a článku 34 GDPR sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď: a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo b) odmietnuť konať na základe žiadosti.

5.6. Príslušný zamestnanec alebo oprávnená osoba, ktorej bola doručená písomná žiadosť dotknutej osoby ju postúpi oprávnenej osobe, ktorá vykoná jej prvotnú evidenciu a následne zabezpečí splnenie zákonnej lehoty na informovanie dotknutej osoby.

5.7. Žiadosť sa prvotne vyhodnotí a zabezpečí jej pridelenie vecne kompetentnej oprávnenej osobe, ktorá v zmysle žiadosti pripraví návrh písomnej informácie pre dotknutú osobu (žiadateľa), zabezpečí preverenie a nápravu stavu, na ktorý si dotknutá osoba sťažuje a o vykonaných opatreniach informuje zodpovednú osobu, ak bola ustanovená a dotknutú osobu.

5.8. Agendu o písomnom vybavovaní žiadostí dotknutých osôb vedie osoba poverená štatutárnym orgánom Prevádzkovateľa.

VI. BEZPEČNOSŤ SPRACÚVANIA OSOBNÝCH ÚDAJOV

6.1. Centrálne úložisko dát prevádzkovateľa je vo forme: server, ktorého správa je vykonávaná čiastočne zo strany prevádzkovateľa a čiastočne zo strany externého subjektu. Tento externý subjekt ako sprostredkovateľ v zmysle GDPR a Zákona má s prevádzkovateľom uzavretú zmluvu a/alebo zmluvné podmienky ochrany osobných údajov v súlade s bodom 3.2. tejto Bezpečnostnej smernice.

6.2. Zabezpečenie ochrany priestorov a dokumentácie vedenej v listinnej a/alebo v elektronickej podobe:

 

Budova, v ktorej sa Spoločnosť nachádza je: – uzamykateľná ☐

– vybavená poplašným zabezpečovacím zariadením ☐

Samotné priestory kancelárie sú: – uzamykateľné ☐
Dokumentácia zamestnancov, klientov, iných fyzických osôb je: – listinná je uložená v uzamykateľných rozraďovačoch ☐

– listinná je uložená v samostatnom priestore s obmedzeným prístupom len oprávneným osobám ☐

– elektronická je zabezpečená heslom ☐

– elektronická je uložená na mieste (napr. server) s obmedzeným prístupom len oprávneným osobám ☐

Osobné počítače, v ktorých sa nachádzajú elektronické dáta informačného systému sú: – vybavené príslušným softvérom na ochranu pred vírusmi a prípadnými inými útokmi ☐
Prístup do osobných počítačov je chránený: – logovacím menom a heslom ☐

– nastavením šetriča obrazovky uzamykateľného heslom ☐

Prístup do priestorov kancelárie je: – cez uzamykateľný vchod ☐

– vybavený poplašným systémom ☐

Priestory kancelárie a/alebo budova má vypracované: – požiarno-poplachové smernice ☐

– smernice na riešenie havarijných situácií ☐

Bezpečnosť informačných systémov zabezpečuje: – technické vybavenie na ochranu pred hackermi, odpočúvaním ☐

– fyzická ochrana objektu, mechanické zábrany vstupu ☐

– vybavenie osobných počítačov antivírusovým programom ☐

– zamedzenie vstupu do informačného systému nepovolaným osobám a stanovenie prístupu do informačného systému oprávneným osobám len v tom rozsahu, ako si to vyžaduje ich pracovná náplň ☐

– zabezpečenie bezpečných miest na uloženie písomností zabezpečené pred odcudzením uzamykaním bezpečnostnou zámkou ☐

– bezpečné miesta uloženia písomností pri vzdialení sa zamestnanca z pracoviska, zabezpečenie ochrany pred nahliadnutím do nich inou neoprávnenou osobou prítomnou na pracovisku ☐

– ukladanie spracovávaných dát v určenom časovom limite na príslušnom hardvéri a zálohovanie dát ☐

– likvidácia dokumentov sa vykonáva komisionálne za prítomnosti oprávnenej osoby, v počítačovej podobe likviduje štatutárny orgán Spoločnosti alebo ním poverená osoba ☐

– dodržiavanie požiarneho plánu ochrany objektu ☐

6.4. Pri odchode z pracoviska je poverená osoba povinná zabezpečiť uloženie dokumentácie obsahujúcej osobné údaje na uzamykateľnom mieste a súčasne zabezpečí vypnutie osobných počítačov.

6.5. Určená osoba zabezpečí, aby klient alebo návštevník Spoločnosti nebol na pracovisku sám bez prítomnosti inej osoby a zároveň, aby nemohol mať prístup k dokumentom obsahujúcim osobné údaje spracúvané v informačnom systéme Spoločnosti.

6.6. Všetky osoby prichádzajúce do styku s informačným systémom Spoločnosti boli poučené v zmysle príslušných právnych predpisov.

6.7. Kľúče od priestorov kancelárie má k dispozícii: iba štatutárny orgán a zamestnanci prevádzkovateľa.

6.8. V prípade prenosu osobných údajov prostredníctvom elektronickej komunikácie je zabezpečené heslovanie a šifrovanie súborov obsahujúcich osobné údaje a pseudonymizácia údajov.

VII. OZNÁMENIA PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV, POSÚDENIE VPLYVU A PREDCHADZAJÚCA KONZULTÁCIA

7.1. Oznámenie porušenia ochrany osobných údajov Úradu na ochranu osobných údajov Slovenskej republiky

7.1.1. V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov Úradu na ochranu osobných údajov slovenskej republiky s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

7.1.2. Oznámenie uvedené v bode 7.1.1 musí obsahovať aspoň:

a) opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

b) meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

c) opis pravdepodobných následkov porušenia ochrany osobných údajov;

d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

7.1.3. V rozsahu, v akom nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

7.1.4. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.

7.2. Oznámenie dotknutej osobe

7.2.1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

7.2.2. Oznámenie dotknutej osobe obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v bode 7.1.2. písm. b), c) a d).

7.2.3. Oznámenie dotknutej osobe sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb pravdepodobne už nebude mať dôsledky;

c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

7.3. Posúdenie vplyvu na ochranu osobných údajov

7.3.1. Ak typ spracúvania povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

7.3.2. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a) systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu,

b) spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 GDPR alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10 GDPR, alebo

c) systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

7.3.3. Posúdenie obsahuje aspoň:

a) systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b) posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,

c) posúdenie rizika pre práva a slobody dotknutých osôb , a

d) opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s GDPR a Zákonom, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

7.3.4. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

7.3.5. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

7.4. Predchádzajúca konzultácia

7.4.1. Prevádzkovateľ uskutoční s Úradom na ochranu osobných údajov Slovenskej republiky pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

7.4.2. Pri konzultácii poskytuje prevádzkovateľ  Úradu na ochranu osobných údajov Slovenskej republiky údaje v zmysle čl. 36 ods. 3 GDPR súčasne § 43 ods. 3 Zákona.

VIII. PRENOS OSOBNÝCH ÚDAJOV

8.1. Prevádzkovateľ môže osobné údaje v nevyhnutnom rozsahu preniesť, sprístupniť, a/alebo uložiť v krajine nachádzajúcej sa mimo územia Európskeho hospodárskeho priestoru (ďalej len „EHP“). Tieto údaje môžu tiež spracovávať osoby pôsobiace mimo EHP, ktoré pracujú pre prevádzkovateľa alebo pre niektorého z jeho dôveryhodných poskytovateľov služieb.

8.2. Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené GDPR a Zákonom, tak aby sa neohrozila úroveň ochrany práv fyzických osôb.

8.3. Prevádzkovateľ môže preniesť osobné údaje mimo územie EHP výlučne iba bezpečným spôsobom a v súlade s platnými právnymi predpismi, na základe právnych dôvodov:

a) rozhodnutie Európskej Komisie, že daná krajina zaručuje primeranú úroveň ochrany v súlade s čl. 45 GDPR súčasne § 48 Zákona (v takom prípade nebude potrebný osobitný súhlas),

b) vhodné záruky podľa čl. 46 ods. 2 a 3 GDPR súčasne § 48 ods. 2 až 4 Zákona,

c) výnimky pre špecifické situácie podľa čl. 49 GDPR súčasne § 51 Zákona.

8.4. Vzhľadom na to, že niektoré krajiny nemusia mať právne predpisy upravujúce používanie a prenos osobných údajov, Prevádzkovateľ sa zaväzuje prijať všetky nevyhnutné opatrenia na to, aby zabezpečil, že tretie osoby budú dodržiavať podmienky stanovené v tejto smernici. Tieto opatrenia môžu zahŕňať kontrolu dodržiavania noriem prijatých uvedenými tretími osobami v súvislosti s ochranou a bezpečnosťou osobných údajov a/alebo uzatváranie vhodných zmlúv (napr. štandardných zmluvných doložiek prijatých Európskou Komisiou).

8.5. Štandardné zmluvné doložky sa aplikujú tak, že sa zapracujú do zmluvy o prenose osobných údajov ako jej neoddeliteľná časť a to bez ohľadu na to, či ide o vzťah prevádzkovateľ – prevádzkovateľ alebo vzťah prevádzkovateľ – sprostredkovateľ. Predmetná zmluva o prenose osobných údajov môže obsahovať aj iné doložky a ustanovenia, tieto však nesmú odporovať ani obchádzať samotné štandardné zmluvné doložky.

8.6. Prevádzkovateľ môže sprístupniť osobné údaje dotknutých osôb krajinám (napr. pracovné cesty), najmä:

Krajina Zabezpečenie ochrany osobných údajov
Členské štáty EÚ Krajina v EÚ

(nevyžaduje sa osobitné zabezpečenie)

IX. ŠPECIFICKOSŤ PREVÁDZKOVATEĽA

9.1. Prevádzkovateľ je advokátskou kanceláriou viazanou ustanoveniami zákona č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov, ktorá s poukazom na § 23 uvedeného zákona, ktorý ustanovuje osobitný režim mlčanlivosti ohľadom všetkých skutočností, ktoré sa prevádzkovateľ dozvedel v súvislosti s výkonom advokácie, zabezpečuje vyššiu mieru ochrany všetkých informácií aj nad rozsah vyžadovaný GDPR a Zákonom.

X. POSTUP PRI ZABEPEČENÍ OCHRANY OSOBNÝCH ÚDAJOV

Agenda Zodpovedná osoba Oprávnená osoba Postup ochrany osobných údajov Postup pri spracúvaní osobných údajov
Zamestnanci Štatutárny orgán Spoločnosti

alebo zodpovedná osoba

Štatutárny orgán Spoločnosti + Príloha č. 4 – pracovná zmluva

– zákon alebo iný právny predpis

-osobitný súhlas dotknutej osoby podľa vzoru Prílohy č. 1

Príloha č. 2
Klienti Štatutárny orgán Spoločnosti

alebo zodpovedná osoba

Štatutárny orgán Spoločnosti + Príloha č. 4 – zmluva a/alebo objednávka

-zákon alebo iný právny predpis

-osobitný súhlas dotknutej osoby podľa vzoru Prílohy č. 1

Príloha č. 3
Dodávatelia (Sprostredkovateľ v zmysle GDPR)  Štatutárny orgán Spoločnosti

alebo zodpovedná osoba

Štatutárny orgán Spoločnosti + Príloha č. 4 – zmluva a/alebo zmluvné podmienky – zmluva a/alebo zmluvné podmienky

XI. PRÍLOHY

Príloha č. 1 Súhlas dotknutej osoby so spracúvaním osobných údajov
Príloha č. 2 Špecifikácia spracúvania osobných údajov zamestnancov
Príloha č. 3

Príloha č. 4

Špecifikácia spracúvania osobných údajov obchodných partnerov

Špecifikácia spracúvania osobných údajov klientov

Príloha č. 5 Určenie oprávnených osôb s prístupom k osobným údajom
Príloha č. 6 Poverenie zodpovednej osoby
Príloha č. 7 Poučenie o zásadách ochrany súkromia zamestnancov

Porovnaj zoznamy