Smernica o predpísanom postupe pri zadávaní nového spracúvania osobných údajov
alebo pri zmene súčasného spracúvania osobných údajov
Čl. 1
Cieľ a predmet úpravy
1.
Cieľom tejto
smernice je zavedenie postupu a pravidiel pri zavádzaní nového spracúvania
osobných údajov alebo pri zmene súčasného spracúvania osobných údajov.
2.
Táto smernica
upravuje povinnosti prevádzkovateľa a jeho zamestnancov a ďalších
osôb, ktoré sa podieľajú na spracúvaní osobných údajov v rámci činnosti
prevádzkovateľa.
Čl. 2
Vymedzenie základných pojmov
1.
Prevádzkovateľ – ORIENT
DECOR s.r.o., Framborská 3605/19, 010 01 Žilina, IČO: 46489347.
2.
Nariadenie GDPR – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679
zo dňa 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní
osobných údajov a voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len
„nariadenie GDPR“).
3.
Zákon o ochrane osobných údajov – zákon č. č.
18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“).
4.
Osobným údajom sa na účely tejto smernice považuje
akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej
fyzickej osoby (ďalej len „dotknutá osoba“), identifikovateľná osoba je osoba,
ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na
identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online
identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre
fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu
identitu fyzickej osoby.
5.
Osobitnými kategóriami osobných údajov sa na účely
tejto smernice rozumejú osobné údaje, ktoré odhaľujú rasový alebo etnický
pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo
členstvo v odborových organizáciách, a spracúvanie genetických
údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby,
údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo
sexuálnej orientácie fyzickej osoby.
6.
Dozorný orgán – Úrad
na ochranu osobných údajov so sídlom v Bratislave ako nezávislý orgán
verejnej moci, ktorý monitoruje
uplatňovanie nariadenia GDPR na území SR (ďalej len „ÚOOÚ“ alebo „úrad“).
7.
Poverená osoba – osoba,
ktorá koná na základe poverenia prevádzkovateľa.
8.
Sprostredkovateľ –
fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt,
ktorý spracúva osobné údaje v mene prevádzkovateľa.
Čl. 3
Identifikácia spracúvania osobných
údajov
1.
Ak má
prevádzkovateľ v úmysle zaviesť nový proces, postup, projekt, činnosť
alebo zmenu (ďalej len „proces“), je potrebné zvážiť, či takýto nový proces,
alebo zmena existujúceho procesu zahŕňa tiež spracúvanie osobných údajov
fyzických osôb.
2.
Ak nový proces
alebo zmena existujúceho procesu vedie k zmene v spracúvania osobných
údajov, je potrebné postupovať s nariadením GDPR, zákonom ale aj podľa
tejto smernice.
3.
V rámci
identifikácie nového spracúvania osobných údajov alebo zmeny existujúceho
spracúvania osobných údajov sa určí vlastník procesu (t. j. osoba/zamestnanec
prevádzkovateľa, ktorý je zodpovedný za priebeh procesu u prevádzkovateľa
a ktorý bude zodpovedný a bude dohliadať na splnenie úloh podľa tejto
smernice.
Čl. 4
Účel spracúvania osobných údajov
1.
Účel spracúvania
nevyhnutne súvisí so zavádzaným procesom a je naň naviazaný, pričom musí
ísť o konkrétne určený, výslovne uvedený a legitímny účel, ktorý je
vymedzený prevádzkovateľom alebo ustanovený osobitným predpisom.
2.
Osobné údaje
možno spracúvať iba v súlade s účelom, na ktorý boli získané. Účel je
za podmienok spracúvania stanovených pri zavedení nového procesu, alebo pri
zmene existujúceho procesu, nemenný. Zmena účelu spracúvania sa považuje za
zavedenie nového, resp. zmenu existujúceho procesu, v prípade čoho je
potrebné postupovať podľa tejto smernice.
Čl. 5
Kategórie, zdroj a spôsob
spracúvania osobných údajov
1.
Pred začatím
nového spracúvania alebo pri zmene existujúceho spracúvania je potrebné jasne
určiť, aké kategórie osobných údajov sa budú spracúvať, a to vrátane
osobitných kategórií osobných údajov alebo osobných údajov týkajúcich sa uznaní
viny za trestné činy a priestupky. Rozsah spracúvaných osobných údajov
musí byť primeraný, relevantný a obmedzený na rozsah, ktorý je nevyhnutný
vzhľadom na účely, na ktoré sa spracúvajú.
2.
Pri novom
spracúvaní a pri zmene existujúceho spracúvania, pri ktorom sa získavajú
nové osobné údaje, prevádzkovateľ určí, z akého zdroja tieto údaje
pochádzajú. Zdrojom osobných údajov môže byť napr. priamo dotknutá osoba,
nepriamo dotknutá osoba na základe monitorovania jej správania, analýza údajov,
tretia osoba, verejné registre a pod.
3.
Ďalej je
potrebné definovať spôsob spracúvania osobných údajov, t. j. najmä či budú
osobné údaje spracúvané automatizovane, poloautomatizovane alebo neautomatizovane.
Čl. 6
Právny základ a rozsah spracúvania
1.
Pre začatím
nového alebo pri zmene existujúceho spracúvania je potrebné určiť právny základ
takéhoto spracúvania podľa článku 6 nariadenia GDPR/§ 13 Zákona, pri splnení ktorého
sa spracúvanie považuje za zákonné. Súčasťou tejto požiadavky je dostatočné
odôvodnenie získania osobných údajov. Tieto zahŕňajú nasledujúce podmienky:
a)
dotknutá osoba
vyjadrila súhlas so spracúvaním osobných údajov na jeden alebo viaceré
konkrétne účely,
b)
spracúvanie je
nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo
aby na základe dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy,
c)
spracúvanie je
nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
d)
spracúvanie je
nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej
fyzickej osoby,
e)
spracúvanie je
nevyhnutné na splnenie úlohy realizovanej verejnom záujme alebo pri výkone
verejnej moci zverenej prevádzkovateľovi,
f)
spracúvanie je
nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo
tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú
záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú
ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.
2.
Spracúvanie
osobitných kategórií osobných údajov (tzv. citlivých údajov) je možné popri
existencii legitímneho právneho základu podľa predchádzajúceho ods. tejto
smernice len za podmienok stanovených v článku 9 nariadenia GDPR/§ 16
Zákona.
3.
Pokiaľ má byť
nové alebo zmenené spracúvanie založené na právnom základe súhlasu dotknutej
osoby, je potrebné určiť formu získania súhlasu dotknutých osôb. Súhlas by mal
byť poskytnutý jasným prejavom vôle, ktorý je slobodným, konkrétnym,
informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby, napr.
písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických
prostriedkov alebo ústnym vyhlásením. Toto môže zahŕňať označenie políčka
(checkboxu) na webovom sídle, zvolenie technických nastavení služieb
informačnej spoločnosti alebo akékoľvek iné vyhlásenie, či úkon, ktorý
v tomto kontexte jasne znamená, že dotknutá osoba súhlasí
s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené
políčka (checkboxy) alebo nečinnosť nemožno považovať za súhlas.
Čl. 7
Doba spracúvania
1.
Prevádzkovateľ
určí dobu spracúvania osobných údajov, a to na báze nevyhnutnosti
a obmedzenia vzhľadom na splnenie účelu spracúvania, prípadne splnenie
požiadaviek na ďalšie uchovávanie osobných údajov po splnení pôvodného účelu
spracúvania, a to v súlade s registratúrnym poriadkom a registratúrnym
plánom prevádzkovateľa a ostatnými internými predpismi prevádzkovateľa.
Čl. 8
Príjemcovia osobných údajov
1.
V súvislosti
s každým identifikovaným procesom je potrebné určiť okruh príjemcov,
ktorým budú osobné údaje poskytované, alebo iným spôsobom sprístupnené, vrátane
sprostredkovateľov, subdodávateľov alebo iných osôb. Ide najmä
o poskytovateľov služieb, obchodných partnerov, subdodávateľov s pod..
Čl. 9
Posúdenie spracúvania
1.
Každá
identifikácia nového spracúvania alebo zmeny existujúceho spracúvania musí byť
posúdená konateľom, ktorý dohliadne na splnenie povinností podľa tejto
smernice, a to vrátane posúdenia vplyvu na ochranu osobných údajov.
Čl. 10
Informácie o spracúvaní osobných
údajov
1.
Prevádzkovateľ
je povinný pri získaní osobných údajov poskytnúť dotknutej osobe informácie
v súlade s článkami 13 a 14 nariadenia GDPR / § 19 a § 20
Zákona. Informačná povinnosť sa vzťahuje aj na prípady, kedy má prevádzkovateľ
v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli
pôvodne získané, a to pred začatím takéhoto ďalšieho spracúvania.
2.
Informácie
o podmienkach spracúvania osobných údajov podľa predchádzajúceho ods.
tejto smernice pripraví prevádzkovateľ.
3.
Informácie
o podmienkach spracúvania osobných údajov musia byť pripravené
a poskytnuté v stručnej, transparentnej zrozumiteľnej forme,
formulované jasne a jednoducho, a to najmä v prípade informácií
určených osobitne dieťaťu.
4.
Informácie
o podmienkach spracúvania osobných údajov musia byť poskytnuté vo forme
ľahko dostupnej pre všetky dotknuté osoby, ktorá bude vzhľadom na ďalšie
podmienky spracovateľských činností. Informácie môžu byť vo všeobecnosti poskytnuté
napr. písomne, elektronicky (e-mailom, na webovom sídle prevádzkovateľa) alebo
inými prostriedkami, ktoré zabezpečia súlad s uvedenými požiadavkami.
Čl. 11
Zabezpečenie súladu s požiadavkou
na spracúvanie aktualizovaných osobných údajov
1.
Prevádzkovateľ
je povinný pribežne aktualizovať osobné údaje a prijať všetky potrebné
opatrenia, aby sa zabezpečilo, že ak spracúvané osobné údaje sú nesprávne,
bezodkladne sa opravia alebo vymažú.
2.
Pre každé
identifikované nové spracúvanie alebo zmenu existujúceho spracúvania je
potrebné nastaviť systém / podmienky aktualizácie údajov. Takýto postup môže
zahŕňať napr. všeobecnú žiadosť vo vzťahu k dotknutým osobám
o oznámenie zmeny osobných údajov v informácii o spracúvaní
osobných údajov.
3.
Systém / podmienky
aktualizácie osobných údajov nastaví prevádzkovateľ.
Čl. 12
Ochrana osobných údajov
1.
Prevádzkovateľ
je povinný pri spracúvaní osobných údajov zabezpečiť ochranu osobných údajov
a bezpečnosť ich spracúvania, a to najmä:
Prijať primerané technické a organizačné opatrenia
s cieľom zaistiť úroveň bezpečnosti vzhľadom na riziká, ktoré predstavuje
nové, resp. zmenené spracúvanie osobných údajov, a to najmä
v dôsledku náhodného alebo iného alebo nezákonného zničenia, straty,
zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú,
uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto
údajom.
2.
V rámci
prevádzkovateľ môžu prísť do styku s osobnými údajmi a spracúvať ich
iba osoby, resp. zamestnanci, u ktorých je to nevyhnutné z hľadiska
plnenia ich pracovných úloh, vrátane vlastníka procesu.
Čl. 13
Práva dotknutých osôb
1.
Dotknuté osoby
majú právo si uplatniť prostredníctvom žiadosti najmä:
a)
právo na
prístup k osobným údajom,
b)
právo na opravu
osobných údajov,
c)
právo na
vymazanie osobných údajov (vrátane práva na zabudnutie),
d)
právo na
obmedzenie spracúvania osobných údajov,
e)
právo na
prenosnosť osobných údajov,
f)
právo namietať
spracúvanie osobných údajov,
g)
právo, aby sa
na ne nevzťahovalo rozhodnutie, ktoré je založené výhradne na automatizovanom
spracúvaní, vrátane profilovania.
2.
Postupy
prevádzkovateľa pri vybavovaní žiadostí dotknutých osôb sa riadi osobitným
interným predpisom prevádzkovateľa.
Čl. 14
Likvidácia
1.
Prevádzkovateľ
zabezpečí výmaz osobných údajov po naplnení účelu, na ktorý boli osobné údaje
získané, alebo na základe oprávnenej žiadosti alebo odvolania súhlasu dotknutej
osoby.
2.
Postup podľa
predchádzajúceho odseku tejto smernice sa neuplatní v prípadoch
ustanovených nariadením GDPR a zákonom.
3.
Pri likvidácii
osobných údajov sa postupuje podľa osobitných interných predpisov
prevádzkovateľa, napr. v súlade s registratúrnym poriadkom
a registratúrnym plánom.
Čl. 15
Príjemcovia osobných údajov
1.
Ak je príjemca
v pozícii sprostredkovateľa, je prevádzkovateľ povinný so
sprostredkovateľom uzavrieť zmluvu upravujúcu príslušné zodpovednosti za
plnenie povinností podľa Smernice upravujúcej dodávateľské vzťahy.
Čl. 16
Cezhraničný prenos osobných údajov
2.
Pred zavedením
nového procesu alebo zmenou existujúceho procesu vlastník procesu vykoná prevádzkovateľ
posúdenie požiadaviek v súvislosti s prípadnými prenosmi osobných
údajov do krajín Európskej únie, resp. Európskeho hospodárskeho priestoru
a prenosov do tretích krajín mimo Európskej únie, resp. Európskeho
hospodárskeho priestoru alebo medzinárodnej organizácii, ak to bude relevantné
a zabezpečí prijatie príslušných (najmä zmluvných) opatrení.
Čl. 17
Účinnosť
1.
Táto
Smernica nadobúda účinnosť dňa .01.01.2023
2.
Táto
Smernica je záväzná pre prevádzkovateľa, pre všetkých zamestnancov
prevádzkovateľa a ďalšie osoby, ktoré sa svojou činnosťou podieľajú na
spracúvaní osobných údajov, a teda vykonávajú operácie s osobnými
údajmi alebo činnosti súvisiace so zabezpečením osobných údajov.
3. Prevádzkovateľ je povinný poučiť zamestnancov prevádzkovateľa alebo iné poverené osoby o obsahu tejto smernice.
Žilina,
dňa 01.01.2023
……………………………………………………
ORIENT
DECOR s.r.o.
Zuzana
Jambrichová, konateľka