Ochrana osobných údajov

Smernica o predpísanom postupe pri zadávaní nového spracúvania osobných údajov
alebo pri zmene súčasného spracúvania osobných údajov

Čl. 1

Cieľ a predmet úpravy

 

1.           Cieľom tejto smernice je zavedenie postupu a pravidiel pri zavádzaní nového spracúvania osobných údajov alebo pri zmene súčasného spracúvania osobných údajov.

 

2.           Táto smernica upravuje povinnosti prevádzkovateľa a jeho zamestnancov a ďalších osôb, ktoré sa podieľajú na spracúvaní osobných údajov v rámci činnosti prevádzkovateľa.

 

Čl. 2

Vymedzenie základných pojmov

 

1.           Prevádzkovateľ – ORIENT DECOR s.r.o., Framborská 3605/19, 010 01 Žilina, IČO: 46489347.

 

2.           Nariadenie GDPR – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“).

 

3.           Zákon o ochrane osobných údajov – zákon č. č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“).

 

4.           Osobným údajom sa na účely tejto smernice považuje akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“), identifikovateľná osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu fyzickej osoby.

 

5.           Osobitnými kategóriami osobných údajov sa na účely tejto smernice rozumejú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

 

6.           Dozorný orgán – Úrad na ochranu osobných údajov so sídlom v Bratislave ako nezávislý orgán verejnej moci, ktorý monitoruje uplatňovanie nariadenia GDPR na území SR (ďalej len „ÚOOÚ“ alebo „úrad“).

 

7.           Poverená osoba – osoba, ktorá koná na základe poverenia prevádzkovateľa.

 

8.           Sprostredkovateľ – fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

 

Čl. 3

Identifikácia spracúvania osobných údajov

 

1.           Ak má prevádzkovateľ v úmysle zaviesť nový proces, postup, projekt, činnosť alebo zmenu (ďalej len „proces“), je potrebné zvážiť, či takýto nový proces, alebo zmena existujúceho procesu zahŕňa tiež spracúvanie osobných údajov fyzických osôb.

 

2.           Ak nový proces alebo zmena existujúceho procesu vedie k zmene v spracúvania osobných údajov, je potrebné postupovať s nariadením GDPR, zákonom ale aj podľa tejto smernice.

 

3.           V rámci identifikácie nového spracúvania osobných údajov alebo zmeny existujúceho spracúvania osobných údajov sa určí vlastník procesu (t. j. osoba/zamestnanec prevádzkovateľa, ktorý je zodpovedný za priebeh procesu u prevádzkovateľa a ktorý bude zodpovedný a bude dohliadať na splnenie úloh podľa tejto smernice.

 

Čl. 4

Účel spracúvania osobných údajov

 

1.           Účel spracúvania nevyhnutne súvisí so zavádzaným procesom a je naň naviazaný, pričom musí ísť o konkrétne určený, výslovne uvedený a legitímny účel, ktorý je vymedzený prevádzkovateľom alebo ustanovený osobitným predpisom.

 

2.           Osobné údaje možno spracúvať iba v súlade s účelom, na ktorý boli získané. Účel je za podmienok spracúvania stanovených pri zavedení nového procesu, alebo pri zmene existujúceho procesu, nemenný. Zmena účelu spracúvania sa považuje za zavedenie nového, resp. zmenu existujúceho procesu, v prípade čoho je potrebné postupovať podľa tejto smernice.

 

Čl. 5

Kategórie, zdroj a spôsob spracúvania osobných údajov

 

1.           Pred začatím nového spracúvania alebo pri zmene existujúceho spracúvania je potrebné jasne určiť, aké kategórie osobných údajov sa budú spracúvať, a to vrátane osobitných kategórií osobných údajov alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky. Rozsah spracúvaných osobných údajov musí byť primeraný, relevantný a obmedzený na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

 

2.           Pri novom spracúvaní a pri zmene existujúceho spracúvania, pri ktorom sa získavajú nové osobné údaje, prevádzkovateľ určí, z akého zdroja tieto údaje pochádzajú. Zdrojom osobných údajov môže byť napr. priamo dotknutá osoba, nepriamo dotknutá osoba na základe monitorovania jej správania, analýza údajov, tretia osoba, verejné registre a pod.

 

3.           Ďalej je potrebné definovať spôsob spracúvania osobných údajov, t. j. najmä či budú osobné údaje spracúvané automatizovane, poloautomatizovane alebo neautomatizovane.

 

Čl. 6

Právny základ a rozsah spracúvania

 

1.           Pre začatím nového alebo pri zmene existujúceho spracúvania je potrebné určiť právny základ takéhoto spracúvania podľa článku 6 nariadenia GDPR/§ 13 Zákona, pri splnení ktorého sa spracúvanie považuje za zákonné. Súčasťou tejto požiadavky je dostatočné odôvodnenie získania osobných údajov. Tieto zahŕňajú nasledujúce podmienky:

a)           dotknutá osoba vyjadrila súhlas so spracúvaním osobných údajov na jeden alebo viaceré konkrétne účely,

b)           spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby na základe dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy,

c)            spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,

d)           spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,

e)           spracúvanie je nevyhnutné na splnenie úlohy realizovanej verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,

f)             spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

 

2.           Spracúvanie osobitných kategórií osobných údajov (tzv. citlivých údajov) je možné popri existencii legitímneho právneho základu podľa predchádzajúceho ods. tejto smernice len za podmienok stanovených v článku 9 nariadenia GDPR/§ 16 Zákona.

 

3.           Pokiaľ má byť nové alebo zmenené spracúvanie založené na právnom základe súhlasu dotknutej osoby, je potrebné určiť formu získania súhlasu dotknutých osôb. Súhlas by mal byť poskytnutý jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby, napr. písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Toto môže zahŕňať označenie políčka (checkboxu) na webovom sídle, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie, či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka (checkboxy) alebo nečinnosť nemožno považovať za súhlas.

 

Čl. 7

Doba spracúvania

 

1.           Prevádzkovateľ určí dobu spracúvania osobných údajov, a to na báze nevyhnutnosti a obmedzenia vzhľadom na splnenie účelu spracúvania, prípadne splnenie požiadaviek na ďalšie uchovávanie osobných údajov po splnení pôvodného účelu spracúvania, a to v súlade s registratúrnym poriadkom a registratúrnym plánom prevádzkovateľa a ostatnými internými predpismi prevádzkovateľa.

 

Čl. 8

Príjemcovia osobných údajov

 

1.           V súvislosti s každým identifikovaným procesom je potrebné určiť okruh príjemcov, ktorým budú osobné údaje poskytované, alebo iným spôsobom sprístupnené, vrátane sprostredkovateľov, subdodávateľov alebo iných osôb. Ide najmä o poskytovateľov služieb, obchodných partnerov, subdodávateľov s pod..

 

Čl. 9

Posúdenie spracúvania

 

1.           Každá identifikácia nového spracúvania alebo zmeny existujúceho spracúvania musí byť posúdená konateľom, ktorý dohliadne na splnenie povinností podľa tejto smernice, a to vrátane posúdenia vplyvu na ochranu osobných údajov.

 

Čl. 10

Informácie o spracúvaní osobných údajov

 

1.           Prevádzkovateľ je povinný pri získaní osobných údajov poskytnúť dotknutej osobe informácie v súlade s článkami 13 a 14 nariadenia GDPR / § 19 a § 20 Zákona. Informačná povinnosť sa vzťahuje aj na prípady, kedy má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli pôvodne získané, a to pred začatím takéhoto ďalšieho spracúvania.

 

2.           Informácie o podmienkach spracúvania osobných údajov podľa predchádzajúceho ods. tejto smernice pripraví prevádzkovateľ.

 

3.           Informácie o podmienkach spracúvania osobných údajov musia byť pripravené a poskytnuté v stručnej, transparentnej zrozumiteľnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu.

 

4.           Informácie o podmienkach spracúvania osobných údajov musia byť poskytnuté vo forme ľahko dostupnej pre všetky dotknuté osoby, ktorá bude vzhľadom na ďalšie podmienky spracovateľských činností. Informácie môžu byť vo všeobecnosti poskytnuté napr. písomne, elektronicky (e-mailom, na webovom sídle prevádzkovateľa) alebo inými prostriedkami, ktoré zabezpečia súlad s uvedenými požiadavkami.

 

Čl. 11

Zabezpečenie súladu s požiadavkou na spracúvanie aktualizovaných osobných údajov

 

1.           Prevádzkovateľ je povinný pribežne aktualizovať osobné údaje a prijať všetky potrebné opatrenia, aby sa zabezpečilo, že ak spracúvané osobné údaje sú nesprávne, bezodkladne sa opravia alebo vymažú.

 

2.           Pre každé identifikované nové spracúvanie alebo zmenu existujúceho spracúvania je potrebné nastaviť systém / podmienky aktualizácie údajov. Takýto postup môže zahŕňať napr. všeobecnú žiadosť vo vzťahu k dotknutým osobám o oznámenie zmeny osobných údajov v informácii o spracúvaní osobných údajov.

 

3.           Systém / podmienky aktualizácie osobných údajov nastaví prevádzkovateľ.

 

Čl. 12

Ochrana osobných údajov

 

1.           Prevádzkovateľ je povinný pri spracúvaní osobných údajov zabezpečiť ochranu osobných údajov a bezpečnosť ich spracúvania, a to najmä:

Prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti vzhľadom na riziká, ktoré predstavuje nové, resp. zmenené spracúvanie osobných údajov, a to najmä v dôsledku náhodného alebo iného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

 

2.           V rámci prevádzkovateľ môžu prísť do styku s osobnými údajmi a spracúvať ich iba osoby, resp. zamestnanci, u ktorých je to nevyhnutné z hľadiska plnenia ich pracovných úloh, vrátane vlastníka procesu.

 

Čl. 13

Práva dotknutých osôb

 

1.           Dotknuté osoby majú právo si uplatniť prostredníctvom žiadosti najmä:

 

a)           právo na prístup k osobným údajom,

b)           právo na opravu osobných údajov,

c)           právo na vymazanie osobných údajov (vrátane práva na zabudnutie),

d)           právo na obmedzenie spracúvania osobných údajov,

e)           právo na prenosnosť osobných údajov,

f)             právo namietať spracúvanie osobných údajov,

g)           právo, aby sa na ne nevzťahovalo rozhodnutie, ktoré je založené výhradne na automatizovanom spracúvaní, vrátane profilovania.

 

2.           Postupy prevádzkovateľa pri vybavovaní žiadostí dotknutých osôb sa riadi osobitným interným predpisom prevádzkovateľa.

 

Čl. 14

Likvidácia

 

1.           Prevádzkovateľ zabezpečí výmaz osobných údajov po naplnení účelu, na ktorý boli osobné údaje získané, alebo na základe oprávnenej žiadosti alebo odvolania súhlasu dotknutej osoby.

 

2.           Postup podľa predchádzajúceho odseku tejto smernice sa neuplatní v prípadoch ustanovených nariadením GDPR a zákonom.

 

3.           Pri likvidácii osobných údajov sa postupuje podľa osobitných interných predpisov prevádzkovateľa, napr. v súlade s registratúrnym poriadkom a registratúrnym plánom.

 

Čl. 15

Príjemcovia osobných údajov

 

1.           Ak je príjemca v pozícii sprostredkovateľa, je prevádzkovateľ povinný so sprostredkovateľom uzavrieť zmluvu upravujúcu príslušné zodpovednosti za plnenie povinností podľa Smernice upravujúcej dodávateľské vzťahy.

 

Čl. 16

Cezhraničný prenos osobných údajov

 

2.           Pred zavedením nového procesu alebo zmenou existujúceho procesu vlastník procesu vykoná prevádzkovateľ posúdenie požiadaviek v súvislosti s prípadnými prenosmi osobných údajov do krajín Európskej únie, resp. Európskeho hospodárskeho priestoru a prenosov do tretích krajín mimo Európskej únie, resp. Európskeho hospodárskeho priestoru alebo medzinárodnej organizácii, ak to bude relevantné a zabezpečí prijatie príslušných (najmä zmluvných) opatrení.

 

Čl. 17

Účinnosť

 

1.           Táto Smernica nadobúda účinnosť dňa .01.01.2023

 

2.           Táto Smernica je záväzná pre prevádzkovateľa, pre všetkých zamestnancov prevádzkovateľa a ďalšie osoby, ktoré sa svojou činnosťou podieľajú na spracúvaní osobných údajov, a teda vykonávajú operácie s osobnými údajmi alebo činnosti súvisiace so zabezpečením osobných údajov.

 3.           Prevádzkovateľ je povinný poučiť zamestnancov prevádzkovateľa alebo iné poverené osoby o obsahu tejto smernice.

 

Žilina, dňa 01.01.2023

 ……………………………………………………

ORIENT DECOR s.r.o.

Zuzana Jambrichová, konateľka

 


Scroll to Top

Nezáväzná cenová ponuka

Pre vypracovanie cenovej ponuky nám prosím odošlite Vaše kontaktné údaje a približné množstvo dlažby, ktorú potrebujete