Praktik ZV, s.r.o.

Ochrana osobných údajov (GDPR)

Dňa 25.5.2018 vstúpila v platnosť nová legislatíva týkajúca sa ochrany osobných údajov,  preto vám prinášame informáciu o spracovaní osobných údajov na základe Nariadenia Európskeho parlamentu a Rady č. 2016/679 (ďalej „GDPR“) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Firma PRAKTIK ZV s.r.o., ul. Stred 381/4, 962 01 Zvolenská Slatina; IČO: 48080811 v súvislosti so svojou činnosťou spracúva osobné údaje na rôzne účely, poväčšine  spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Radi by sme vás informovali o spôsobe akým nakladáme s vašimi osobnými údajmi, o vašich právach ako aj o právnych základoch spracúvania osobných údajov. Pri oboznamovaní sa s informáciou podľa § 19 zákona o ochrane osobných údajov sa môžete stretnúť s pojmami, ktoré sú zadefinované nasledovne:

Základné pojmy

• Adresa -súbor údajov o fyzickej osobe, do ktorého patria: názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, pripadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu.
• Biometrický údaj - osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny.
• Blokovanie osobných údajov - dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktorá sú nevyhnutné na splnenie povinnosti uloženej zákonom.
• Dotknutá osoba - každá fyzická osoba, ktorej sa osobné údaje týkajú.
• Dostupnosť - schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity
• Dôvernosť - vlastnosť, na základe ktorej informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám ani procesom.
• Incident informačnej bezpečnosti - jedno alebo viaceré neočakávané udalosti informačnej bezpečnosti, pri ktorých je vysoká pravdepodobnosť kompromitácie aktivít prevádzkovateľa a ohrozenia informačnej bezpečnosti.
• Informačné bezpečnosť - zachovanie dôvernosti, integrity a dostupnosti informácii; navyše sa môže týkať aj ďalších vlastnosti, akými sú autentickosť, sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť.
• Informačný systém pre spracovanie osobných údajov - informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný, na funkčnom alebo geografickom základe (ďalej len „informačný systém"); informačným systémom sa na účely Zákona rozumie aj súbor osobných údajov, ktoré sú spracovávané alebo pripravené na spracovávanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.
• Integrita - vlastnosť zabezpečujúca presnosť a kompletnosť aktív.
• Likvidácia osobných údajov - zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
• Oprávnená osoba - každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, zmluvného vzťahu, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21 Zákona.
• Osobné údaje - údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
• Osobitné kategórie osobných údajov (citlivé údaje) - údaje, ktorých nekorektné použitie môže mať pre subjekt zvlášť závažné dôsledky, preto pre ich spracovanie platia prísnejšie opatrenia ako pre iné osobné údaje. Ide o: o údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, o všeobecne použiteľný identifikátor ustanovený osobitným zákonom,
• údaje o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti,
• údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť,
• biometrické údaje.
• Podmienky spracúvania osobných údajov - prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracovaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.
• Poskytovanie osobných údajov - odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracováva.
• Prevádzkovateľ - každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene. Ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky.
• Priestor prístupný verejnosti - priestor, do ktorého možno voľne vstupovať a v ktorom sa možno zdržiavať verejnosti alebo je to priestor, ktorý tak označuje osobitný zákon.
• Príjemca - každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana.
• Spracúvanie osobných údajov - vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos,  poskytovanie, sprístupňovanie alebo zverejňovanie.
• Sprístupňovanie osobných údajov - oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva.
• Sprostredkovateľ - každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 Zákona a v súlade s týmto Zákonom. 
• Súhlas dotknutej osoby - akýkoľvek slobodne daný, výslovný, právne akceptovateľný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov.
• Tretia strana - každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou.
• Účel spracúvania osobných údajov - vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
• Všeobecne použiteľný identifikátor - trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch.
• Zodpovedná osoba - osoba poverená prevádzkovateľom na výkon dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov.
• Zverejňovanie osobných údajov - publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sieti, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste.

Účely spracúvania osobných údajov
O zamestnancoch firma spracúva osobné údaje v týchto informačných systémoch:
mzdy a personalistika, správa registratúry, účtovné doklady.
o obchodných partneroch spracúva v týchto informačných systémoch:
účtovné doklady, zverejňovanie zmlúv a objednávok,
Práva dotknutých osôb

Dotknutá osoba má podľa § 22 zákona právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

Dotknutá osoba má podľa § 23 zákona právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak:

• osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
• dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a) zákona, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
• dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona (oprávnené záujmy prevádzkovateľa, výkon verejnej moci zverenej prevádzkovateľovi) a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2 zákona (účel priameho marketingu vrátane profilovania),
• osobné údaje sa spracúvajú nezákonne,
• je dôvodom pre výmaz splnenie povinnosti podľa zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
• sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1 zákona (ponuka služieb informačnej spoločnosti vykonávaná na základe súhlasu dotknutej osoby, ktorá nedovŕšila 16 rokov veku).

Dotknutá osoba má podľa § 24 zákona právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak:

• dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
• spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
• prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku,
• dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Podľa § 25 zákona je prevádzkovateľ povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Dotknutá osoba má podľa § 26 zákona právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak:

• sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, spracúvanie OÚ je nevyhnutné na plnenie zmluvy,
• spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.

Dotknutá osoba má právo podľa §27 zákona namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie v situáciách realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo pri vykonávaní oprávnených záujmov prevádzkovateľa vrátane profilovania. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku. Dotknutá osoba má tiež právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom.

• Právo namietať so spracúvaní osobných údajov sa neuplatňuje v prípade ak je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel.
• Smernica stanovuje mechanizmy a procesy informovania dotknutých osôb o ich právach a ich osobných údajoch, ktoré spracováva prevádzkovateľ.
• Zoznam osobných údajov a Záznamy o spracovateľských činnostiach sú pre dotknuté osoby, ktorým musia byť na požiadanie dotknutej osoby sprístupnené.
• Záznam o spracovateľských činnostiach sa na požiadanie sprístupňuje Úradu na ochranu osobných údajov. Sprístupnenie zabezpečuje zodpovedná osoba alebo osoba určená štatutárnym orgánom.
• Zoznam osobných údajov a informácie v ňom uvedené musia byť v súlade s § 19 ods. 1 zákona poskytnuté dotknutej osobe pri získavaní jej osobných údajov. Poskytnutie zoznamu zabezpečuje príslušná oprávnená osoba, ktorá spracúva osobné údaje dotknutej osoby pomocou formulára prílohy č. 1.
• Dotknuté osoby majú právo na prístup k informáciám podľa § 21 zákona. V prípade žiadosti dotknutej osoby o poskytnutie informácií zodpovedná osoba alebo osoba určená štatutárnym orgánom zabezpečí ich zaslanie (podľa § 21 ods. 1 zákona) dotknutej osobe elektronicky, alebo poštovou zásielkou. V prípade opakovanej žiadosti dotknutej osoby štatutárnym orgánom poverená osoba zabezpečí vyúčtovanie administratívnych nákladov podľa § 21 ods. 3 zákona, od dotknutej osoby.
• Zodpovedná osoba alebo osoba určená štatutárnym orgánom zabezpečuje oznámenie porušenia osobných údajov v lehote do 72 hodín od doby keď sa u prevádzkovateľa zistilo porušenie ochrany osobných údajov, ktoré povedie k riziku pre práva fyzickej osoby podľa § 40 zákona (formulár je uvedený v prílohe č. 2).
• Zodpovedná osoba alebo osoba určená štatutárnym orgánom neodkladne vyšetrí bezpečnostný incident a posúdi či je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby. Ak identifikuje, že bezpečnostný incident môže viesť  k riziku pre práva fyzickej osoby postupuje podľa ods. 14.