LSH Készházak Zrt.

Zásady ochrany osobných údajov

Uplatňovanie zásad ochrany osobných údajov

Názov spoločnosti:

LSH Készházak Zrt.

Sídlo spoločnosti:

Egyenlőség utca 43, 2461 Tárnok

Osoba zodpovedná za obsah:

Bakos Dániel

Dátum nadobudnutia účinnosti:

01.10.2021

Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Vzťahuje sa na konkrétne činnosti spracovania údajov a na vydávanie pokynov a oznámení upravujúcich spracovanie údajov.

Povinnosť zamestnať (vymenovať) zodpovednú osobu sa vzťahuje na všetky orgány verejnej moci alebo iné orgány vykonávajúce verejné úlohy (bez ohľadu na to, aký druh údajov spracúvajú), ako aj na ďalšie organizácie, ktorých hlavnou činnosťou je systematické, rozsiahle monitorovanie fyzických osôb. , alebo ktoré používajú osobitné kategórie osobných údajov, s ktorými sa zaobchádza vo veľkom počte.

Spoločnosť zodpovednú osobu                          zamestnáva         

V prípade zamestnania zodpovednej osoby pre ochranu údajov:

Meno:

Bakos Dániel

Pozícia:

obchodný riaditeľ

Kontakt:

hello@lsh-homes.sk

Rozsah pôsobnosti nariadenia

Toto nariadenie platí až do odvolania a jeho pôsobnosť sa vzťahuje na predstaviteľov organizácie, zamestnancov a zodpovednú osobu pre ochranu údajov. 

Dátum: 01.10.2021

Účel nariadenia

Účelom tohto nariadenia je zosúladiť ustanovenia ostatných vnútorných predpisov organizácie týkajúce sa činností správy údajov za účelom ochrany základných práv a slobôd fyzických osôb a zabezpečenia náležitej správy osobných údajov.

Organizácia pri svojej činnosti mieni plne dodržiavať zákonné požiadavky na správu osobných údajov, najmä ustanovenia nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679.

Ďalej je dôležitým cieľom vydávania predpisov umožniť zamestnancom organizácie legálne spravovať údaje fyzických osôb ich oboznámením a dodržiavaním.

Základné pojmy a definície

  • GDPR (General Data Protection Regulation) je nové nariadenie Európskej únie o ochrane osobných údajov
  • prevádzkovateľ: fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;
  • spracúvanie: operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
  • sprostredkovateľ: fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;
  • osobné údaje: akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
  • tretia strana: fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;
  • súhlas dotknutej osoby: akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;
  • obmedzenie spracúvania: označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;
  • pseudonymizácia: spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe; 
  • informačný systém: akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;
  • porušenie ochrany osobných údajov: porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

Zásady spracúvania osobných údajov

Osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe.

Osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi.

Osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

Osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia.

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb.

Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

Zásady ochrany údajov sa uplatňujú na všetky informácie týkajúce sa identifikovaných alebo identifikovateľných fyzických osôb.

Zamestnanec organizácie, ktorý je zodpovedný za spracúvanie údajov, podlieha disciplinárnemu konaniu, náhrade škody, občianskoprávnej a trestnoprávnej zodpovednosti za zákonné spracúvanie osobných údajov. Ak zamestnanec zistí, že osobné údaje, ktoré spracúva, sú nepresné, neúplné alebo neaktuálne, musí ich opraviť alebo zabezpečiť ich opravu osobou zodpovednou za ich zaznamenanie.

Spracúvania osobných údajov

Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

Spracovanie údajov sa môže uskutočniť len vtedy, ak dotknutá osoba udelí svoj dobrovoľný, konkrétny, informovaný a jednoznačný súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením.

Súhlas so spracovaním osobných údajov sa považuje označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred zaškrtnuté políčko alebo nečinnosť nepredstavujú súhlas.

Súhlas sa považuje za udelený aj vtedy, keď používateľ v priebehu používania elektronických služieb vykoná príslušné technické nastavenia alebo urobí vyhlásenie alebo vykoná úkon, ktorý v príslušnom kontexte jasne naznačuje súhlas dotknutej osoby so spracovaním jej osobných údajov.

Osobné údaje týkajúce sa zdravia zahŕňajú všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem:

  • informácie o fyzickej osobe získané pri registrácii na účely poskytovania služieb zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ;
  • číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely;
  • informácie získané na základe vykonania testov alebo prehliadok častí organizmu alebo telesných látok vrátane genetických údajov a biologických vzoriek;
  • akékoľvek informácie, napríklad o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej pomôcky alebo z vykonania diagnostického testu.

Genetické údaje sú definované ako osobné údaje týkajúce sa zdedených alebo nadobudných genetických charakteristických znakov fyzickej osoby, ktoré sú výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií.

Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov. Takáto osobitná ochrana by sa mala vzťahovať najmä na využívanie osobných údajov detí na účely marketingu alebo vytvorenia osobného alebo používateľského profilu a získavanie osobných údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu.

Osobné údaje sa musia spracúvať spôsobom, ktorý zabezpečuje primeranú úroveň bezpečnosti a dôvernosti, okrem iného s cieľom zabrániť neoprávnenému prístupu k osobným údajom a prostriedkom používaným na spracúvanie osobných údajov alebo ich použitiu. 

Musia sa podniknúť všetky primerané kroky na opravu alebo vymazanie nepresných osobných údajov.

Zákonnosť spracúvania

Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
  • spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
  • spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

Podľa vyššie uvedeného sa spracúvanie údajov považuje za zákonné, ak je nevyhnutné v súvislosti so zmluvou alebo zámerom uzavrieť zmluvu.

Ak sa spracúvanie údajov uskutočňuje v rámci plnenia zákonnej povinnosti prevádzkovateľa alebo ak je to nevyhnutné na splnenie úlohy vo verejnom záujme alebo na výkon verejnej moci, spracúvanie údajov musí mať právny základ v práve EÚ alebo v práve členského štátu.

Spracovanie údajov sa považuje za zákonné, ak sa vykonáva na ochranu života dotknutej osoby alebo záujmov inej fyzickej osoby uvedenej vyššie. S odvolaním sa na životne dôležité záujmy iných fyzických osôb sa osobné údaje môžu spracúvať v zásade len vtedy, ak predmetné spracúvanie údajov nemožno vykonávať na inom právnom základe.

 Niektoré druhy spracúvania osobných údajov môžu slúžiť súčasne dôležitým verejným záujmom a životne dôležitým záujmom dotknutej osoby, napríklad v prípadoch, keď sa spracúvanie údajov vyžaduje z humanitárnych dôvodov vrátane monitorovania epidémií a ich šírenia, alebo v prípade humanitárnej núdze, najmä v prípade prírodných katastrof alebo katastrof spôsobených ľudskou činnosťou. 

Právny základ pre správu údajov môže vytvoriť správca údajov – vrátane správcu údajov, ktorému môžu byť osobné údaje poskytnuté – alebo oprávnený záujem tretej strany. O takomto oprávnenom záujme možno hovoriť napríklad vtedy, keď medzi dotknutou osobou a prevádzkovateľom údajov existuje relevantný a primeraný vzťah, napríklad v prípadoch, keď je dotknutá osoba klientom prevádzkovateľa alebo je ním zamestnanec.

Za oprávnený záujem dotknutého prevádzkovateľa sa považuje aj absolútne nevyhnutné spracúvanie osobných údajov na účely predchádzania podvodom. Spracúvanie osobných údajov na priame obchodné účely sa považuje aj za spracovanie založené na oprávnenom záujme.

Na preukázanie existencie oprávneného záujmu je okrem iného potrebné dôkladne preskúmať, či dotknutá osoba môže v čase a v súvislosti so získavaním osobných údajov odôvodnene očakávať, že k spracúvaniu údajov môže dochádzať na daný účel. Záujmy a základné práva dotknutej osoby môžu mať prednosť pred záujmami prevádzkovateľa, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby nepredpokladajú ďalšie spracúvanie údajov.

Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov, a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov orgánmi verejnej moci, jednotkami reakcie na núdzové počítačové situácie, jednotkami pre riešenie počítačových incidentov, poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov.

Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, je umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov.

Spracúvanie osobných údajov orgánmi verejnej moci na účel dosiahnutia cieľov oficiálne uznaných náboženských organizácií, pričom ide o ciele stanovené ústavným právom alebo medzinárodným právom verejným, a považuje za verejný záujem.

Súhlas dotknutej osoby, podmienky

  • Ak je spracúvanie založené na súhlase, prevádzkovateľ musí byť schopný preukázať, že dotknutá osoba dala súhlas so spracúvaním svojich osobných údajov.
  • Ak dotknutá osoba udelí svoj súhlas v písomnom vyhlásení, ktoré sa týka aj iných záležitostí, žiadosť o súhlas sa musí oznámiť spôsobom, ktorý je jasne odlíšiteľný od týchto iných záležitostí.
  • Dotknutá osoba má právo svoj súhlas kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracovania založeného na súhlase pred jeho odvolaním. Dotknutá osoba musí byť pred udelením súhlasu informovaná. Odvolanie súhlasu sa umožňuje rovnako jednoduchým spôsobom ako jeho udelenie.
  • Pri určovaní, či je súhlas dobrovoľný, by sa malo okrem iného v čo najväčšej miere prihliadať na skutočnosť, či bol súhlas so spracúvaním osobných údajov, ktoré nie sú nevyhnutné na plnenie zmluvy vrátane poskytovania služieb, podmienený plnením zmluvy.
  • Spracúvanie osobných údajov v súvislosti so službami informačnej spoločnosti ponúkanými priamo deťom je zákonné, ak má dieťa aspoň 16 rokov. V prípade detí mladších ako 16 rokov je spracúvanie osobných údajov detí zákonné len vtedy a v takom rozsahu, v akom bol udelený súhlas alebo povolenie osoby, ktorá má rodičovské práva a povinnosti k dieťaťu.

Osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch a fyzické alebo právnické osoby alebo subjekty, ktorých sa zakazuje spracúvanie genetických údajov alebo biometrických údajov odhaľujúcich totožnosť fyzických osôb, údajov o zdravotnom stave a osobných údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzických osôb, pokiaľ dotknutá osoba nedala výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero konkrétnych účelov.

Spracúvanie osobných údajov týkajúcich sa rozhodnutí o trestnej zodpovednosti a trestných činoch a súvisiacich bezpečnostných opatrení sa môže vykonávať len vtedy, ak ich spracúva orgán verejnej moci.

Spracúvanie osobných údajov bez potreby identifikácie

Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad so zákonom o ochrane osobných údajov.

Ak v týchto prípadoch prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné.

Práva dotknutej osoby

Zásada spravodlivého a transparentného spracúvania si vyžaduje, aby bola dotknutá osoba informovaná o skutočnosti a účeloch spracúvania.

Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba musí byť informovaná o povinnosti poskytnúť osobné údaje a o dôsledkoch neposkytnutia údajov. Tieto informácie môžu byť doplnené aj štandardizovanými ikonami, aby sa dotknutej osobe poskytli všeobecné informácie o plánovanom spracúvaní vo viditeľnej, ľahko zrozumiteľnej a jasne čitateľnej forme.

Informácie týkajúce sa spracúvania osobných údajov, ktoré sa týkajú dotknutej osoby, sa musia dotknutej osobe poskytnúť v čase zhromažďovania údajov, alebo ak boli údaje zhromaždené z iného zdroja ako od dotknutej osoby, v primeranej lehote s prihliadnutím na okolnosti prípadu.

Dotknutá osoba má právo na prístup k údajom, ktoré sa jej týkajú, a právo jednoducho a v primeraných intervaloch vykonávať toto právo s cieľom zistiť a overiť zákonnosť spracovania. Každá dotknutá osoba by mala mať právo byť informovaná najmä o účeloch spracúvania osobných údajov a, ak je to možné, o období, počas ktorého sa osobné údaje spracúvajú.

Dotknutá osoba má právo najmä na vymazanie svojich osobných údajov a na to, aby sa ďalej nespracovávali, ak zhromažďovanie alebo iné spracúvanie osobných údajov už nie je potrebné v súvislosti s pôvodnými účelmi spracúvania alebo ak dotknutá osoba odvolala svoj súhlas so spracúvaním údajov.

Ak sa spracúvanie osobných údajov vykonáva na účely priameho marketingu, dotknutá osoba by mala mať právo kedykoľvek bezplatne namietať proti spracúvaniu osobných údajov, ktoré sa jej týkajú, na takéto účely.

Preskúmanie osobných údajov

S cieľom zabezpečiť, aby sa uchovávanie osobných údajov obmedzilo na nevyhnutnú dobu, prevádzkovateľ stanoví lehoty na vymazanie alebo pravidelnú kontrolu.

Pravidelné preskúmanie stanovené vedením organizácie: 1 rok.

Úlohy prevádzkovateľa 

Prevádzkovateľ uplatňuje vhodné interné pravidlá ochrany údajov s cieľom zabezpečiť zákonné spracúvanie. Tieto pravidlá sa vzťahujú na právomoci a povinnosti prevádzkovateľa. 

Prevádzkovateľ je povinný zaviesť vhodné a účinné opatrenia a byť schopný preukázať, že činnosti spracovania sú v súlade s platnými právnymi predpismi.

Takéto nariadenie by malo zohľadňovať povahu, rozsah, kontext a účely spracúvania a riziko pre práva a slobody fyzických osôb.

Prevádzkovateľ údajov zavedie vhodné technické a organizačné opatrenia, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a rôzne stupne rizika pre práva a slobody fyzických osôb, ktoré sa líšia pravdepodobnosťou a závažnosťou. Na základe týchto pravidiel preskúma a v prípade potreby aktualizuje ostatné vnútorné predpisy.

Prevádzkovateľ alebo sprostredkovateľ vedie primerané záznamy o spracovateľských činnostiach vykonávaných na základe svojej právomoci. Každý prevádzkovateľ a sprostredkovateľ spolupracuje s dozorným orgánom a na požiadanie mu tieto záznamy sprístupní, aby mohol monitorovať príslušné spracovateľské operácie.

Práva v súvislosti so spracúvaním osobných údajov

Právo na prístup k svojim osobným údajom

Každá osoba môže prostredníctvom uvedených kontaktných údajov požiadať o informácie o tom, aké údaje organizácia spracúva, na akom právnom základe, na aký účel, z akého zdroja a ako dlho. Žiadosť bude zaslaná na uvedené kontaktné údaje bez zbytočného odkladu, najneskôr do 30 dní.

Právo na opravu osobných údajov

Každá osoba môže požiadať o zmenu akýchkoľvek svojich údajov prostredníctvom uvedených kontaktných údajov. Takáto žiadosť sa vybaví bezodkladne, najneskôr do 30 dní, a informácie sa zašlú na poskytnuté kontaktné údaje.

Právo na výmaz osobných údajov

Každá osoba môže požiadať o vymazanie svojich údajov prostredníctvom uvedených kontaktných údajov. Na základe žiadosti sa tak musí stať bez zbytočného odkladu, najneskôr do 30 dní, a informácie sa musia zaslať na uvedené kontaktné údaje.

Právo na obmedzenie spracúvania

Každá osoba môže požiadať o obmedzenie svojich údajov prostredníctvom uvedených kontaktných údajov. Obmedzenie bude trvať tak dlho, kým bude z uvedeného dôvodu potrebné údaje uchovávať. Na základe žiadosti sa to musí vykonať bezodkladne, najneskôr do 30 dní, a informácie sa musia zaslať na uvedené kontaktné údaje.

Právo namietať

Každá osoba môže vzniesť námietku proti spracovaniu osobných údajov prostredníctvom uvedených kontaktných údajov. Námietka sa preskúma a rozhodnutie o jej opodstatnenosti sa prijme v čo najkratšom čase odo dňa podania žiadosti, najneskôr však do 15 dní, a informácia o rozhodnutí sa zašle na poskytnuté kontaktné údaje.

Možnosti presadzovania práva v súvislosti so spracovaním údajov

Nemzeti Adatvédelmi és Információszabadság Hatóság

Poštová adresa: 1530 Budapest, Pf.: 5.

Adresa: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefón: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (zavináč) naih.hu
URL https://naih.hu
Súradnice: É 47°30’56”; K 18°59’57” 

V prípade porušenia práv dotknutej osoby sa môže dotknutá osoba obrátiť na súd. Súd rozhodne vo veci bez návrhu. Dotknutá osoba môže podľa vlastného výberu podať žalobu na príslušný súd v mieste svojho bydliska alebo sídla.

Adresát, príjemcovia:         

Údaje spracúvané v rámci poskytovania našich služieb sú spravované systémom CRM našej spoločnosti. Spoločnosť MiniCRM Zrt. ukladá a spravuje údaje v systéme správy prípadov MiniCRM ako spracovateľ údajov. 

Spracovanie údajov, integrovaný systém správy (MiniCRM): MiniCRM Zrt.

Adresa: 1075 Budapest, Madách Imre út 13-14.

Telefón: +36 1 999 0402

E-mailová adresa: help@minicrm.hu

Úlohy organizácie na zabezpečenie primeranej ochrany údajov 

Informovanosť o ochrane údajov. Zabezpečenie odbornej spôsobilosti na dodržiavanie právnych predpisov. Školenie zamestnancov a ich informovanosť o pravidlách sú nevyhnutné.

Mal by sa preskúmať účel spracúvania údajov, kritériá a koncepcia spracúvania osobných údajov. Zabezpečte zákonné spracovanie a spracovanie v súlade s politikou ochrany a správy údajov. 

Správne informácie o dotknutej osobe. Pozornosť by sa mala venovať skutočnosti, že ak sa spracúvanie zakladá na súhlase dotknutej osoby, prevádzkovateľ musí v prípade pochybností preukázať, že dotknutá osoba dala svoj súhlas.

Informácie poskytované dotknutej osobe musia byť stručné, ľahko dostupné a zrozumiteľné, a preto musia byť vypracované a prezentované jasným a jednoduchým jazykom.

Transparentné spracúvanie si vyžaduje, aby bola dotknutá osoba informovaná o skutočnosti a účeloch spracúvania. Informácie musia byť poskytnuté pred začatím spracúvania a právo byť informovaný počas spracúvania až do jeho ukončenia.

Hlavné práva dotknutej osoby sú:

  • prístup k osobným údajom, ktoré sa ho týkajú;
  • oprava osobných údajov;
  • vymazanie osobných údajov;
  • obmedzenia spracovania osobných údajov;
  • namietať proti profilovaniu a automatizovanému spracovaniu;
  • právo na prenosnosť údajov.

Prevádzkovateľ informuje dotknutú osobu bez zbytočného odkladu a najneskôr do jedného mesiaca od prijatia žiadosti. Ak je to potrebné, vzhľadom na zložitosť žiadosti a počet žiadostí sa táto lehota môže predĺžiť o ďalšie dva mesiace. Povinnosť poskytnúť informácie možno zabezpečiť prevádzkovaním bezpečného online systému, prostredníctvom ktorého má dotknutá osoba jednoduchý a rýchly prístup k potrebným informáciám.

Mali by sa preskúmať postupy organizácie v oblasti správy údajov a malo by sa zabezpečiť právo na sebaurčenie informácií. Na žiadosť dotknutej osoby sa údaje bezodkladne vymažú, ak dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonávalo.

 V súhlase dotknutej osoby musí byť jednoznačne uvedené, že dotknutá osoba súhlasí so spracovaním. Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal v prípade pochybností preukázať, že dotknutá osoba súhlasila so spracovateľskou operáciou.

Pri spracúvaní osobných údajov detí by sa mala venovať osobitná pozornosť dodržiavaniu pravidiel spracúvania údajov. Spracúvanie osobných údajov v súvislosti so službami informačnej spoločnosti ponúkanými priamo deťom je zákonné, ak má dieťa aspoň 16 rokov. V prípade detí mladších ako 16 rokov je spracúvanie osobných údajov detí zákonné len vtedy a v takom rozsahu, v akom bol udelený súhlas alebo povolenie osoby, ktorá má rodičovské práva a povinnosti k dieťaťu.

V prípade nezákonného spracovania alebo spracúvania osobných údajov je potrebné informovať dozorný orgán. Prevádzkovateľ musí oznámenie dozornému orgánu podať bez zbytočného odkladu, a ak je to možné, najneskôr do 72 hodín od zistenia porušenia ochrany osobných údajov, pokiaľ nie je pravdepodobné, že porušenie ochrany osobných údajov predstavuje riziko pre práva fyzickej osoby. 

V určitých prípadoch môže byť vhodné, aby prevádzkovateľ pred spracovaním vykonal posúdenie vplyvu na ochranu údajov. V posúdení vplyvu by sa mal posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov. Ak z posúdenia vplyvu na ochranu údajov vyplynie, že spracúvanie pravdepodobne predstavuje vysoké riziko, prevádzkovateľ by sa mal pred spracúvaním osobných údajov poradiť s dozorným orgánom.

V prípadoch, keď hlavné činnosti zahŕňajú spracovateľské operácie, ktoré si svojou povahou, rozsahom alebo účelom vyžadujú systematické a rozsiahle monitorovanie dotknutých osôb, by sa mala vymenovať zodpovedná osoba pre ochranu údajov. Vymenovanie zodpovednej osoby pre ochranu údajov by malo byť zamerané na posilnenie bezpečnosti údajov.

Zabezpečenie údajov

Musia sa prijať najmä vhodné opatrenia na ochranu údajov pred neoprávneným prístupom, zmenou, zverejnením, prezradením, vymazaním alebo zničením, náhodným zničením alebo náhodným poškodením a pred nedostupnosťou v dôsledku zmien v používanej technológii.

S cieľom chrániť súbory údajov spravované elektronicky v registroch by sa mali zaviesť vhodné technické opatrenia na zabezpečenie toho, aby údaje uložené v registroch nebolo možné priamo prepojiť a priradiť k subjektu údajov.

Pri navrhovaní a implementácii zabezpečenia údajov je potrebné zohľadniť súčasný stav techniky. Spomedzi viacerých možných riešení spracovania údajov by sa malo vybrať to, ktoré zabezpečuje vyššiu úroveň ochrany osobných údajov, pokiaľ by to pre prevádzkovateľa nepredstavovalo neprimeranú záťaž.

Zodpovedná osoba pre ochranu údajov

Vymenovanie zodpovednej osoby pre ochranu údajov je povinné na základe týchto kritérií:

  • spracúvanie vykonávajú orgány verejnej moci alebo iné orgány s verejnoprávnym poslaním, s výnimkou súdov konajúcich v rámci svojej súdnej právomoci;
  • hlavné činnosti prevádzkovateľa alebo sprostredkovateľa zahŕňajú spracovateľské operácie, ktoré si svojou povahou, rozsahom alebo účelom vyžadujú systematické a rozsiahle monitorovanie dotknutých osôb;
  • hlavné činnosti prevádzkovateľa alebo sprostredkovateľa sa týkajú spracúvania veľkého množstva osobných údajov súvisiacich s rozhodovaním o trestnej zodpovednosti a trestných činoch.

Ak je vymenovanie zodpovednej osoby pre ochranu údajov povinné, platia tieto pravidlá:

Zodpovedná osoba za ochranu údajov sa vymenúva na základe odbornej spôsobilosti, najmä odborných znalostí práva a praxe v oblasti ochrany údajov, ako aj schopnosti vykonávať spracúvanie osobných údajov.

Zodpovedná osoba za ochranu údajov môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, ale svoje úlohy môže vykonávať aj na základe zmluvy o poskytovaní služieb.

Prevádzkovateľ alebo sprostredkovateľ musí zverejniť meno a kontaktné údaje zodpovednej osoby pre ochranu údajov a oznámiť ich dozornému orgánu.

Postavenie zodpovednej osoby pre ochranu údajov

Prevádzkovateľ musí zabezpečiť, aby sa zodpovedná osoba pre ochranu údajov primeraným spôsobom a včas zapojila do všetkých záležitostí týkajúcich sa ochrany osobných údajov. Zabezpečiť, aby boli k dispozícii potrebné zdroje na udržanie úrovne odborných znalostí zodpovednej osoby pre ochranu údajov.

Zodpovedná osoba za ochranu údajov nesmie v súvislosti s výkonom svojich povinností prijímať pokyny od nikoho. Prevádzkovateľ alebo sprostredkovateľ nesmie zodpovednú osobu v súvislosti s výkonom jeho povinností odvolať alebo sankcionovať. Zodpovedná osoba je priamo zodpovedná vrcholovému manažmentu prevádzkovateľa alebo sprostredkovateľa.

 

Dotknuté osoby sa môžu obrátiť na zodpovednú osobu pre ochranu údajov vo všetkých záležitostiach týkajúcich sa spracovania ich osobných údajov a uplatňovania ich práv. 

Zodpovedná osoba za ochranu údajov je pri výkone svojich povinností viazaná povinnosťou mlčanlivosti alebo ochrany údajov. 

Zodpovedná osoba pre ochranu údajov môže vykonávať aj iné úlohy, ale v súvislosti s týmito úlohami by nemalo dochádzať ku konfliktu záujmov.

Úlohy zodpovednej osoby za ochranu údajov

  • Poskytovať informácie a odborné poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom vykonávajúcim spracúvanie;
  • monitorovať dodržiavanie vnútorných pravidiel prevádzkovateľa alebo sprostredkovateľa týkajúcich sa ochrany osobných údajov;
  • na požiadanie poskytuje technické poradenstvo týkajúce sa posúdenia vplyvu na ochranu údajov a monitoruje vykonávanie posúdenia vplyvu;
  • spolupracovať s dozorným orgánom.

Porušenie ochrany osobných údajov

Porušenie bezpečnosti údajov je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému zverejneniu alebo prístupu k prenášaným, uchovávaným alebo inak spracúvaným osobným údajom.

Porušenie ochrany osobných údajov môže fyzickým osobám spôsobiť fyzickú, materiálnu alebo nemateriálnu ujmu vrátane straty kontroly nad ich osobnými údajmi alebo obmedzenia ich práv, diskriminácie, krádeže identity alebo zneužitia ich identity, ak sa nerieši vhodným a včasným spôsobom.

Porušenie ochrany osobných údajov sa musí oznámiť príslušnému dozornému orgánu bez zbytočného odkladu a najneskôr do 72 hodín, pokiaľ sa v súlade so zásadou zodpovednosti nepreukáže, že porušenie ochrany osobných údajov pravdepodobne nepredstavuje riziko pre práva a slobody fyzických osôb. 

Dotknutá osoba musí byť bezodkladne informovaná, ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať za následok vysoké riziko pre práva a slobody fyzickej osoby, aby mohla prijať potrebné preventívne opatrenia.

Spracovanie na administratívne účely a vedenie záznamov

Organizácia môže spracúvať osobné údaje aj v súvislosti so svojimi činnosťami a na administratívne a evidenčné účely.

Spracovanie je založené na slobodne danom a výslovnom súhlase dotknutej osoby, ktorý vychádza z príslušných informácií. Po podrobnom informovaní vrátane účelov, právneho základu a trvania spracovania a práv dotknutej osoby musí byť dotknutá osoba upozornená na dobrovoľný charakter spracovania. Súhlas so spracovaním sa zaznamená písomne.

Spracovanie údajov na administratívne účely a účely vedenia záznamov slúži na tieto účely:

  • spracúvanie údajov členov a zamestnancov organizácie na základe zákonnej povinnosti;
  • spracúvanie údajov osôb, ktoré sú v zmluvnom vzťahu s organizáciou, na účely kontaktu, účtovníctva a vedenia záznamov;
  • kontaktné údaje iných organizácií, inštitúcií a podnikov obchodujúcich s organizáciou, ktoré môžu zahŕňať kontaktné údaje a identifikačné údaje fyzických osôb;

Spracovanie údajov, ako je uvedené vyššie, je na jednej strane založené na zákonnej povinnosti a na druhej strane dotknutá osoba udelila svoj výslovný súhlas so spracovaním svojich údajov (napr. na účely pracovnej zmluvy alebo pri registrácii ako partner na webovej stránke atď.)

V prípade písomných dokumentov (ako sú životopisy, žiadosti o zamestnanie, iné podania atď.), ktoré obsahujú osobné údaje, sa musí predpokladať súhlas dotknutej osoby. Po uzavretí prípadu by sa dokumenty mali zničiť, ak neexistuje súhlas na ich ďalšie použitie. Skutočnosť zničenia sa zaznamená v správe.

V prípade spracúvania na administratívne účely sa osobné údaje uvádzajú len v spisoch a záznamoch o prípade. Spracúvanie týchto údajov trvá až do likvidácie dokumentu, na základe ktorého sa spracúvanie vykonáva.

Spracúvanie na administratívne účely a na účely vedenia záznamov by sa malo každoročne preskúmať s cieľom zabezpečiť, aby sa uchovávanie osobných údajov obmedzilo na nevyhnutné obdobie, a nepresné osobné údaje by sa mali bezodkladne vymazať.

Súlad so zákonom sa musí zabezpečiť aj pri spracúvaní na administratívne účely a na účely vedenia záznamov.

Spracovanie osobných údajov na iné účely

Ak chce organizácia vykonávať spracúvanie, na ktoré sa nevzťahujú tieto zásady, musí najprv zodpovedajúcim spôsobom zmeniť tieto vnútorné pravidlá alebo pridať čiastkové pravidlá vhodné pre nový účel spracúvania.

Ostatné dokumenty súvisiace s nariadením

Dokumenty a zásady, ktoré obsahujú napríklad písomné vyhlásenie o súhlase so spracovaním údajov alebo v prípade webových stránok povinné oznámenie o ochrane osobných údajov, by mali byť prepojené a spravované spolu so zásadami ochrany súkromia a údajov.

Legislatíva

  • NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 95/46/ES (všeobecné nariadenie o ochrane údajov).
  • Zákon č. CXII z roku 2011 o informačnom sebaurčení a slobode informácií.
  • Zákon č. LXVI z roku 1995 o verejných záznamoch, verejných archívoch a ochrane súkromných archívnych materiálov.
  • Nariadenie vlády č. 335/2005 (XII. 29.) o základných požiadavkách na správu registratúry orgánov s verejnými úlohami.
  • Zákon č. CVIII z roku 2001 o určitých otázkach služieb v oblasti elektronického obchodu a služieb informačnej spoločnosti.
  • Zákon č. C z roku 2003 o elektronických komunikáciách.