Vyhlásenie o spracovaní osobných údajov

vypracované v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov
(ďalej len „nariadenie“) v spojení́ so zákonom č. 18/2018 Z. z. o ochrane osobných údajov
(ďalej len „zákon“)

Helena Kohútová s.r.o.,
so sídlom Tomášikova 50c, 831 04 Bratislava- Nové Mesto, IČO: 46 879 978

Článok I
Preambula

Vyhlásenie o spracovaní osobných údajov je vypracované v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov v spojení so zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej aj ako „memorandum“).
Navrhnutá́ ochrana osobných údajov obsiahnutá vo vyhlásení vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na spracovanie osobných údajov prevádzkovateľom z hľadiska narušenia ich bezpečnosti, spoľahlivosti a funkčnosti.
Hlavným cieľom prijatia vyhlásenia je úprava spracovania ochrany a nakladania s osobnými údajmi pri činnostiach spoločnosti Helena Kohútová s.r.o., so sídlom Tomášikova 50c, 831 04 Bratislava- Nové Mesto, IČO: 46 879 978, zapísaná v Obchodnom registri Okresného súdu Bratislava I, odd. Sro, vl. č. 85399/B (ďalej aj ako „prevádzkovateľ“).

Článok II
Výklad pojmov
1. Na účely vyhlásenia je nevyhnutné vymedziť nasledovné pojmy:
·       cookies - predstavujú textové (dátové) súbory obsahujúce malé́ množstvo informácií (dát), ktoré sa pri návšteve webových stránok ukladajú do užívateľovho počítača, mobilného telefónu a/alebo iného zariadenia. Pri každej ďalšej návšteve webových stránok sú súbory cookies odosielané späť na webové stránky a/alebo iné stránky, ktoré súbory cookies rozpoznajú a umožnia tak webovým stránkam rozpoznať počítač, mobilný telefón a/alebo iné zariadenie dotknutej osoby;
·       hash - predstavuje digitálny otlačok konkrétneho správania užívateľa internetovej stránky, ktorý je obsiahnutý v cookies;
·       osobné údaje – predstavujú́ údaje, ktoré́ sú́ bližšie špecifikované́ v Článku VI tohto vyhlásenia;
·       príjemca - sa rozumie každý́, komu sa osobné údaje poskytnú́ bez ohľadu na to, či je tretou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná́, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný́ účel spracúvania osobných údajov;
·       spracúvanie osobných údajov - predstavuje spracovateľskú́ operáciu alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami
·       prevádzkovateľ - každý́, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná́, ak takýto predpis alebo tato zmluva ustanovuje účel a prostriedky spracúvania osobných údajov;
·       oprávnená osoba - predstavuje zamestnanca prevádzkovateľa, ktorý́ pri výkone svojej pracovnej činnosti nakladá́ s osobnými údajmi dotknutých osôb (ďalej len „oprávnená́ osoba“)
·       dotknutá́ osoba - každá́ fyzická́ osoba, ktorej osobné údaje sa spracúvajú́;
·       sprostredkovateľ - každý́, kto spracúva osobné údaje v mene prevádzkovateľa
·       tretou stranou - každý́, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo inou fyzickou osobou, ktorá́ na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje;
·       tretia krajina – každá́ krajina v rámci členských štátov Európskej únie mimo, Lichtenštajnska, Islandu;
·       online identifikátor - online identifikátorom sa rozumie identifikátor poskytnutý́ aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná́ identifikácia, ktoré́ môžu zanechávať stopy, ktoré́ sa najmä̈ v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu;
·       užívateľ webovej stránky - fyzická́ osoba, ktorá́ navštevuje webovú́ stránku prevádzkovateľa;
·       webová́ stránka prevádzkovateľa - www.helenakohutova.com.;

Článok III
Zásady spracovania osobných údajov
Zásada zákonnosti:
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
Zásada minimalizácie osobných údajov:
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú́.
Zásada správnosti:
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré́ sú́ nesprávne z hľadiska účelov, na ktoré́ sa spracúvajú́, bez zbytočného odkladu vymazali alebo opravili.
Zásada minimalizácie uchovávania:
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú́. Osobné údaje sa môžu uchovávať dlhšie, ak sa majú́ spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú́ dodŕžané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8 zákona.
Zásada integrity a dôvernosti:
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú́ bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
Zásada zodpovednosti:
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

Článok IV
Všeobecné povinnosti
1.     Osobné údaje musia byť adekvátne zabezpečené́ vo všetkých prípadoch, kedy sa s nimi v organizácii nakladá́.
2.     Prevádzkovateľ je oprávnený nakladať s osobnými údajmi len za predpokladu, že je to na výkon jeho pracovných činností nevyhnutné a zároveň je to v súlade so zásadami spracovania osobných údajov stanovených v zmysle zákona.
3.     Prevádzkovateľ je povinný zachovávať mlčanlivosť osobných údajoch, s ktorými prichádza do styku pri ich spracovaní.
4.     Prevádzkovateľ je oprávnený nakladať len s takými osobnými údajmi, ktoré́ sú́ nevyhnutné na výkon jeho pracovnej činností a/alebo na plnenie povinnosti vyplývajúcich mu zo zákona.
5.     Prevádzkovateľ je oprávnený vykonávať len tie operácie s osobnými údajmi, ktoré sú́ nevyhnutné na výkon jeho pracovných činností alebo činností vyplývajúcej z poverenia prevádzkovateľa a/alebo na plnenie povinnosti vyplývajúcich mu zo zákona.
6.     Prevádzkovateľ nie je oprávnený získavať informácie tykajúce sa osobných údajov dotknutej osoby nad rámec jeho pracovnej činností a/alebo nad rámec zákonnej úpravy tykajúcej sa spracovania osobných údajov.
7.     Prevádzkovateľ je povinný dbať o to, aby pri výkone jeho pracovných činností nedošlo k úniku spracúvaných osobných údajov dotknutých osôb a/alebo k narušeniu bezpečnosti spracovateľských operácií.

Článok V
Zákonnosť spracovania osobných údajov
1.     Prevádzkovateľ spracúva osobné údaje na základe vopred udeleného súhlasu dotknutej osoby; prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá́ osoba poskytla súhlas so spracúvaním svojich osobných údajov.
2.     Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú́ osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
3.     Spracúvanie osobných údajov je zákonné́ aj v tom prípade, ak je spracovanie osobných údajov nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá́ osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby.
4.     Zákonnosť spracúvania osobných údajov prevádzkovateľom je zachovaná́ v zmysle zákona aj v tom prípade, ak je spracovanie osobných údajov nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
5.     Prevádzkovateľ je oprávnený na spracúvanie osobných údajov v prípade keď to je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby.
6.     Zásada zákonnosti spracúvania osobných údajov prevádzkovateľom je splnená́ aj vtedy, ak je spracovanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom zaujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
7.     Spracúvanie osobných údajov prevádzkovateľom je zákonné aj prípade, ak je spracovanie osobných údajov nevyhnutné na účeloprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú́ záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov organmi verejnej moci pri plnení ich úloh.

Článok VI
Rozsah spracovania osobných údajov
1. Prevádzkovateľ spracováva o dotknutej osobe nasledovné osobné údaje:
Identifikačné́ údaje
Údaje slúžiace najmä k identifikácii dotknutej osoby, spravidla najmä :akademicky titul, meno a priezvisko, dátum narodenia, identifikačné číslo osoby ak je pridelené, zamestnanie;
Kontaktné údaje
Údaje slúžiace na kontaktovanie a komunikovanie s dotknutou osobou, a to v rozsahu: telefónne číslo, e – mailová́ adresa, adresa trvalého pobytu, prechodného pobytu resp. inej adresy na kontaktovanie dotknutej osoby;
Bezpečnostné (overovacie) údaje
Údaje slúžiace k bezpečnostnému overeniu (verifikácií) identity dotknutej osoby, a to najmä prihlasovacie údaje, a to výlučneprihlasovacie meno a heslo (to výlučne v prípade registrovaných užívateľov webových stránok prevádzkovateľa), evidenčné číslo vozidla (výlučne v prípade dotknutých osôb, ktoré využívajú́ parkovacie plochy a parkoviská prevádzkovateľa)
Platobné údaje
Údaje slúžiace k identifikácií a zrealizovaní́ platieb, a to v rozsahu: IBAN, číslo bankového účtu, bankové spojenie, SWIFT, informácie o platobnej karte a/alebo o inom platobnom prostriedku (napr. PayPal, Stripe, Comgate);
Audiovizuálne údaje
Údaje zachytené formou audiovizuálneho záznamu, a to najmä fotografie a kamerové́ záznamy; Adresa IP
Je logický číselný identifikátor daného uzla (najčastejšie počítača) v sieti, ktorý komunikuje s inými uzlami prostredníctvom protokolu IP (napríklad Internet);
Cookies
Textové́ (dátové́) súbory obsahujúce malé množstvo informácií (dát), ktoré́ sa pri návšteve webových stránok ukladajú́ do užívateľovho počítača, mobilného telefónu a/alebo iného zariadenia. Pri každej ďalšej návšteve webových stránok sú́ súbory cookies odosielané späťna webové́ stránky a/alebo iné́ stránky, ktoré́ súbory cookies rozpoznajú́ a umožnia tak webovým stránkam rozpoznať̌ počítač, mobilný telefón a/alebo iné́ zariadenie dotknutej osoby
Hash
Údaje obsiahnuté́ v cookies ohľadom chovania dotknutej osoby na internetových stránkach prevádzkovateľa

Článok VII
Spracovanie osobitných kategórií osobných údajov
1.     Prevádzkovateľ berie na vedomie, že spracovanie osobitných kategórií osobných údajov sa zakazuje.
2.     Zákaz spracúvania osobitných kategórií osobných údajov v zmysle bod 1. tohto článku memoranda neplatí, ak:
a) dotknutá́ osoba vyjadrila výslovný́ súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný́ predpis,
b) spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného pravá, pravá sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú́ primerané záruky ochrany základných práv a záujmov dotknutej osoby,
c) spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
d) spracúvanie vykonáva v rámci oprávnenej činností občianske združenie, nadácia alebo nezisková́ organizácia poskytujúca všeobecne prospešné služby, politická́ strana alebo politické́ hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa tyká iba ich členov alebo tých fyzických osôb, ktoré́ sú́ s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú́ potrebu a nebudú́ poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa tyká osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f) spracúvanie je nevyhnutné na uplatnenie právneho nároku, alebo pri výkone súdnej právomoci,
g) spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré́ sú primerané vzhľadom na sledovaný cieľ, rešpektujú́ podstatu práva na ochranu osobných údajov a ustanovujú́ vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
h) spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohlaď nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená́ osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činností, a povinnosťou dodržiavať̌ zásady profesijnej etiky,
i) spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j) spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,
k) spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná́, ktoré́ sú́ primerané vzhľadom na sledovaný cieľ, rešpektujú́ podstatu pravá na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

Článok VIII
Uchovávanie osobných údajov
1.     Osobné údaje dotknutej osoby sú́ u prevádzkovateľa uložené a zálohované́ vo vlastnej databáze s externým úložiskom.
2.     Do databázy sa prevádzkovateľ dostane prostredníctvom individuálneho softvéru, ktorý je prístupný́ na firemnom počítači na to určenom.
3.     Prevádzkovateľom určená oprávnená osoba má svoje prístupové meno a heslo potrebné na prístup do softvéru prevádzkovateľa, pričom jej databáza poskytne len osobné údaje dotknutých osôb v rozsahu jej pracovnej činností alebo poverenia.
4.     Pokiaľ by oprávnená osoba potrebovala prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v databáze, je povinná žiadať od prevádzkovateľa individuálny písomný súhlas na získanie týchto údajov na základe žiadosti.
5.     Písomný súhlas udeľuje prevádzkovateľ na žiadosť oprávnenej osoby, a to len v rozsahu potrebnom na splnenie účelu oprávnenej osoby.
6.     Oprávnená osoba následne predloží písomný súhlas vedúcemu IT oddelenia, ktorý jej poskytne osobné údaje len v rozsahu súhlasu, ktorý udelil prevádzkovateľ.
7.     Oprávnená osoba nie je oprávnená získané osobné údaje poskytovať iným osobám.
8.     Oprávnená osoba nie je oprávnená poskytovať svoje prístupové údaje do softvéru prevádzkovateľa iným osobám.
9.     Oprávnená osoba nie je oprávnená používať softvér prevádzkovateľa pre vlastné potreby.

Článok IX
Povinnosti prevádzkovateľa
1.     Povinnosti prevádzkovateľa je potrebné v danom prípade identifikovať v nadväznosti na fakt, či osobné údaje boli získané na základe súhlasu dotknutej osoby (podľa § 13 ods. 1. písm. a) zákona) alebo na základe iného právneho predpokladu vyplývajúceho zo zákona (podľa § 13 ods. 1 písm. b) až f) zákona). V prípade spracovania osobných údajov na základe súhlasu dotknutej osoby je prevádzkovateľ povinný okrem účelu a rozsahu spracovávaných údajov uviesť okrem iného aj poučenie o právach dotknutej osoby.
2.     V prípade spracúvania osobných údajov dotknutej osoby na základe iného právneho predpokladu vyplývajúceho zo zákona (podľa § 13 ods. 1 písm. b) až f) zákona) je prevádzkovateľ povinný́ poučiť dotknutú́ osobu o jej právach dotknutej osoby.
3.     Prevádzkovateľ berie na vedomie, že v zmysle zákona je povinný prijať vhodné opatrenia a poskytnúť dotknutej osobe informácie a jej právach spojených so spracúvaním osobných údajov, a to najmä o nasledovných právach:
a.     právo na poskytnutie informácií zo strany prevádzkovateľa v prípade, ak sú osobné údaje získané́ od dotknutej osoby;
b.     právo na poskytnutie informácií zo strany prevádzkovateľa v prípade, ak nie sú osobné údaje získané́ od dotknutej osoby;
c.      právo na prístup k osobným údajom;
d.     právo na opravu osobných údajov;
e.     právo na výmaz osobných údajov;
f.      právo na obmedzenie spracúvania osobných údajov, v rámci ktorého je potrebné aspoň̌ opisným spôsobom určiť spracúvania osobných údajov;
g.     právo na prenosnosť̌ osobných údajov;
h.     právo na namietanie spracúvania osobných údajov.
4.     Pri uplatňovaní́ vyššie uvedených práv je prevádzkovateľ povinný dotknutej osobe bezodplatne poskytnúť všetku potrebnú́ súčinnosť. Rovnako je prevádzkovateľ povinný poskytnúť bezodplatne dotknutej osobe do 1 mesiaca informácie o prijatých opatreniach v nadväznosti na uplatnenie práv dotknutej osoby v zmysle zákona, pokiaľ zo zákona alebo ostatných všeobecne záväzných právnych predpisov nevyplýva inak.

Článok X
Ochrana osobných údajov
1.     Prevádzkovateľ vyhlasuje, že všetky pracovné počítače oprávnených osôb sú zabezpečené́ prístupovým heslom.
2.     Po ukončení práce s počítačom musia oprávnené osoby dbať na to, aby boli odhlásené́ zo systému prevádzkovateľa, aby nedošlo k narušeniu bezpečnosti osobných údajov neoprávnenými osobami.
3.     Oprávnené osoby musia dbať na to, aby boli všetky spisy a písomnosti, v ktorých sa nachádzajú́ osobné údaje, po opustení pracoviska uložené v uzamykateľných skrinkách nachádzajúcich sa na ich pracovisku.
4.     Oprávnené osoby musia dbať na to, aby boli kancelárie po ich odchode z pracoviska zamknuté.

Článok XI
Likvidácia osobných údajov
1. Likvidácia osobných údajov je samostatná operácia spracúvania osobných údajov, pri ktorej dôjde k zničeniu osobných údajov tak, že nie sú čitateľné a obnoviteľné́. V rámci likvidácie je potrebné prihliadnuť najmä na nasledovné skutočnosti:
a) všetky druhy osobných údajov zaznamenané akoukoľvek formou, ktorými disponuje prevádzkovateľ, musia byť vylúčené́ zo spracovania v prípade, ak toto spracovanie nie je v súlade s nariadením, zákonom alebo touto smernicou;
b) písomné výstupy obsahujúce osobné udajú nesmú́ byť odovzdané do zberu, pričom pokiaľ sa likviduje len časť údajov, tak v takomto prípade text na papierovom nosiči je nutné začierniť, aby nebolo možné odhaliť jeho obsah (napr. čítaním proti svetlu);
c) prepisovateľné pamäťové́ médiá (CD-RW, DVD-RW, USB kľúče) sa musia likvidovať vymazaním alebo naformátovaním tak, aby sa z nich osobné údaje nedali reprodukovať;
d) neprepisovateľné́ pamäťové médiá sa musia fyzicky zlikvidovať, napr. zlomením;
e) elektronická́ podoba – vymazania (vrátane odstránenia z „koša“), prekrytie osobných údajov prázdnymi znakmi, alebo iným textom;
f) ak sú predmetom spracúvania ukradné dokumenty obsahujúce osobné údaje, tieto musia byť vrátene dotknutej osobe, ak o to požiada;
g) odovzdanie osobných údajov na spracovanie, resp. archiváciu inému prevádzkovateľovi, napr. štátnemu archívu.

Článok XII
Bezpečnosť osobných údajov
1. Prevádzkovateľ je povinný prijať so zreteľom najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a záväznosťou pre práva fyzických osôb primerané technické́ a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä:
a) pseudonymizáciu a šifrovanie osobných údajov,
b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d)proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
2. Prevádzkovateľ je povinný pri posudzovaní primeranej úrovne bezpečnosti prihliadať na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä na náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený́ prístup k takýmto osobným údajom.
3. Prevádzkovateľ je povinný zabezpečiť, aby fyzická́ osoba konajúca za prevádzkovateľa (oprávnená́ osoba), ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Článok XIII
Práva dotknutej osoby
1.     Dotknutá́ osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú́ osobné údaje, ktoré sa jej týkajú́. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať̌ prístup k týmto osobným údajom a informácie o:
a.     účele spracúvania osobných údajov,
b.     kategórii spracúvaných osobných údajov,
c.      identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
d.     dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
e.     práve požadovať od prevádzkovateľa opravu osobných údajov tykajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
f.      práve podať návrh na začatie konania podľa § 100 zákona,
g.     zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
h.     existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 zákona; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú́ osobu.
2.     Dotknutá osoba má právo byť informovaná o primeraných zárukách tykajúcich sa prenosu podľa § 48 ods. 2 až 4 zákona, ak sa osobné údaje prenášajú́ do tretej krajiny alebo medzinárodnej organizácii.
3.     Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré́ dotknutá́ osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.
4.     Právo získať osobné údaje podľa odseku 3 tohto článku memoranda nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.
5.     Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej tykajú́. So zreteľom na účel spracúvania osobných údajov má dotknutá́ osoba právo na doplnenie neúplných osobných údajov.
6.     Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej tykajú́.
7.     Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá́ osoba uplatnila právo na výmaz podľabodu 6 tohto článku memoranda, a to v prípade ak
a)     osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúval b) dotknutá́ osoba odvolá súhlas podľa § 13 ods. 1 písm. a) zákona alebo § 16 ods. 2 písm. a) zákona, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
b)     dotknutá́ osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona a neprevažujú́ žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá́ osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2 zákona,
c)      osobné údaje sa spracúvajú nezákonne,
d)     je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
e)     sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1 zákona.
8.     Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných
a)     dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
b)     spracúvanie osobných údajov je nezákonne a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
c)     prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá́ osoba na uplatnenie právneho nároku, alebo
d)     dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona, a to až do overenia, či oprávnené́ dôvody na strane prevádzkovateľa prevažujú́ nad oprávnenými dôvodmi dotknutej osoby.
9.     Ak sa spracúvanie osobných údajov obmedzilo podľa bodu 10 tohto článku tohto memoranda, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôbalebo z dôvodov verejného záujmu.
10. Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa bodu 7. tohto článku memoranda vymazať, je zároveň povinný prijať primerané bezpečnostné́ opatrenia vrátane technických opatrení so zreteľom na dostupnú́ technológiu a náklady na ich vykonanie na účel informovania ostatných prevádzkovateľov, ktorí spracúvajú́ osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
11. Prevádzkovateľ touto cestou oznamuje, že bod 6. a bod 7. tohto článku memoranda sa neuplatňuje, ak je spracúvanie osobných údajov potrebné:
a)     na uplatnenie práva na slobodu prejavu alebo práva na informácie,
b)     na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná́, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
c)     z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j) zákona,
d)     na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8 zákona, ak je pravdepodobné, že právo podľa bodu 6. tohto článku memoranda znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
e)     na uplatnenie právneho nároku.
12. Dotknutú́ osobu, ktorej spracúvanie osobných údajov sa obmedzí́ podľa bodu 10 tohto článku tohto memoranda, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené́.

Článok XIV
Príjemca osobných údajov
1.     Prevádzkovateľ je v odôvodnených prípadoch a výlučne v nevyhnutnom rozsahu oprávnený odovzdať osobné údaje dotknutej osoby nasledovným kategóriám príjemcov, a to:
·       zmluvným partnerom prevádzkovateľa, ktorých prevádzkovateľ potrebuje na bežné fungovanie a realizáciu zmluvného vzťahu s dotknutou osobou, napr. dodávateľom informačných technológií, poskytovateľom kuriérskych alebo poštových služieb;
·       iným subjektom v prípadoch, kedy prevádzkovateľovi povinnosť na poskytnutie osobných údajov dotknutej osoby ukladajú́ právne predpisy a/alebo ak je to potrebné na ochranu oprávnených záujmov prevádzkovateľ (napr. súdom, orgánom činným v trestnom konaní atď.);

Článok XV
Zodpovedná́ osoba
1. Prevádzkovateľ vyhlasuje, že v zmysle zákona a nariadenia nie je povinný určiť zodpovednú́ osobu za spracovanie osobných údajov v zmysle § 44 ods. 1 a nasl. zákona.

Článok XVI
Spracúvanie podaní́ dotknutých osôb
1.     Žiadosti a námietky dotknutých osôb spracúva osoba, ktorej to vyplýva z náplne pracovnej činností alebo z poverenia (ďalej len „určená́ osoba“).
2.     Určená́ osoba po prijatí žiadosti, námietky alebo sťažností dotknutej osoby (ďalej len „podanie“) informuje dotknutú́ osobu o jej prijatí a ďalšom postupe.
3.     Určená́ osoba je povinná vyhodnotiť podanie dotknutej osoby najneskôr v lehote 30 dní odo dňa jej doručenia.
4.     Pokiaľ by si vyhodnotenie podania vyžadovalo viac času, je určená́ osoba povinná kontaktovať Prevádzkovateľa a primerane o tom informovať aj dotknuté osoby.
5.     Po vyhodnotení podania je určená osoba povinná naležíte informovať dotknuté osoby vo vyššie stanovenej lehote.

Helena Kohútová, Bratislava 02.01.2025

Zásady ochrany osobných údajov