Organizačná smernica k spracúvaniu a ochrane osobných údajov
Vypracovaná pre účely plnenia úloh organizácie v zmysle Všeobecného nariadenia európskeho parlamentu a rady (EÚ) 2016/679, z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“) a v zmysle ustanovení zákona NR SR č. 18/2018 Z.z. o ochrane osobných údajov a zmene a doplnení niektorých zákonov.
Prevádzkovateľ:
Slovenská asociácia logopédov - občianske združenie
Sídlo: Kominárska 2-4, 832 03 Bratislava - Nové Mesto
IČO: 30779065
(ďalej aj len „SAL“, alebo „prevádzkovateľ“)
Dozorný orgán:
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12, 820 07 Bratislava 27
Tel: 02/ 32 31 3214, E-mail: statny.dozor@pdp.gov.sk
(ďalej aj len „Úrad“)
Obsah
- Účel a cieľ organizačnej smernice
- Rozsah platnosti
- Definícia pojmov
-
Zásady spracovania osobných údajov
- Právne základy
- Zásada Obmedzenia Účelu (článok 5 Ods.1 Písm. b) GDPR)
- Zásada minimalizácie osobných údajov (článok 5 ods.1 písm. c) GDPR)
- Zásada správnosti (článok 5 ods.1 písm. d) GDPR)
- Zásada minimalizácie uchovávania (článok 5 ods.1 písm. e) GDPR)
- Zásada integrity a dôvernosti (článok 5 ods.1 písm. f) GDPR)
- Podmienky poskytnutia súhlasu so spracovaním osobných údajov
-
Práva dotknutých osôb
- Informačná povinnosť
- Právo dotknutej osoby na prístup k údajom (článok 15 GDPR)
- Právo na opravu (článok 16 GDPR)
- Právo na vymazanie (právo „na zabudnutie“, článok 17 GDPR)
- Právo na obmedzenie spracúvania (článok 18 GDPR)
- Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (článok 19 GDPR)
- Právo na prenosnosť údajov (článok 20 GDPR)
- Právo namietať (článok 21 GDPR)
- Práva a povinnosti oprávnených osôb
- Bezpečnostné opatrenia a ich aplikácia
-
Rozsah oprávnení a popis povolených činností oprávnených osôb
- Oprávnené Osoby
-
Povolené Činnosti
- spracovanie evidencie členov občianskeho združenia a úhrad členských poplatkov
- spracovanie evidencie účastníkov kurzov a iných vzdelávacích podujatí
- spracovanie evidencie dobrovoľníkov
- spracovanie personálnej a mzdovej agendy
- spracovanie účtovnej agendy dodávateľsko – odberateľské vzťahy
- spracovanie evidencie došlej a odoslanej pošty
- Získavanie údajov od tretích osôb
osobitné situácie zákonného spracúvania osobných údajov (§ 78 ods. 2 a ods. 6 zákona 18/2018 z.z. o ochrane osobných údajov) - Posúdenie vplyvu na ochranu údajov (článok 35 GDPR)
- Rozsah zodpovednosti
- Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie
- Oznámenie porušenia dozornému orgánu (článok 33 a 34 GDPR)
- Oznámenie porušenia dotknutej osobe
- Kontrolná činnosť
- Havarijné postupy
I. Účel a cieľ organizačnej smernice
Smernica stanovuje pravidlá pre spracúvanie osobných údajov v SAL. Cieľom je zabezpečiť dostatočnú ochranu osobných údajov pri manuálnom a automatizovanom spracúvaní. Účelom Smernice je určiť postupy a činnosti pri nakladaní s osobnými údajmi, pri ich spracovaní, pri zistení, hlásení, vyšetrovaní a oznamovaní porušení ochrany osobných údajov a následné zabezpečenie prijatia opatrení, ktoré zabránia ich opakovaniu z podobných príčin. Táto smernica obsahuje technické a organizačné opatrenia, ktoré sa SAL zaviazala dodržiavať, keďže je podľa článku 24 GDPR s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká pre práva a slobody fyzických osôb zodpovedná za vykonanie zabezpečenia a následné preukázanie, že spracúvanie sa vykonáva v súlade s nariadením GDPR.
II. Rozsah platnosti
Smernica sa vzťahuje na všetky osoby, ktoré na základe výkonu funkcie, osobitného poverenia, na základe dobrovoľníckeho, prípadného pracovnoprávneho, alebo obdobného vzťahu pri svojej činnosti prichádzajú, alebo môžu prichádzať do styku s osobnými údajmi fyzických osôb. Záväzným spôsobom upravuje povinnosti pre všetky oprávnené osoby, ktoré spracúvajú osobné údaje a osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Porušenie tejto smernice sa považuje podľa rozsahu a závažnosti za porušenie, alebo závažné porušenie pracovnej disciplíny, alebo inej povinnosti, vyplývajúcej z vnútorných predpisov, alebo všeobecne záväzných predpisov.
III. Definícia pojmov
Osobné údaje – sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
Spracúvanie osobných údajov – vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
Porušenie ochrany osobných údajov – je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;
Prevádzkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;
Oprávnená osoba – každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, alebo výkonu funkcie.
Zodpovedná osoba – osoba poverená výkonom dohľadu, ktorú prevádzkovateľ informačného systému písomne poveril dozerať na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
Zamestnanec – fyzická osoba, ktorá v pracovnoprávnych vzťahoch, a ak to ustanovuje osobitný predpis, aj v obchodných pracovných vzťahoch vykonáva pre zamestnávateľa závislú prácu.
Funkcionár - fyzická osoba, ktorá je SAL ustanovená do funkcie, člen orgánov SAL, člen komisie SAL
Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje,
Sprostredkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;
Príjemca každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
Tretia strana každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
Informačný systém – akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu nato, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.
Automatizovaný informačný systém – (ďalej len „AIS“) súhrn technických prostriedkov výpočtovej techniky, programové a aplikačné vybavenie, údajová základňa, pamäťové médiá s údajmi, inštalačné médiá, dokumentácia súvisiaca s technickým a programovým vybavením určeným na automatizované spracovanie údajov.
Používateľský účet – slúži na identifikáciu používateľa v automatizovanom informačnom systéme, umožňuje správne priradenie pridelených používateľských práv prihlásenému používateľovi, tvorí ho názov účtu a heslo.
Oprávnený používateľ – zamestnanec, alebo funkcionár SAL, alebo iná poverená osoba, ktorej bol zriadený používateľský účet a pridelené príslušné prístupové práva, umožňujúce mu plnenie pracovných povinností v súvislosti so spracovaním osobných údajov.
Pracovné dokumenty – všetky súbory, ktoré používatelia automatizovaného informačného systému vytvorili alebo prevzali pre potreby spoločnosti.
Biometrické údaje - osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
Obmedzenie spracúvania osobných údajov - označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
Profilovanie - akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
Pseudonymizácia - spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,
Šifrovanie - transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
Online identifikátor - identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,
Likvidácia osobných údajov – zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
Bezpečnostné opatrenie – vykonávaná prax, pracovný postup alebo zariadenie, ktoré znižujú riziko.
Stav núdze – udalosť, ktorej pretrvávanie alebo opakovanie by mohlo spôsobiť ohrozenie záujmov prevádzkovateľa.
IV. Zásady spracovania osobných údajov
1. Právne základy
Spracúvanie osobných údajov musí byť vykonávané na základe jedného z nasledujúcich právnych základov:
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
- spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná (§ 13 ods. 1 písmeno c ZoOOÚ)
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a -- - slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.
2. Zásada obmedzenia účelu (článok 5 ods.1 písm. b) GDPR)
Osobné údaje budú získavané len na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. SAL informuje dotknutú osobu o účele spracúvania osobných údajov pred ich spracúvaním.
3. Zásada minimalizácie osobných údajov (článok 5 ods.1 písm. c) GDPR)
Osobné údaje budú spracúvané tak, aby toto spracúvanie primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
4. Zásada správnosti (článok 5 ods.1 písm. d) GDPR)
Osobné údaje budú spracúvané tak, aby boli správne a podľa potreby aktualizované; je potrebné prijímať opatrenia tak, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili. Na zabezpečenie zásady správnosti je potrebné v písomnom súhlase so spracovaním osobných údajov uvádzať nasledovnú formuláciu: „Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. V prípade zmeny osobných údajov je dotknutá osoba povinná zmenu bezodkladne oznámiť prevádzkovateľovi.“
5. Zásada minimalizácie uchovávania (článok 5 ods.1 písm. e) GDPR)
Osobné údaje budú uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
6. Zásada integrity a dôvernosti (článok 5 ods.1 písm. f) GDPR)
Osobné údaje budú spracúvané spôsobom, ktorý zaručuje ich primeranú bezpečnosť vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov a to prostredníctvom primeraných technických alebo organizačných opatrení.
V. Podmienky poskytnutia súhlasu so spracovaním osobných údajov
Pri vyjadrení súhlasu dotknutej osoby je nutné zabezpečiť splnenie nasledovných podmienok:
- súhlas so spracúvaním osobných údajov musí byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle.
- ak sa súhlas vyskytuje v rámci iného dokumentu, je potrebné, aby bol od iných častí a obsahu dokumentu odlíšený, napríklad výrazným písmom, alebo písmom inej farby, aby dotknutá osoba jasne a zreteľne tento súhlas vnímala a neprešla ho bez povšimnutia.
- žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.
- nesmie byť požitá formulácia, z ktorej by vyplývalo, že prihlásením sa do systému, či zaslaním dokladu dotknutá osoba poskytuje automaticky súhlas
- dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
- Pri elektronickom prihlasovaní nie je možné uplatňovať postup, ak sú vopred označené všetky účely a dotknutá osoba si má odznačiť tie, s ktorými nesúhlasí; metóda OPT OUT nie je pri súhlase so spracúvaním osobných údajov dovolená, vždy musí dotknutá osoba voliť a vyberať účely aktívne, teda môže byť využívaná iba metóda OPT IN.
VI. Práva dotknutých osôb
1. Informačná povinnosť
Dotknutá osoba musí byť pred získaním osobných údajov informovaná v nasledovnom rozsahu:
- údaje o SAL
- kontaktné údaje prípadnej zodpovednej osoby (t.č. nie je povinnosť určenia);
- účely spracúvania
- právny základ spracúvania
- ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;
- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;
- v relevantnom prípade informácia o tom, že SAL zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii
- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;
- ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;
- právo podať sťažnosť dozornému orgánu;
- informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;
- existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
2. Právo dotknutej osoby na prístup k údajom (článok 15 GDPR)
Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom.
3. Právo na opravu (článok 16 GDPR)
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
4. Právo na vymazanie (právo „na zabudnutie“, článok 17 GDPR)
Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
- dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;
- osobné údaje sa spracúvali nezákonne;
- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;
- osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.
5. Právo na obmedzenie spracúvania (článok 18 GDPR)
Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:
- dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;
- spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;
- prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;
- dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
6. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (článok 19 GDPR)
Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
7. Právo na prenosnosť údajov (článok 20 GDPR)
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:
- sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), alebo na zmluve podľa článku 6 ods. 1 písm. b), a
- ak sa spracúvanie vykonáva automatizovanými prostriedkami.
Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.
8. Právo namietať (článok 21 GDPR)
Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach.
VII. Práva a povinnosti oprávnených osôb
Oprávnená osoba má právo najmä na:
- pridelenie prístupových práv do určených informačných systémov osobných údajov prevádzkovateľa v rozsahu nevyhnutnom na plnenie jej úloh; nevyhnutnosť priamo determinuje funkčné, pracovné, alebo obdobné zaradenie oprávnenej osoby,
- opätovné poučenie, ak došlo k podstatnej zmene jej pracovného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracovávania osobných údajov alebo rozsah spracovávaných osobných údajov v rámci pracovného alebo funkčného zaradenia,
- vyňatie z povinnosti mlčanlivosti, ak je to nevyhnutné na plnenie úloh súdov a orgánov činných v trestnom konaní podľa osobitného zákona alebo vo vzťahu k Úradu na ochranu osobných údajov Slovenskej republiky pri plnení jeho úloh podľa Zákona; ustanovenia o povinnosti mlčanlivosti podľa osobitných predpisov tým nie sú dotknuté,
- vykonávanie spracovateľských operácií s osobnými údajmi v mene prevádzkovateľa v rozsahu nevyhnutnom na plnenie pracovných úloh oprávnenej osoby,
- odmietnutie vykonať pokyn k spracovaniu osobných údajov, ktorý je v rozpore so všeobecne záväznými právnymi predpismi alebo dobrými mravmi
Oprávnená osoba je povinná najmä:
- zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť; povinnosť mlčanlivosti trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru,
- dbať na bezpečné spracovanie osobných údajov,
- nevyužiť osobné údaje pre osobnú potrebu,
- nepracovať s osobnými údajmi mimo priestorov a výpočtových prostriedkov na to určených a vyhradených,
- byť poučená a oboznámená s právami a povinnosťami, zodpovednosťami za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi,
- získavať len nevyhnutné osobné údaje výlučne na Zákonom vymedzený alebo ustanovený účel; je neprípustné, aby oprávnená osoba získavala osobné údaje pod zámienkou iného účelu spracovávania alebo inej činnosti,
- pred získavaním osobných údajov od dotknutej osoby ju oboznámiť s názvom a sídlom prevádzkovateľa, účelom spracovávania osobných údajov, rozsahom spracovávania osobných údajov, predpokladanom okruhu tretích strán pri poskytovaní osobných údajov alebo príjemcov pri sprístupňovaní osobných údajov a tretie krajiny, ak sa predpokladá, alebo je zrejmé, že sa do týchto krajín uskutoční cezhraničný prenos osobných údajov,
- vykonávať povolené spracovateľské operácie len so správnymi, úplnými a podľa potreby aktualizovanými osobnými údajmi vo vzťahu k účelu spracovávania,
- spracovávať len tie osobné údaje, ktoré sú v súlade s účelom ich spracovávania,
- spracovávať len tie osobné údaje, s ktorými má oprávnenie prichádzať do styku v rámci svojho pracovného pomeru, alebo funkcie,
- spracovávať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje Zákonu, iným všeobecne záväzným právnym predpisom a príslušným interným predpisom prevádzkovateľa,
- dbať o to aby osobné údaje v informačnom systéme boli pravdivé, správne a aktuálne; nesprávne alebo neúplné osobné údaje je povinná bez zbytočného odkladu opraviť alebo doplniť,
- spracovávať osobné údaje len v priestoroch na to určených prevádzkovateľom a zabezpečiť diskrétnosť pri ich spracovávaní,
- postupovať výlučne v súlade s technickými, organizačnými a personálnymi opatreniami prijatými prevádzkovateľom v interných predpisoch,
- v prípade nejasnosti pri spracovávaní osobných údajov sa obrátiť na prevádzkovateľa alebo zodpovednú osobu,
- vykonať likvidáciu osobných údajov, ktoré sú súčasťou už nepotrebných pracovných dokumentov (napr. rôzne pracovné súbory, pracovné verzie dokumentov v listinnej podobe) rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať; to neplatí vo vzťahu k osobným údajom, ktoré sú súčasťou obsahu registratúrnych záznamov prevádzkovateľa,
- chrániť prijaté dokumenty a súbory pred stratou a poškodením, zneužitím, odcudzením, neoprávneným sprístupnením, poskytnutím alebo inými neprípustnými formami spracovania,
- poskytnúť zodpovednej osobe za ochranu osobných údajov súčinnosť pri výkone dohľadu nad ochranou osobných údajov,
- poskytnúť kontrolnému orgánu z Úradu na ochranu osobných údajov Slovenskej republiky potrebnú súčinnosť pri výkone jeho dozoru, resp. kontrolnej činnosti,
- informovať Prevádzkovateľa, resp. zodpovednú osobu o vzniknutom riziku, ktoré ohrozuje ochranu osobných údajov a vyžaduje prijatie opatrení nad rámec oprávnenej osoby,
- dodržiavať všetky povinnosti, o ktorých bola oprávnená osoba poučená,
- ostatné právomoci a povinnosti oprávnenej osoby sú súčasťou „Poučenia oprávnenej osoby“,
- oboznámiť sa s Organizačnou smernicou pre spracovanie osobných údajov
VIII. Bezpečnostné opatrenia a ich aplikácia
1. Bezpečnostné opatrenia v SAL – všeobecné povinnosti.
Bezpečnostné opatrenia slúžia na obmedzenie a riadenie fyzického prístupu osôb, na riadenie prístupu k osobným údajom v elektronickej forme, na zabezpečenie dôvernosti a dostupnosti chránených osobných údajov.
SAL sa zaväzuje pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie nariadenia GDPR.
SAL sa zaväzuje pri ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
SAL sa zaväzuje zaviesť ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
Každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa (poverenie spracúvať osobné údaje, článok 32 ods. 4 GDPR), ktorá má prístup k osobným údajom, spracúva tieto údaje len na základe pokynov SAL s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.
Všetci členovia štatutárnych orgánov, zamestnanci a dobrovoľníci SAL a iné zainteresované osoby sú povinné:
- dodržiavať bezpečnostné opatrenia, ktoré sú realizované na ochranu objektov, majetku osôb a osobných údajov,
- dodržiavať interné smernice a predpisy,
- všetky médiá a dokumentácia musia byť výstižne, zrozumiteľne a viditeľne označené a uložené v skrini, alebo zásuvke, vyhradenej na tento účel. Kľúče od skrine, alebo zásuvky s uloženými médiami a dokumentmi má u seba vopred určená zodpovedná osoba. Záložný kľúč od skrine, alebo zásuvky bude štandardne uschovávaný na bezpečnom mieste; vyzdvihnúť ho má právo len poverená oprávnená osoba.
- v prípade úniku alebo podozrenia z úniku informácií z informačného systému, oznámiť túto skutočnosť štatutárnemu zástupcovi organizácie.
- po vzniku každého narušenia, alebo pokusu o narušenie bezpečnostných zásad a opatrení uplatňovaných v informačnom systéme je potrebné spracovať príslušnú správu (správa o bezpečnostnom incidente).
2. Základné bezpečnostné opatrenia:
- kontrola vstupu osôb do budovy – strážená budova (24/7), vstup cudzej osoby do budovy je možný len so súhlasom strážnej služby
- zamykanie miestnosti (kancelárie) po jej opustení oprávnenou osobou a to aj v priebehu pracovanej doby
- v miestnosti, v ktorej sú uložené elektronické médiá s OÚ mať potrebný počet vhodných uzamykateľných skríň, zásuviek, alebo trezorov a len do nich ukladať médiá s OÚ, zabezpečiť bezpečnosť technických prostriedkov IT,
- pri dočasnom opustení pracoviska sú všetky oprávnené osoby povinné odhlasovať sa z programov na spracovanie osobných údajov, prípadne používať šetrič obrazovky s nastaveným heslom, odkladať a uzamykať písomné dokumenty, ktoré obsahujú osobné údaje
- ochrana pred požiarom – zákaz fajčenia, zákaz manipulácie s otvoreným ohňom a uskladňovania horľavých látok; v ich blízkosti sa nesmú umiestňovať veci, ktoré by mohli spôsobiť požiar
- prístupové práva do automatizovaného informačného systému k programom, spracúvajúcim osobné údaje, rovnako prístup k papierovým informačným systémom môžu mať len oprávnené osoby
- likvidáciu poškodených a vyradených elektronických médií (pevné disky, magnetické pásky, disky CD, kľúče USB) používaných na uloženie chránených dát v automatizovaných IS, vykonávať prostredníctvom vhodného technického prostriedku (demagnetizátor, skartovací stroj, ručné náradie) alebo iným spôsobom, napr. polámanie, spálenie, zlisovanie, rozobratie a zničenie skutočných nosičov dát
- osobné údaje v papierovej forme sú uložené v uzamknutých skrinkách, alebo zásuvkách
- požívať bezpečnú likvidáciu dokumentov spracovávaných v listinnej podobe – skartovanie, listiny s osobnými údajmi nikdy nevyhadzovať do koša nezničené
- zabezpečenie vzájomného zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia funkčného, pracovného alebo obdobného pomeru)
- tlačiarne a skenery vybavené pevným diskom pre ukladanie spracovaných údajov, musia byť pred opravou externým subjektom alebo vyradením, dôkladne zabezpečené pred únikom dát z týchto nosičov
3. Bezpečnostné opatrenia pri využívaní automatizovaného informačného systému
-
Automatizovaný informačný systém (AIS) je určený na výkon prác súvisiacich s činnosťou
organizácie a môže byť používaný len na tento účel. AIS nesmie byť používaný na súkromné, alebo
iné účely, ktoré nesúvisia s činnosťou organizácie. Základnými prostriedkami AIS, ktoré je možné
používať pre plnenie stanovených pracovných povinností sú:
- PC (počítač), ktorý, ktorý smie používať iba oprávnený používateľ,
- tlačiarne, skenery, médiá určené na zálohovanie
- nainštalované programové vybavenie,
-
Povinnosti používateľa AIS:
- povinná identifikácia a autentizácia pri prístupe k AIS, používanie hesla
- zálohovanie dát najmenej jeden krát za štvrť roka na externý disk
- nevypínať antivírovú ochranu – táto je zabezpečená prevádzkovateľom,
- používateľ, nesmie používať a šíriť nelegálne programové vybavenie, nesmie kopírovať a distribuovať nainštalované programy a operačné systémy, ich časti, súvisiacu dokumentáciu a manuály.
- všetky zmeny v konfigurácii počítača a ostatného technického vybavenia môžu byť vykonávané len na to určenou osobou (informatik).
- používateľ sa nesmie žiadnymi prostriedkami pokúšať získať prístupové práva, alebo privilegovaný stav, ktorý mu nebol nastavený na to určenou osobou (informatik).
- pokiaľ používateľ v dôsledku chyby programových alebo technických prostriedkov získa privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli pridelené a nastavené, je povinný túto skutočnosť bezprostredne oznámiť štatutárnemu orgánu a na to určenej osobe (informatik)
- používateľ nesmie vykonávať takú činnosť, ktorá by ostatným používateľom bránila v riadnom používaní AIS
- používateľ je povinný rešpektovať štruktúru adresárov na svojom počítači i na sieti, udržiavať poriadok v adresároch, rušiť nepotrebné súbory v týchto adresároch, nevytvárať prázdne adresáre, nepotrebné kópie a pod.
- zabezpečiť, aby v prítomnosti neoprávnenej osoby (iní zamestnanci, upratovací alebo servisný personál) neboli osobné údaje viditeľné na zobrazovacích jednotkách IS,
-
Spôsob identifikácie a autentizácie
Všetky oprávnené osoby sú povinné pri prístupe k informačnému systému prihlásiť sa menom a heslom. Heslo musí obsahovať minimálne 6 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi %, /, #, @, &, $, (, ..., bez použitia diakritických znamienok. Heslá je potrebné pravidelne meniť približne každých 90 dní, po uplynutí doby platnosti sa heslá nesmú opakovať. Za utajenie hesla zodpovedá používateľ. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod. Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužitie a spôsobené škody.
IX. Rozsah oprávnení a popis povolených činností oprávnených osôb
1. Oprávnenými osobami sú:
- Členovia vedenia SAL a ďalší funkcionári pre účely, koordinačnej, riadiacej a kontrolnej a výkonnej činnosti
- Členovia revíznej komisie – v rozsahu pre účely kontrolnej činnosti
- Prípadní oprávnení zamestnanci – v rozsahu poverenia
- Prípadní oprávnení dobrovoľníci – v rozsahu poverenia
Sprostredkovateľom je: účtovná spoločnosť v rozsahu plnenia zmluvných a zákonných povinností
Sprostredkovateľom je: Informatik - zabezpečovanie služieb, súvisiacich s AIS v rozsahu pre naplnenie zmluvných povinností a účelu
Všetky osoby, ktorých pracovnou náplňou je spracúvanie osobných údajov – oprávnené osoby – musia byť poučené o povinnostiach vyplývajúcich zo Zákona o ochrane osobných údajov. O poučení sa vedie písomný záznam. Osobné údaje je možné spracúvať pre potreby SAL a len na základe platných zákonov, právnych predpisov a interných dokumentov. Spracúvajú sa len tie osobné údaje, ktoré je nevyhnutné spracúvať.
Likvidáciu osobných údajov môže oprávnená osoba vykonať len na základe súhlasu štatutára SAL.
2. Povolené činnosti
a) Spracovanie evidencie členov občianskeho združenia a úhrad členských poplatkov
Oprávnené osoby môžu zisťovať osobné údaje o svojich členoch pre účely zabezpečenie plnenia poslania a úloh občianskeho združenia a výkonu členských práv, tieto údaje spracúvať manuálne a v elektronickej forme, prehliadať, usporadúvať a tieto využívať.
Právnym dôvodom spracovávania osobných údajov pre uvedené účely je nevyhnutnosť podľa osobitného predpisu v súlade s ustanoveniami zákona 83/1990 Z.z. o združovaní občanov a zákona a zákona 461/2002 Z. z. o účtovníctve (čl. 6 ods. 1 písm. c) všeobecného nariadenia o ochrane osobných údajov).
- spracúvané údaje: meno a priezvisko, vzdelanie, dátum narodenia, adresa, kontaktné údaje, údaje o úhradách členských poplatkov
- účel spracovania: evidencia členov občianskeho združenia a evidencia členských poplatkov, členovia – funkcionári poskytujú OÚ aj za účelom plnenia úloh, vyplývajúcich z ich funkcie, tieto kontaktné údaje na funkcionárov, ak si to vyžaduje ich postavenie, môžu byť zverejnené, členovia vedenia SAL zverejňujú svoju fotografiu
- Osobné údaje sú uložené po dobu stanovenú právnymi predpismi (Zákon o účtovníctve, daňová legislatíva) a po dobu uplatniteľnosti prípadných sporných práv
b) Spracovanie evidencie účastníkov kurzov a iných vzdelávacích podujatí
Oprávnené osoby môžu zisťovať osobné údaje o účastníkoch kurzov a iných vzdelávacích podujatí, spracúvať ich manuálne a v elektronickej forme, prehliadať, údaje opravovať, meniť, uchovávať a archivovať.
Primárne budú osobné údaje spracovávané za účelom predzmluvných vzťahov a plnenie zmluvy (čl. 6 ods. 1 písm. b) všeobecného nariadenia o ochrane osobných údajov) s účastníkmi podujatí ako záujemcami („dotknutá osoba“) o poskytnutie možnosti nadobúdať, resp. odovzdávať odborné poznatky a vedomosti spôsobom, upraveným podľa vzájomnej dohody účastníkov právnych vzťahov.
Osobné údaje budú spracovávané za účelom plnenia povinností podľa zákona č. 461/2002 Z. z, o účtovníctve a plnenie daňových povinností v súlade s platnou legislatívou. Právnym dôvodom spracovávania osobných údajov je v uvedenom prípade plnenie právnych povinností (čl. 6 ods. 1 písm. c) všeobecného nariadenia o ochrane osobných údajov).
Osobné údaje budú spracovávané za účelom prípadnej ochrany práv prevádzkovateľa, pre prípady odhalenia porušovania predpisov, verejného poriadku a následnej prevencie, prípadne v správnom, civilnom (v prípade neplnenia povinností jednej zo zmluvných strán) alebo inom konaní. Právnym dôvodom spracovávania osobných údajov je v uvedenom prípade oprávnený záujem (čl. 6 ods. 1 písm. f) všeobecného nariadenia o ochrane osobných údajov). Oprávnený záujem spočíva v možnosti prevencie pred porušovaním príslušných predpisov, resp. uplatnenia ochrany prípadných sporných práv.
Pred uzatvorením zmluvy budú osobné údaje spracovávané za účelom posúdenia možnosti uzatvorenia zmluvného vzťahu. Právnym dôvodom spracovávania osobných údajov je teda v uvedenom prípade oprávnený záujem prevádzkovateľa (čl. 6 ods. 1 písm. f) všeobecného nariadenia o ochrane osobných údajov). Oprávnený záujem spočíva v možnosti posúdenia splnenia základných zmluvných podmienok záujemcom o uzatvorenie zmluvy. V prípade neuzatvorenia zmluvy a neumožnenia podieľať sa na zmluvnom vzťahu budú osobné údaje spracovávané na účely vrátenia prípadného preplatku. Právnym dôvodom spracovávania týchto osobných údajov je splnenie právnej povinnosti prevádzkovateľa v zmysle ustanovení Občianskeho zákonníka (čl. 6 ods. 1 písm. c) všeobecného nariadenia o ochrane osobných údajov).
- spracovávané údaje: meno, priezvisko, titul, vzdelanie, adresa, telefónny kontakt, elektronická adresa,
- účel spracovania: zabezpečenie organizačných a súvisiacich servisných činností, vystavenie osvedčení,
- Osobné údaje sú uložené po dobu povinnej archivácie v zmysle platných právnych predpisov (zákon o účtovníctve, daňová legislatíva) a po dobu uplatniteľnosti prípadných sporných práv
Osobné údaje sú spracovávané pre účely usporiadania vzdelávacieho podujatia, zabezpečenie potrebnej vzájomnej komunikácie a služieb, súvisiacich s poskytnutím výkonov a teda pre účely napĺňania zmluvného vzťahu, resp. právneho základu oprávneného záujmu prevádzkovateľa.
c) Spracovanie evidencie dobrovoľníkov
Pre prípad dobrovoľníckej činnosti môžu oprávnené osoby zisťovať osobné údaje o dobrovoľníkoch, vykonávajúcich činnosti pre občianske združenie, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre činnosť dobrovoľníkov, opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Účelom spracovanie je evidencia výkonov dobrovoľníckej činnosti.
Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby. Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania.
Nakoľko pri prijímaní výkonov dobrovoľníckej činnosti sú právne vzťahy medzi poskytovateľmi a prijímateľmi dobrovoľníckej činnosti vykonávané na základe zákona 406/2011 Z. z. o dobrovoľníctve a o zmene a doplnení niektorých zákonov, právnym základom spracovania osobných údajov je Zákon o dobrovoľníctve.
V uvedených právnych vzťahoch na základe legitímneho očakávania zmluvných strán vznikajú dobrovoľníkom a prijímateľom dobrovoľníckej činnosti zmluvné práva a povinnosti (zmluva o dobrovoľníckej činnosti a pod. ), právnym základom spracovania osobných údajov sú aj predzmluvné vzťahy a plnenie zmluvy (čl. 6 ods. 1 písm. b) všeobecného nariadenia o ochrane osobných údajov).
- spracovávané osobné údaje dobrovoľníkov - meno, priezvisko, titul, trvalý pobyt - ulica a číslo, PSČ, mesto, dátum narodenia, rodné číslo, číslo bankového účtu (IBAN), číslo OP, email, telefónny kontakt, začiatok a koniec časového úseku v ktorom dobrovoľník vykonáva činnosť.
- účel spracovania: evidencia výkonov dobrovoľníckej činnosti
- Osobné údaje sú uložené po dobu stanovenú právnymi predpismi (Zákon o účtovníctve) a po dobu uplatniteľnosti sporných práv
d) Spracovanie personálnej a mzdovej agendy
V prípade, ak vznikne u prevádzkovateľa potreba uzavrieť pracovnoprávny vzťah (pracovný pomer, dohoda o vykonaní práce, dohoda o pracovnej činnosti, dohoda o brigádnickej práci študentov), oprávnené osoby a sprostredkovatelia môžu primerane jeho povahe zisťovať osobné údaje o zamestnancoch a ich rodinných príslušníkoch, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre personálnu a mzdovú agendu; opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Mzdy bude spracúvať ekonomická a účtovná spoločnosť na základe zmluvy.
Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby. Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania.
V prípade žiadostí o prijatie do zamestnania, ktoré sú doručené poštou, je potrebné písomne oznámiť žiadateľovi termín do kedy bude jeho žiadosť evidovaná a následne zlikvidovaná. Zároveň je potrebné ho požiadať, aby do tohto termínu zasielal prípadné zmeny osobných údajov. Ak je žiadosť bezpredmetná, žiadateľ nie je vhodný, je potrebné písomne oznámiť žiadateľovi likvidáciu žiadosti a jeho osobných údajov. Úradné doklady a kópie úradných dokladov, ktoré obsahujú osobné údaje, je potrebné vrátiť odosielateľovi.
Poskytovať a sprístupňovať osobné údaje o inej osobe prostredníctvom telefonickej komunikácie je zakázané. Oprávnené osoby môžu telefonicky potvrdiť, že dotyčná osoba je zamestnaná v organizácii, bez poskytovania ďalších osobných údajov.
SAL ako prevádzkovateľ, ak je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
Právny základ pre spracúvanie osobných údajov pri pracovnoprávnych vzťahoch je § 13 ods. 1 písmeno c) zákona č. 18/2018 Z.z. o ochrane osobných údajov - spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Konkrétne ide o zákony:
- zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov
- zákon č. 43/2004 Z. z. o starobnom dôchodkovom sporení v znení neskorších predpisov
- zákon č. 650/2004 Z. z. o doplnkovom dôchodkovom sporení v znení neskorších predpisov
- zákon č. 580/2004 Z. z. o zdravotnom poistení o zmene a doplnení zákona č. 95/2002 Z. z. o poisťovníctve v znení neskorších predpisov
- zákon č. 595/2003 Z. z. Zákon o dani z príjmov v znení neskorších predpisov
- zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov
- spracovávané osobné údaje zamestnancov - meno, priezvisko, titul, trvalý pobyt - ulica a číslo, PSČ, mesto, dátum narodenia, rodné číslo, číslo bankového účtu (IBAN), názov zdravotnej poisťovne, doplnkovej dôchodkovej sporiteľne, číslo OP, email, telefónny kontakt, najvyššie ukončené vzdelanie, základná mzda, osobné ohodnotenie, začiatok a koniec časového úseku v ktorom zamestnanec vykonával prácu, práca nadčas, nočná práca, pracovná pohotovosť, PN, dovolenka, lekár, služobná cesta, legislatívou požadované údaje o rodinných príslušníkoch
- účel spracovania: odvody do sociálnej poisťovne, odvody do zdravotnej poisťovne, plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom so zamestnancom, evidencia dochádzky, zasielanie podkladov, zasielanie podkladov externej firme (zmluvnému sprostredkovateľovi) na ďalšie spracovanie
- Osobné údaje sú uložené po dobu trvania zmluvného vzťahu, po dobu stanovenú právnymi predpismi (Zákon o účtovníctve) a po dobu uplatniteľnosti sporných práv
e) Spracovanie účtovnej agendy, dodávateľsko – odberateľské vzťahy
V procese prípravy podkladov pre spracovanie účtovníctva môžu oprávnené osoby spracúvať osobné údaje manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich pre uvedené účely, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre činnosť účtovnej jednotky, opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Ďalšie spracovanie účtovných údajov môže zabezpečovať účtovná spoločnosť, ktorá je sprostredkovateľom.
Právnym dôvodom spracovávania osobných údajov pre uvedené účely je splnenie právnej povinnosti prevádzkovateľa v zmysle zákona č. 461/2002 Z. z. o účtovníctve - (čl. 6 ods. 1 písm. c) všeobecného nariadenia o ochrane osobných údajov).
- spracovávané údaje: meno a priezvisko, adresa, sídlo, kontaktné údaje, IČO, DIČ, bankové spojenie
- účel spracovania: vystavovanie objednávok, evidencia faktúr, zadávanie do účtovného programu, archivácia v zmysle zákona o účtovníctve
- osobné údaje sú uložené po dobu povinnej archivácie v zmysle platných právnych predpisov (zákon o účtovníctve, daňová legislatíva) a po dobu uplatniteľnosti prípadných sporných práv,
f) Spracovanie evidencie došlej a odoslanej pošty
Prevádzkovateľ môže pre prípad evidencie došlej a odoslanej pošty spracúvať osobné údaje manuálne a v elektronickej forme, môže ich prehliadať, usporadúvať a využívať ich pre uvedené účely.
Právnym dôvodom spracovávania osobných údajov je v uvedenom prípade oprávnený záujem (čl. 6 ods. 1 písm. f) všeobecného nariadenia o ochrane osobných údajov). Oprávnený záujem spočíva v možnosti riadne a včas vybavovať korešpondenciu s Vami ako dotknutými osobami a pre prípady ochrany prípadných sporných práv.
- účel spracovania: evidencia došlej a odoslanej pošty
- spracovávané údaje: identifikačné a adresa
- osobné údaje sú uložené po dobu naplnenia účelu a po dobu uplatniteľnosti prípadných sporných práv.
X. Získavanie údajov od tretích osôb
osobitné situácie zákonného spracúvania osobných údajov (§ 78 ods. 2 a ods. 6 zákona 18/2018 Z.z. o ochrane osobných údajov)
Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby; to neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby.
XI. Posúdenie vplyvu na ochranu údajov (článok 35 GDPR)
Vzhľadom spracovateľské činnosti SAL, na typ spracúvania, vzhľadom na využívané technológie, s ohľadom na povahu, rozsah, kontext a účely spracúvania, toto spracúvanie nepovedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ preto pred spracúvaním nemá povinnosť vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov.
Posúdenie vplyvu na ochranu údajov sa vyžaduje najmä v prípadoch:
- systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;
- spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo
- systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
Spracovateľské činnosti SAL nezahŕňajú prípady uvedené vyššie, ani obdobné prípady a z tohto dôvodu nie je potrebné vykonať posúdenie vplyvu na ochranu osobných údajov.
XII. Rozsah zodpovednosti
Organizácia nesie zodpovednosť za dodržiavanie tejto smernice a platnej legislatívy, upravujúcej ochranu osobných údajov fyzických osôb, dbá na poučenie oprávnených osôb a zabezpečuje kontrolnú činnosť v danej oblasti.
Oprávnené osoby nesú zodpovednosť za dodržiavanie všetkých postupov v zmysle tejto smernice a platnej legislatívy a to v rozsahu svojich povinností.
Všetky oprávnené osoby zodpovedajú za zachovanie mlčanlivosti o osobných údajoch, s ktorými prídu do styku, nesmú ich využívať pre vlastnú potrebu, nesmú ich zverejňovať ani nikomu sprístupniť. Povinnosť mlčanlivosti a zodpovednosť trvá aj po skončení pracovného, funkčného pomeru, alebo akéhokoľvek iného právneho vzťahu oprávnenej osoby a prevádzkovateľa.
XIII. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácie sa v SAL neuskutočňuje, v budúcnosti sa môže uskutočňovať len v prípade, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácie.
Ak neexistuje rozhodnutie o primeranosti alebo ak neexistujú primerané záruky prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii, tento sa uskutoční len ak je splnená niektorá zo zákonných podmienok.
Prenos osobných údajov medzinárodnej organizácii je preto možný, ak je nevyhnutný z nasledovných dôvodov:
- prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;
- prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;
- prenos je nevyhnutný z dôležitých dôvodov verejného záujmu;
XIV. Oznámenie porušenia ochrany osobných údajov dozornému orgánu (článok 33 a 34 GDPR)
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb SAL bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedela, oznámi porušenie ochrany osobných údajov dozornému orgánu, ktorým je úrad na ochranu osobných údajov.
Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.
Oznámenie o porušení ochrany osobných údajov bude obsahovať aspoň:
- opis povahy porušenia ochrany osobných údajov vrátane; podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka a kategórií a približného počtu dotknutých záznamov o osobných údajoch;
- kontaktné údaje zodpovednej osoby v našej spoločnosti, kde možno získať viac informácií o porušení ochrany osobných údajov;
- opis pravdepodobných následkov porušenia ochrany osobných údajov;
- opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
SAL zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, SAL bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.
XV. Oznámenie porušenia ochrany osobných údajov dotknutej osobe
Organizácia ako prevádzkovateľ je povinná bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby. Oznámenie musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií, opis pravdepodobných následkov porušenia ochrany osobných údajov, a opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane, ak je to potrebné, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledk