Processing personal data and privacy protection
(sample for DEMO site Car-Booker.eu)
podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe takýchto údajov, (ďalej len „nariadenie“) a podľa zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“):
Definícia pojmov
- Osobné údaje – údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takouto osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
- Spracúvanie osobných údajov – vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
- Prevádzkovateľ - DemoTest, s.r.o., sídlo Demo street 123, 012 99 Democity, IČO 12345678.
- Oprávnená osoba – každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru s prevádzkovateľom.
- Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje, zamestnanci spoločnosti, uchádzači o zamestnanie, klienti.
- Informačný systém – akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu nato, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.
- Automatizovaný informačný systém – (ďalej len „AIS“) súhrn technických prostriedkov výpočtovej techniky, programové a aplikačné vybavenie, údajová základňa, pamäťové médiá s údajmi, inštalačné médiá, dokumentácia súvisiaca s technickým a programovým vybavením určeným na automatizované.
- Likvidácia osobných údajov – zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
- Bezpečnostné opatrenie – vykonávaná prax, pracovný postup alebo zariadenie, ktoré znižujú riziko.
Bezpečnostné opatrenia realizované prevádzkovateľom
- ochrana areálu a kontrola vstupu osôb,
- zálohovanie a antivírová ochrana informačného systému,
- uzamykanie priestorov, kde sa nachádzajú osobné údaje počas neprítomnosti oprávnenej alebo zodpovednej osoby, archivácia dokumentov, kde sa nachádzajú osobné údaje v uzamknutých archívoch,
- likvidácia záznamov – záznamy, ktoré nie sú archivované budú bezodkladne skartované,
- likvidácia médií – média, ktoré nie sú archivované budú bezodkladne a nenávratne vymazané alebo zničené mechanickým poškodením.
Bezpečnostné opatrenia slúžia na obmedzenie a riadenie fyzického prístupu osôb, na riadenie logického prístupu k osobným údajom v elektronickej forme, na zabezpečenie dôvernosti a dostupnosti chránených osobných údajov.
Všetci zamestnanci spoločnosti sú povinní:
- dodržiavať bezpečnostné opatrenia, ktoré sú realizované na ochranu objektov, majetku osôb a osobných údajov,
- dodržiavať interné smernice a predpisy,
- v prípade úniku alebo podozrenia z úniku informácií z informačného systému, oznámiť túto skutočnosť zodpovednej osobe.
Rozsah oprávnení a povolené činností oprávnených osôb
- Všetky osoby, ktorých pracovnou náplňou je spracúvanie osobných údajov – oprávnené osoby – musia byť poučené o povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov. Osobné údaje je možné spracúvať pre potreby spoločnosti len na základe platných zákonov, právnych predpisov a interných dokumentov.
- Spracúvajú sa len typy osobných údajov, ktoré je nevyhnutné spracúvať.
- Likvidáciu osobných údajov môže oprávnená osoba vykonať len na základe súhlasu zodpovednej osoby.
Všetky oprávnené osoby sú povinné zachovávať mlčanlivosť o osobných údajoch, s ktorými prídu do styku, nesmú ich využívať pre vlastnú potrebu, nesmú ich zverejňovať ani nikomu sprístupniť. Povinnosť mlčanlivosti trvá i po skončení pracovného pomeru.
Nevyhnutnosť spracovania osobných údajov
Prevádzkovateľ spracováva údaje v nevyhnutnom rozsahu za účelom:
- jednoznačnej identifikácie dotknutej osoby na základe súhlasu udeleného dotknutou osobou pred vyhotovením fotokópie úradných dokladov dotknutej osoby a/alebo iným spôsobom elektronicky vyhotovených a zaznamenaných kópií a opisov úradných dokladov (skenovanie dokladov, overenie pravosti dokladov, ktoré sú ukladané na elektronických médiách a pod.), za predpokladu, že prevádzkovateľ, v odôvodnených prípadoch, takéto kópie úradných dokladov požaduje od dotknutej osoby – napr. vodičský preukaz v prípade poistnej udalosti. Poskytnutie súhlasu je dobrovoľné.
- predzmluvných a zmluvných vzťahov najmä na účely spracovania a zasielania cenových ponúk, rezervácií, prípravy a uzatvárania zmlúv a plnenia zmluvných povinností prevádzkovateľa najmä v rámci zmlúv o nájme, zmlúv o prenájme, rámcových zmlúv súvisiace so správou zmlúv, preberaním a odovzdávaním vozidla, reklamačných konaní, fakturáciou a atď.. Poskytnutie osobných údajov dotknutou osobou je zmluvná požiadavka. Neposkytnutím osobných údajov nebude možné s dotknutou osobou uzatvoriť zmluvný vzťah.
- vymáhania vzniknutých škôd a pohľadávok, riešenia poistných udalostí, uchovávania dokumentácie a vyhotovených záznamov a na základe ostatných nevyhnutých oprávnených záujmov prevádzkovateľa.
- bezpečnosti, ochrany majetku a finančných záujmov vyplývajúcich z uzatvoreného zmluvného vzťahu.
Druhy získavaných a spracovaných údajov:
- identifikačné údaje - titul, meno, priezvisko, dátum narodenia, podpis, fotografia tváre a iné údaje uvedené v občianskom preukaze alebo cestovnom pase a vodičskom preukaze.
- kontaktné údaje - adresa trvalého pobytu, prípadne adresa pre doručovanie, e-mailová adresa a telefónne číslo.
- údaje týkajúce sa leasingových zmlúv k vozidlám - identifikačné číslo klienta, číslo zmluvy, identifikačné číslo vozidla.
- údaje týkajúce sa poistných udalostí - história poistných udalostí vrátane vyplatených plnení a odborných posudkov, informácie o obetiach.
Prevádzkovateľ môže poskytnúť osobné údaje príjemcom:
- kontrolným orgánom v rámci výkonu ich činnosti v zmysle osobitného právneho predpisu (napr. Slovenská obchodná inšpekcia),
- súdom a orgánom činným v trestnom konaní na základe ich vyžiadania, alebo v rámci oprávnených záujmov prevádzkovateľa,
- poisťovniam, s ktorými má prevádzkovateľ uzatvorený poistnú zmluvu súvisiacu s prenajímaným vozidlom,
- ďalším príjemcom, ktorým je prevádzkovateľ povinný osobné údaje poskytnúť v zmysle osobitného zákona alebo oprávneného záujmu.
Doba uchovávania osobných údajov
- fotokópie úradných dokladov sú uchovávané po dobu platnosti zmluvného vzťahu a najneskôr do 3 rokov sú zlikvidované, ak ich prevádzkovateľ nevyužíva na základe oprávnených záujmov (napr. v rámci riešenia škôd, poistných udalostí a krádeží).
- osobné údaje spracúvané v rámci ostatných účelov sú uchovávané v lehote nevyhnutej na dosiahnutie účelu ich spracúvania, ktoré určujú osobitné právne predpisy alebo v rámci oprávneného záujmu prevádzkovateľa, nie však dlhšie ako 10 rokov a to len v nevyhnutom rozsahu na účely vedenia účtovnej agendy.
Právo dotknutej osoby:
- na informácie o spracúvaní jej osobných údajov,
- získať prístup k osobným údajom, ktoré sa o nej spracúvajú a uchovávajú,
- požiadať o opravu svojich nesprávnych, nepresných alebo neúplných osobných údajov,
- požiadať o vymazanie svojich osobných údajov, keď už nie sú potrebné, alebo ak je spracúvanie nezákonné,
- namietať proti spracovaniu svojich osobných údajov na marketingové účely alebo na základe, ktorý súvisí s konkrétnou situáciou,
- požiadať o obmedzenie spracúvania svojich osobných údajov v osobitných prípadoch,
- dostať svoje osobné údaje v strojovo čitateľnom formáte a/alebo požiadať o ich prenos inému prevádzkovateľovi,
- kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním, ak takýto súhlas dotknutá osoba udelila,
- požiadať, aby rozhodnutia založené na automatizovanom spracúvaní, ktoré sa jej týkajú alebo ju výrazne ovplyvňujú, vychádzajúce z jej osobných údajov, vykonávali fyzické osoby a nie automatizovane technické prostriedky, ak sú osobné údaje takto prevádzkovateľom spracúvané. Dotknutá osoba má právo vysloviť svoj názor a namietať proti rozhodnutiu prevádzkovateľa,
- podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia a právo na účinný súdny prostriedok nápravy, ak sa domnieva, že je spracúvanie jej osobných údajov v rozpore právnymi predpismi. Dozorným orgánom na území SR je Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava 27, tel. +421 (0)2 3231 3214, https://dataprotection.gov.sk/,
- podať žiadosť alebo sťažnosť prevádzkovateľovi v súvislosti s ochranou a spracúvaním jej osobných údajov. Každá dotknutá osoba, ktorá chce podať žiadosť alebo sťažnosť a uplatniť si svoje práva, môže tak vykonať:
- písomne na adrese sídla prevádzkovateľa
- elektronicky na e-mailové kontakty uvedené na webovej stránke prevádzkovateľa
- telefonicky na kontakty uvedené na webovej stránke prevádzkovateľa
Tieto podmienky nadobúdajú platnosť 01.01.2024.