Prepínanie navigácie
Kosaram
Ponuka
Účet

POLITIKA SPRACOVANIA ÚDAJOV

(VŠEOBECNÉ NARIADENIE O OCHRANE ÚDAJOV)

 

Názov organizácie:

FLORICULTOR s.r.o.

Sídlo spoločnosti:

2310 Szigetszentmiklós, Leshegy utca 1/c Daňové číslo: 26307297-2-13

Meno osoby (osôb) oprávnenej zastupovať spoločnosť: Szilágyi Csaba

 

Preskúmanie a udržiavanie tejto politiky

každoročne v závislosti od legislatívnych zmien.

Nadobudnutie účinnosti: 01.07.2018 Uplatniteľné od: 01.07.2018



OBSAH

I. ÚČEL KÓDEXU

II. ROZSAH PREDPISU Rozsah pôsobnosti

Časová pôsobnosť

III. DEFINÍCIE

IV. ZÁKLADNÉ ZÁSADY

V. PRÁVNY ZÁKLAD SPRACOVANIA

1. Súhlas dotknutej osoby

2. Plnenie zmluvy

3. Na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby

4. na vykonanie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo na sledovanie oprávnených záujmov prevádzkovateľa alebo tretej strany.

VI. KTO JE OPRÁVNENÝ NA PRÍSTUP K ÚDAJOM

VII. PRÁVA OSOBY, KTOREJ SA PRÁVO TÝKA Právo na informácie

Právo dotknutej osoby na prístup k údajom

Právo dotknutej osoby na opravu a vymazanie údajov

3.1. Právo na opravu

3.2 Právo na vymazanie ("právo byť zabudnutý")

4. Právo na obmedzenie spracovania

5. Povinnosť oznámiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania

6. Právo na prenosnosť údajov

7. Právo vzniesť námietku

8. Právo na výnimku z automatizovaného rozhodovania

9. Právo dotknutej osoby podať sťažnosť a žiadať nápravu

9.1 Právo podať sťažnosť dozornému orgánu.

9.2 Právo na účinný súdny prostriedok nápravy voči dozornému orgánu

9.3 Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo spracovateľovi

10. Obmedzenia

11. Informácie o porušení ochrany údajov

VIII. POSTUP, KTORÝ SA MÁ DODRŽAŤ V PRÍPADE ŽIADOSTI DOTKNUTEJ OSOBY

IX. POSTUP V PRÍPADE PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV

X. ČINNOSTI PODNIKU V OBLASTI SPRACÚVANIA ÚDAJOV V SÚVISLOSTI S PRACOVNÝM POMEROM

1. Spracovanie pred prijatím do zamestnania

1.1. Spracúvanie údajov v rámci náborového procesu

1.2. Spracúvanie údajov počas posudzovania vhodnosti na pracovné miesto

2. Spracúvanie údajov počas pracovného pomeru

2.1. Spracovanie údajov v rámci evidencie zamestnaní

2.2 Monitorovanie správania zamestnanca v pracovnom pomere

2.2.1. Spracovanie údajov týkajúcich sa elektronického systému dohľadu

2.2.2.2. Spracúvanie údajov súvisiacich s používaním e-mailového konta, ktoré Spoločnosť poskytla zamestnancovi

2.2.3. Kontrola používania prenosných počítačov, tabletov a telefónov poskytnutých zamestnancovi

2.2.4. Monitorovanie používania internetu zamestnancami na pracovisku



2.2.5. Spracovanie zamestnancov ad hoc

2.2.6. Spracovanie údajov v súvislosti s používaním navigačného zariadenia (GPS)

XI. ĎALŠIE ČINNOSTI A DOTKNUTÉ OSOBY, KTORÝCH SA SPRACÚVANIE TÝKA

1. Spracovanie na základe zákonnej povinnosti

1.1 Spracúvanie údajov súvisiace s plnením povinností v oblasti boja proti praniu špinavých peňazí

1.2. Spracovanie údajov na účely plnenia účtovných povinností

1.3. Spracúvanie údajov súvisiacich s plnením daňových a odvodových povinností

1.4. Povinnosti pri spracúvaní údajov v súvislosti so vznikom poistného vzťahu

1.5. Spracovanie údajov o vybavovaní sťažností

1.6. Spracovanie údajov počas technických kontrol a kontrol pravosti cestných vozidiel

2. Spracovanie údajov v rámci žiadostí o informácie, žiadostí o návrhy

3. Spracovanie údajov v súvislosti s webovou stránkou prevádzkovanou spoločnosťou

3.1. Informácie o návštevníkoch webovej stránky spoločnosti

3.2. Registrácia, odber noviniek

3.3. Spracúvanie údajov v súvislosti s aktivitami priameho marketingu

3.4. Správa údajov v súvislosti s internetovým obchodom prevádzkovaným spoločnosťou

3.5. Pravidlá prítomnosti na sociálnych sieťach

4. Činnosti spracovania údajov súvisiace s plnením zmluvy

5. Spracovanie údajov v súvislosti so žrebovaním výhier

6. Spracovanie údajov v súvislosti s elektronickou kontrolou prístupu

XII. PRAVIDLÁ SPRACOVANIA ÚDAJOV

1. Všeobecné pravidlá spracovania údajov

2. Činnosti spracovania údajov vykonávané spoločnosťou

XIII PREDPISY O BEZPEČNOSTI ÚDAJOV Zásady uplatňovania bezpečnosti údajov

Ochrana IT záznamov spoločnosti Ochrana papierových záznamov spoločnosti

XIV. OSTATNÉ USTANOVENIA



ANNEXEK

( prílohy budú sprístupnené s pomocou spracovateľa údajov )

 

REGISTER SPRACOVATEĽOV ÚDAJOV

VYHLÁSENIE O SÚHLASE SO SPRACOVANÍM OSOBNÝCH ÚDAJOV

SÚHLAS SO SPRACOVANÍM ÚDAJOV NA ÚČELY PRIAMEHO MARKETINGU

INFORMAČNÉ OZNÁMENIE O ZMLUVNOM SPRACOVANÍ ÚDAJOV (V PRÍPADE INDIVIDUÁLNEHO ZMLUVNÉHO PARTNERA)

INFORMÁCIE O POUŽÍVANÍ ELEKTRONICKÝCH MONITOROVACÍCH SYSTÉMOV ZMLUVA O SPRACOVANÍ ÚDAJOV

ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV NA WEBOVEJ LOKALITE ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV NA PRACOVISKU

VYHLÁSENIE O MLČANLIVOSTI PRE ZAMESTNANCOV SPRACOVATEĽA ÚDAJOV ZÁZNAM O SPRACOVANÍ ÚDAJOV SÚVISIACICH SO ZAMESTNANÍM ZÁZNAM O SPRACOVANÍ ÚDAJOV NA ÚČELY PRIAMEHO MARKETINGU

ZÁZNAMY O SPRÁVE ÚDAJOV TÝKAJÚCICH SA REGISTRÁCIE, ODBERU NOVINIEK ZÁZNAMY O SPRÁVE ÚDAJOV O ZÁKAZNÍKOCH

REGISTER SPRACÚVANIA ÚDAJOV DOLOŽKA O OCHRANE ÚDAJOV PRACOVNÁ ZMLUVA REGISTER INCIDENTOV V OBLASTI OCHRANY ÚDAJOV OZNÁMENIE O INCIDENTE V OBLASTI OCHRANY ÚDAJOV

ZÁZNAM O OPATRENIACH PRIJATÝCH V SÚVISLOSTI S PRÁVOM DOTKNUTEJ OSOBY NA PRÍSTUP K ÚDAJOM



I. ÚČEL KÓDEXU

Účelom týchto zásad je stanoviť interné pravidlá upravujúce politiku ochrany a správy údajov našej spoločnosti, zabezpečiť rešpektovanie súkromia fyzických osôb, dodržiavať zákon CXII z roku 2011 o práve na informačné sebaurčenie a slobodu informácií a nariadenie EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 20. decembra 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) 95/46/ES. Spoločnosť zabezpečí, aby pri spracúvaní a nakladaní s osobnými údajmi dotknutých osôb bolo dodržiavané ich právo na ochranu osobných údajov pri všetkých jej činnostiach a službách.

Prijatím týchto Zásad spoločnosť vyhlasuje, že dodržiava zásady spracúvania osobných údajov stanovené v článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 (ďalej len "Nariadenie").

II. ROZSAH PÔSOBNOSTI PRAVIDIEL

1. Osobný rozsah

Tieto zásady sa vzťahujú na spoločnosť a fyzické osoby, na ktoré sa vzťahujú jej činnosti spracovania. Spracovateľské činnosti uvedené v týchto Zásadách sú zamerané na osobné údaje fyzických osôb. Tieto Zásady sa nevzťahujú na spracúvanie osobných údajov týkajúcich sa právnických osôb alebo najmä podnikov zriadených ako právnické osoby vrátane názvu a formy právnickej osoby a kontaktných údajov právnickej osoby. Právnickou osobou je združenie, obchodná spoločnosť, družstvo, spolok a nadácia.

2. Časový rozsah

Tieto pravidlá zostávajú v platnosti odo dňa ich prijatia až do ďalšieho oznámenia alebo do dňa ich zrušenia.

III. DEFINÍCIE

1. dotknutá osoba: fyzická osoba identifikovaná alebo identifikovateľná na základe akýchkoľvek informácií;

1a. identifikovateľná fyzická osoba: fyzická osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä na základe identifikátora, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na základe jedného či viacerých faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu fyzickej osoby;

2. osobné údaje: akékoľvek informácie týkajúce sa subjektu údajov;

3. osobitné kategórie osobných údajov: všetky údaje, ktoré patria do osobitných kategórií osobných údajov, konkrétne osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odboroch, genetické údaje, biometrické údaje na účely jednoznačnej identifikácie fyzických osôb, údaje o zdravotnom stave a osobné údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzických osôb,



3a) Genetické údaje: akékoľvek osobné údaje týkajúce sa zdedených alebo získaných genetických charakteristík fyzickej osoby, ktoré obsahujú konkrétne informácie o fyziológii alebo zdravotnom stave tejto osoby a ktoré sú výsledkom predovšetkým analýzy biologickej vzorky odobratej tejto fyzickej osobe;

3b. biometrické údaje: osobné údaje týkajúce sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby získané prostredníctvom osobitných technických postupov, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby, ako napríklad obraz tváre alebo daktyloskopické údaje;

3c. zdravotné údaje: osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby vrátane údajov o zdravotných službách poskytnutých fyzickej osobe, ktoré obsahujú informácie o zdravotnom stave fyzickej osoby;

(4) Súhlas: slobodne daný, výslovný a riadne informovaný prejav vôle dotknutej osoby, ktorým vyjadruje svoj súhlas so spracovaním osobných údajov, ktoré sa jej týkajú, prostredníctvom vyhlásenia alebo iného konania, ktoré jednoznačne vyjadruje jej vôľu;

5. prevádzkovateľ: fyzická alebo právnická osoba alebo subjekt bez právnej subjektivity, ktorý sám alebo spoločne s inými určuje účely, na ktoré sa majú údaje spracúvať, prijíma a vykonáva rozhodnutia týkajúce sa spracúvania (vrátane použitých prostriedkov) alebo necháva údaje spracúvať u sprostredkovateľa v medziach stanovených zákonom alebo právne záväzným aktom Európskej únie;

5a. spoločný prevádzkovateľ: prevádzkovateľ, ktorý v medziach stanovených zákonom alebo právne záväzným aktom Európskej únie určuje účely a prostriedky spracúvania spoločne s jedným alebo viacerými prevádzkovateľmi, prijíma a vykonáva alebo dal vykonať rozhodnutia o spracúvaní (vrátane použitých prostriedkov) spoločne s jedným alebo viacerými prevádzkovateľmi a so sprostredkovateľom;

6. spracúvanie údajov: akákoľvek operácia alebo súbor operácií, ktoré sa vykonávajú s údajmi bez ohľadu na použitý postup, najmä akékoľvek zhromažďovanie, zaznamenávanie, evidovanie, usporadúvanie, uchovávanie, zmena, používanie, vyhľadávanie, sprístupňovanie, prenos, zosúlaďovanie alebo kombinovanie, blokovanie, vymazávanie alebo ničenie údajov, zabránenie ich ďalšiemu použitiu, vyhotovovanie fotografií, zvukových záznamov alebo obrazových záznamov a fyzických znakov, ktoré možno použiť na identifikáciu osoby (napr. odtlačky prstov, odtlačky dlane, vzorky DNA, skeny dúhovky);

7. prenos: sprístupnenie údajov určenej tretej strane;

7a. nepriamy prenos: prenos osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine alebo prevádzkovateľovi alebo sprostredkovateľovi v inej tretej krajine alebo sprostredkovateľovi v medzinárodnej organizácii prostredníctvom prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine alebo sprostredkovateľovi v medzinárodnej organizácii;

8. zverejnenie: sprístupnenie údajov komukoľvek;



9. vymazanie: znemožnenie rozpoznania údajov takým spôsobom, že ich už nie je možné obnoviť;

10. obmedzenie spracovania: blokovanie uložených údajov ich označením na účely obmedzenia ich ďalšieho spracovania;

11. zničenie údajov: úplné fyzické zničenie dátového média obsahujúceho údaje;

12. spracúvanie: súhrn spracovateľských operácií, ktoré vykonáva sprostredkovateľ konajúci v mene alebo podľa pokynov prevádzkovateľa;

13. Spracovateľ údajov: fyzická alebo právnická osoba alebo subjekt bez právnej subjektivity, ktorý spracúva osobné údaje v mene prevádzkovateľa alebo podľa jeho pokynov, v rozsahu a za podmienok stanovených zákonom alebo právne záväzným aktom Európskej únie;

14. dataset: súbor údajov spravovaných v jednom registri;

(15) tretia strana: fyzická alebo právnická osoba alebo subjekt bez právnej subjektivity iný ako dotknutá osoba, prevádzkovateľ, sprostredkovateľ alebo osoby, ktoré pod priamym vedením prevádzkovateľa alebo sprostredkovateľa vykonávajú operácie súvisiace so spracovaním osobných údajov;

16. porušenie ochrany údajov: porušenie bezpečnosti údajov, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené zverejnenie alebo prenos prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo prístup k nim;

17. profilovanie: akékoľvek spracúvanie osobných údajov automatizovanými prostriedkami určené na hodnotenie, analýzu alebo predvídanie osobných aspektov týkajúcich sa dotknutej osoby, najmä jej výkonu v práci, ekonomickej situácie, zdravotného stavu, osobných preferencií alebo záujmov, spoľahlivosti, správania, polohy alebo pohybu;

18. Príjemca: fyzická alebo právnická osoba alebo subjekt bez právnej subjektivity, ktorému prevádzkovateľ alebo sprostredkovateľ poskytuje osobné údaje alebo ktorému sa osobné údaje poskytujú;

19. pseudonymizácia: spracúvanie osobných údajov spôsobom, ktorý znemožňuje identifikáciu dotknutej osoby bez ďalších informácií, ktoré sú uložené oddelene od osobných údajov, a pomocou technických a organizačných opatrení zabezpečuje, že osobné údaje nemožno spojiť s identifikovanou alebo identifikovateľnou fyzickou osobou;

20. podnik: každá fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev a združení vykonávajúcich pravidelnú hospodársku činnosť.

Nariadenie 21: NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016.

22. systém správy údajov: prostriedky používané na správu údajov.



IV. ZÁKLADNÉ ZÁSADY

Osobné údaje sa môžu spracúvať len na konkrétne účely, na výkon práv a plnenie povinností.

Vo všetkých fázach spracovania musí byť splnený účel spracovania a zhromažďovanie a spracovanie údajov musí byť spravodlivé a zákonné. Spracúvajú sa len tie osobné údaje, ktoré sú nevyhnutné na účel spracovania a ktoré sú na tento účel primerané.

Osobné údaje sa môžu spracúvať len v rozsahu a počas doby nevyhnutnej na daný účel.

Spoločnosť eviduje, že osobné údaje, ktoré spracúva, sú uložené v jej sídle vo forme elektronických súborov a papierových dokumentov, pričom dodržiava zákonné požiadavky na bezpečnosť údajov. Toto ustanovenie sa vzťahuje na všetky činnosti spracovania a spracúvania údajov vykonávané Spoločnosťou.

V. PRÁVNY ZÁKLAD SPRACOVANIA

1. Súhlas dotknutej osoby

(1) Zákonnosť spracúvania osobných údajov musí byť založená na súhlase dotknutej osoby alebo na inom zákonnom základe stanovenom zákonom.

(2) V prípade spracúvania na základe súhlasu dotknutej osoby môže dotknutá osoba udeliť súhlas so spracúvaním svojich osobných údajov v tejto forme:

a) písomne vo forme vyhlásenia o súhlase so spracovaním osobných údajov,

(b) elektronicky, výslovným správaním na webovej stránke spoločnosti, zaškrtnutím políčka alebo technickým nastavením pri používaní služieb informačnej spoločnosti alebo akýmkoľvek iným vyhlásením alebo úkonom, ktorý v príslušnom kontexte jasne naznačuje súhlas dotknutej osoby so zamýšľaným spracovaním jej osobných údajov.

(3) Mlčanie, zaškrtnutie políčka alebo nečinnosť preto nepredstavujú súhlas.

(4) Súhlas sa vzťahuje na všetky spracovateľské činnosti vykonávané na rovnaký účel alebo účely.

(5) Ak je spracúvanie určené na viac ako jeden účel, súhlas musí byť udelený na všetky účely, na ktoré je spracúvanie určené. Ak dotknutá osoba udelí súhlas na základe elektronickej žiadosti, žiadosť musí byť jasná a stručná a nesmie zbytočne brániť využívaniu služby, na ktorú sa súhlas žiada.

(6) Dotknutá osoba má právo svoj súhlas kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania založeného na súhlase pred jeho odvolaním. Dotknutá osoba musí byť pred udelením súhlasu informovaná. Odvolanie súhlasu sa umožňuje rovnako jednoduchým spôsobom ako jeho udelenie. V prípade spracúvania založeného na súhlase dotknutej osoby by malo byť trvanie spracúvania obmedzené na čas, kým sa nesplní účel spracúvania,



alebo do odvolania súhlasu, alebo do vykonania súdneho alebo správneho rozhodnutia, ktorým sa nariaďuje vymazanie údajov.

2. Plnenie zmluvy

Spracúvanie je zákonné, ak je potrebné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na účely prijatia opatrení na žiadosť dotknutej osoby pred uzavretím zmluvy.

Súhlas dotknutej osoby so spracúvaním osobných údajov, ktoré nie sú potrebné na plnenie zmluvy, nie je podmienkou na uzavretie zmluvy.

3. Na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby

Právny základ spracúvania je určený zákonom v prípade plnenia zákonnej povinnosti, takže na spracúvanie osobných údajov dotknutej osoby sa nevyžaduje jej súhlas.

Prevádzkovateľ informuje dotknutú osobu o účeloch, právnom základe, trvaní, totožnosti prevádzkovateľa, právach a opravných prostriedkoch dotknutej osoby.

Prevádzkovateľ je oprávnený spracúvať údaje potrebné na splnenie zákonnej povinnosti, ktorá sa na dotknutú osobu vzťahuje, aj po odvolaní súhlasu dotknutej osoby.

4. na vykonanie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo na sledovanie oprávnených záujmov prevádzkovateľa alebo tretej strany.

Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, s ktorým sa osobné údaje môžu zdieľať, alebo tretej strany môžu predstavovať právny dôvod na spracúvanie za predpokladu, že záujmy, základné práva a slobody dotknutej osoby neprevažujú nad oprávnenými záujmami dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutej osoby na základe jej vzťahu s prevádzkovateľom. O takýto oprávnený záujem môže ísť napríklad v prípade, keď existuje relevantný a primeraný vzťah medzi dotknutou osobou a prevádzkovateľom, napríklad keď je dotknutá osoba klientom prevádzkovateľa alebo je u neho zamestnaná.

Na preukázanie existencie oprávneného záujmu je potrebné okrem iného dôkladne zvážiť, či dotknutá osoba mohla v čase a v kontexte zhromažďovania osobných údajov odôvodnene očakávať, že sa spracúvanie na dané účely uskutoční.

Záujmy a základné práva dotknutej osoby môžu mať prednosť pred záujmami prevádzkovateľa, ak sa osobné údaje spracúvajú za okolností, za ktorých dotknutá osoba neočakáva ďalšie spracúvanie.

VI. KTO JE OPRÁVNENÝ NA PRÍSTUP K ÚDAJOM

K osobným údajom môžu mať prístup zamestnanci Spoločnosti s prístupovými právami súvisiacimi s príslušným účelom správy údajov a osoby a organizácie, ktoré pre Spoločnosť vykonávajú činnosti spracovania údajov na základe zmlúv o poskytovaní služieb, a to v rozsahu a v miere potrebnej na výkon ich činností.

Zoznam spracovateľov údajov je uvedený v prílohe 1 k týmto pravidlám.

VII. PRÁVA DOTKNUTEJ OSOBY



Právo na informácie

(1) Dotknutá osoba má právo byť informovaná o informáciách týkajúcich sa spracúvania jej údajov pred začatím spracúvania údajov.

(2) Informácie, ktoré sa majú sprístupniť, ak sa osobné údaje získavajú od dotknutej osoby: totožnosť a kontaktné údaje prevádzkovateľa a prípadne zástupcu prevádzkovateľa; prípadne kontaktné údaje úradníka pre ochranu údajov;

účely, na ktoré sa majú osobné údaje spracúvať, a právny základ spracúvania;

v prípade spracúvania na základe článku 6 ods. 1 písm. f) nariadenia oprávnené záujmy prevádzkovateľa alebo tretej strany;

prípadne príjemcovia osobných údajov a prípadné kategórie príjemcov;

prípadne skutočnosť, že prevádzkovateľ má v úmysle preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, a existenciu alebo neexistenciu rozhodnutia Komisie o primeranosti alebo v prípade prenosu uvedeného v článku 46, článku 47 alebo článku 49 ods. 1 druhom pododseku nariadenia uvedenie vhodných a primeraných záruk a odkaz na spôsob získania kópie alebo dostupnosť kópie.

(3) Okrem informácií uvedených v odseku 1 poskytne prevádzkovateľ v čase získavania osobných údajov dotknutej osobe v záujme zabezpečenia spravodlivého a transparentného spracúvania tieto dodatočné informácie:

trvanie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na určenie tohto trvania;

právo dotknutej osoby požiadať prevádzkovateľa o prístup k osobným údajom, ktoré sa jej týkajú, o ich opravu, vymazanie alebo obmedzenie ich spracúvania a namietať proti spracúvaniu takýchto osobných údajov, ako aj právo na prenosnosť údajov;

v prípade spracúvania na základe článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a) nariadenia právo kedykoľvek odvolať súhlas bez toho, aby bola dotknutá zákonnosť spracúvania vykonaného na základe súhlasu pred jeho odvolaním;

právo podať sťažnosť dozornému orgánu;

či je poskytnutie osobných údajov založené na zákonnej alebo zmluvnej povinnosti alebo je podmienkou na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje a aké sú možné dôsledky neposkytnutia údajov;

skutočnosť automatizovaného rozhodovania vrátane profilovania, ako sa uvádza v článku 22 ods. 1 a 4 nariadenia, a aspoň v týchto prípadoch jasné informácie o použitej logike a význame takéhoto spracúvania a jeho pravdepodobných dôsledkoch pre dotknutú osobu.



(4) Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

totožnosť a kontaktné údaje prevádzkovateľa a prípadného zástupcu prevádzkovateľa; kontaktné údaje úradníka pre ochranu údajov, ak existuje;

účely, na ktoré sa majú osobné údaje spracúvať, a právny základ spracúvania; kategórie dotknutých osobných údajov;

prípadných príjemcov osobných údajov alebo kategórií príjemcov;

prípadne skutočnosť, že prevádzkovateľ má v úmysle preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii, a existenciu alebo neexistenciu rozhodnutia Komisie o primeranosti alebo v prípade prenosu uvedeného v článku 46, článku 47 alebo článku 49 ods. 1 druhom pododseku nariadenia uvedenie primeraných a vhodných záruk a odkaz na spôsob získania kópie alebo ich dostupnosť.

(5) Okrem informácií uvedených v odseku 1 poskytne prevádzkovateľ dotknutej osobe tieto dodatočné informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania údajov pre dotknutú osobu:

trvanie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na určenie tohto trvania;

ak je spracúvanie založené na článku 6 ods. 1 písm. f) nariadenia, na oprávnených záujmoch prevádzkovateľa alebo tretej strany;

právo dotknutej osoby požadovať od prevádzkovateľa prístup k osobným údajom, ktoré sa jej týkajú, ich opravu, vymazanie alebo obmedzenie ich spracúvania a namietať proti spracúvaniu osobných údajov, ako aj právo na prenosnosť údajov;

v prípade spracúvania na základe článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a) nariadenia právo kedykoľvek odvolať súhlas bez toho, aby bola dotknutá zákonnosť spracúvania vykonaného na základe súhlasu pred jeho odvolaním;

právo podať sťažnosť dozornému orgánu;

zdroj osobných údajov a prípadne, či údaje pochádzajú z verejne dostupných zdrojov a

skutočnosť automatizovaného rozhodovania vrátane profilovania, ako sa uvádza v článku 22 ods. 1 a 4 nariadenia, a aspoň v týchto prípadoch použitú logiku a jasné informácie o význame takéhoto spracúvania a jeho pravdepodobných dôsledkoch pre dotknutú osobu.

(6) Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel, než na ktorý boli získané, pred ďalším spracúvaním informuje dotknutú osobu o tomto inom účele a o všetkých príslušných dodatočných informáciách uvedených v odseku 2.

(7) Odseky 1 až 3 sa neuplatňujú, ak a v rozsahu, v akom:



dotknutá osoba už informácie má;

poskytnutie predmetných informácií sa ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, pri zohľadnení podmienok a záruk uvedených v článku 89 ods. 1, alebo ak by povinnosť uvedená v odseku 1 tohto článku pravdepodobne znemožnila alebo vážne sťažila dosiahnutie účelov takéhoto spracúvania. V takýchto prípadoch prevádzkovateľ prijme primerané opatrenia vrátane zverejnenia informácií s cieľom chrániť práva, slobody a oprávnené záujmy dotknutej osoby;

získanie alebo zverejnenie údajov sa výslovne vyžaduje na základe práva Únie alebo práva členského štátu, ktoré sa vzťahuje na prevádzkovateľa a ktoré stanovuje primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby, alebo

osobné údaje musia zostať dôverné na základe povinnosti zachovávať služobné tajomstvo, ktorú ukladá právo EÚ alebo členského štátu, vrátane zákonnej povinnosti mlčanlivosti.

Právo dotknutej osoby na prístup k údajom

(1) Dotknutá osoba má právo získať od prevádzkovateľa spätnú väzbu o tom, či sa jej osobné údaje spracúvajú, a ak sa takéto spracúvanie vykonáva, má právo na prístup k osobným údajom a na tieto informácie:

účely spracovania;

kategórie príslušných osobných údajov;

príjemcov alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä vrátane príjemcov v tretích krajinách alebo medzinárodných organizáciách;

prípadne predpokladanú dobu uchovávania osobných údajov alebo, ak to nie je možné, kritériá na určenie tejto doby;

právo dotknutej osoby požadovať od prevádzkovateľa opravu, vymazanie alebo obmedzenie spracúvania osobných údajov, ktoré sa jej týkajú, a namietať proti spracúvaniu takýchto osobných údajov;

právo podať sťažnosť dozornému orgánu;

ak údaje neboli získané od dotknutej osoby, všetky dostupné informácie o ich zdroji; skutočnosť automatizovaného rozhodovania uvedeného v článku 22 ods. 1 a 4 nariadenia vrátane

profilovanie a aspoň v týchto prípadoch jasné informácie o použitej logike a význame takéhoto spracúvania a jeho pravdepodobných dôsledkoch pre dotknutú osobu.

(2) Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách prenosu v súlade s článkom 46.



(3) Prevádzkovateľ poskytne dotknutej osobe kópiu spracúvaných osobných údajov. Za ďalšie kópie, ktoré si dotknutá osoba vyžiada, môže prevádzkovateľ účtovať primeraný poplatok na základe administratívnych nákladov. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanom elektronickom formáte, pokiaľ dotknutá osoba nepožiada o iný formát.

3. Právo dotknutej osoby na opravu a vymazanie údajov

3.1. Právo na opravu

(1) Dotknutá osoba má právo na opravu nepresných osobných údajov, ktoré sa jej týkajú, a to na základe svojej žiadosti a bez zbytočného odkladu. S prihliadnutím na účely spracúvania má dotknutá osoba právo na opravu neúplných osobných údajov, a to aj prostredníctvom dodatočného vyhlásenia.

(2) Na účely uplatnenia práva na opravu prevádzkovateľ v prípade, že osobné údaje spracúvané prevádzkovateľom alebo sprostredkovateľom konajúcim v jeho mene alebo na jeho pokyn sú nepresné, nesprávne alebo neúplné, bez zbytočného odkladu, najmä na žiadosť dotknutej osoby, tieto údaje opraví alebo doplní, alebo ak je to zlučiteľné s účelom spracúvania, doplní ich o ďalšie osobné údaje poskytnuté dotknutou osobou alebo o vyhlásenie dotknutej osoby o spracúvaných osobných údajoch.

(3) Prevádzkovateľ je oslobodený od povinnosti stanovenej v odseku 2, ak.

(a) nemá k dispozícii presné, správne alebo úplné osobné údaje a dotknutá osoba ich neposkytla, alebo

b) pravosť osobných údajov poskytnutých dotknutou osobou nemožno bez akýchkoľvek pochybností určiť.

3.2 Právo na vymazanie ("právo byť zabudnutý")

(1) Dotknutá osoba má právo na to, aby prevádzkovateľ na jej žiadosť bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ktoré sa jej týkajú, ak sa uplatní jeden z týchto dôvodov:

osobné údaje už nie sú potrebné na účely, na ktoré boli zhromaždené alebo inak spracované;

dotknutá osoba odvolá svoj súhlas podľa článku 6 ods. 1 písm. a) nariadenia (súhlas so spracovaním osobných údajov) alebo článku 9 ods. 2 písm. a) nariadenia (výslovný súhlas) a neexistuje žiadny iný právny základ pre spracúvanie;

dotknutá osoba namieta proti spracúvaniu na základe článku 21 ods. 1 nariadenia (právo namietať) a neexistuje žiadny prevažujúci oprávnený dôvod na spracúvanie, alebo dotknutá osoba namieta proti spracúvaniu na základe článku 21 ods. 2 nariadenia (námietka proti spracúvaniu na komerčné účely);

osobné údaje boli spracované nezákonne;

osobné údaje sa musia vymazať, aby sa splnila právna povinnosť podľa práva Únie alebo členského štátu, ktorá sa vzťahuje na prevádzkovateľa;



osobné údaje boli zhromaždené v súvislosti s poskytovaním služieb informačnej spoločnosti uvedených v článku 8 ods. 1.

(2) Ak prevádzkovateľ zverejnil osobné údaje a na žiadosť dotknutej osoby je povinný ich vymazať, prijme primerané opatrenia vrátane technických opatrení, pričom zohľadní dostupnú technológiu a náklady na ich vykonanie, aby informoval prevádzkovateľov, ktorí údaje spracúvajú, že dotknutá osoba požiadala o vymazanie odkazov na príslušné osobné údaje, ich kópií alebo replik.

(3) Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie nevyhnutné na výkon práva na slobodu prejavu a práva na informácie;

na účely splnenia povinnosti vyplývajúcej z práva Únie alebo členského štátu, ktorému prevádzkovateľ podlieha a ktorému spracúvanie osobných údajov podlieha, alebo na účely splnenia úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

z dôvodov verejného záujmu v oblasti verejného zdravia podľa článku 9 ods. 2 písm. h) a i) nariadenia a článku 9 ods. 3 nariadenia;

na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely v súlade s článkom 89 ods. 1 nariadenia, ak by právo uvedené v odseku 1 pravdepodobne znemožnilo alebo vážne narušilo takéto spracúvanie, alebo

na podanie, vymáhanie alebo obhajobu právnych nárokov.

4. Právo na obmedzenie spracovania

(1) Dotknutá osoba má právo na svoju žiadosť dosiahnuť obmedzenie spracúvania zo strany prevádzkovateľa, ak je splnená jedna z týchto podmienok:

dotknutá osoba spochybňuje presnosť osobných údajov, pričom v takom prípade sa obmedzenie uplatňuje na obdobie potrebné na to, aby prevádzkovateľ mohol overiť presnosť osobných údajov;

spracúvanie údajov je nezákonné a dotknutá osoba nesúhlasí s vymazaním údajov a namiesto toho žiada o obmedzenie ich používania;

prevádzkovateľ už nepotrebuje osobné údaje na účely spracovania, ale dotknutá osoba ich potrebuje na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo

dotknutá osoba vzniesla námietku proti spracúvaniu podľa článku 21 ods. 1 nariadenia; v tomto prípade sa obmedzenie uplatňuje počas obdobia, kým sa nezistí, či oprávnené dôvody prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

(2. Ak je spracúvanie obmedzené podľa odseku 1, takéto osobné údaje sa môžu spracúvať, s výnimkou uchovávania, len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov alebo na ochranu práv inej fyzickej alebo právnickej osoby alebo dôležitého verejného záujmu Únie alebo členského štátu.

(3) Prevádzkovateľ informuje dotknutú osobu, na ktorej žiadosť bolo spracúvanie obmedzené podľa odseku 1, o zrušení obmedzenia vopred.



5. Povinnosť oznámiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania

(1) Prevádzkovateľ informuje každého príjemcu, ktorému boli osobné údaje poskytnuté alebo ktorému boli poskytnuté, o oprave, vymazaní alebo obmedzení spracúvania, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.

(2) Na žiadosť dotknutej osoby prevádzkovateľ informuje dotknutú osobu o týchto príjemcoch.

6. Právo na prenosnosť údajov

(1) Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a právo preniesť tieto údaje inému prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému boli osobné údaje poskytnuté, bránil, ak:

spracúvanie je založené na súhlase podľa článku 6 ods. 1 písm. a) nariadenia (súhlas so spracúvaním osobných údajov) alebo článku 9 ods. 2 písm. a) nariadenia (výslovný súhlas so spracúvaním) alebo na zmluve podľa článku 6 ods. 1 písm. b) a

spracovanie sa vykonáva automatizovanými prostriedkami.

(2) Pri uplatňovaní práva na prenosnosť údajov podľa odseku 1 má dotknutá osoba právo požiadať o priamy prenos osobných údajov medzi prevádzkovateľmi, ak je to technicky možné.

(3. Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17 nariadenia. Toto právo sa neuplatňuje, ak je spracúvanie nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

(4) Právo uvedené v odseku 1 nesmie mať nepriaznivý vplyv na práva a slobody iných osôb.

7. Právo vzniesť námietku

(1) Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu jej osobných údajov vykonávanému pri výkone verejnej moci alebo vo verejnom záujme alebo proti spracúvaniu nevyhnutnému na účely oprávnených záujmov prevádzkovateľa alebo tretej strany (spracúvanie na základe článku 6 ods. 1 písm. e) alebo f) nariadenia) vrátane profilovania založeného na týchto ustanoveniach. V takom prípade prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže závažné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

(2) Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týkajú, na takéto účely vrátane profilovania, ak súvisí s priamym marketingom.



(3) Ak dotknutá osoba namieta proti spracúvaniu osobných údajov na účely priameho marketingu, osobné údaje sa na tieto účely už nebudú spracúvať.

(4) Právo uvedené v odsekoch 1 a 2 sa dotknutej osobe výslovne oznámi najneskôr pri prvom kontakte s dotknutou osobou a táto informácia sa zreteľne uvedie oddelene od akýchkoľvek iných informácií.

(5) V súvislosti s využívaním služieb informačnej spoločnosti a odchylne od smernice 2002/58/ES môže dotknutá osoba uplatniť právo namietať automatizovanými prostriedkami na základe technických špecifikácií.

(6) Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu alebo na štatistické účely v súlade s článkom 89 ods. 1 nariadenia, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, okrem prípadov, keď je spracúvanie nevyhnutné na splnenie úlohy vykonávanej z dôvodov verejného záujmu.

8. Právo na výnimku z automatizovaného rozhodovania

(1) Dotknutá osoba má právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré má pre ňu právne účinky alebo ju podobne významne ovplyvňuje.

(2) Odsek 1 sa neuplatňuje, ak rozhodnutie:

nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom;

je povolené právom Únie alebo právom členského štátu, ktoré sa vzťahuje na prevádzkovateľa a v ktorom sú stanovené aj primerané opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

je založené na výslovnom súhlase dotknutej osoby.

(3) V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ prijme primerané opatrenia na ochranu práv, slobôd a oprávnených záujmov dotknutej osoby vrátane aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoj názor a práva namietať proti rozhodnutiu.

(4) Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1 nariadenia, pokiaľ rozhodnutia uvedené v článku 9 ods. 2 písm. a) alebo b) nariadenia nie sú založené na

(g) sa uplatňujú a prijali primerané opatrenia na ochranu práv, slobôd a oprávnených záujmov dotknutej osoby.

9. Právo dotknutej osoby podať sťažnosť a žiadať nápravu

9.1 Právo podať sťažnosť dozornému orgánu.

(1) Dotknutá osoba má právo podať sťažnosť dozornému orgánu podľa článku 77 nariadenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, porušuje toto nariadenie.

(2) Dotknutá osoba môže uplatniť svoje právo na podanie sťažnosti tak, že sa obráti na:



Maďarský národný úrad pre ochranu údajov a slobodu informácií, adresa: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., telefón: +36 (1) 391-1400; fax: +36 (1) 391-1410 www: http://www.naih.hu e-mail: ugyfelszolgalat@naih.hu

(3) Dozorný orgán, ktorému bola sťažnosť podaná, informuje klienta o procesnom vývoji týkajúcom sa sťažnosti a o jej výsledku vrátane práva klienta na súdny prostriedok nápravy podľa článku 78 nariadenia.

9.2 Právo na účinný súdny prostriedok nápravy voči dozornému orgánu

(1) Bez toho, aby boli dotknuté akékoľvek iné správne alebo mimosúdne opravné prostriedky, má každá fyzická alebo právnická osoba právo na účinný súdny prostriedok nápravy proti právne záväznému rozhodnutiu dozorného orgánu, ktoré sa týka tejto osoby.

(2) Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, má každá dotknutá osoba právo na účinný súdny prostriedok nápravy, ak sa príslušný dozorný orgán sťažnosťou nezaoberá alebo ak dotknutú osobu do troch mesiacov neinformuje o procesnom vývoji týkajúcom sa sťažnosti podanej podľa článku 77 nariadenia alebo o výsledku sťažnosti.

(3) Konanie proti dozornému orgánu sa vedie na súdoch členského štátu, v ktorom má dozorný orgán sídlo.

(4) Ak sa začne konanie proti rozhodnutiu dozorného orgánu, ku ktorému výbor predtým vydal stanovisko alebo prijal rozhodnutie v rámci mechanizmu konzistentnosti, dozorný orgán zašle toto stanovisko alebo rozhodnutie súdu.

9.3 Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo spracovateľovi

(1. Bez toho, aby boli dotknuté dostupné správne alebo mimosúdne prostriedky nápravy vrátane práva podať sťažnosť dozornému orgánu podľa článku 77, má každá dotknutá osoba k dispozícii účinný súdny prostriedok nápravy, ak sa domnieva, že jej práva podľa tohto nariadenia boli porušené v dôsledku spracúvania jej osobných údajov, ktoré nie je v súlade s týmto nariadením.

(2) Konanie proti prevádzkovateľovi alebo sprostredkovateľovi sa vedie na súdoch členského štátu, v ktorom je prevádzkovateľ alebo sprostredkovateľ usadený. Takéto konanie sa môže začať aj na súdoch členského štátu, v ktorom má dotknutá osoba obvyklý pobyt, pokiaľ prevádzkovateľ alebo sprostredkovateľ nie je orgánom verejnej moci členského štátu, ktorý koná pri výkone svojej verejnej moci.

10. Obmedzenia

(1. Právo Únie alebo členského štátu, ktoré sa uplatňuje na prevádzkovateľa alebo sprostredkovateľa, môže prostredníctvom legislatívnych opatrení obmedziť rozsah práv a povinností stanovených v článku 5, pokiaľ ide o jeho ustanovenia v článkoch 12 až 22 a článku 34 a v súlade s právami a povinnosťami stanovenými v článkoch 12 až 22, ak obmedzenie rešpektuje základný obsah základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti na ich ochranu:

národnej bezpečnosti;



obrana; verejná bezpečnosť;

predchádzanie, vyšetrovanie, odhaľovanie alebo stíhanie trestných činov alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu;

iné dôležité ciele všeobecného záujmu Únie alebo členského štátu, najmä dôležité hospodárske alebo finančné záujmy Únie alebo členského štátu vrátane menových, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

nezávislosť súdnictva a ochrana súdnych konaní;

predchádzanie, vyšetrovanie, odhaľovanie a stíhanie etických porušení v regulovaných povolaniach;

v prípadoch uvedených v písmenách a) až e) a g), a to aj príležitostne, kontrolné, inšpekčné alebo regulačné činnosti spojené s výkonom verejnej moci;

na ochranu práv a slobôd dotknutých osôb alebo iných osôb; na uplatnenie občianskoprávnych nárokov.

(2) Legislatívne opatrenia uvedené v odseku 1 obsahujú v prípade potreby aspoň podrobné ustanovenia:

účely alebo kategórie spracúvania, kategórie osobných údajov,

rozsah uložených obmedzení,

bezpečnostné opatrenia na zabránenie zneužitiu alebo neoprávnenému prístupu alebo zverejneniu,

na definovanie kontroléra alebo na definovanie kategórií kontrolérov,

trvanie uchovávania a uplatniteľné záruky s prihliadnutím na povahu, rozsah a účely spracúvania alebo kategórie spracúvania,

riziká pre práva a slobody dotknutých osôb a

právo dotknutých osôb byť informovaný o obmedzení, pokiaľ by to nemohlo narušiť účel obmedzenia.

11. Informácie o porušení ochrany údajov

(1) Ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu informuje dotknutú osobu o porušení ochrany osobných údajov.

(2) Informácie uvedené v odseku 1 poskytnuté dotknutej osobe musia jasne a zreteľne opisovať povahu porušenia ochrany osobných údajov a musia obsahovať aspoň meno a kontaktné údaje zodpovednej osoby alebo inej kontaktnej osoby, ktorá poskytne ďalšie informácie, pravdepodobné dôsledky porušenia ochrany osobných údajov, informácie, ktoré má prevádzkovateľ poskytnúť dotknutej osobe



prijaté alebo plánované opatrenia na nápravu porušenia ochrany údajov vrátane prípadných opatrení na zmiernenie akýchkoľvek nepriaznivých dôsledkov porušenia ochrany údajov.

(3) Dotknutá osoba nemusí byť informovaná podľa odseku 1, ak je splnená niektorá z týchto podmienok:

prevádzkovateľ zaviedol primerané technické a organizačné ochranné opatrenia a tieto opatrenia sa uplatnili na údaje, ktorých sa porušenie ochrany osobných údajov týka, najmä opatrenia, ako je napríklad použitie šifrovania, ktoré znemožňuje prístup k údajom osobám, ktoré nemajú oprávnenie na prístup k osobným údajom;

prevádzkovateľ prijal po porušení ochrany osobných údajov dodatočné opatrenia, aby zabezpečil, že vysoké riziko pre práva a slobody dotknutej osoby uvedené v odseku 1 sa už pravdepodobne nebude vyskytovať;

informácií by si vyžadovalo neprimerané úsilie. V takýchto prípadoch by mali byť dotknuté osoby informované prostredníctvom verejne zverejnených informácií alebo by sa malo prijať podobné opatrenie na zabezpečenie toho, aby boli dotknuté osoby informované rovnako účinným spôsobom.

(4) Ak prevádzkovateľ ešte neinformoval dotknutú osobu o porušení ochrany osobných údajov, dozorný orgán môže po zvážení, či porušenie ochrany osobných údajov pravdepodobne predstavuje vysoké riziko, nariadiť, aby bola dotknutá osoba informovaná, alebo určiť, že je splnená jedna z podmienok uvedených v odseku 3.

VIII. POSTUP, KTORÝ SA MÁ DODRŽAŤ V PRÍPADE ŽIADOSTI DOTKNUTEJ OSOBY

(1) Spoločnosť uľahčí výkon práv dotknutej osoby a neodmietne vyhovieť žiadosti o výkon práv dotknutej osoby uvedených v týchto zásadách, pokiaľ nepreukáže, že nie je možné dotknutú osobu identifikovať.

(2) Spoločnosť informuje dotknutú osobu o opatreniach prijatých v reakcii na žiadosť bez zbytočného odkladu a v každom prípade najneskôr do 25 dní od prijatia žiadosti.

(3) Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú elektronickými prostriedkami, ak je to možné, pokiaľ dotknutá osoba nepožiada o iný spôsob.

(4) Ak spoločnosť neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne, najneskôr však do 25 dní od doručenia žiadosti, informuje dotknutú osobu o dôvodoch neprijatia opatrení a o možnosti dotknutej osoby podať sťažnosť dozornému orgánu a uplatniť svoje právo na súdnu ochranu.

(5) Spoločnosť poskytne dotknutej osobe bezplatne informácie podľa článkov 13 a 14 Nariadenia, ktoré sú podrobne uvedené v kapitole VI bod 1 týchto Pravidiel, a informácie a opatrenia podľa článkov 15 až 22 a 34 Nariadenia (spätná väzba o spracúvaní osobných údajov, prístup k spracúvaným údajom, oprava, integrácia, výmaz, obmedzenie spracúvania, prenosnosť, námietka proti spracúvaniu, oznámenie o porušení ochrany osobných údajov).

(6) Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná, najmä z dôvodu jej opakujúcej sa povahy, prevádzkovateľ je povinný, s výhradou poskytnutia požadovaných informácií alebo



administratívne náklady spojené s konaním: účtovať poplatok vo výške 5 000 HUF alebo odmietnuť konať vo veci žiadosti.

(7) Dôkazné bremeno, že žiadosť je zjavne neopodstatnená alebo neprimeraná, znáša prevádzkovateľ.

(8) Bez toho, aby bol dotknutý článok 11 nariadenia, ak má prevádzkovateľ odôvodnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť podľa článkov 15 až 21 nariadenia, môže požiadať o poskytnutie ďalších informácií potrebných na potvrdenie totožnosti dotknutej osoby.

(9) Ak prevádzkovateľ zamietne žiadosť dotknutej osoby o opravu, vymazanie alebo obmedzenie spracúvania osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ konajúci v jeho mene alebo na jeho pokyn, prevádzkovateľ o tom bezodkladne písomne informuje dotknutú osobu.

a) skutočnosť zamietnutia, právne a skutkové dôvody zamietnutia a

(b) práva dotknutej osoby podľa tohto zákona a prostriedky ich uplatnenia, najmä právo na opravu, vymazanie alebo obmedzenie spracúvania osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ konajúci v jeho mene alebo na základe jeho pokynov s pomocou úradu.

(10) Ak prevádzkovateľ opraví, vymaže alebo obmedzí spracúvanie osobných údajov, ktoré spracúva on sám alebo sprostredkovateľ konajúci v jeho mene alebo na jeho pokyn, oznámi túto skutočnosť a obsah tohto opatrenia prevádzkovateľom a sprostredkovateľom, ktorým boli údaje poskytnuté pred prijatím tohto opatrenia, aby im umožnil vykonať opravu, výmaz alebo obmedzenie spracúvania v súvislosti s ich vlastným spracúvaním.

(11) S cieľom uplatniť právo na výmaz prevádzkovateľ bezodkladne vymaže osobné údaje dotknutej osoby, ak.

(a) spracúvanie je nezákonné, najmä ak ide o

- je v rozpore so zásadami stanovenými v týchto pravidlách,

- účel spracovania sa skončil alebo ďalšie spracovanie údajov už nie je potrebné na účel spracovania,

- uplynula lehota stanovená zákonom, medzinárodnou zmluvou alebo právne záväzným aktom Európskej únie, alebo

- právny základ na spracovanie údajov zanikol a neexistuje žiadny iný právny základ na spracovanie údajov,

(b) dotknutá osoba odvolá svoj súhlas so spracovaním alebo požiada o vymazanie svojich osobných údajov, pokiaľ sa spracúvanie nezakladá na zákonnom oprávnení alebo na ochrane životne dôležitých záujmov dotknutej osoby alebo iných osôb.

c) vymazanie údajov bolo nariadené zákonom, právnym aktom EÚ, úradom alebo súdom, alebo

(d) uplynula lehota oprávneného záujmu dotknutej osoby, aby jej údaje neboli vymazané, alebo uplynula lehota uchovávania potrebná na splnenie dokumentačnej povinnosti v prípade medzinárodných tokov údajov.



IX. POSTUP V PRÍPADE PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV

(1) Porušenie ochrany osobných údajov je porušenie bezpečnosti v zmysle nariadenia, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené zverejnenie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo prístup k nim.

(2) Strata alebo krádež zariadenia (prenosného počítača, mobilného telefónu) obsahujúceho osobné údaje, ako aj strata alebo strata dešifrovacieho kódu používaného prevádzkovateľom na dešifrovanie zašifrovaných súborov alebo strata prístupu k takýmto údajom sa považuje za incident v oblasti ochrany údajov, nákaza ransomvérom (vírusom ransomware), ktorý znemožňuje prístup k údajom spracúvaným prevádzkovateľom až do zaplatenia výkupného, útok na IT systém, zverejnenie e-mailu alebo zoznamu adries obsahujúceho chybné osobné údaje atď.

(3) V prípade zistenia porušenia ochrany údajov zástupca spoločnosti bezodkladne vykoná vyšetrovanie s cieľom identifikovať porušenie ochrany údajov a jeho možné dôsledky. Prijmú sa potrebné opatrenia na nápravu škôd.

(4) Incident týkajúci sa ochrany údajov sa oznámi príslušnému dozornému orgánu bez zbytočného odkladu, a ak je to možné, najneskôr do 72 hodín po tom, ako sa o ňom dozvedel, pokiaľ nie je pravdepodobné, že incident týkajúci sa ochrany údajov predstavuje riziko pre práva a slobody fyzických osôb. Ak sa oznámenie neuskutoční do 72 hodín, musia sa k nemu pripojiť dôvody odôvodňujúce omeškanie.

(5) Sprostredkovateľ oznámi prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.

(6) Oznámenie uvedené v odseku 3 musí obsahovať aspoň:

opísať povahu porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb a kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka;

meno a kontaktné údaje úradníka pre ochranu údajov alebo inej kontaktnej osoby, ktorá môže poskytnúť ďalšie informácie;

vysvetliť pravdepodobné dôsledky porušenia ochrany údajov;

opísať opatrenia, ktoré prevádzkovateľ prijal alebo plánuje prijať na nápravu porušenia ochrany osobných údajov, prípadne vrátane opatrení na zmiernenie akýchkoľvek nepriaznivých dôsledkov porušenia ochrany osobných údajov.

(7) Ak a v rozsahu, v akom nie je možné oznámiť informácie v rovnakom čase, možno ich oznámiť po častiach k neskoršiemu dátumu bez ďalšieho zbytočného odkladu.

(8) Prevádzkovateľ vedie záznamy o porušeniach ochrany osobných údajov, v ktorých uvedie skutočnosti týkajúce sa porušenia ochrany osobných údajov, jeho následky a opatrenia prijaté na nápravu. Tento záznam umožní dozornému orgánu overiť súlad s požiadavkami článku 33 nariadenia.



X. ČINNOSTI PODNIKU V OBLASTI SPRACÚVANIA ÚDAJOV V SÚVISLOSTI S PRACOVNÝM POMEROM

Spoločnosť v súčasnosti nemá žiadnych zamestnancov a táto časť kódexu bude doplnená do kódexu pri jeho revízii v prípade vzniku pracovnoprávneho vzťahu.

XI. ĎALŠIE ČINNOSTI A DOTKNUTÉ OSOBY, KTORÝCH SA SPRACÚVANIE TÝKA

1. Spracovanie na základe zákonnej povinnosti

1.1 Spracúvanie údajov súvisiace s plnením povinností v oblasti boja proti praniu špinavých peňazí

(1) Podľa článku 6 ods. 1 zákona LIII z roku 2017 o predchádzaní a boji proti praniu špinavých peňazí a financovaniu terorizmu je spoločnosť povinná identifikovať a overiť totožnosť fyzickej osoby konajúcej v mene alebo na účet klienta pri nadviazaní obchodného vzťahu, v prípade, že sa vyskytnú údaje, skutočnosti alebo okolnosti nasvedčujúce praniu špinavých peňazí alebo financovaniu terorizmu, ak sa ešte nevykonala povinná starostlivosť o klienta; a ak existujú pochybnosti o pravosti alebo primeranosti predtým zaznamenaných identifikačných údajov klienta.

(2) Spoločnosť eviduje na účely identifikácie tieto údaje: fyzická osoba konajúca v mene alebo na účet klienta

priezvisko a meno; rodné priezvisko a meno; štátna príslušnosť;

miesto a dátum narodenia; dievčenské meno matky;

vašu adresu, prípadne miesto bydliska; typ a číslo vášho dokladu totožnosti.

(3) Dotknuté osoby: fyzické osoby konajúce v mene alebo na účet klienta.

(4) Prístup k osobným údajom má manažér alebo zamestnanec Spoločnosti určený na hĺbkovú kontrolu zákazníka. Spoločnosť je oprávnená spracúvať osobné údaje zaznamenané počas hĺbkovej kontroly zákazníka po dobu 8 rokov od ukončenia zmluvy (obchodného vzťahu).

1.2. Spracovanie údajov na účely plnenia účtovných povinností

(1) Právnym základom spracúvania údajov zákazníkov, odberateľov a dodávateľov - fyzických osôb Spoločnosti je plnenie zákonných povinností (zákon CXXVII z roku 2007, § 159 ods. 1), účelom použitia údajov je určenie povinných náležitostí faktúr, vystavenie faktúr a vykonávanie súvisiacich účtovných úkonov.

(2) Subjekty údajov: klienti, zákazníci, dodávatelia spoločnosti - fyzické osoby.

(3) Spracúvané údaje: mená, adresy, daňové čísla zákazníkov, odberateľov, dodávateľov, fyzických osôb spoločnosti



(4) Prístup k osobným údajom majú vedúci zamestnanci a zamestnanci, ktorí v rámci svojich pracovných povinností vystavujú faktúry, a vedúci zamestnanci a zamestnanci, ktorí vykonávajú účtovné činnosti. Spoločnosť je oprávnená spracúvať osobné údaje zaznamenané pri plnení vyššie uvedenej zákonnej povinnosti po dobu 8 rokov od ukončenia zmluvy (obchodného vzťahu).

1.3. Spracúvanie údajov súvisiacich s plnením daňových a odvodových povinností

(1) V súlade s článkom 50 ods. 1 zákona CL z roku 2017 o daňovom poriadku spoločnosť mesačne do dvanásteho dňa mesiaca nasledujúceho po príslušnom mesiaci predloží elektronické priznanie všetkých daní, príspevkov a/alebo údajov uvedených v odseku 2, ktoré sa týkajú platieb a dávok vyplatených fyzickým osobám, z ktorých vyplývajú daňové povinnosti a/alebo povinnosti v oblasti sociálneho zabezpečenia.

(2) Subjekty údajov: manažér spoločnosti, zamestnanci a ich rodinní príslušníci.

(3) Spracúvané údaje: manažér spoločnosti, jej zamestnanci, ich rodinní príslušníci Čl. 50 ods. 2 so zvýraznením identifikačných údajov fyzickej osoby (vrátane predchádzajúceho mena a titulu), pohlavia, štátnej príslušnosti, daňového identifikačného čísla fyzickej osoby, čísla sociálneho poistenia.

(4) Príjemcovia: zamestnanci Spoločnosti vykonávajúci účtovné a mzdové činnosti ako svoje pracovné povinnosti, spracovatelia údajov.

(5) Spoločnosť je oprávnená spracúvať osobné údaje zaznamenané pri plnení vyššie uvedenej právnej povinnosti po dobu 8 rokov od ukončenia právneho vzťahu. Záznamy o zamestnaní obsahujúce údaje o poistení a odvodoch zamestnancov sa nesmú likvidovať.

1.4. Povinnosti pri spracúvaní údajov v súvislosti so vznikom poistného vzťahu

(1) Podľa bodu 3 prílohy č. 1 k zákonu CL z roku 2017 zamestnávateľ pri vzniku poistného vzťahu oznámi Štátnemu daňovému a colnému úradu údaje o dotknutej osobe uvedené nižšie.

(2) Dotknuté osoby: fyzické osoby, ktoré sú so Spoločnosťou v poistnom vzťahu (pracovnoprávny vzťah, vzťah zastúpenia).

(3) Spracúvajú sa tieto údaje: priezvisko a meno, daňové identifikačné číslo, dátum narodenia, začiatok, kód, ukončenie poistného vzťahu, dĺžka prerušenia poistenia, týždenný pracovný čas, číslo FEOR, číslo sociálneho poistenia, vzdelanie, odborné vzdelanie, odborná kvalifikácia poistenca, ako aj názov inštitúcie, ktorá vydala osvedčenie, a číslo osvedčenia. Ak poistenec nemá daňové identifikačné číslo, je potrebné uviesť aj rodné priezvisko a meno, miesto narodenia, rodné priezvisko a meno matky a štátnu príslušnosť poistenca.

(4) Príjemcovia: zamestnanci Spoločnosti vykonávajúci účtovné a mzdové činnosti ako svoje pracovné povinnosti, spracovatelia údajov.

(5) Účel spracovania: splnenie zákonnej povinnosti.

Trvanie spracúvania údajov: 5 rokov po ukončení právneho vzťahu, s výnimkou záznamov o zamestnaní obsahujúcich údaje o poistení a odvodoch zamestnancov, ktoré nemožno zlikvidovať.



1.5. Spracovanie údajov o vybavovaní sťažností

S cieľom uľahčiť uplatňovanie práv spotrebiteľa spoločnosť informuje dotknutú osobu o svojom sídle, mieste vybavovania reklamácií a spôsobe vybavovania reklamácií, poštovej adrese zákazníckeho servisu podľa článku 17/A ods. 1 zákona CLV z roku 1997.

(2) Subjekt údajov: každá fyzická osoba, ktorá si uplatňuje spotrebiteľské právo voči Spoločnosti.

(3) Spracúvané údaje: meno, adresa, miesto, čas, spôsob podania sťažnosti, opis sťažnosti, identifikátor sťažnosti.

(4) Príjemcovia: zamestnanci spoločnosti, ktorí vykonávajú úlohy v oblasti služieb zákazníkom na základe svojej pracovnej funkcie, vedúci spoločnosti.

(5) Účel spracovania: splnenie zákonnej povinnosti.

(6) Podnik uchováva záznam o sťažnosti a kópiu odpovede päť rokov a na požiadanie ho predloží orgánom dohľadu.

2. Spracovanie údajov v rámci žiadostí o informácie, žiadostí o návrhy

(1) V súvislosti s poskytovanými službami alebo predávanými produktmi Spoločnosť poskytne tretím stranám možnosť požiadať o informácie alebo o cenovú ponuku.

(2) Právnym základom spracúvania údajov je súhlas dotknutej osoby v prípade žiadosti o informácie alebo žiadosti o návrh.

(3) V prípade žiadosti o informácie alebo žiadosti o cenovú ponuku je skupina dotknutých osôb: každá fyzická osoba, ktorá žiada o informácie alebo cenovú ponuku v súvislosti so službami alebo produktmi Spoločnosti a poskytuje osobné údaje.

(4) Spracúvané údaje: meno, adresa, telefónne číslo, e-mailová adresa.

(5) Účel spracovania v prípade žiadosti o informácie: identifikácia, kontakt

(6) Účel spracúvania údajov v prípade žiadosti o návrh: predloženie návrhu, udržiavanie kontaktu.

(7) Príjemcami údajov (ktorí môžu mať prístup k údajom) v prípade žiadosti o informácie alebo žiadosti o návrh sú vedúci spoločnosti, zamestnanec vykonávajúci úlohy vo vzťahu k zákazníkom.

(8) Trvanie spracúvania údajov v prípade žiadosti o informácie alebo ponuky: Spoločnosť vymaže osobné údaje po uplynutí 30 dní od poskytnutia informácií alebo ponuky.

3. Spracovanie údajov v súvislosti s webovou stránkou prevádzkovanou spoločnosťou

3.1. Informácie o návštevníkoch webovej stránky spoločnosti

(1) Počas návštevy webovej stránky Spoločnosti sa do počítača osoby, ktorá navštívila webovú stránku, odošle jeden alebo viacero súborov cookie - malých balíkov informácií, ktoré server posiela prehliadaču a prehliadač ich vracia serveru pri každej požiadavke smerujúcej na server - prostredníctvom ktorých sa jednoznačne identifikuje jej prehliadač (prehliadače), a to za predpokladu, že osoba, ktorá navštívila webovú stránku, s tým výslovne (aktívne) súhlasila tým, že po jasnom a jednoznačnom informovaní pokračovala v prehliadaní webovej stránky.



(2) Súbory cookie sa používajú výlučne na zlepšenie používateľského zážitku a na automatizáciu procesu prihlasovania. Súbory cookie používané na webovej lokalite neukladajú informácie umožňujúce identifikáciu osôb a spoločnosť v tejto súvislosti nespracúva osobné údaje.

3.2. Registrácia, odber noviniek

(1) Právnym základom pre spracovanie údajov je súhlas dotknutej osoby v prípade registrácie alebo odberu noviniek, ktorý dotknutá osoba udelí na webovej stránke spoločnosti zaškrtnutím políčka vedľa slov "registrácia" alebo "odber noviniek" po tom, ako bola informovaná o spracovaní svojich údajov.

(2) Dotknutá osoba v prípade registrácie, odberu newslettera: každá fyzická osoba, ktorá sa prihlási na odber newslettera spoločnosti alebo sa zaregistruje na webovej stránke a udelí súhlas so spracovaním svojich osobných údajov.

(3) Údaje spracúvané v prípade odberu noviniek: meno, e-mailová adresa.

(4) Údaje spracúvané v prípade registrácie: meno, adresa, e-mailová adresa, telefónne číslo, heslo.

(5) Účel spracúvania údajov v prípade odberu informačného bulletinu: informovať dotknutú osobu o službách spoločnosti, produktoch, ich zmenách, novinkách a udalostiach.

(6) Účel spracúvania údajov v prípade registrácie: kontaktovanie na účely prípravy zmluvy, poskytovanie bezplatných služieb dotknutej osobe na webovej stránke, prístup k neverejnému obsahu webovej stránky.

(7) Príjemcovia údajov (ktorí môžu poznať údaje) v prípade odberu noviniek, registrácie: manažér spoločnosti, pracovníci pre kontakt so zákazníkmi, pracovníci spracovateľa údajov zodpovední za prevádzku webovej stránky spoločnosti.

(8) Trvanie spracúvania údajov v prípade odberu noviniek, registrácie: do odvolania súhlasu. V prípade odberu informačného bulletinu: do zrušenia odberu, v prípade registrácie: do zrušenia na žiadosť dotknutej osoby.

(9) Dotknutá osoba sa môže kedykoľvek odhlásiť z odberu noviniek alebo požiadať o vymazanie svojej registrácie (osobných údajov). Odhlásenie je možné vykonať kliknutím na odkaz na odhlásenie v pätičke e-mailov zasielaných subjektu údajov alebo poštovým listom zaslaným na adresu sídla spoločnosti.

3.3. Spracúvanie údajov v súvislosti s aktivitami priameho marketingu

(1) Právnym základom spracúvania údajov Spoločnosťou na účely priameho marketingu je súhlas dotknutej osoby, ktorý je jasný a výslovný. Dotknutá osoba udelí svoj jednoznačný, výslovný predchádzajúci súhlas zaškrtnutím políčka vedľa textu "Súhlas so žiadosťou o priamy marketing" na webovej stránke Spoločnosti po informáciách o spracúvaní jej údajov.

(2) Dotknutá osoba môže udeliť súhlas aj v listinnej podobe vyplnením formulára uvedeného v prílohe č. 2 k týmto pravidlám.

(3) Dotknutou osobou je každá fyzická osoba, ktorá udelí jednoznačný a výslovný súhlas so spracovaním svojich osobných údajov Spoločnosťou na účely priameho marketingu.



(4) Účelmi spracovania údajov sú: kontaktovať vás v súvislosti s poskytovaním služieb, predajom produktov, zasielaním reklamy, ponúk, oznámení o akciách, a to elektronickými prostriedkami alebo poštou.

(5) Príjemcovia osobných údajov: vedúci spoločnosti, zamestnanci vykonávajúci úlohy v oblasti služieb zákazníkom a marketingu na základe ich pracovnej funkcie.

(6) Spracúvané osobné údaje: meno, adresa, telefónne číslo, e-mailová adresa.

(7) Trvanie spracovania: kým dotknutá osoba neodvolá spracovanie osobných údajov na účely priameho marketingu (námietka)

3.4. Správa údajov v súvislosti s internetovým obchodom prevádzkovaným spoločnosťou

(1) Ustanovenia bodov 3.1, 3.2 a 3.3 sa vzťahujú na činnosti správy údajov súvisiace s registráciou v internetovom obchode, odberom noviniek a informovaním návštevníkov.

(2) Online, elektronické uzatváranie zmlúv (nákupy) na webovej stránke spoločnosti podliehajú zákonu CVIII z roku 2001 (Eker tv.), preto účelom spracovania údajov je okrem vyššie uvedeného aj preukázanie splnenia povinnosti poskytovateľa služieb poskytnúť spotrebiteľom informácie v súlade so zákonom, preukázanie uzavretia zmluvy, vytvorenie zmluvy, určenie jej obsahu, jej zmena, monitorovanie jej plnenia, fakturácia výsledného poplatku (poplatkov) a vymáhanie nárokov s tým spojených.

(3) V prípade nákupu v internetovom obchode je právnym základom pre spracovanie údajov plnenie zmluvy, plnenie zákonnej povinnosti.

(4) Kategórie údajov, ktorých sa spracovanie týka: meno, adresa, telefónne číslo, prístupové heslo, číslo bankového účtu.

(5) Kategórie osôb, ktorých sa spracúvanie týka: každá fyzická osoba, ktorá sa zaregistruje v internetovom obchode spoločnosti, prihlási sa na odber noviniek, nakupuje.

(6) Kategórie adresátov údajov sú: vedúci Spoločnosti, zamestnanci vykonávajúci úlohy súvisiace so vzťahmi so zákazníkmi a predajom, zamestnanci sprostredkovateľa údajov vykonávajúci prevádzku webovej stránky Spoločnosti, zamestnanci vykonávajúci účtovné úlohy pre Spoločnosť, zamestnanci sprostredkovateľa údajov vykonávajúci tieto úlohy.

(7) Miestom spracovania údajov je sídlo spoločnosti v súlade s ustanoveniami bodu IV.

(8) Trvanie spracovania: 5 rokov od ukončenia zmluvy.

3.5. Pravidlá prítomnosti na sociálnych sieťach

(1) Spoločnosť je prítomná na týchto sociálnych sieťach: Facebook, Twitter.

(2) Kategórie dotknutých osôb: fyzické osoby, ktoré sledujú stránku spoločnosti na sociálnej sieti.

(3) Právnym základom spracúvania údajov je dobrovoľný súhlas dotknutej osoby pri sledovaní sociálnej siete spoločnosti.



(4) Kategórie údajov, ktorých sa spracúvanie týka: Spoločnosť nespracúva údaje zverejnené na sociálnej sieti návštevníkmi a osobami, ktoré zdieľajú jej obsah, účelom prítomnosti na sociálnej sieti je zdieľanie a propagácia obsahu súvisiaceho s produktmi a službami Spoločnosti na sociálnej sieti a komunikácia so sledovateľmi na uvedenú tému. Spoločnosť spracúva mená svojich sledovateľov, ostatné údaje zverejnené sledovateľmi na stránke sociálnej siete Spoločnosť nespracúva a vzťahujú sa na ne ustanovenia o správe údajov stránky sociálnej siete.

(5) Kategórie príjemcov údajov: zamestnanec, ktorý spravuje sociálnu sieť Spoločnosti na základe svojej pracovnej pozície, manažér Spoločnosti.

(6) Trvanie spracúvania: do odvolania súhlasu dotknutej osoby.

4. Činnosti spracovania údajov súvisiace s plnením zmluvy

(1) Spoločnosť spracúva osobné údaje fyzických osôb, ktoré s ňou uzatvárajú zmluvy - zákazníkov, odberateľov, dodávateľov - v súvislosti so zmluvným vzťahom. O spracúvaní osobných údajov je dotknutá osoba informovaná.

(2) Dotknuté osoby: všetky fyzické osoby, ktoré vstupujú do zmluvného vzťahu so Spoločnosťou, kontaktné osoby právnických osôb, ktoré sú v zmluvnom vzťahu so Spoločnosťou.

(3) Právnym základom spracúvania údajov je plnenie zmluvy, účelom spracúvania údajov je udržiavanie kontaktu, vymáhanie nárokov vyplývajúcich zo zmluvy, zabezpečenie dodržiavania zmluvných povinností.

(4) Príjemcovia osobných údajov: vedúci Spoločnosti, zamestnanci Spoločnosti vykonávajúci úlohy v oblasti služieb zákazníkom a účtovníctva na základe svojej pracovnej funkcie, spracovatelia údajov.

(5) Spracúvané osobné údaje sú: meno, adresa, telefónne číslo, e-mailová adresa, číslo bankového účtu, číslo občianskeho preukazu podnikateľa, číslo občianskeho preukazu poľnohospodára, kontaktné meno, e-mailová adresa, telefónne číslo.

(6) Trvanie spracovania: 5 rokov od ukončenia zmluvy.

5. Spracovanie údajov v súvislosti so žrebovaním výhier

(1) V prípade organizovania ad hoc žrebovania je spoločnosť oprávnená spracúvať osobné údaje účastníkov na základe ich súhlasu na účely kontaktovania výhercu a doručenia výhry.

(2) Právnym základom spracúvania je súhlas dotknutej osoby.

(3) Dotknuté osoby: všetky fyzické osoby, ktoré sa zúčastňujú na žrebovaní výhier organizovanom Spoločnosťou a ktoré súhlasia so spracovaním svojich osobných údajov na vyššie uvedené účely.

(4) Spracúvané osobné údaje: meno, dátum narodenia, adresa, e-mail, telefónne číslo.

(5) Príjemcovia osobných údajov: zamestnanci spoločnosti vykonávajúci úlohy v oblasti služieb zákazníkom, kuriéri vykonávajúci úlohy v oblasti spracovania údajov.

(6) Trvanie spracovania údajov: 30 dní od zistenia výsledku výberového konania.

XII. PRAVIDLÁ SPRACOVANIA ÚDAJOV

1. Všeobecné pravidlá spracovania údajov



(1) Spoločnosť využíva externého sprostredkovateľa povereného spracúvaním osobných údajov spracúvaných Spoločnosťou na tieto úlohy:

- prevádzka a údržba internetovej stránky,

- plnenie daňových a účtovných povinností,

- dodanie objednaných výrobkov zákazníkom.

Zoznam spracovateľov údajov je uvedený v prílohe 1 k tejto politike.

(2) Práva a povinnosti sprostredkovateľa v súvislosti so spracúvaním osobných údajov určuje prevádzkovateľ v medziach zákona a osobitných právnych predpisov, ktoré sa na spracúvanie vzťahujú.

(3) Spoločnosť vyhlasuje, že v rámci svojej činnosti sprostredkovateľ nie je oprávnený prijímať žiadne zásadné rozhodnutia týkajúce sa spracúvania osobných údajov, môže spracúvať osobné údaje, o ktorých sa dozvedel, len v súlade s ustanoveniami prevádzkovateľa, nesmie spracúvať osobné údaje na vlastné účely a uchovávať a uchovávať osobné údaje v súlade s ustanoveniami prevádzkovateľa.

(4) Spoločnosť zodpovedá za zákonnosť pokynov daných spracovateľovi v súvislosti so spracovateľskými operáciami.

(5) Spoločnosť je povinná informovať dotknuté osoby o totožnosti sprostredkovateľa a mieste spracúvania údajov.

(6) Spoločnosť nepoverí spracovateľa údajov, aby využíval služby iného spracovateľa údajov.

(7) Zmluva o spracúvaní údajov musí mať písomnú formu. Spracovaním nesmie byť poverený subjekt, ktorý vykonáva podnikateľskú činnosť zahŕňajúcu spracúvanie osobných údajov.

Činnosti spracovania údajov vykonávané spoločnosťou

(1) Spoločnosť je povinná prijať alebo poskytnúť primerané záruky, aby zabezpečila, že spracovateľské činnosti, ktoré vykonáva ako sprostredkovateľ údajov, sú v súlade s požiadavkami Nariadenia a že sú zavedené primerané technické a organizačné opatrenia na zabezpečenie ochrany práv dotknutých osôb.

(2) Spoločnosť ako sprostredkovateľ bez zbytočného odkladu informuje prevádzkovateľa, ak sa domnieva, že niektorý z jeho pokynov je v rozpore s nariadením alebo vnútroštátnymi predpismi alebo predpismi Únie o ochrane údajov.

(3) Spoločnosť spracúva údaje na základe pokynov prevádzkovateľa údajov v súlade s pravidlami a zásadami ochrany údajov a zohľadňuje zmluvné záväzky prevádzkovateľa údajov, ktoré sú spracovateľovi údajov známe.

(4) Spoločnosť nesmie údaje upravovať, vymazávať, kopírovať, prepájať s inými databázami, používať údaje poskytnuté správcom údajov na iné účely ako na účely tejto zmluvy alebo na vlastné účely, ani ich poskytovať tretím stranám, s výnimkou nasledujúcich účelov



v rozsahu výslovne požadovanom prevádzkovateľom a nevyhnutnom na účely spracovania.

(5) Spoločnosť nie je oprávnená zastupovať prevádzkovateľa alebo robiť v jeho mene akékoľvek právne vyhlásenia, pokiaľ na to nie je výslovne splnomocnená dohodou s prevádzkovateľom alebo iným dokumentom.

(6) Spoločnosť stanovuje, že prevádzkovateľ má výlučné právo určiť účely a prostriedky spracúvania údajov, ktoré sprístupní sprostredkovateľovi.

(7) Spoločnosť ako spracovateľ údajov zabezpečí bezpečnosť údajov, prijme všetky technické a organizačné opatrenia potrebné na presadzovanie pravidiel ochrany údajov a prijme primerané opatrenia proti neoprávnenému prístupu k údajom, neoprávnenej zmene, prenosu, zverejneniu, vymazaniu, zničeniu údajov. Musí tiež prijať primerané opatrenia proti náhodnému zničeniu alebo poškodeniu a proti nedostupnosti v dôsledku technických zmien.

(8) Spoločnosť sa zaväzuje, že pri spracúvaní údajov bude v plnom rozsahu dodržiavať ustanovenia tejto Politiky o bezpečnosti údajov a ustanovenia tejto Politiky sa vzťahujú aj na jej činnosti spracúvania údajov.

(9) Spoločnosť ako spracovateľ údajov poskytne prístup k údajom len tým zamestnancom, ktorí ho potrebujú na vykonávanie spracovateľskej činnosti, a informuje zamestnancov, ktorí majú prístup, o povinnosti dodržiavať bezpečnostné požiadavky a dôvernosť.

(10) Spoločnosť sa ako sprostredkovateľ údajov zaväzuje spolupracovať s prevádzkovateľom údajov, aby prevádzkovateľ mohol plniť svoje zákonné povinnosti. Takáto spolupráca sa vzťahuje najmä na nasledujúce oblasti.

(11) Spoločnosť ako spracovateľ údajov sa zaväzuje upraviť, doplniť, opraviť, zablokovať alebo vymazať údaje, ktoré spracúva, v súlade s pokynmi prevádzkovateľa údajov.

(12) Spoločnosť je povinná bezodkladne informovať prevádzkovateľa o akejkoľvek udalosti alebo riziku ovplyvňujúcom bezpečnosť údajov, prijať v tejto súvislosti opatrenia a plne spolupracovať s prevádzkovateľom.

(13) Spoločnosť sa zaväzuje plne spolupracovať s prevádzkovateľom a jeho zástupcami v priebehu akéhokoľvek auditu alebo kontroly svojich systémov, záznamov, údajov, informácií a postupov týkajúcich sa spracúvania údajov, a to aj tak, že zabezpečí, aby osoba oprávnená na vykonanie auditu mala úplný prístup k záznamom týkajúcim sa spracúvania údajov, k dátovým súborom v nich uloženým a k postupom používaným pri spracúvaní údajov.

(14) Činnosti spracovania údajov vykonávané spoločnosťou: 6920 Účtovníctvo, audit a daňové poradenstvo.



(15) Spoločnosť ako sprostredkovateľ môže využiť ďalšieho sprostredkovateľa údajov len v prípade, ak prevádzkovateľ udelil predchádzajúce povolenie na využitie ďalšieho sprostredkovateľa údajov vo verejnom alebo neverejnom dokumente s plnou dôkaznou hodnotou, a to na individuálnom alebo všeobecnom základe.

(16) Ak sprostredkovateľ využíva ďalšieho sprostredkovateľa na základe všeobecného povolenia od prevádzkovateľa, sprostredkovateľ pred využitím ďalšieho sprostredkovateľa informuje prevádzkovateľa o totožnosti ďalšieho sprostredkovateľa a o úlohách, ktoré má ďalší sprostredkovateľ vykonávať. Ak na základe týchto informácií prevádzkovateľ vznesie námietku proti použitiu ďalšieho sprostredkovateľa, ďalší sprostredkovateľ je oprávnený použiť ďalšieho sprostredkovateľa len vtedy, ak sú splnené podmienky uvedené v námietke.

XIII. USTANOVENIA O BEZPEČNOSTI ÚDAJOV

1. Zásady uplatňovania bezpečnosti údajov.

(1) Spoločnosť môže spracúvať osobné údaje len v súlade s činnosťami uvedenými v týchto zásadách a na účely, na ktoré sa spracúvajú.

(2) Spoločnosť zabezpečí bezpečnosť údajov a v tejto súvislosti sa zaväzuje prijať všetky technické a organizačné opatrenia, ktoré sú nevyhnutné na presadzovanie právnych ustanovení o bezpečnosti údajov, pravidiel ochrany údajov a dôvernosti, a zaviesť procesné pravidlá potrebné na presadzovanie uvedených právnych ustanovení.

(3) Technické a organizačné opatrenia, ktoré má spoločnosť zaviesť, sú zamerané na:

pseudonymizácia a šifrovanie osobných údajov;

zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb používaných na spracovanie osobných údajov;

v prípade fyzického alebo technického incidentu schopnosť včas obnoviť prístup k osobným údajom a ich dostupnosť;

používanie postupu na pravidelné testovanie, posudzovanie a hodnotenie účinnosti technických a organizačných opatrení prijatých na zaistenie bezpečnosti spracovania,

(4) Pri určovaní primeranej úrovne bezpečnosti by sa mali výslovne zohľadniť riziká vyplývajúce zo spracúvania, najmä z náhodného alebo nezákonného zničenia alebo náhodnej straty, zmeny, neoprávneného zverejnenia alebo prístupu k prenášaným, uchovávaným alebo inak spracúvaným osobným údajom.

(5) Spoločnosť prijme primerané opatrenia na ochranu údajov pred neoprávneným prístupom, zmenou, zverejnením, prenosom, zverejnením, vymazaním alebo zničením, náhodným zničením alebo poškodením a pred nedostupnosťou v dôsledku zmien v používaných technológiách. Spoločnosť zabezpečí, aby:

- zamedziť neoprávneným osobám prístup k prostriedkom používaným na správu údajov (systém správy údajov),



- zabrániť neoprávnenému čítaniu, kopírovaniu, modifikácii alebo odstráneniu dátových médií,

- zabránenie neoprávnenému vkladaniu osobných údajov do systému spracovania a neoprávnenému prístupu k osobným údajom uloženým v systéme spracovania, ich úprave alebo vymazaniu,

- zabrániť neoprávnenému prístupu k osobným údajom, ich kopírovaniu, úprave alebo vymazaniu počas prenosu alebo prepravy nosiča údajov,

(6) Spoločnosť vedie evidenciu údajov, ktoré spracúva, v súlade s platnými právnymi predpismi, pričom zabezpečí, aby k údajom mali prístup len zamestnanci a iné osoby konajúce v záujme Spoločnosti, ktoré ich potrebujú poznať na výkon svojej práce alebo úlohy.

(7) Spoločnosť uchováva osobné údaje poskytnuté v rámci každej činnosti správy údajov oddelene od ostatných údajov s tým, že v súlade s vyššie uvedeným ustanovením môžu mať k oddeleným súborom údajov prístup len zamestnanci s príslušnými prístupovými právami.

(8) Vedúci pracovníci a zamestnanci spoločnosti nesmú sprístupniť osobné údaje tretím stranám a musia prijať potrebné opatrenia na zabránenie neoprávnenému prístupu.

(9) Spoločnosť umožní prístup k osobným údajom tým zamestnancom Spoločnosti, ktorí súhlasili s povinnosťou dodržiavať pravidlá bezpečnosti údajov podpísaním vyhlásenia o mlčanlivosti vo vzťahu k spracúvaným osobným údajom. (Vyhlásenie o mlčanlivosti je súčasťou doložky k pracovnej zmluve o ochrane osobných údajov v prílohe č. 14 tohto poriadku).

Spoločnosť zaručuje, že:

- osoby oprávnené používať systém majú prístup len k osobným údajom uvedeným v oprávnení na prístup,

- je možné dodatočne overiť a určiť, ktoré osobné údaje kto a kedy do systému vložil,

- musí byť možné overiť a určiť, ktorému príjemcovi boli alebo môžu byť osobné údaje prenesené alebo sprístupnené prostredníctvom zariadenia na prenos údajov,

(10) Spoločnosť pri určovaní a uplatňovaní opatrení na zabezpečenie údajov zohľadňuje súčasný stav techniky a v prípade viacerých možných riešení spracúvania údajov zvolí riešenie, ktoré zabezpečuje vyššiu úroveň ochrany osobných údajov, pokiaľ to nebude znamenať neprimeranú náročnosť.

2. Ochrana IT záznamov spoločnosti

(1) Spoločnosť prijme nasledujúce opatrenia potrebné na zaistenie bezpečnosti svojich IT záznamov:



poskytuje dátovým súborom, ktoré spravuje, trvalú ochranu pred počítačovými vírusmi (pomocou softvéru na ochranu pred vírusmi v reálnom čase);

zabezpečiť fyzickú ochranu hardvéru IT systému vrátane ochrany pred elementárnym poškodením;

zabezpečiť, aby bol IT systém chránený proti neoprávnenému prístupu, a to tak z hľadiska softvéru, ako aj hardvéru;

prijať všetky opatrenia potrebné na obnovu dátových súborov, vykonávať pravidelné zálohovanie a samostatnú bezpečnú správu záloh.

(2) Spoločnosť zabezpečí, aby:

- v prípade poruchy je možné systém správy údajov obnoviť a

- systém správy údajov je funkčný, všetky chyby v jeho prevádzke sú nahlásené a uložené osobné údaje nemôžu byť zmenené v dôsledku poruchy systému.

3. Ochrana papierových záznamov spoločnosti

(1) Spoločnosť prijme potrebné opatrenia na ochranu papierových záznamov, najmä pokiaľ ide o fyzickú bezpečnosť a požiarnu ochranu.

(2) Vedúci zamestnanci, zamestnanci a iné osoby konajúce v záujme Spoločnosti sú povinní uchovávať v bezpečí všetky nosiče údajov obsahujúce osobné údaje, ktoré používajú alebo majú v držbe, bez ohľadu na spôsob ich zaznamenania, a chrániť ich pred neoprávneným prístupom, zmenou, zverejnením, prezradením, vymazaním alebo zničením, ako aj pred náhodným zničením alebo poškodením.

XIV. OSTATNÉ USTANOVENIA

(1) Generálny riaditeľ spoločnosti informuje všetkých zamestnancov spoločnosti o ustanoveniach tohto kódexu.

(2) Spoločnosť nie je povinná vymenovať úradníka pre ochranu údajov.

(3) Generálny riaditeľ spoločnosti zabezpečí, aby všetci zamestnanci spoločnosti dodržiavali ustanovenia tohto kódexu. Na účely plnenia tejto povinnosti bude konateľ Spoločnosti vyžadovať, aby boli pracovné zmluvy so zamestnancami Spoločnosti doplnené o vyhlásenie zamestnanca, že sa zaväzuje dodržiavať a uplatňovať tento Kódex.

(4) Spoločnosť ako správca údajov odovzdá údaje orgánom v prípade žiadosti orgánov verejnej moci o informácie a sprístupnenie údajov s uvedením účelu použitia a presne mu zodpovedajúcim spôsobom v rozsahu potrebnom na dosiahnutie účelu žiadosti.

(5) Najmenej každé tri roky od začiatku spracúvania Spoločnosť preskúma, či je spracúvanie osobných údajov, ktoré spracúva ona alebo sprostredkovateľ konajúci v jej mene alebo na základe jej pokynov, nevyhnutné na účely spracúvania. Prevádzkovateľ zdokumentuje okolnosti a výsledky tohto preskúmania, ktoré sa



po dobu desiatich rokov od ukončenia prác a na požiadanie ho sprístupní úradu.

(6) Za vypracovanie a zmenu týchto pravidiel zodpovedá vedúci spoločnosti.

Vyhotovené v Szigetszentmiklós, 30. júna 2018.