V "MI AMANTE" Ltd.

1. Úvod

1.1. Všeobecné ustanovenia

Táto politika ochrany osobných údajov (ďalej len „Politika") upravuje činnosti spracúvania osobných údajov spoločnosťou „Ми Аманте" s.r.o., IČO 204519279, so sídlom a adresou: mesto Sofia 1408, okres Lozenec, ul. "Sv. Osiy Kordobski", obytná skupina „Južný park", blok 113, kancelária 2, (ďalej len „Spoločnosť"), s cieľom zabezpečiť súlad s požiadavkami Nariadenia (EÚ) 2016/679 Európskeho parlamentu a Rady o ochrane fyzických osôb v súvislosti so spracúvaním osobných údajov a o voľnom pohybe takýchto údajov (Všeobecné nariadenie o ochrane údajov, ďalej len „Nariadenie"), ako aj so všetkými ďalšími platnými právnymi predpismi na ochranu osobných údajov. Táto Politika sa uplatňuje v otázkach ochrany osobných údajov, pre ktoré neexistuje iná regulácia podľa iných aktov Spoločnosti.

 

1.2. Politika má za cieľ upraviť a najmä pokrývať nasledujúce otázky:

 

činnosti spracúvania osobných údajov, kategórie dotknutých osôb, na ktoré sa vzťahuje Politika, princípy a zodpovednosti v súvislosti so spracúvaním;

povinnosti osôb konajúcich pod vedením Spoločnosti pri spracúvaní osobných údajov a ich zodpovednosť pri nesplnení;

práva subjektov údajov a postup pri ich uplatňovaní;

postup na spracovanie osobných údajov na základe súhlasu dotknutých osôb;

pravidlá reakcie v prípade porušenia bezpečnosti osobných údajov;

uplatnené technické a organizačné opatrenia na ochranu osobných údajov.

 

1.3. Informácie o spoločnosti

 

Spoločnosť „Ми Аманте” s.r.o.

Údaje o zápise zapísané v obchodnom registri a registri právnických osôb s neziskovým účelom pri Agentúre pre zápisy, s IČO 204519279

Sídlo a adresa riadenia: mesto Sofia 1408, okres Lozenec, ul. "Sv. Osij Kordobski", bytová skupina Južný park, blok 113, apartmán kancelária 2,

Adresa pre kontakty: mesto Sofia 1330, Bul. „Nikola Mušanov” 116, poschodie 2, kancelária 8

 

Predmet činnosti Výroba a obchod s kozmetikou, parfumériou a súvisiacimi chemickými výrobkami, vonkajší a vnútorný obchod s potravinami a priemyselným tovarom, obchodné zastúpenie a sprostredkovanie a akýkoľvek iný druh hospodárskej činnosti, ktorá nie je zakázaná zákonom

Email pre kontakty office@miamantehair.com

 

2. Použité termíny a skratky

 

Všetky termíny a skratky, ktoré nie sú výslovne definované v Politike, majú význam určený v Nariadení.

 

3. Činnosti spracúvania osobných údajov

 

3.1. Zásady spracúvania osobných údajov

 

Spracovanie osobných údajov spoločnosťou sa riadi princípmi zákonnosti, dobrej viery a transparentnosti a minimalizácie údajov. Spracovávané osobné údaje sú obmedzené na nevyhnutné v súvislosti s cieľmi, na ktoré sa spracúvajú. Osobné údaje sa zhromažďujú na konkrétne, výslovne uvedené a legitímne účely a nespracúvajú sa ďalej spôsobom nezlučiteľným s týmito účelmi. Osobné údaje sú presné a v prípade potreby sa udržiavajú aktuálne. Osobné údaje sa uchovávajú v takej forme, ktorá umožňuje identifikáciu dotknutej osoby po dobu nepresahujúcu nevyhnutnú na účely, na ktoré sa osobné údaje spracúvajú. Osobné údaje sa spracúvajú spôsobom, ktorý zaručuje primeranú úroveň bezpečnosti osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a pred náhodnou stratou, zverejnením, zničením alebo poškodením, pričom sa uplatňujú primerané technické alebo organizačné opatrenia, s dodržiavaním princípov trvalého dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb na spracovanie.

 

3.2. Kategórie subjektov údajov. Kategórie osobných údajov a účely spracúvania.

 

3.2.1. Spoločnosť má právo spracúvať osobné údaje týkajúce sa svojich klientov, zamestnancov a iných subjektov údajov, a to nasledovne:

 

klienti (fyzické osoby) Spoločnosti v jej hlavnej činnosti ponuky a predaja kozmetických produktov, v súvislosti s ktorými môžu byť spracúvané osobné údaje ako IP adresa, e-mailová adresa, telefónne číslo, MAC adresa, adresa (poštová a doručovacia), informácie o fakturácii a prijímaní bankových platieb a pod. Ciele spracovania pre túto kategóriu subjektov zahŕňajú: (i). prijímanie, spracovanie a plnenie objednávok na produkty a/alebo služby ponúkané Spoločnosťou, vrátane používania webovej stránky Spoločnosti; (II). uchovávanie daňovej a účtovnej evidencie; (III). plnenie legislatívnych požiadaviek; (IV). ciele súvisiace s oprávnenými záujmami Spoločnosti; (v). ciele, na ktoré subjekt údajov dal súhlas so spracovaním svojich údajov;

potenciálni, súčasní a/alebo bývalí zamestnanci Spoločnosti, a fyzické osoby, ktoré sa nachádzajú alebo sa nachádzali v zmluvných právnych vzťahoch so Spoločnosťou na základe občianskych zmlúv; uchádzači o zamestnanie alebo o uzavretie občianskej zmluvy ako externí dodávatelia – fyzické osoby, ktoré nie sú v pracovnoprávnych alebo zmluvných vzťahoch so Spoločnosťou, ale želajú si takéto vzťahy nadviazať, a voči ktorým môžu byť spracúvané osobné údaje ako tri mená, rodné číslo/identifikačné číslo/služobné číslo, dátum narodenia; adresa, údaje o predchádzajúcej pracovnej alebo odbornej praxi, vzdelanie a kvalifikácia, uplatňovaná disciplinárna zodpovednosť; informácie o bankových účtoch (IBAN, pri platbe bankovým prevodom), kontaktné údaje: telefónne číslo; e-mailová adresa; iné údaje požadované podľa platnej legislatívy pre uzavretie a plnenie pracovnej alebo občianskej zmluvy; údaje priamo súvisiace s činnosťou plnenia uzavretých zmlúv s týmito osobami (napr.: údaje z logov alebo aktivity osôb v systémoch spravovaných Spoločnosťou, s cieľom plniť pridelené funkcie (napr. systémy na zadávanie objednávok), IP adresa a pod. Ciele spracúvania vo vzťahu k tejto kategórii subjektov zahŕňajú: (i). preskúmanie možnosti uzavretia a plnenia pracovnej alebo občianskej zmluvy so subjektmi údajov; (ii). uchovávanie daňového a účtovného registra; (iii). plnenie legislatívnych požiadaviek; (iv). ciele súvisiace s oprávnenými záujmami Spoločnosti; (v). ciele, na ktoré subjekt údajov dal súhlas so spracúvaním jeho údajov.

 

súkontragenti a partneri – fyzické osoby, na základe zmlúv o reklame a propagácii produktov ponúkaných Spoločnosťou, pre ktoré môže Spoločnosť zhromažďovať osobné údaje aj vo forme fotografických záznamov. Ciele spracúvania v súvislosti s touto kategóriou subjektov zahŕňajú: (i). plnenie zmlúv o reklame alebo propagácii; (ii). ciele súvisiace s oprávnenými záujmami Spoločnosti; (iii). ciele, na ktoré subjekt údajov dal súhlas so spracúvaním svojich údajov;

 

iní fyzické osoby a fyzické osoby-zástupcovia alebo kontaktné osoby právnických osôb, ktoré majú kontakt so Spoločnosťou (vrátane, ale nielen dodávateľov, obchodných kontaktov, subdodávateľov, obchodných partnerov a pod.) na účely vykonávania a/alebo riadenia činnosti Spoločnosti;

 

iní fyzické osoby, zástupcovia podľa zákona alebo plnej moci, fyzických osôb – klientov Spoločnosti.

 

3.2.2. Spoločnosť uchováva osobné údaje počas dlhšieho z obdobia, ktoré je potrebné na dodržiavanie platných zákonov a podzákonných predpisov, alebo iného obdobia podľa požiadaviek platných pre obchodnú činnosť Spoločnosti alebo pre jej činnosť ako zamestnávateľa alebo objednávateľa podľa občianskoprávnych zmlúv. Spracovanie osobných údajov je založené na princípe minimalizácie údajov, v závislosti od a na účely poskytovania služieb, ktoré využíva príslušný klient.

 

4. Kategórie príjemcov údajov

 

Spoločnosť môže zverejňovať osobné údaje nasledujúcim osobám:

 

poskytovatelia služieb – konzultanti, právnici, účtovníci, IT špecialisti a iní, v súvislosti s uzatváraním zmlúv z hlavnej činnosti Spoločnosti, plnením zákonných požiadaviek, technickou podporou a iné;

 

subdodávatelia – pri poskytovaní služieb v mene Spoločnosti (distribútori a iní), v súvislosti s uzatváraním a plnením zmlúv o obchodovaní s produktmi ponúkanými Spoločnosťou;

 

osoby poskytujúce služby poskytovania a údržby zariadení, softvéru a hardvéru používaných na spracovanie (vrátane ukladania) osobných údajov, na účtovanie platieb a pod.;

 

banky, za spracovanie platieb zo strany subjektov údajov;

 

verejné a/alebo súdne orgány, v rozsahu povolenom a/alebo vyžadovanom podľa zákona.

 

5. Povinnosti spoločnosti

 

Spoločnosť má nasledujúce povinnosti:

 

určuje politiky a postupy na ochranu spracúvaných osobných údajov v súlade s platnou legislatívou;

 

zavádza vhodné technické a organizačné opatrenia s cieľom efektívneho uplatňovania zásad ochrany údajov, ako aj na zabezpečenie, že sa predvolene spracúvajú iba osobné údaje nevyhnutné na príslušný účel spracovania;

 

zabezpečuje uplatňovanie práv subjektov na ochranu osobných údajov;

 

aktualizuje podporované databázy a vykonáva kontrolu dodržiavania požiadaviek na ochranu, zisťuje okolnosti súvisiace s porušením ochrany a prijíma opatrenia na ich odstránenie;

 

uchováva osobné údaje v podobe, ktorá umožňuje identifikáciu príslušných subjektov po dobu nepresahujúcu nevyhnutnú na účely, na ktoré sa tieto údaje spracúvajú;

 

informuje zamestnancov o účelnosti v otázkach ochrany osobných údajov;

 

poskytuje pomoc pri vykonávaní kontrolných funkcií Komisie na ochranu osobných údajov (ďalej len „KZLO”)

 

určuje práva zamestnancov na prístup k osobným údajom v informačných systémoch v súlade s cieľmi spracúvania;

 

používa spracúvanie osobných údajov, ktoré poskytujú dostatočné záruky prostredníctvom uplatňovania vhodných technických a organizačných opatrení na ochranu;

 

dodržiava určité pravidlá v prípade porušenia bezpečnosti osobných údajov;

 

dokumentuje porušenia bezpečnosti osobných údajov v súlade s platnou legislatívou;

 

vykonáva hodnotenie rizika v súlade s požiadavkami Nariadenia, prípadne hodnotenie vplyvu, ak sú podľa Nariadenia splnené podmienky na to.

 

6. Povinnosti zamestnancov Spoločnosti. Zodpovednosť. Dôvernosť

 

6.1. Zamestnanci Spoločnosti začínajú spracúvať osobné údaje po oboznámení sa s:

 

právna úprava v oblasti ochrany osobných údajov;

 

Politika a ďalšie vnútorné akty Spoločnosti týkajúce sa ochrany osobných údajov;

 

riziká pre osobné údaje spracúvané Spoločnosťou.

 

Zamestnanci Spoločnosti sú povinní:

 

dodržiavať požiadavky Nariadenia, ostatné platné právne predpisy v oblasti ochrany osobných údajov, Politiku a ďalšie vnútorné predpisy Spoločnosti týkajúce sa ochrany osobných údajov;

 

spracúvať osobné údaje iba v prípade existencie podmienky na zákonné spracovanie, a to: zákonný dôvod na spracovanie; alebo dôvod na spracovanie vyplývajúci z zmluvných vzťahov s osobou alebo nevyhnutný pre prípadné uzatvorenie zmluvných vzťahov s osobou; alebo dôvod na spracovanie vyplývajúci z výslovného súhlasu osoby; alebo dôvod na spracovanie vyplývajúci z oprávneného záujmu Spoločnosti alebo tretej strany v súlade s požiadavkami Nariadenia;

 

používať osobné údaje v súlade s účelmi, na ktoré sa zhromažďujú, a nespracúvať ich ďalej spôsobom, ktorý nie je v súlade s týmito účelmi;

 

aby nepoužívali osobné údaje, ku ktorým majú prístup ako zamestnanci Spoločnosti, na akékoľvek osobné účely;

 

dodržiavať pravidlo vyhýbania sa možnosti neoprávneného prístupu k osobným údajom a nezanechávať prístupné osobné údaje bez dozoru na príslušnom pracovisku. V priestoroch, ku ktorým majú prístup externé osoby, sú príslušní zamestnanci povinní prijať opatrenia tak, aby externé osoby nemali žiadny neoprávnený prístup k dokumentom obsahujúcim osobné údaje, vrátane možnosti ich prezerať, kopírovať alebo fotografovať technickým zariadením;

 

keď to vykonávanie príslušnej činnosti umožňuje, obmedziť používané osobné údaje na maximálnu mieru;

 

zabezpečujú a garantujú dodržiavanie práv subjektov v súvislosti so spracúvaním osobných údajov;

 

neumožňovať, nepodporovať ani nevytvárať podmienky na porušenie bezpečnosti pri spracúvaní osobných údajov;

 

aby si navzájom alebo tretím stranám nezdieľali ani neposkytovali informácie podstatné pre bezpečnosť údajov (svoje používateľské mená, prístupové heslá do systémov a pod.);

 

nekopírujte súbory s firemnými informáciami obsahujúcimi osobné údaje na prenosné médium v nešifrovanej (alebo nezabezpečenej heslom) forme;

 

neposielať e-mailom na e-mailové adresy mimo Spoločnosti informácie obsahujúce významné objemy osobných údajov alebo akékoľvek špeciálne kategórie osobných údajov, alebo iné osobné údaje, ku ktorým neoprávnený prístup môže predstavovať vysoké riziko pre práva a záujmy dotknutých osôb, ktorých sa týkajú, v súboroch nezabezpečených heslom alebo v nešifrovanej či inak pseudonymizovanej forme.

 

nezverejňovať osobné údaje o klientoch alebo zamestnancoch Spoločnosti na verejných stránkach a pod., bez primeraného právneho dôvodu na to;

 

6.2. Zodpovednosť zamestnancov

 

6.2.1. Všetky činnosti, ktoré vedú alebo môžu viesť k neoprávnenému vymazaniu, zničeniu alebo zmene prijatých osobných údajov v spoločnosti v elektronickej podobe alebo na papierovom nosiči, ako aj neoprávnené zdieľanie/odhalenie osobných údajov zo strany zamestnancov spoločnosti, sú zakázané a môžu viesť k uplatneniu zodpovednosti príslušného zamestnanca (disciplinárnej, správno-trestnej a/alebo trestnej, a/alebo občianskoprávnej).

 

6.3. Spoločnosť:

 

zabezpečuje podpisovanie vyhlásenia o dôvernosti a nezverejňovaní osobných údajov všetkými zamestnancami, ktorí spracúvajú osobné údaje pre neho.

 

informuje zamestnancov, ktorí spracúvajú osobné údaje, o ich povinnostiach súvisiacich s týmto spracúvaním.

 

7. Vedenie registra činností spracúvania osobných údajov ako správca

 

V súlade s požiadavkami čl. 30 ods. 1 Nariadenia spoločnosť vedie Register činností spracúvania ako správca, ktorý obsahuje meno a kontaktné údaje spoločnosti. Register zahŕňa podrobný popis všetkých činností spracúvania osobných údajov podľa čl. 30 ods. 1 Nariadenia, vrátane nasledujúcich charakteristík: názov činnosti (obchodného procesu, funkcie) spracúvania; účely spracúvania; kategórie fyzických osôb, ktorých sa spracúvanie osobných údajov týka; kategórie osobných údajov spracúvaných v danej činnosti; tretie strany, ktoré získavajú alebo inak participujú na spracúvaní osobných údajov v danej činnosti; ak je to relevantné, prenos osobných údajov do tretej krajiny mimo EÚ; plánované lehoty uchovávania a vymazania rôznych kategórií osobných údajov, ak je to možné; všeobecný popis technických a organizačných bezpečnostných opatrení, ak je to možné.

 

8. Vedenie registra činností spracúvania osobných údajov ako sprostredkovateľ

 

V prípade, že vzhľadom na činnosti Spoločnosti vznikne potreba viesť Register činností spracúvania osobných údajov ako spracovateľ podľa zmyslu čl. 30 ods. 2 Nariadenia, Spoločnosť vytvorí a bude viesť takýto Register v požadovanom druhu, rozsahu a obsahu podľa platnej legislatívy.

 

9. Úradník pre ochranu údajov

 

Spoločnosť určí zodpovednú osobu pre ochranu údajov (ďalej len „ZOOÚ“) v prípade, že takéto vymenovanie bude alebo sa stane nevyhnutným v súlade s platnými legislatívnymi požiadavkami na ochranu osobných údajov.

 

10. Práva subjektov údajov

 

Spoločnosť zabezpečuje uplatňovanie nasledujúcich práv subjektov údajov:

 

právo na informácie pri zhromažďovaní osobných údajov od dotknutej osoby;

 

právo na prístup k údajom dotknutej osoby a konkrétne: (i). potvrdenie, či osobné údaje dotknutej osoby spracúva Spoločnosť; (ii). poskytnutie prístupu k údajom prostredníctvom kópie údajov, ktoré sú v procese spracúvania, ako aj informácie o účeloch spracúvania; kategórie osobných údajov; príjemcovia alebo kategórie príjemcov, ktorým sú alebo budú osobné údaje zverejnené; lehoty uchovávania osobných údajov; existenciu práva na opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov, alebo na námietku proti spracúvaniu; právo podať sťažnosť na KZLD; zdroje osobných údajov; existenciu automatizovaného rozhodovania vrátane profilovania.

 

právo na opravu - požadovať opravu alebo doplnenie svojich osobných údajov, ak sú nepresné alebo neúplné;

 

právo na vymazanie osobných údajov, keď sú splnené podmienky stanovené v Nariadení;

 

právo na obmedzenie spracúvania;

 

právo na prenosnosť údajov;

 

právo na námietku;

 

právo subjektu údajov, aby nebolo predmetom rozhodnutia založeného výlučne na automatizovanom spracovaní, vrátane profilovania, ktoré vyvoláva právne následky alebo ho inak podstatne ovplyvňuje;

 

poskytnutie, zmena alebo odvolanie súhlasu so spracovaním osobných údajov, keď je základom spracovania súhlas dotknutej osoby.

 

Subjekty údajov môžu uplatňovať svoje práva podaním písomnej žiadosti spoločnosti jedným z nasledujúcich spôsobov:

 

prostredníctvom e-mailu na vyššie uvedenú e-mailovú adresu Spoločnosti s použitím kvalifikovaného elektronického podpisu v súlade so zákonom o elektronických dokumentoch a elektronických overovacích službách (ďalej len „KEP“);

 

poštou na kontaktnú adresu Spoločnosti zaslaním notársky overenej žiadosti za účelom zabezpečenia identifikácie žiadateľa, a v prípadoch, keď žiadosť podáva zákonný zástupca žiadateľa, alebo prostredníctvom splnomocnenca s notársky overenou plnou mocou žiadateľa, žiadosť musí tiež obsahovať notársky overený podpis osoby, ktorá sa podpísala.

 

Žiadosti sa vybavujú bez neopodstatneného odkladu. Do jedného mesiaca od podania žiadosti spoločnosť informuje dotknutú osobu o prijatých opatreniach v súvislosti so žiadosťou, prípadne o dôvodoch, prečo neboli prijaté žiadne opatrenia, a o možnosti podať sťažnosť dozornému orgánu a hľadať ochranu súdnou cestou. Ak sú v súvislosti so žiadosťou prijaté opatrenia, lehota na informovanie dotknutej osoby o týchto opatreniach sa môže predĺžiť na celkovo tri mesiace, pričom sa zohľadňuje zložitosť a počet žiadostí. V takom prípade spoločnosť informuje dotknutú osobu o predĺžení lehoty v rámci pôvodnej jedného mesačnej lehoty.

 

Informácie (ktoré sa môžu líšiť v závislosti od toho, ktoré právo subjektu údajov bolo uplatnené) sa poskytujú na papierovom nosiči osobne subjektu údajov alebo jeho zákonnému alebo splnomocnenému zástupcovi s výslovne notársky overenou plnou mocou. Ak bola žiadosť podaná e-mailom, informácie sa poskytujú tiež prostredníctvom e-mailu na e-mailovú adresu, z ktorej bola podaná žiadosť, v súboroch chránených heslom.

  

11. Súhlas dotknutej osoby ako dôvod spracúvania

 

11.1. Nadácia

 

V prípadoch, keď je právnym základom na spracovanie osobných údajov súhlas podľa nariadenia, súhlas sa musí udeliť osobne písomným vyhlásením, v elektronickej forme alebo iným spôsobom určeným Spoločnosťou, ktorý zabezpečí, že súhlas je slobodne udelený, konkrétny, informovaný a jednoznačný.

 

11.2. Subjekty údajov

 

Spoločnosť môže získavať súhlasy pre všetky kategórie subjektov údajov, pre ktoré sa vykonáva spracovanie osobných údajov, vrátane klientov, zamestnancov a osôb, s ktorými spoločnosť uzavrela občianske zmluvy o poskytovaní služieb alebo objednávok, a iné.

 

11.3. Odstúpenie

 

Spoločnosť poskytuje subjektom údajov možnosť jednoducho zmeniť alebo odvolať svoj súhlas bez toho, aby to malo nepriaznivé právne dôsledky pre nich, ak je to objektívne možné. Zmeny alebo odvolanie súhlasu vykonávajú subjekty údajov podľa postupu na získavanie súhlasov. V prípade čiastočného alebo úplného odvolania súhlasu, keď sa spracovanie osobných údajov vykonáva na tomto základe, spoločnosť môže byť v situácii, že nebude schopná poskytnúť požadovanú službu klientovi alebo vykonať činnosť, pre ktorú bolo potrebné príslušné poskytnutie osobných údajov. Odvolanie súhlasu neovplyvňuje zákonnosť spracovania na základe daného súhlasu do momentu jeho odvolania.

 

11.4. Zhromažďovanie súhlasov

 

Súhlasy sa zhromažďujú jedným z nasledujúcich spôsobov:

 

osobne, v kancelárii pre kontakty - pre klientov Spoločnosti;

 

prostredníctvom elektronickej služobnej pošty - pre súčasných zamestnancov;

 

prostredníctvom licencovaného poštového operátora s notárskym overením vyhlásenia o súhlase; alebo

 

podpísané s KEP vyhlásenie o súhlase, odoslané e-mailom.

 

11.5. Poskytovanie a odvolávanie súhlasov online

 

V prípadoch, keď je získanie súhlasu na spracovanie osobných údajov od Spoločnosti vyžadované vzhľadom na služby poskytované Spoločnosťou, ktoré sa žiadajú alebo online, tento súhlas sa získava (prípadne odvoláva) tiež online.

 

11.6. Skladovanie

 

Súhlasy so spracovaním osobných údajov sú registrované a uchovávané Spoločnosťou v príslušnom možnom rozsahu a forme uchovávania.

 

12. Spracovanie osobných údajov spoločnosťou prostredníctvom spracovateľa osobných údajov

 

Na vykonávanie svojej činnosti môže Spoločnosť využívať tretie strany (subdodávateľov, distribútorov, poskytovateľov kuriérskych služieb a pod.), ktoré sú spracovateľmi osobných údajov v zmysle čl. 4, bod 8 Nariadenia. Takými spracovateľmi môžu byť:

 

obchodné spoločnosti;

 

fyzické osoby, zamestnané na občianske zmluvy.

 

Pri zverovaní spracúvania osobných údajov spracovateľovi spoločnosť dodržiava nasledujúce požiadavky:

 

vyberajú sa spracovatelia, ktorí poskytujú dostatočné záruky na uplatňovanie vhodných technických a organizačných opatrení na ochranu osobných údajov;

 

podmienky ochrany osobných údajov sú upravené písomne medzi Spoločnosťou a spracovateľom.

 

Zmluvy/dohody, ktoré Spoločnosť uzatvára s prevádzkovateľmi osobných údajov, určujú a upravujú: predmet a dobu platnosti, ciele a povahu spracúvania; kategórie dotknutých osôb, ktorých osobné údaje sa spracúvajú; druh osobných údajov, ktoré bude prevádzkovateľ spracúvať v mene Spoločnosti; práva a povinnosti Spoločnosti a prevádzkovateľa; požiadavky na technické a organizačné opatrenia na ochranu, ktoré musí prevádzkovateľ uplatňovať (voči prevádzkovateľovi nie je povolené odchýlenie od ustanovení tejto politiky); povinnosť prevádzkovateľa spolupracovať podľa čl. 31-36 Nariadenia; povinnosť prevádzkovateľa bez zbytočného odkladu informovať Spoločnosť po zistení porušenia bezpečnosti; požiadavky na prevádzkovateľa a ďalšie povinné podmienky podľa čl. 28 ods. 3 Nariadenia.

 

13. Pravidlá reakcie v prípade porušenia bezpečnosti osobných údajov

 

13.1. Zistenie porušenia bezpečnosti zamestnancom

 

V prípade zistenia bezpečnostného porušenia zamestnancom Spoločnosti, zamestnanec o tom okamžite informuje vedenie Spoločnosti alebo DLPZ, ak je určený, písomne (a ak je to možné, aj ústne), pričom poskytne aj informácie, ktoré má k dispozícii - o povahe porušenia, o predpokladanom čase vzniku / spáchania porušenia a ďalšie.

 

13.2. Preskúmanie bezpečnostného porušenia a opatrenia

 

Bez neopodstatneného odkladu by mala spoločnosť preskúmať fakty, vykonať analýzu a hodnotenie závažnosti porušenia s ohľadom na riziko pre práva a slobody subjektov, počet dotknutých subjektov údajov a pod., a navrhnúť vhodné opatrenia na odstránenie, a tam, kde to nie je možné – na minimalizáciu identifikovaných rizík a prípadných nepriaznivých dôsledkov.

 

13.3. Oznámenie KZLD

 

V prípade porušenia bezpečnosti spoločnosť informuje Úrad na ochranu osobných údajov do 72 hodín od zistenia, pokiaľ v konkrétnom prípade neexistuje žiadna pravdepodobnosť, že porušenie bezpečnosti by mohlo spôsobiť riziko pre práva a slobody fyzických osôb.

 

13.4. Oznámenie subjektom údajov

 

Keď porušenie bezpečnosti môže viesť k vysokému riziku pre práva a slobody fyzických osôb, Spoločnosť bez zbytočného odkladu oznámi porušenie bezpečnosti osobných údajov dotknutým subjektom údajov. V oznámení sa popisuje povaha porušenia bezpečnosti a uvádzajú sa minimálne: meno a kontaktné údaje Spoločnosti; popis možných dôsledkov porušenia; popis opatrení prijatých alebo navrhnutých Spoločnosťou na riešenie porušenia.

 

Spoločnosť má právo neinformovať dotknuté subjekty údajov o porušení, ak:

 

(I). prijalo predbežné vhodné technické a organizačné opatrenia na ochranu a tieto opatrenia boli aplikované (napr. šifrovanie); a/alebo

 

(II). následne prijalo opatrenia, ktoré zaručujú, že už neexistuje pravdepodobnosť realizácie vysokého rizika pre práva a slobody subjektov údajov; a/alebo

 

(III). takéto oznámenie by viedlo k neprimeranému úsiliu. V tomto prípade spoločnosť zverejní oznámenie na svojej webovej stránke a/alebo vhodným spôsobom prostredníctvom masových médií o porušení.

  

13.5. Skladovanie

 

Hlásenia o porušeniach bezpečnosti osobných údajov sú zaznamenávané a uchovávané Spoločnosťou.

  

14. Technické a organizačné opatrenia na ochranu osobných údajov

 

14.1. Technické a organizačné opatrenia spoločnosti ako správcu

 

V činnosti Spoločnosti sú predvídané potrebné technické a organizačné opatrenia na ochranu osobných údajov pred náhodným alebo nezákonným zničením, alebo pred náhodnou stratou, pred neoprávneným prístupom, zmenou alebo šírením, ako aj pred inými nezákonnými formami spracúvania. Druhy ochrany sú fyzická, personálna, dokumentačná, ochrana automatizovaných informačných systémov a/alebo sietí, kryptografická ochrana. Technické a organizačné opatrenia, ktoré Spoločnosť uplatňuje, sú podrobne uvedené v Prílohe 1 k tejto Politike, ktorá môže byť predmetom pravidelných aktualizácií.

 

14.2. Technické a organizačné opatrenia spoločnosti ako spracovateľa

 

V prípade, že Spoločnosť spracúva osobné údaje ako sprostredkovateľ pre iných správcov, konkrétne technické a organizačné opatrenia uplatňované Spoločnosťou v jej kvalite sprostredkovateľa sa určujú v individuálnych dohodách s príslušným správcom. Ak takéto určenie chýba, Spoločnosť sa bude riadiť technickými a organizačnými opatreniami, ktoré uplatňuje ako správca.

 

15. Prenos osobných údajov mimo Európskeho hospodárskeho priestoru (EHP)

Spoločnosť môže vykonávať medzinárodný prenos údajov pochádzajúcich z Európskeho hospodárskeho priestoru (EHP), keď Európska komisia uznala danú krajinu mimo EHP ako zabezpečujúcu primeranú úroveň ochrany údajov. Pre prenosy do krajín mimo EHP, ktorých úroveň ochrany nebola uznaná Európskou komisiou, sa spoločnosť bude odvolávať buď na určitú derogáciu, ktorá sa vzťahuje na konkrétnu situáciu podľa nariadenia, alebo bude uplatňovať niektorú z garancií stanovených príslušnou legislatívou. V ostatných prípadoch, pre prenos osobných údajov mimo EHP, sa to uskutočňuje na základe výslovného súhlasu dotknutej osoby s navrhovaným prenosom údajov, získaného v súlade s požiadavkami nariadenia.