Ochrana osobných údajov - Informačná povinnosť

Informačná povinnosť prevádzkovateľa v zmysle § 19 Zákona o ochrane osobných údajov

Ochrana osobných údajov

 podľa Zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov  ( ďalej len Zákon) a podľa čl. 30 Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 (ďalej GDPR)

1. Prevádzkovateľ osobných údajov

TERMOSTAV Bratislava, s.r.o.

IČO: 36 696 439

Sídlo: Staviteľská 3, 831 04 Bratislava

Zápis v OR: Okresný súd Bratislava I., vložka číslo 43024/B, Oddiel: Sro

Kontakt: termostav@termostav.sk, tel. číslo : +421 244 872 676

2. Kontaktné údaje zodpovednej osoby

Zodpovedná osoba nie je ustanovená vzhľadom k skutočnosti, že podľa rozsahu a predmetu činnosti spoločnosti túto povinnosť TERMOSTAV Bratislava, s.r.o. nemá.

3. Účel spracúvania osobných údajov

1. Personálna a mzdová agenda
2. Účtovná agenda
3. Predzmluvné a zmluvné záväzky
4. Ochrana bezpečnosti a majetku
5. BOZP

4. Právny základ spracúvania osobných údajov

Pri spracúvaní osobných údajov postupuje prevádzkovateľ v súlade s platnou legislatívou v oblasti ochrany osobných údajov – Zákon o ochrane osobných údajov, Nariadenie EP a Rady EÚ

1. Legislatíva v oblasti personalistiky a miezd – zákonník práce, zákon o sociálnom poistení, zákon o zdravotnom poistení, zákon o dani z príjmov, zákon o cestovných náhradách, zákon o zamestnanosti,  ostatné mzdové predpisy
2. Legislatíva v oblasti účtovníctva a daní – zákon o účtovníctve, zákon o cestovných náhradách, zákon o dani z príjmov, ostatné účtovné predpisy
3. Legislatíva v oblasti zmluvných záväzkov – obchodný zákonník, občiansky zákonník, živnostenský zákon. V prípade evidencie životopisov uchádzačov na základe súhlasu dotknutých osôb.
4. Legislatíva v oblasti ochrana bezpečnosti a majetku – zákon o cestnej premávke, z
5. Legislatíva v oblasti BOZP – zákon o bezpečnosti a ochrane  zdravia pri práci, zákon o ochrane, podpore a rozvoji verejného zdravia, iné zákonné úpravy (nariadenia, vyhlášky, zákony) týkajúce sa bezpečnosti pri práci

Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby vtedy, ak je spracúvanie osobných údajov:

• nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby;
• podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná
• na ochranu života, zdravia alebo majetku dotknutej osoby,
• na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
• na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak dotknutou osobou je dieťa;
• účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon a to len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon.

Spracúvané osobné údaje možno poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak zákon o ochrane osobných údajov neustanovuje inak.

Súhlas dotknutej osoby nie je potrebný ani vtedy, ak sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so Zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže ÚOOÚ, že spracúvané osobné údaje boli už zákonne zverejnené.

Prevádzkovateľ spracúva osobné údaje so súhlasom dotknutej osoby vtedy, ak si to vyžaduje legislatíva v oblasti ochrany osobných údajov a prevádzkovateľ nemá právny základ na spracovanie osobných údajov.

• Prevádzkovateľ získava súhlas dotknutej osoby slobodne, bez nátlaku a vynucovania, bez podmieňovania hrozbou odmietnutia zmluvného vzťahu, poskytovaných služieb, alebo povinností vyplývajúcich pre prevádzkovateľa z právne záväzných aktov EU, medzinárodnej zmluvy, ktorou je SR viazaná, alebo Zákona.

• Súhlas dotknutej osoby je udelený samostatne pre každý účel spracovania osobných údajov
• Súhlas môže dotknutá osoba kedykoľvek odvolať
• Spoločnosť rešpektuje súkromie a poskytnuté osobné údaje považuje za dôverné.

5. Príjemcovia:
   • Zamestnanci prevádzkovateľa, ktorí osobné údaje spracúvajú, riadne poučení o právach a povinnostiach pri spracúvaní osobných údajov
   • Úrady štátnej správy, samosprávy, iné štátne orgány a organizácie – daňový úrad, zdravotné poisťovne, sociálna poisťovňa, doplnkové dôchodkové správcovské spoločnosti, ÚPSVaR, inšpektorát práce,  banky, súdy, exekútor, orgány činné v trestnom konaní
   • Sprostredkovatelia, ktorí vykonávajú podporné služby v oblasti personalistiky a miezd, účtovníctva, bezpečnosti a ochrany majetku, BOZP.

• Prevádzkovateľ pri výbere sprostredkovateľov dbá na ich odbornú, technickú, personálnu a organizačnú spôsobilosť a ich schopnosť zaručiť bezpečnosť spracúvaných osobných údajov prijatím adekvátnych bezpečnostných opatrení v mysle Zákona.
• Prevádzkovateľ uzatvoril so sprostredkovateľmi písomné zmluvy o zabezpečení ochrany osobných údajov v súlade so Zákonom.

6. Podmienky a spôsob spracúvania osobných údajov dotknutých osôb
   • elektronicky
   • písomná listinná forma

Prevádzkovateľ spracúvané osobné údaje nezverejňuje, okrem prípadov, ak si to vyžaduje osobitný právny predpis alebo rozhodnutie súdu alebo iného štátneho orgánu.

Prevádzkovateľ nebude spracúvať osobné údaje bez výslovného súhlasu dotknutej osoby alebo bez iného právneho základu za iným účelom, ani vo väčšom rozsahu ako je uvedené v tejto informácii a Záznamoch o spracovateľských činnostiach.

7. Prenos do tretích krajín a medzinárodných inštitúcií

Prevádzkovateľ v prípade požiadaviek zahraničnej legislatívy bude uskutočňovať prenos do tretích krajín a medzinárodných inštitúcií a to do členských krajín EÚ/EHP alebo do krajín zaručujúcich primeranú úroveň ochrany.

8. Lehota uchovania osobných údajov:

Lehoty uchovania osobných údajov sú stanovené podľa účelu ich spracúvania a podľa požiadaviek osobitných predpisov.

Konkrétne lehoty uchovania predpisuje interná smernica – Smernica o správe registratúry a Registratúrny plán, ktorý  schválený MV SR  ŠABA v súlade so zákonom  o archívoch a registratúrach.

Prevádzkovateľ likviduje osobné údaje, ktorých účel spracúvania a lehota uchovania sa skončili a to predpísaným spôsobom (vyraďovacím konaním na MV SR  ŠABA a následnou skartáciou)

6. Práva dotknutej osoby:

Právo na prístup – Dotknutá osoba  má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o:

1. účele spracúvania osobných údajov,
2. kategórii spracúvaných osobných údajov,
3. identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
4. dobe uchovávania osobných údajov,
5. práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
6. práve podať návrh na začatie konania podľa ZOOÚ,
7. zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
8. existencii automatizovaného individuálneho rozhodovania vrátane profilovania. V týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.

Právo na opravu – Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

Právo na obmedzenie spracúvania - Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak:

• dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
• spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
• prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
• dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa  prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Právo na prenos – Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak sa:

1. osobné údaje spracúvajú na základe súhlasu dotknutej osoby s ich spracovaním, spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,

b) spracúvanie osobných údajov  vykonáva automatizovanými prostriedkami.

Právo získať osobné údaje a preniesť ich ďalšiemu prevádzkovateľovi dotknutou osobou nesmie mať nepriaznivé dôsledky na práva iných osôb.

Právo namietať proti spracúvaniu vrátane namietania profilovaniu (ak sa vykonáva)  - Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.

Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú. Toto právo sa neuplatňuje, ak je rozhodnutie:

1. nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
2. založené na výslovnom súhlase dotknutej osoby.

Právo na výmaz – Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.

Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak:

1. osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo spracúvali,
2. dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva a neexistuje iný právny základ pre spracúvanie osobných údajov,
3. dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov,
4. osobné údaje sa spracúvajú nezákonne,
5. je dôvodom pre výmaz splnenie povinnosti podľa ZOOÚ, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Prevádzkovateľ je povinný oznámiť príjemcovi opravu, vymazanie alebo obmedzenie spracúvania osobných údajov uskutočnené v súlade so ZOOÚ.

 Právo podať návrh na začatie konania o ochrane osobných údajov – ak si myslíte, že Vaše osobné údaje nespracúvame v súlade s legislatívou GDPR, môžete podať návrh na začatie konania o ochrane osobných údajov na Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, alebo ho kontaktovať prostredníctvom: www.dataprotection.gov.sk

Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, jej práva môže uplatniť zákonný zástupca.

Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.

Žiadosť dotknutej osoby podľa zákona o ochrane osobných údajov vybaví prevádzkovateľ bezplatne, okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.

Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby najneskôr do 30 dní odo dňa doručenia žiadosti. Obmedzenie práv dotknutej osoby podľa zákona o ochrane osobných údajov spoločnosť bez zbytočného odkladu písomne oznámi dotknutej osobe a Úradu na ochranu osobných údajov Slovenskej republiky.

Bratislava, 25.5.2018