Informačná povinnosť prevádzkovateľa
Vážená dotknutá osoba,
v zmysle článku 13 a 14 Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)(ďalej len „Nariadenie GDPR“) a § 19 a 20 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon“) je každý prevádzkovateľ, spracúvajúci osobné údaje, povinný poskytnúť podrobné a zrozumiteľné informácie dotknutým osobám, ktorých osobné údaje spracúva.
Prevádzkovateľ tiež dôkladne dbá na ochranu súkromia fyzických osôb, ktorých osobné údaje spracúva v súvislosti so svojou činnosťou. Vaše Osobné údaje sú spracúvané plne v súlade s Nariadením GDPR a zákonom.
Účelom tohto oznámenia je informovať Vás ako dotknuté osoby o tom, na aký účel sa Vaše osobné údaje spracúvajú, komu môžu byť osobné údaje sprístupnené, aké sú lehoty na ich uchovávanie, aké sú Vaše práva ako dotknutých osôb pri spracovaní osobných údajov a tiež informácie o existencii profilovania a automatizovaného rozhodovania.
Vaše osobné údaje budú uchovávané bezpečne, v súlade s bezpečnostnou politikou prevádzkovateľa a len po dobu nevyhnutnú na splnenie účelu spracúvania. Prístup k Vašim osobným údajom budú mať výlučne osoby poverené prevádzkovateľom na spracúvanie osobných údajov, ktoré ich spracúvajú na základe pokynov prevádzkovateľa, v súlade s bezpečnostnou politikou prevádzkovateľa a príslušnými všeobecne záväznými právnymi predpismi Slovenskej republiky. Prevádzkovateľ má vytvorené primerané technické, personálne a organizačné podmienky na zabezpečenie ochrany spracúvaných osobných údajov.
Kto je teda prevádzkovateľom?
Prevádzkovateľom Vašich osobných údajov je v súlade s príslušnou legislatívou na úseku ochrany osobných údajov Úrad podpredsedu vlády Slovenskej republiky pre Plán obnovy a znalostnú ekonomiku, IČO: 56565321, Budova Lakeside park 02, Tomášikova 14366/64A, 831 04 Bratislava (ďalej len „prevádzkovateľ“). Sme Vám kedykoľvek k dispozícii prostredníctvom nasledovných kontaktných údajov:
Úrad podpredsedu vlády Slovenskej republiky pre Plán obnovy a znalostnú ekonomiku
Budova Lakeside park 02
Tomášikova 14366/64A
831 04 Bratislava
Telefón: +421 2 209 25 969
e-mail: podpredseda@vlada.gov.sk
Kto je zodpovednou osobou prevádzkovateľa?
V súlade s čl. 37 Nariadenia GDPR a § 44 zákona prevádzkovateľ určil zodpovednú osobu. V súvislosti s akoukoľvek otázkou týkajúcou sa spracúvania Vašich osobných údajov prevádzkovateľom a uplatňovania Vašich práv na úseku ochrany osobných údajov, prosím neváhajte kontaktovať našu zodpovednú osobu, a to prostredníctvom týchto kontaktných údajov:
Zodpovedná osoba za ochranu osobných údajov:
tel. č.: +421 2 209 25 239
e-mail: gdpr@vlada.gov.sk
Zodpovednej osobe môžete hlásiť tiež narušenie zabezpečenia ochrany osobných údajov a akékoľvek podozrenie z porušovania práv a povinností v oblasti ochrany osobných údajov.
Kto je dotknutou osobou?
Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sú spracúvané (ďalej len „dotknutá osoba“) a to bez ohľadu na to, či osobné údaje prevádzkovateľ získal od dotknutej osoby alebo inak. Inak ako od dotknutej osoby môže prevádzkovateľ získať osobné údaje napríklad z verejného registra alebo od inej osoby (napr. zamestnanec poskytne zamestnávateľovi osobné údaje o svojich rodinných príslušníkoch za účelom získania rôznych benefitov od zamestnávateľa). Dotknutou osobou tak môže byť zamestnanec prevádzkovateľa, rodinní príslušníci zamestnancov prevádzkovateľa, uchádzači o zamestnanie a pod.
Kategórie dotknutých osôb pri danom účele spracovania osobných údajov sú uvedené v zázname o spracovateľských činnostiach prevádzkovateľa.
Kto je sprostredkovateľ?
Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa, len na základe pokynov prevádzkovateľa a na základe písomne uzatvorenej sprostredkovateľskej zmluvy.
Bezpečnosť a transparentnosť spracúvania osobných údajov
Prevádzkovateľ postupuje pri spracúvaní osobných údajov v súlade s Nariadením a so zákonom.
Prevádzkovateľ získava osobné údaje priamo od dotknutej alebo od inej osoby, ktorá prevádzkovateľovi poskytne osobné údaje. Môže tak teda nastať situácia, že prevádzkovateľ získa osobné údaje aj od inej osoby ako priamo od dotknutej osoby, preto tento dokument poskytuje informácie všetkým dotknutým osobám v zmysle čl. 13 Nariadenia GDPR, tak aj v zmysle čl. 14 Nariadenia GDPR.
Všetky osobné údaje, ktoré prevádzkovateľ o dotknutej osobe spracúva sú spracúvané zákonne, iba pre odôvodnené účely, len na obmedzenú dobu a s využitím maximálnej možnej miery zabezpečenia.
Prevádzkovateľ zároveň prijal súbor interných smerníc ako súčasť bezpečnostných opatrení, taktiež prijal ako prevádzkovateľ množstvo organizačno-technických opatrení na ochranu osobných údajov a primeranosť úrovne prijatých bezpečnostných opatrení pravidelne analyzuje a vyhodnocuje.
Účel spracúvania osobných údajov
Prevádzkovateľ spracúva osobné údaje dotknutých osôb výlučne v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti, a to na účely spracúvania osobných údajov, ktoré sú uvedené v zázname o spracovateľských činnostiach prevádzkovateľa. Nájdete tu informácie o tom, aké osobné údaje prevádzkovateľ spracúva, na aký konkrétny účel, na akom právnom základe, kto je dotknutou osobou, komu môže prevádzkovateľ tieto osobné údaje poskytovať, či sa realizuje prenos do tretích krajín a ako dlho ich môže prevádzkovateľ spracúvať.
Právny základ pre spracúvanie osobných údajov
Prevádzkovateľ spracúva osobné údaje dotknutých osôb len, ak je splnená jedna z nasledujúcich podmienok, teda vhodný právny základ pre spracúvanie osobných údajov.
Plnenie zmluvných povinností – prevádzkovateľ spracúva osobné údaje pri plnení zmluvy s dotknutou osobou, v rozsahu potrebnom na plnenie zmluvných povinností. K spracúvaniu osobných údajov pri plnení zmluvných povinností dochádza pri uzatvorení zmluvy, ktorá je uzatvorená medzi prevádzkovateľom a dotknutou osobou.
Plnenie zákonných povinností – prevádzkovateľ spracúva osobné údaje pri plnení zákonných povinností. To znamená, že prevádzkovateľ môže spracúvať osobné údaje na základe toho, že mu to zákon prikazuje. Týmito zákonnými povinnosťami sú napríklad povinnosti vyplývajúce zo služobných prepisov, daňových predpisov, predpisov súvisiacich s auditmi alebo s účtovníctvom.
Ochrana životne dôležitých záujmov – k spracúvaniu osobných údajov môže prísť aj v prípade, ak prevádzkovateľ chráni životne dôležité záujmy dotknutej osôb, napr. ak je v ohrození život alebo zdravie dotknutej osoby.
Splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci – prevádzkovateľ plní úlohy realizované vo verejnom záujme, ako aj úlohy pri výkone verejnej moci, v rámci pôsobnosti prevádzkovateľa vyplývajúcej z osobitných právnych predpisov, preto je povinný spracúvať osobné údaje pre splnenie významnej úlohy vo verejnom záujme.
Oprávnený záujem prevádzkovateľa – prevádzkovateľ spracúva osobné údaje aj na základe oprávneného záujmu, výlučne v prípadoch, ak je spracúvanie nevyhnutné na sledovanie oprávnených záujmov prevádzkovateľa alebo tretej strany, ak nad týmito záujmami neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Oprávnený záujem prevádzkovateľ aplikuje napríklad pri určitých činnostiach spojených s verejnou prezentáciou prevádzkovateľa na akciách s účasťou verejnosti. Pred aplikovaním tohto právneho základu musí prevádzkovateľ vykonať test proporcionality, pričom výsledok testu proporcionality nesmie vo výsledku prevažovať nad slobodami, právami a záujmami fyzických osôb, ktorých sa plánované spracúvanie dotýka.
Súhlas so spracúvaním osobných údajov – prevádzkovateľ spracúva osobné údaje aj na základe súhlasu dotknutej osoby. Prevádzkovateľ si od dotknutej osoby vyžiada súhlas vždy, keď iný právny základ nemožno aplikovať.
Prevádzkovateľ spracúva osobné údaje na základe vyššie uvedených právnych základov, pričom určenie, či ide o zákonnú alebo zmluvnú požiadavku na spracovanie osobných údajov alebo oprávnený záujem, resp. verejný záujem prevádzkovateľa či iný z právnych základov, legitímny výber je na samotnom prevádzkovateľovi. Tieto informácie sú uvedené v zázname o spracovateľských činnostiach prevádzkovateľa.
Kategórie osobných údajov
Prevádzkovateľ spracúva dve kategórie osobných údajov a to, všeobecnú kategóriu osobných údajov a osobitnú kategóriu osobných údajov.
Medzi všeobecné osobné údaje patrí napr. titul, meno, priezvisko, telefónne číslo, e-mailová adresa, adresa pobytu, rodné číslo a pod.
Medzi osobitnú kategóriu osobných údajov patria typy osobných údajov, s ktorými sa musí narábať citlivo a smú sa spracúvať iba podľa osobitných výnimiek, ktoré stanovuje Nariadenie GDPR v čl. 9 ods. 2 alebo v § 16 zákona; sú to osobné údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Aké kategórie osobných údajov prevádzkovateľ spracúva pri danom účele spracovania osobných údajov je uvedené v zázname o spracovateľských činnostiach prevádzkovateľa.
Príjemca osobných údajov
Príjemcom je každý, komu sa osobné údaje poskytnú. Príjemcami osobných údajov môžu byť napr. poverení zamestnanci prevádzkovateľa, Sociálna poisťovňa, Daňový úrad alebo iné orgány verejnej moci. Príjemcovia osobných údajov, ktoré prevádzkovateľ spracúva sú uvedení pri konkrétnom účele spracúvania osobných údajov v zázname o spracovateľských činnostiach prevádzkovateľa.
Prenos osobných údajov do tretej krajiny
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie sa neuskutočňuje. Tretími krajinami sú štáty, ktoré nie sú členskými štátmi EÚ a nie sú ani členmi Európskeho hospodárskeho priestoru. Osobné údaje spracúvame len v Európskej únii.
Doba uchovávania osobných údajov
Prevádzkovateľ uchováva osobné údaje v závislosti od účelu spracovávania osobných údajov. Pri dobe uchovávania prevádzkovateľ zohľadňuje zásadu minimalizácie uchovávania osobných údajov, t. j. uchováva osobné údaje len počas doby, kedy je uchovávanie osobných údajov nevyhnutné.
Prevádzkovateľ uchováva osobné údaje v súlade s požiadavkami osobitných predpisov Slovenskej republiky, v ktorých sú stanovené doby uchovávania jednotlivých osobných údajov. V prípadoch, keď nie sú doby uchovávania uvedené zákonom, sú stanovené v smernici o registratúrnom poriadku, v registratúrnom pláne prevádzkovateľa. Ak ide o osobitnú situáciu spracúvania osobných údajov, tak prevádzkovateľ určuje dobu uchovávania osobných údajov podľa stanoveného účelu a dodržiava pri tom zásadu minimalizácie uchovávania.
Všetky informácie o dobách uchovávania osobných údajov sú uvedené v zázname o spracovateľských činnostiach prevádzkovateľa.
Po uplynutí doby uchovávania, budú osobné údaje zlikvidované.
Automatizované individuálne rozhodovanie
Osobné údaje nebudú použité na automatizované individuálne rozhodovanie vrátane profilovania.
Práva dotknutých osôb
Dotknuté osoby majú podľa čl. 15 až 22 Nariadenia GDPR stanovené svoje práva, ktoré prevádzkovateľ v plnej miere rešpektuje. Taktiež má prevádzkovateľ v interných riadiacich aktoch stanovené postupy na vybavovanie požiadaviek pri uplatňovaní týchto práv.
Žiadosť o uplatnenie práv dotknutých osôb vybavíte podaním poštou na oficiálnu adresu prevádzkovateľa, podaním na podateľni prevádzkovateľa alebo elektronicky e-mailom na zodpovednú osobu za ochranu osobných údajov.
Právo na prístup k údajom
Podľa čl. 15 Nariadenia GDPR zákona má dotknutá osoba právo
- získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje,
- získať prístup k týmto osobným údajom,
- získať doplňujúce informácie, ktoré zahŕňajú:
- účely spracúvania osobných údajov,
- kategórie osobných údajov,
- príjemcov alebo kategórie príjemcov získaných osobných údajov, ak sa údaje ďalej poskytujú,
- dobu uchovávania osobných údajov alebo kritériá na jej určenie,
- informáciu o existencii automatizovaného rozhodovania vrátane profilovania, použitom postupe, význame a dôsledkoch pre dotknutú osobu,
- ak sa údaje nezískali od dotknutej osoby, informácie o zdroji,
- informácie o právach dotknutej osoby požadovať od prevádzkovateľa opravu, vymazanie alebo obmedzenie spracúvania jej osobných údajov, o práve namietať proti spracúvaniu osobných údajov a o práve podať sťažnosť dozornému orgánu.
Máte teda právo na poskytnutie kópie osobných údajov, ktoré o Vás máme k dispozícii, ako aj na informácie o tom, ako Vaše osobné údaje používame. Vo väčšine prípadov Vám budú Vaše osobné údaje poskytnuté v písomnej listinnej forme, pokiaľ nepožadujete o iný spôsob ich poskytnutia. Ak ste o poskytnutie týchto informácií požiadali elektronickými prostriedkami, budú Vám poskytnuté elektronicky, ak to bude technicky možné.
Právo na opravu
Podľa čl. 16 Nariadenia GDPR má dotknutá osoba právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú a tiež právo na doplnenie neúplných osobných údajov.
Prijímame primerané opatrenia, aby sme zabezpečili presnosť, úplnosť a aktuálnosť informácií, ktoré o Vás máme k dispozícii. Ak si myslíte, že údaje, ktorými disponujeme sú nepresné, neúplné alebo neaktuálne, prosím, neváhajte nás požiadať prostredníctvom zodpovednej osoby, aby sme tieto informácie upravili, aktualizovali alebo doplnili.
Právo na vymazanie / zabudnutie
Podľa čl. 17 Nariadenia GDPR má dotknutá osoba právo na to, aby prevádzkovateľ vymazal jej osobné údaje za predpokladu, že sú splnené určité presne stanovené podmienky.
Máte teda právo nás požiadať o vymazanie Vašich osobných údajov, napríklad v prípade, ak osobné údaje, ktoré sme o Vás získali, už viac nie sú potrebné na naplnenie pôvodného účelu spracúvania. Vaše právo je však potrebné posúdiť z pohľadu všetkých relevantných okolností. Napríklad, môžeme mať určité právne a regulačné povinnosti, čo znamená, že nebudeme môcť Vašej žiadosti vyhovieť.
V tejto súvislosti treba spomenúť aj „právo na zabudnutie“, ktoré je relatívne novým ustanovením v oblasti ochrany osobných údajov. Ide o povinnosť prevádzkovateľa oznámiť uplatnenie práva dotknutej osoby na vymazanie jej osobných údajov všetkým príjemcom, ktorým boli osobné údaje poskytnuté. Táto oznamovacia povinnosť prevádzkovateľa sa vzťahuje aj na uplatnenia práva dotknutej osoby na opravu a obmedzenie spracúvania.
Právo na obmedzenie spracúvania
Podľa čl. 18 Nariadenia GDPR má dotknutá osoba právo na to, aby prevádzkovateľ obmedzil spracúvanie jej osobných údajov v presne definovaných špecifických prípadoch.
Za určitých okolností ste oprávnený nás požiadať, aby sme prestali používať Vaše osobné údaje. Ide napríklad o prípady, keď si myslíte, že osobné údaje, ktoré o Vás máme, môžu byť nepresné alebo keď si myslíte, že už Vaše osobné údaje nepotrebujeme využívať.
Právo na prenosnosť údajov
Podľa čl. 20 Nariadenia GDPR má dotknutá osoba právo získať osobné údaje, ktoré sa jej týkajú, a ktoré poskytla prevádzkovateľovi a preniesť tieto údaje k inému prevádzkovateľovi (v prípade splnenia presne stanovených podmienok).
Za určitých okolností máte právo požiadať nás o prenos osobných údajov, ktoré ste nám poskytli, na inú tretiu stranu podľa Vášho výberu. Právo na prenosnosť sa však týka len osobných údajov, ktoré sme od Vás získali na základe súhlasu alebo na základe zmluvy, ktorej ste jednou zo zmluvných strán.
Právo namietať
Podľa čl. 21 Nariadenia GDPR má dotknutá osoba právo namietať proti spracúvaniu jej osobných údajov (za určitých podmienok). Prevádzkovateľ v takom prípade nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže oprávnené dôvody, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby alebo dôvody v súvislosti s uplatňovaním alebo obhajovaním právnych nárokov.
Máte teda právo namietať voči spracúvaniu Vašich osobných údajov, ktoré nie je založené na našich legitímnych oprávnených záujmoch. V prípade, ak nemáme presvedčivý legitímny oprávnený dôvod na spracúvanie a Vy podáte námietku, nebudeme Vaše osobné údaje ďalej spracúvať.
Právo odvolať súhlas
Podľa čl. 7 Nariadenia GDPR má dotknutá osoba právo kedykoľvek svoj súhlas odvolať so spracúvaním svojich osobných údajov. V prípadoch, kedy Vaše osobné údaje spracúvame na základe Vášho súhlasu, máte právo tento súhlas kedykoľvek odvolať. Súhlas môžete odvolať elektronicky, na adrese zodpovednej osoby, písomne, oznámením o odvolaní súhlasu alebo osobne v úrade. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov, ktoré sme na jeho základe o Vás spracúvali.
V súvislosti s uplatnením vyššie uvedených práv, môžete podať žiadosť alebo podnet zodpovednej osobe na ochranu osobných údajov úradu a to prostredníctvom emailu gdpr@vlada.gov.sk, tel. číslo: +421 2 209 25 239.
Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi / sprostredkovateľovi
Podľa čl. 79 Nariadenia GDPR má dotknutá osoba právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s nariadením došlo k porušeniu jej práv.
Právo na náhradu škody
Podľa čl. 82 Nariadenia GDPR má dotknutá osoba právo na náhradu škody od prevádzkovateľa / sprostredkovateľa, ak utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia ustanovení Nariadenia GDPR.
Právo na zastupovanie
Podľa čl. 80 Nariadenia GDPR má dotknutá osoba právo poveriť neziskový subjekt, ktorý pôsobí v oblasti ochrany práv a slobôd dotknutých osôb, aby podal sťažnosť v jej mene, aby uplatnil práva podľa čl. 77, 78 a 79 Nariadenia GDPR, a aby v jej mene uplatnil právo na náhradu škody, ak to umožňuje právo členského štátu.
Právo byť informovaný v prípade porušenia ochrany osobných údajov
Podľa čl. 34 Nariadenia GDPR v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutej osoby, prevádzkovateľ musí bez zbytočného odkladu takéto porušenie ochrany osobných údajov dotknutej osobe oznámiť.
Právo podať návrh na začatie konania o ochrane osobných údajov
– ak sa domnievate, že spracúvaním Vašich osobných údajov dochádza k porušovaniu Vašich práv ako dotknutej osoby, máte právo podať návrh na začatie konania v zmysle ustanovenia § 100 zákona na príslušný dozorný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, Budova Park One, Námestie 1. mája 18, 811 06 Bratislava; mail: statny.dozor@pdp.gov.sk, https://dataprotection.gov.sk. V prípade podania návrhu elektronickou formou je potrebné, aby spĺňal náležitosti podľa § 19 ods. 1 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok).
Právo podať sťažnosť dozornému orgánu
– podľa čl. 77 Nariadenia GDPR Máte právo podať sťažnosť dozornému orgánu, v prípade ak sa domnievate, že Vaše práva na ochranu osobných údajov sú porušované. Dozorným orgánom, kde si môžete uplatniť právo podať sťažnosť je Úrad na ochranu osobných údajov Slovenskej republiky, Budova Park One, Námestie 1. mája 18, 811 06 Bratislava, prostredníctvom formulára, ktorý je zverejnený na stránke: https://dataprotection.gov.sk/sk/ine/vzory-formulare-stiahnutie/. V prípade podania návrhu elektronickou formou je potrebné, aby spĺňal náležitosti podľa § 19 ods. 1 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok).
Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu
Podľa čl. 78 Nariadenia GDPR má dotknutá osoba právo na účinný súdny prostriedok nápravy, ak dozorný orgán jej sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o výsledku sťažnosti podanej podľa čl. 77 Nariadenia GDPR.
Tieto informácie o spracúvaní osobných údajov priebežne kontrolujeme, aktualizujeme a môžeme ich príležitostne meniť, najmä s cieľom dodržať súlad s právnymi predpismi a postupmi ochrany osobných údajov.
