PORIADOK SPRAVOVANIA ÚDAJOV A OCHRANY ÚDAJOV
HOTEL KOLPING KFT. [S.R.O.]

1. Cieľ poriadku

Účelom poriadku je to, aby v súlade s právnymi predpismi o práve na sebaurčenie a slobode informácií podľa zákona číslo CXII z roku 2011 (ďalej len: Infotv.), ako aj zohľadnením nariadenia Európskeho parlamentu a Rady číslo (EÚ) 2016/679 [GDPR], informoval dotknuté osoby o okruhu ich osobných údajov spravovaných správcom údajov, zhrnutých v bode 2, o účele spravovania, o jeho spôsobe, respektíve o všetkých ďalších skutočnostiach, najmä - ale nie výhradne, o ich právach súvisiacich so spravovaním údajov a o možnostiach právnej nápravy, ktoré majú k dispozícii.

2. Názov, sídlo a zástupca správcu údajov

• Názov: Kolping Hotel Kft. [s.r.o.]
• Sídlo: 8394 Alsópáhok, Ul. Fő utca č. 120.
• Štatutárny zástupca: Baldauf Csaba, generálny riaditeľ
• Kontaktná osoba vo veciach ochrany údajov: zástupkyňa riaditeľa zodpovedného za prevádzku

3. Meno, kontakty, právny štatút a okruh úloh úradníka pre ochranu osobných údajov

• Dr. Morvay Boldizsár - dpo@kolping.hotel.hu

Právny štatút úradníka pre ochranu údajov:
Správca údajov má zabezpečiť, že úradník pre ochranu údajov bude vyhovujúcim spôsobom a včas zapojený do všetkých záležitostí, súvisiacich s ochranou osobných údajov. Je potrebné zabezpečiť, aby úradník pre ochranu údajov mal k dispozícii zdroje, potrebné na udržanie poznatkov na úrovni experta.
Úradník pre ochranu údajov v súvislosti so zabezpečením svojich úloh nemôže prijímať príkazy od nikoho. Správca alebo spracovateľ údajov nemôže prepustiť úradníka pre ochranu údajov v súvislosti so zabezpečením svojich úloh a nemôže ho stíhať ani sankciami. Úradník pre ochranu údajov sa zodpovedá priamo vrcholovému vedeniu správcu alebo spracovateľa údajov. Dotknuté osoby v otázkach súvisiacich so spravovaním svojich údajov a uplatnením svojich práv, sa môžu obrátiť na úradníka pre ochranu údajov.
Úradníka pre ochranu údajov v súvislosti s plnením svojich úloh zaväzuje povinnosť mlčanlivosti, alebo povinnosť vzťahujúca sa na dôverné spravovanie údajov.
Úradník pre ochranu údajov môže zabezpečiť aj iné úlohy, ale v súvislosti s úlohami nemôže pretrvávať stav nezlučiteľnosti.

Úlohy úradníka pre ochranu údajov:

• Informuje a poskytuje odborné rady spracovateľa údajov, ďalej pre zamestnancov vykonávajúcich spracovanie údajov;
• kontroluje vyhovenie interným predpisom správcu údajov alebo spracovateľa údajov ohľadom ochrany osobných údajov;
• na vyžiadanie poskytuje odborné rady v súvislosti s dopadovou štúdiou pre ochranu údajov, ako aj sleduje vykonanie dopadovej štúdie;
• spolupracuje s dozorným orgánom.

4. 4. Právne predpisy vzťahujúce sa na spravovanie údajov

- Ústava Maďarska, článok VI.;

- Zákon číslo CXII. z roku 2011 o práve pre informačné sebaurčenie a o slobode informácií (ďalej len „Infotv.”);

- o ochrane pre fyzické osoby v súvislosti so spravovaním osobných údajov, o voľnom pohybe takýchto údajov, ako aj nariadenie (EÚ) č. 2016/679 o zrušení nariadenia (ES) č. 95/46 (GDPR).

5. Pojmy použité v tomto poriadku

• Spracovateľ údajov: Taká fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo ktorýkoľvek iný orgán, ktorý v mene správcu údajov spravuje osobné údaje
• Spravovanie údajov: Je akýkoľvek úkon alebo súbor úkonov, vykonaný na osobných údajoch alebo súboroch údajov automatizovaným alebo neautomatizovaným spôsobom, a tak zber, záznam, systematizácia, rozčlenenie, uloženie, úprava alebo zmena, vyžiadanie, nahliadnutie, použitie, zverejnenie, prenos, šírenie alebo sprístupnenie iným spôsobom, zosúladenie alebo spojenie, obmedzenie, zmazanie, respektíve zničenie
• Spracovateľ údajov (poskytovateľ): podnikanie, ako aj tá fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo ktorýkoľvek iný orgán, ktorý stanovuje ciel a nástroje spravovania osobných údajov osobitne alebo spoločne s inými osobami; ak ciele a nástroje spravovania údajov definuje právo Únie alebo členského štátu, správcu údajov alebo osobitné hľadiská pre výber správcu údajov, môže zadefinovať aj právo Únie, ako aj právo členského štátu
• Incident ochrany údajov: Taká porucha bezpečnosti, ktorá spôsobuje náhodné alebo protiprávne zničenie, stratu, zmenu, neoprávnené zverejnenie alebo neoprávnený prístup k prenášaným, uloženým alebo iným spôsobom spravovaným osobným údajom
• Biometrický údaj: Ide o prirodzený osobný telesný, fyziologický osobný údaj, alebo charakteristickú osobnú črtu, získanú takými osobitnými technickými postupmi, ktoré umožňujú alebo posilňujú individuálnu identifikáciu osoby, akými sú napríklad podobizeň alebo daktyloskopický údaj
• adresát: fyzické alebo právnické osoby, orgán verejnej správy, agentúra alebo ktorýkoľvek iný orgán, ktorému alebo čomu sa zverejní osobný údaj, nezávisle na tom, či sa považuje za tretiu stranu. Tie orgány verejnej moci, ktoré sa dostanú k osobným údajom v rámci individuálneho šetrenia v súlade s právom Únie alebo členského štátu, sa nepovažujú za adresáta; spravovanie spomenutých údajov týmito orgánmi verejnej moci musí vyhovovať použitým pravidlám pre ochranu údajov, v súlade s cieľmi spravovania údajov
• Dotknutá osoba: Tá fyzická osoba, ktorej osobné údaje spravujú
• Súhlas dotknutej osoby: Jednoznačné vyjadrenie vôle dotknutej osoby, založené na dobrovoľnom, konkrétnom informovaní, pomocou ktorého dotknutá osoba oznámi cestou prehlásenia alebo konania, vyjadrujúceho jasne jeho potvrdenie, že dáva súhlas na spravovanie osobných údajov, týkajúcej sa jeho osoby
• GDPR: Nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane osobných údajov fyzických osôb z aspektu spravovania a o voľnom pohybe takýchto údajov, ako aj o postavení nariadenia 95/46/EK mimo účinnosť (všeobecné nariadenie o ochrane údajov)
• Tretia strana: Tá fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo ktorýkoľvek iný orgán, ktorý nie je totožný s dotknutou osobou, so správcom údajov, alebo s tými osobami, ktoré pod priamym vedením správcu údajov, alebo spracovateľa údajov, dostali poverenie na spravovanie osobných údajov
• Info zákon: Zákon číslo CXII. z roku 2011 o práve na informačné sebaurčenie a o slobode pohybu informácií
• Zamestnanec: Osoba, zmluvný(-í) podnikateľ(-lia) a nimi poverené osoby, ktoré sú v pracovnom pomere, alebo v inom právnom vzťahu zameranom na výkon činnosti s Poskytovateľom služieb - obzvlášť zmluva o zabezpečení služby, zmluva o poverení
• Tvorba profilu: Ktorákoľvek taká forma automatizovanej správy osobných údajov, počas ktorej osobné údaje budú použité na hodnotenie určitých osobných charakteristík viažucich sa ku ktorejkoľvek fyzickej osobe, s dôrazom na jeho výkon na pracovisku, ekonomickú situáciu, zdravotného stavu, osobných preferencií, záujmov, spoľahlivosti, správania sa a charakteristík viažucich sa k miestu alebo jeho pohybu
• Osobný údaj: Ktorákoľvek informácia vzťahujúca sa na identifikovanú alebo identifikovateľnú fyzickú osobu ("dotknutá osoba"); identifikovateľná je tá fyzická osoba, ktorá je priamo alebo nepriamo - s dôrazom na niektorú z identifikovateľných faktorov, akými sú napríklad: meno, číslo, údaj určujúci polohu, on-line identifikátor, alebo jeden alebo viaceré faktory vzťahujúce sa na telesnú, fyziologickú, genetickú, duševnú, ekonomickú, kultúrnu alebo sociálnu entitu
• Osobitné kategórie osobných údajov: Osobné údaje poukazujúce na rasový alebo etnický pôvod, politické názory, osobné údaje poukazujúce na vierovyznanie, svetonázor alebo členstvo v odboroch, ako aj genetické a biometrické údaje zamerané na individuálnu identifikáciu fyzických osôb, údaje o zdravotnom stave alebo osobné údaje zamerané na sexuálny život alebo sexuálnu orientáciu fyzických osôb

6. Dopadová štúdia ochrany údajov

Z aspektu práv a slobôd fyzických osôb, za vykonanie dopadovej štúdie, vzťahujúcej sa na zdroje rizík, ich charakteru, ojedinelosti a váhy, zodpovedá správca údajov. Zistenia dopadovej štúdie je potrebné zohľadniť pri stanovení toho, že ktoré opatrenia sú vyhovujúce z aspektu zabezpečenia spravovania osobných údajov, vyhovujúcemu podmienkam GDPR. Keď podľa výsledkov dopadovej štúdie opatrení pre spravovanie údajov prinášajú takú vysokú mieru rizika, ktorú nemôže správca údajov eliminovať primeranými opatreniami z aspektu disponibilnej technológie a realizačnými výdajmi, musí pred spracovaním údajov v predstihu konzultovať s Národným orgánom na ochranu údajov a slobodného pohybu informácii (NAIH). Pokiaľ v ďalšom by bolo nevyhnutné vykonať ďalšiu dopadovú štúdiu v súvislosti so spracovaním údajov s vysokým rizikom, tak k jeho vykonaniu dôjde pomocou softvéru s otvoreným zdrojovým kódom, zverejneného francúzskym orgánom na ochranu údajov (Commission Nationale de l'Informatique et des Libertés, v ďalšom len: CNIL), odporúčaného aj NAIH.

V spojitosti s dopadovou štúdiou údajov správca údajov spracuje samostatný poriadok.

7. Test merania váhy záujmov – v prípade spravovania údajov v oprávnenom záujme

V prípade spravovania údajov podľa oprávneného záujmu v znení bodu f) §(1) článku 6 GDPR, k vykonaniu testu merania váhy záujmov dôjde stanoviska NAIH/2015/3731/2/V. Na základe toho test merania váhy záujmov je proces pozostávajúci z viacerých krokov, počas ktorého je nutné identifikovať oprávnený záujem správcu údajov, ako aj záujmy subjektu poskytujúcej údaje predstavujúcej protipól váženia, na záver na základe vykonania váženia je potrebné stanoviť, či je osobný údaj spracovateľný.

Použité kroky v teste merania váhy záujmov:

• 1. krok – skúšanie toho, či je potrebné spravovanie údajov, alebo sa to dá vyriešiť inak
• 2. krok – čo najpresnejšie možné zadefinovanie oprávnených záujmov
• 3. krok – zadefinovanie cieľov spravovania údajov, ktoré osobné údaje, ako dlho vyžadujú spravovanie údajov
• 4. krok – zadefinovanie hľadiska dotknutých osôb
• 5. krok - vykonanie merania váhy

O teste merania váhy záujmov spravovateľ údajov musí spracovať samostatný poriadok.

8. Spravovanie a ochrana osobných údajov

8.1. Úloha, pôsobnosť a zodpovednosť správcu údajov

Správca údajov, vykonávajúci prvotné spravovanie údajov, škodu spôsobenú iným osobám protiprávnym spravovaním údajov dotknutej osoby, alebo porušením technických požiadaviek ochrany údajov, je povinná uhradiť. Voči dotknutej osobe z odpovedá spravovateľ údajov aj za škodu spôsobenú spracovateľom údajov. Spravovateľ údajov je oslobodený spod zodpovednosti, ak dokáže, že škodu spôsobila neodvrátiteľná okolnosť mimo okruhu spravovania údajov. Nie je potrebné uhradiť škodu v tom zmysle, ak tá vznikla zapríčinením zámerného alebo závažne nedbalého počínania poškodenej osoby.

8.2. Úloha, pôsobnosť a zodpovednosť spracovateľa údajov

Práva a povinnosti spracovateľa údajov, súvisiace so spracovaním osobných údajov, určuje tento poriadok, ako aj v rámci vzťahujúcich sa právne predpisov aj správca údajov. V rámci okruhu činnosti spracovateľa údajov, respektíve v rámci obmedzení, zadefinovaných spravovateľom údajov, je zodpovedný za spracovanie, zmenu, zmazanie, prenos a zverejňovanie osobných údajov. V zmluve uzatvorenej so spracovateľom údajov treba označiť, že počas výkonu činnosti spracovateľa údajov, podľa nariadení správcu údajov môže využívať služby aj iného spracovateľa údajov, ako aj to, že porušenie pravidiel vzťahujúcich sa na spravovanie údajov môže poslúžiť, ako podklad pre okamžitú jednostrannú výpoveď zmluvy.

9. Základné princípy a základné ustanovenia

- Princíp zákonnosti, čestného konania a prehľadnosti:
(Príjem údajov a ich spravovanie má byť čestné a zákonné, zároveň pre dotknutú osobu musí byť prehľadné. )

- Princíp viazanosti k cieľu: 
(Podľa zákona o informáciách /Infotv./ osobné údaje je možné spravovať len s určitým stanoveným cieľom, použitím práva a v záujme splnenia povinností. Každá fáza spravovania údajov musí korešpondovať s cieľmi spravovania údajov. Spravovať je možné len taký osobný údaj, ktorý je nevyhnutný pre naplnenie cieľa spravovania údajov a pre dosiahnutie cieľa je vhodný. Osobný údaj je možné spravovať do miery potrebnej pre naplnenie cieľa a potrebného času.)

- Princíp hospodárnosti s údajmi:
(Na základe princípu hospodárnosti s údajmi, správca údajov môže spravovať také osobné údaje, ktoré sú nevyhnutné pre účel naplnenia cieľa spravovania údajov)

- Princíp presnosti:
(Údaje, spravované správcom údajov majú byť presné a v prípade potreby musia byť aj aktuálne; je potrebné vykonať všetky racionálne opatrenia v záujme toho, aby z aspektu nakladania s údajmi nepresné osobné údaje neodkladne zmazali alebo napravili.)

- Princíp obmedzeného zhromažďovania: 
(Zhromažďovanie osobných údajov musí prebiehať v takej forme, ktorá umožňuje identifikáciu dotknutých osôb len v časovom rozsahu, nevyhnutnom pre dosiahnutie cieľov spravovania údajov.)

- Princíp integrity a dôverného charakteru: 
(Spravovanie osobných údajov je potrebné vykonávať takým spôsobom, aby aplikáciou vhodných technických alebo organizačných opatrení bola zabezpečená primeraná bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo protiprávnym spravovaním údajov, náhodnou stratou, zničením alebo poškodením.)

- Princíp zúčtovateľnosti: 
(Správca údajov je zodpovedný za vyhovenie princípom a pravidlám spravovania údajov, nad rámec toho musí byť spôsobilý na legitimáciu vyhovenia.)

- Princíp bezpečnosti údajov: 
(Správca údajov si naplánuje a uskutoční operácie na spravovanie údajov tak, že počas zabezpečenia pravidiel určených infozákonom "Infotv." a ďalších pravidiel, vzťahujúcich sa na spravovanie údajov, zabezpečil ochranu privátnej sféry dotknutých osôb. Správca údajov zabezpečí ochranu údajov, ďalej vykoná technické a organizačné opatrenia a vytvorí pravidlá tých postupov, ktoré sú nevyhnutné pre uplatnenie pravidiel zhrnutých v infozákone "Infotv.", ako aj v ostatných predpisoch na ochranu údajov a tajomstiev. Správca údajov chráni údaje primeranými opatreniami, najmä čo sa týka neoprávneného prístupu, zmeny, prenosu, zverejnenia, zmazania alebo zničenia, ako aj náhodného zničenia a poškodenia, ďalej aj pre prípad ich neprístupnosti z dôvodu zmeny využívanej techniky. V záujme ochrany údajových súborov spravovaných elektronicky v rôznych registroch musí správca údajov primeranými technickými prostriedkami zabezpečiť, aby údaje uložené v registroch, - s výnimkou, pokiaľ to zákon povoľuje-, nemohli byť priamo prepojené a priradené dotknutej osobe. S cieľom zachovať bezpečnosť a zabrániť správe údajov, ktoré porušujú GDPR, správca údajov vyhodnocuje riziká vyplývajúce z povahy spravovania údajov a uplatňuje opatrenia na zmiernenie takýchto rizík, ako je napríklad aj šifrovanie. Tieto opatrenia zabezpečia primeranú úroveň bezpečnosti - vrátane dôverného nakladania s údajmi -, berúc do úvahy stav vedy a techniky, ako aj náklady na implementačné riziká a povahu osobných údajov, ktoré si vyžadujú ochranu. Pri posudzovaní rizík bezpečnosti údajov by sa mali zvážiť riziká spravovania osobných údajov, ako napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené zverejnenie alebo neoprávnený prístup k osobným údajom prenášaným, uloženým alebo iným spôsobom spracovávaným, ktorú môžu viezť vzniku fyzickej, majetkovej alebo nemajetkovej ujmy.

10. Práva dotknutých

- Právo prístupu:
(Dotknutá oprávnená osoba má právo byť informovaný správcom údajov vo vzťahu k tomu, či sa jeho osobné údaje spracúvajú, a ak sa takýto proces spravovania údajov prebieha, je oprávnený na to, aby mal prístup k osobným údajom, ako aj bol informovaný o okolnostiach týkajúcich sa ich spravovania. Správca údajov informuje dotknutú osobu o opatreniach prijatých na jej žiadosť bez zbytočného odkladu, najneskôr však do jedného mesiaca od prijatia žiadosti. Ak je to potrebné, pri zohľadnení zložitosti žiadosti a počtu žiadostí, môže byť táto lehota predĺžená o ďalšie dva mesiace. Správca údajov informuje dotknutú osobu o predĺžení lehoty uvedením dôvodov omeškania do jedného mesiaca od prevzatia žiadosti. Ak dotknutá osoba predložila žiadosť elektronickými prostriedkami, informácie sa poskytujú podľa možnosti elektronickými prostriedkami, pokiaľ dotknutá osoba nevyžiada inak.

- Právo na nápravu:
(Dotknutá osoba má právo na to, aby na jeho žiadosť správca údajov bez zbytočného odkladu napravila nepresnosť osobných údajov vzťahujúcich sa na jeho osobu, ako aj aby požiadala o doplnenie neúplných osobných údajov.)

- Právo na zmazanie: 
(Dotknutá osoba má právo na to, aby na jeho žiadosť správca údajov bez zbytočného odkladu napravila nepresnosť osobných údajov, ktoré sa jej týkajú, ak pretrváva jeden z nižšie uvedených dôvodov:

• a) osobné údaje už nie sú potrebné na účel, na ktorý boli zhromaždené alebo iným spôsobom spracované;
• b) dotknutá osoba vzala svoj súhlas, tvoriaci základ na spracovanie údajov v zmysle článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a) GDPR a spracovanie údajov nemá iný právny základ;
• c) dotknutá osoba vzniesla námietky voči spracovaniu údajov v súlade s článkom 21 ods. 1 GDPR a neexistuje žiadny prednostný právny dôvod na spravovanie údajov, alebo dotknutá osoba namieta proti spravovaniu údajov v zmysle odseku (2) článku 21. GDPR;
• d) ak osobné údaje spravoval správca údajov protiprávne;
• e) ak musia byť osobné údaje vymazané zo zákona;
• f) osobné údaje boli zhromaždené v súvislosti s poskytovaním služieb informačnej spoločnosti, uvedenými v článku 8 ods. (1) GDPR (podmienky pre súhlas dieťaťa).

Údaje nie sú vymazané správcom údajov, ak je správa údajov potrebná z jedného z nasledujúcich dôvodov:

• a) s cieľom uplatňovať právo na slobodu prejavu a informácie;
• b) na účely splnenia povinnosti vyplývajúcej zo zákona upravujúceho spravovanie osobných údajov;
• c) potrebné na predloženie, uplatnenie alebo ochranu právnych nárokov.

- Právo na obmedzenie spravovania údajov:
(Dotknutá osoba má právo na to, aby na jej žiadosť správca údajov obmedzila spravovanie údajov, ak je splnená jedna z nasledujúcich podmienok:

• a) dotknutá osoba spochybňuje presnosť osobných údajov, pričom v tomto prípade sa obmedzenie vzťahuje na obdobie, ktoré umožňuje správcovi údajov overiť správnosť osobných údajov;
• b) správa údajov je nezákonná a dotknutá osoba je proti vymazaniu údajov a namiesto toho požaduje obmedzenie ich používania;
• c) správca údajov už nepotrebuje osobné údaje na účely spravovania údajov, ale dotknutá osoba ich žiada pre účel predloženia, uplatnenia alebo ochrany právnych nárokov; alebo
• d) dotknutá osoba sa ohradila voči spracovaniu údajov; v tomto prípade sa toto obmedzenie uplatňuje na obdobie, kým nie je zistené, či legitímne dôvody správcu údajov majú prednosť pred legitímnymi dôvodmi dotknutej osoby. V prípade obmedzenia spracovania údajov sa s osobnými údajmi dotknutými obmedzením, okrem uloženia, je možné spravovať len so súhlasom dotknutej osoby alebo s predložením, uplatnením alebo ochranou právnych nárokov alebo ochranou práv iných fyzických alebo právnických osôb alebo dôležitým verejným záujmom Únie alebo členského štátu. Spravovateľ údajov informuje dotknutú osobu vopred o zrušení obmedzenia.

- Právo na protest: 
(Dotknutá osoba môže kedykoľvek vzniesť námietku voči spracovaniu svojich osobných údajov z dôvodu jeho postavenia na základe článku 6 ods. 1 písm. e) alebo f) GDPR, vrátane vytvárania profilu založeného na uvádzaných ustanoveniach. V tomto prípade nesmie spravovateľ údajov ďalej spravovať osobné údaje, pokiaľ nepreukáže, že spravovanie údajov je odôvodnené legitímnymi donucovacími okolnosťami, ktoré majú prednosť pred záujmami, právami a slobodami dotknutej osoby, alebo ktoré súvisia s predkladaním, uplatnením alebo ochranou právnych nárokov.)

- Právo na ukladanie údajov: 
(Dotknutá osoba je oprávnená na to, aby dostala svoje osobné údaje v štruktúrovanom, široko používanom, strojom čitateľnom formáte a je oprávnený postúpiť takéto údaje inému správcovi údajov bez toho, aby ho ohrozoval správca údajov, pre ktorého osobné údaje poskytol; ak: a) správa dát je založená na súhlase podľa bodu a) odseku (1) článku 6, GDPR, alebo na bode a)odseku (2) článku 9, GDPR, alebo na základe zmluvy podľa bodu b) odseku (1) článku 6, GDPR; a za b) správa údajov je automatizovaná.)

11. Podrobné pravidlá pre správu údajov

11.1. Informácie o spravovaní údajov

Zainteresované strany majú právo na získanie informácií o spravovaní svojich osobných údajov v stručnej, prehľadnej a ľahko prístupnej forme s jasnými a zrozumiteľnými informáciami. Ak sú osobné údaje zhromaždené od dotknutej osoby, dotknutá osoba musí byť informovaná aj o tom, či je povinná zverejniť osobné údaje, ďalej o tom, že aké sú dôsledky neposkytnutia údajov. Informácie poskytnuté o spracovaní osobných údajov, ktoré sa týkajú dotknutej osoby, je potrebné poskytnúť dotknutej osobe v čase zberu údajov, alebo ak boli údaje zhromaždené z iných zdrojov, ako je dotknutá osoba, je nutné ich sprístupniť v primeranej lehote, berúc do úvahy okolnosti daného prípadu. Pokiaľ môžu byť osobné údaje zákonne oznámené inému adresátovi, dotknutá osoba musí byť o tom informovaná pri prvom oznámení adresátovi. Ak má správca údajov záujem spracovať osobné údaje na iný, než na pôvodný účel, na ktorý boli zhromaždené, dotknutú osobu musí informovať o tomto odlišnom účele a o všetkých ďalších potrebných informáciách pred ďalším spracovaním.

Informovanie by sa malo týkať nasledovným:

• o totožnosti a dostupnosti správcu údajov
• kontakt úradníka pre ochranu údajov
• účel spracovania osobných údajov a právny základ pre spracovanie údajov
• v prípade spracovania údajov založeného na "legitímnom záujme", o týchto oprávnených záujmoch
• o plánovanom trvaní spravovania údajov
• o právach dotknutej osoby
• o tom, či je poskytnutie údajov podmienkou pre uzatvorenie zmluvy, alebo aké dôsledky môže mať neposkytnutie údajov
• možné automatizované rozhodovanie vrátane tvorby profilovania.
• o možnosti právnej nápravy dotknutých

11.2 Zákonnosť spravovania údajov

Spravovanie osobných údajov je vtedy legitímne, ak má správca údajov jeden z nasledujúcich právnych podkladov na správu údajov:

• súhlas dotknutej osoby so spracovaním jeho osobných údajov
• spravovanie údajov je nevyhnutné pre plnenie takej zmluvy, ktorej jedným účastníkom je dotknutá osoba
• spravovanie údajov je nevyhnutná pre splnenie legislatívnej povinnosti vzťahujúcej sa na správcu údajov
• správa údajov je potrebná v záujme ochrany životne dôležitých záujmov dotknutej osoby
• správa údajov je nevyhnutná na plnenie úloh vo verejnom záujme
• spracovanie údajov je nevyhnutné pre uplatnenie oprávneného záujmu správcu údajov alebo tretej strany s výnimkou, ak pred takýmito záujmami sú uprednostnené také záujmy dotknutej osoby alebo jeho základné práva a slobody, ktoré si vyžadujú ochranu osobných údajov, najmä v prípade, ak dotknutou osobou je dieťa.

11.3 Rozsah osobných údajov spravovaných správcom údajov, účel správy údajov a trvanie jeho právneho základu je uvedený v registri činností riadenia údajov, ktorý tvorí prílohu 1 k týmto pravidlám, ktorý je zverejnený správcom údajov na jeho internetovej stránke.

Register správy údajov obsahuje:

• účel správy údajov,
• druhy údajov,
• právny základ spravovania,
• okruh dotknutých,
• zdroje údajov,
• typ, adresát a právny základ možného prenosu údajov,
• termín zmazania daného typu údajov,
• pokiaľ sa spracúvajú údaje vo vzťahu k údajom, tak údaje spracovateľa údajov, miesto spracovania údajov, aktivity spracovateľa údajov, súvisiacich so spravovaním údajov.

V súvislosti so spracovaním údajov uvedeným v registri na správu údajov boli pripravené samostatné informácie na správu údajov, ktoré tvoria prílohu registra číslo 1-21.

11.4. Trvanie správy údajov

Údaje môžu byť uložené len v čo najkratšom čase. Pri určovaní tohto obdobia by sa mali brať do úvahy dôvody, na ktoré prevádzkovateľ spracúva údaje a zákonnú viazanosť uchovávať údaje na určenú dobu.

11.5. Interný prenos údajov

Osobné údaje sa môžu prenášať iba v rámci organizácie správcu údajov v súlade so zásadou vymedzenia účelu a právo na prístup k údajom sa môže udeliť len na primeraný účel.

11.6. Prenos údajov tretím osobám

Osobné údaje môžu byť prenášané pre tretiu stranu len zo zákona, alebo so súhlasom dotknutej osoby, ak sú splnené podmienky na správu osobných údajov vzhľadom na všetky osobné údaje. Pred prenosom údajov správca údajov je povinný preskúmať, že čí pretrvávajú požadované zákonné okolnosti, respektíve následne po prenose, či sa splnia podmienky správy údajov vo vzťahu ku každému osobnému údaju.

Úradník pre ochranu údajov by sa mal zapojiť aj pred overením zákonnosti prenosu údajov pre tie isté dotknuté osoby, na ten istý účel a pre tých istých spravovateľov údajov. Počas následných prenosov údajov nie je potrebné vykonať samostatnú skúšku. Úradník pre ochranu údajov je povinný z prenosov údajov uchovávať záznam o prenose údajov a uchovávať ho v súlade s pravidlami. Prenos údajov sa uchováva do konca piateho roka nasledujúceho po roku prevzatia alebo prenosu údajov (dvadsať rokov v prípade osobitných údajov).

Register prenosu údajov zahŕňa:

• dátum prenosu osobných údajov, spravovaných preposielateľom,
• rozsah prenášaných údajov,
• právny základ a adresát prenosu údajov (meno, adresa, sídlo),
• meno a telefónne číslo osoby zodpovednej za prevod.

11.7 Prenos údajov do zahraničia alebo do tretích krajín

Pred prenosom údajov - za účasti úradníka pre ochranu údajov - je povinnosťou správcu údajov skontrolovať, či sú splnené jeho právne podmienky a či sú po prenose osobných údajov splnené podmienky na správu údajov pre každý osobný údaj.

11.8 U správcu údajov nedochádza k správe špeciálnych údajov, vrátane biometrických údajov.

12. Incident ochrany údajov

Počas incidentu na ochranu údajov v súlade s GDPR rozumieme také porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému zverejneniu alebo neoprávnenému prístupu k osobným údajom prenášaným, uloženým alebo iným spôsobom spravovaným.

12.1 Ohlásenie incidentu ochrany údajov

Incident ochrany údajov sa oznámi príslušnému orgánu dohľadu (NAIH) bez zbytočného odkladu a v prípade, ak je to možné, do 72 hodín od informovania správcu údajov o udalosti ochrany údajov, s výnimkou, že by udalosť ochrany údajov nepredstavovala riziko pre práva fyzických osôb a rešpektovanie ich slobôd. Keď ohlásenie neprebehne do 72 hodín, je nutné prikladať aj odôvodnenie potvrdzujúce omeškanie oznámenia.

12.2 Preskúmanie a riadenie incidentu súvisiaceho s ochranou súkromia

Úradník pre ochranu údajov skúma oznámenie, od oznamovateľa žiada predloženie poskytnutie údajov, čo oznamovateľ je povinný vykonať okamžite, najneskôr však do dvoch pracovných dní.

Poskytovanie údajov musí obsahovať:

• dátum a miesto udalosti uskutočnenia incidentu
• opis, okolnosti a dôsledky incidentu
• okruh údajov a ich počet počas incidentu
• osoby, na ktoré sa vzťahujú údaje
• opis opatrení prijatých na odstránenie incidentu,
• opis opatrení prijatých na prevenciu, nápravu a zníženie škôd.

Úradník pre ochranu údajov navrhne potrebné opatrenia. Osoba zodpovedná za spracovanie alebo spracovanie údajov je povinná informovať úradníka pre ochranu údajov o všetkých opatreniach prijatých na vyriešenie incidentu na ochranu údajov do 2 pracovných dní od vykonania uvedených opatrení.

12.3 Register incidentov na ochranu údajov

Úradník pre ochranu údajov je povinný zaevidovať prípady incidentov ochrany údajov. V zmysle GDPR správca údajov je povinný zaviesť vhodné technické a organizačné opatrenia v záujme toho, aby bolo možné odhaliť a vyhodnotiť zraniteľné miesta a bezpečnostné incidenty.

A preto, okrem zaevidovania dokumentácie o incidentoch v oblasti ochrany údajov, musí zabezpečiť relevantné postupy a opatrenia z toho dôvodu, aby včas odhalil a spravoval bezpečnostné incidenty.

13. Platnosť tohto poriadku, jeho úprav

Tento poriadok nadobúda účinnosť 30. novembra 2018. Správca údajov je oprávnený kedykoľvek zmeniť pravidlá samostatne - ak zmena nie je v rozpore s platnou legislatívou. Pravidlá sú k nahliadnutiu v sídle správcu údajov.

Alsópáhok, 30. novembra 2018.