ZÁSADY SPRACÚVANIA A OCHRANY OSOBNÝCH ÚDAJOV

v obchodnej spoločnosti Magic Box Slovakia, s.r.o.
Obchodná spoločnosť Magic Box Slovakia, s.r.o., so sídlom Trenčianska 47, 821 09
Bratislava, IČO: 35 832 550, zapísaná v Obchodnom registri vedenom Okresným súdom
Bratislava I, oddiel Sro, vložka 26169/B, je v zmysle ustanovenia § 5 písm. o) zákona č.
18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len
„zákon“) pri výkone svojej činnosti Prevádzkovateľom spracúvajúcim osobné údaje (ďalej tiež
len „Prevádzkovateľ“).
Zásady spracúvania osobných údajov určujú základné podmienky a postup Prevádzkovateľa pri
spracúvaní osobných údajov.
I.
Osobné údaje, ich získavanie a rozsah spracúvania
Podľa § 2 zákona sú za osobné údaje považované údaje týkajúce sa identifikovanej fyzickej
osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo,
najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad
meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na
základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu,
fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú
identitu, kultúrnu identitu alebo sociálnu identitu.
Prevádzkovateľ na účely výkonu svojej podnikateľskej činnosti spracúva osobné údaje fyzických
osôb (ďalej len „Dotknutá osoba“) najmä na účely uzatvárania a plnenia už uzavretých
zmluvných vzťahov s Dotknutou osobou, ďalej tiež na daňové a účtovné účely, archivačné účely,
štatistické účely a ďalšie účely stanovené platnými právnymi predpismi. Osobné údaje Dotknutej
osoby sú získavané predovšetkým priamo od Dotknutej osoby Prevádzkovateľa. Pri získaní
osobných údajov od inej než Dotknutej osoby, sú po vyslovení súhlasu s ďalším spracúvaním
osobné údaje Dotknutej osoby spracúvané v rozsahu nevyhnutnom na účely uvedené vyššie,
prípadne účely, s ktorými Dotknutá osoba vyslovila súhlas.
Prevádzkovateľ spracúva osobné údaje zahŕňajúce identifikačné a kontaktné údaje Dotknutých
osôb výlučne v rozsahu potrebnom na plnenie zmluvných vzťahov s Dotknutými osobami.
Osobné údaje sú spracúvané s prihliadnutím na povahu daného zmluvného vzťahu, vrátane
požiadaviek vyžadovaných právnymi predpismi na rozsah spracúvania osobných údajov
vyplývajúci z pracovnoprávnych predpisov a súvisiacich predpisov týkajúcich sa sociálneho
a zdravotného poistenia.
Poskytnutie osobných údajov Dotknutou osobou v nevyhnutnom rozsahu na vyššie uvedené
účely, je požiadavkou potrebnou na uzavretie zmluvy. Neposkytnutie osobných údajov
v rozsahu potrebnom na jednotlivé účely spracúvania osobných údajov má za následok, že daný
účel nebude možné realizovať.
2
II.
Zásady spracúvania osobných údajov
V zmysle príslušných ustanovení zákona, ako aj Nariadenia Európskeho parlamentu a Rady
(EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov
a o voľnom pohybe takýchto údajov Prevádzkovateľ dodržiava nižšie uvedené zásady.
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu
základných práv dotknutej osoby.
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a
nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie
osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na
štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky
ochrany práv dotknutej osoby podľa § 78 ods. 8 zákona, sa nepovažuje za nezlučiteľné s
pôvodným účelom.
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah
daný účelom, na ktorý sa spracúvajú.
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať
primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z
hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby
najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné
údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký
účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak
sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8 Zákona.
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných
technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane
ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním
osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo
poškodením osobných údajov.
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných
3
údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je
povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
III.
Právny základ spracúvania osobných údajov
Právne základy spracúvania osobných údajov sú definované v § 13 ods. 1 zákona, pričom
Prevádzkovateľ pri výkone svojej podnikateľskej činnosti vykonáva spracúvanie osobných
údajov predovšetkým na nasledovných základoch:
– súhlas Dotknutej osoby so spracúvaním osobných údajov, pokiaľ bol udelený,
– nevyhnutnosť spracúvania osobných údajov na plnenie zmluvy uzavretej s Dotknutou
osobou, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti
Dotknutej osoby,
– spracúvanie osobných údajov podľa osobitných predpisov, ktoré je Prevádzkovateľ povinný
dodržiavať (napr. zákon č. 395/2002 Z. z. o archívoch a registratúrach, zákon č. 431/2002 Z.
z. o účtovníctve),
– spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov Prevádzkovateľa
alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva
dotknutej osoby vyžadujúce si ochranu osobných údajov.
IV.
Územný rozsah spracúvania osobných údajov
Spracúvanie osobných údajov Prevádzkovateľom nepresahuje územie krajín Európskej únie,
resp. krajín, ktoré sú zmluvnou stranou Dohody o Európskom hospodárskom priestore.
Prevádzkovateľ nevykonáva prenos osobných údajov Dotknutej osoby do tretích krajín (t.j.
krajiny, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o
Európskom hospodárskom priestore), alebo medzinárodnej organizácii.
V.
Uchovávanie osobných údajov
Osobné údaje sú uchovávané po dobu, ktorá je viazaná na účel spracúvania osobných údajov
a je daná predovšetkým trvaním zmluvného vzťahu Prevádzkovateľa a Dotknutej osoby. Doba
uchovávania osobných údajov je tiež daná lehotami, počas ktorých je možné uplatňovať nároky
zo zmlúv (premlčacia doba), a tiež osobitnými právnymi predpismi (napr. na registratúrne
a účtovné účely).
VI.
Práva Dotknutých osôb
Prevádzkovateľ pri spracúvaní osobných údajov dbá na dodržiavanie zákonom ustanovených
práv Dotknutých osôb. Každá Dotknutá osoba má právo požadovať od Prevádzkovateľa prístup
k jej osobným údajom, opravu osobných údajov, vymazanie osobných údajov, obmedzenie
spracúvania osobných údajov, právo namietať spracúvanie osobných údajov, ako aj právo na
prenosnosť osobných údajov.
Právo na prístup k osobným údajom
Ide o právo Dotknutej osoby získať od Prevádzkovateľa potvrdenie o tom, či sa spracúvajú
4
osobné údaje, ktoré sa jej týkajú. Ak Prevádzkovateľ takéto osobné údaje spracúva, Dotknutá
osoba má právo získať prístup k týmto osobným údajom a informácie o:
– účele spracúvania osobných údajov,
– kategórii spracúvaných osobných údajov,
– identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné
údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
ak je to možné,
– dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej
určenia,
– práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej
osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať
spracúvanie osobných údajov,
– práve podať návrh na začatie konania na Úrade na ochranu osobných údajov Slovenskej
republiky,
– zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
– existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto
prípadoch poskytne Prevádzkovateľ dotknutej osobe informácie najmä o použitom
postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania
osobných údajov pre dotknutú osobu.
Právo na opravu osobných údajov
Dotknutá osoby má právo na to, aby Prevádzkovateľ bez zbytočného odkladu opravil nesprávne
osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má
Dotknutá osoba právo na doplnenie neúplných osobných údajov.
Právo na výmaz osobných údajov
Dotknutá osoba má právo na to, aby Prevádzkovateľ bez zbytočného odkladu vymazal osobné
údaje, ktoré sa jej týkajú. V takom prípade je Prevádzkovateľ povinný bez zbytočného odkladu
vymazať osobné údaje Dotknutej osoby, a to vo všeobecnosti ak:
– osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
– Dotknutá osoba odvolá súhlas so spracúvaním osobných údajov, na základe ktorého sa
spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie
osobných údajov,
– Dotknutá osoba namieta spracúvanie osobných údajov,
– osobné údaje sa spracúvajú nezákonne,
– je dôvodom pre výmaz splnenie povinnosti podľa zákona, osobitného predpisu alebo
medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
– osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Právo na obmedzenie spracúvania osobných údajov
Dotknutá osoba má právo požadovať, aby Prevádzkovateľ obmedzil spracúvanie osobných
údajov, ak:
– Dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho
Prevádzkovateľovi overiť správnosť osobných údajov,
– spracúvanie osobných údajov je nezákonné a Dotknutá osoba namieta vymazanie
osobných údajov a žiada namiesto toho obmedzenie ich použitia,
– Prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale
potrebuje ich Dotknutá osoba na uplatnenie právneho nároku,
– Dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či
oprávnené dôvody na strane Prevádzkovateľa prevažujú nad oprávnenými dôvodmi
Dotknutej osoby.
5
Právo na prenosnosť osobných údajov
Jedná sa o právo Dotknutej osoby získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla
Prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte.
Dotknutá osoba má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to
technicky možné a to vo všeobecnosti ak:
– Dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na
jeden konkrétny účel,
– spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou
je Dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe
žiadosti Dotknutej osoby,
– spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv
Prevádzkovateľa alebo Dotknutej osoby v oblasti pracovného práva, práva sociálneho
zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa
osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv
a záujmov dotknutej osoby,
– spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
Právo namietať spracúvanie osobných údajov
Dotknutá osoba má vo všeobecnosti právo namietať spracúvanie jej osobných údajov z dôvodu
týkajúceho sa jej konkrétnej situácie vykonávané:
– na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej
prevádzkovateľovi,
– na účel oprávnených záujmov Prevádzkovateľa alebo tretej strany okrem prípadov, keď nad
týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu
osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na
spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh,
vrátane profilovania založeného na vyššie uvedených účeloch. Prevádzkovateľ nesmie ďalej
spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie
osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody
na uplatnenie právneho nároku.
V prípade spracúvania osobných údajov na účel priameho marketingu vrátane profilovania v
rozsahu, v akom súvisí s priamym marketingom, má Dotknutá osoba právo takéto spracúvanie
namietať. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho
marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie
spracúvať.
Prevádzkovateľ aktuálne nevykonáva individuálne rozhodovanie na základe automatizovaného
spracúvania osobných údajov, ani priamy marketing.
Pokiaľ je právnym základom spracúvania osobných údajov súhlas Dotknutej osoby, má
Dotknutá osoba právo takýto súhlas so spracúvaním jej osobných údajov odvolať. V zmysle § 14
ods. 3 zákona však odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov
založeného na súhlase pred jeho odvolaním. Dotknutá osoba môže súhlas so spracúvaním
osobných údajov odvolať rovnakým spôsobom, akým súhlas udelila.
Dotknutá osoba je oprávnená uplatniť vyššie uvedené práva, prípadne akékoľvek ďalšie svoje
požiadavky vo vzťahu k spracúvaniu osobných údajov priamo u Prevádzkovateľa, ktorého
kontaktné údaje sú na daný účel uvedené na konci týchto zásad. O požiadavke, ktorou Dotknutá
osoba u Prevádzkovateľa uplatnila svoje práva, bude Prevádzkovateľ informovať prípadné
ďalšie subjekty, ktorým mohli byť osobné údaje v súlade so zákonom a týmito zásadami
poskytnuté.
6
VII.
Uplatňovanie práv na ochranu osobných údajov
Prevádzkovateľ dbá na to, aby práva Dotknutých osôb na ochranu osobných údajov neboli
nijakým spôsobom porušované, a aby zo strany Prevádzkovateľa boli tak vo vzťahu
k Dotknutým osobám, ako aj voči na Úradu na ochranu osobných údajov Slovenskej republiky,
dodržané všetky zákonom stanovené povinnosti.
V prípade, ak opatrenia prijaté Prevádzkovateľom na základe Dotknutou osobou uplatnených
práv nebude Dotknutá osoba považovať za dostatočné a domnieva sa, že spracúvanie jej
osobných údajov nie je v súlade so zákonom, je oprávnená iniciovať konanie o ochrane
osobných údajov podaním návrhu na Úrade na ochranu osobných údajov Slovenskej republiky
podľa § 99 a nasl. zákona. Návrh na začatie konania musí obsahovať:
– meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
– označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu
alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
– predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov
porušené,
– dôkazy na podporu tvrdení uvedených v návrhu
– kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej
hlavy zákona alebo osobitného predpisu (Nariadenie Európskeho parlamentu a Rady
(EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných
údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES
(všeobecné nariadenie o ochrane údajov), ak si takéto právo Dotknutá osoba uplatnila,
alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva,
ak návrh podala Dotknutá osoba.
Ďalšie informácie o postupe uplatnenia práv Dotknutej osoby sú dostupné na stránke:
www.dataprotection.gov.sk.
VIII.
Spracúvanie osobných údajov sprostredkovateľmi
Prevádzkovateľ môže osobné údaje poskytnúť svojim zmluvným partnerom, ktorí prípadne pre
Prevádzkovateľa spracúvajú osobné údaje ako sprostredkovatelia. Takéto poskytnutie
osobných údajov musí byť realizované na základe zmluvy medzi Prevádzkovateľom
a sprostredkovateľom, uzavretou v zmysle § 34 zákona. Sprostredkovateľmi môžu byť
predovšetkým:
– profesionálni poradcovia, účtovní a daňoví poradcovia, advokáti a audítori,
– poskytovateľov informačných systémov a súvisiacich IT služieb.
Na účely doručenia tovaru, ktorý si Dotknutá osoba objednala u Prevádzkovateľa, poskytuje
Prevádzkovateľ osobné údaje v nevyhnutnom rozsahu potrebnom na doručenie dopravcovi.
Takéto osobné údaje Prevádzkovateľ odovzdá dopravcovi tak, ako ich Dotknutá osoba uvedie v
objednávke. Odovzdané údaje zahŕňajú predovšetkým meno a priezvisko, doručovaciu adresu,
tel. číslo, na ktorom môže dopravca Dotknutú osobu kontaktovať a v prípade, ak nebol tovar
uhradený vopred, tak aj sumu, ktorú je potrebné pri prevzatí tovaru uhradiť. Dopravca je vo
vzťahu k poskytnutým osobným údajom oprávnený spracúvať ich len na účely doručenia tovaru
a potom osobné údaje bezodkladne vymazať.
V prípade objednávky tovaru uskladneného u zmluvného partnera Prevádzkovateľa je
nevyhnuté poskytnúť osobné údaje tomuto zmluvnému partnerovi, ktorý objednávku vybaví.
Takto odovzdané údaje zahŕňajú predovšetkým meno a priezvisko, doručovaciu adresu,
telefónne číslo, na ktorom môže Dotknutú osobu kontaktovať a pokiaľ nebol tovar uhradený
7
vopred, aj sumu, ktorú treba pri prevzatí tovaru uhradiť. Tento zmluvný partner potom uvedené
osobné údaje odovzdá dopravcovi, ktorý bude tovar doručovať. Uvedený zmluvný partner, ako aj
dopravca, sú vo vzťahu k poskytnutým osobným údajom povinní tieto osobné údaje použiť len
na účely skladovania a doručenia tovaru a následne ich bezodkladne zmazať.
IX.
Kontaktné údaje Prevádzkovateľa
V prípade uplatnenia práv týkajúcich sa ochrany osobných údajov, alebo otázok týkajúcich sa
spracúvania osobných údajov sa Dotknutá osoba môže obrátiť na Prevádzkovateľa e-mailom
zaslaným na adresu: .feglova@magicbox.sk-