ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV
/v zmysle zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov „ZOOÚ“ a nariadenia Európskeho parlamentu a rady EÚ 2019/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES „GDPR“/
Spoločnosti skupiny DUPOS sa neustále snažia zvyšovať úroveň poskytovaných služieb, v rámci ktorých uplatňujeme najnovšie postupy, podporované informačnými technológiami. V súvislosti s tým si však uvedomuje, že neoddeliteľnou súčasťou používania informačných technológii je bezpečnosť a ochrana osobných údajov.
Bezpečnostná politika našich spoločností sa primárne zameriava na prijatie a dodržiavanie bezpečnostných opatrení zodpovedajúcich ochrane informačných systémov, ochrane osôb a majetku a zavedenie takých mechanizmov do systému, ktoré by spĺňali požiadavky stanovené Nariadením Európskeho parlamentu a rady (EÚ) 2016/679 z 17. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej „GDPR“) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej „ZOOÚ“).
1. Definícia pojmov
Osobné údaje - údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Dotknutá osoba – osoba, ktorej sa osobný údaj týka.
Prevádzkovateľ - každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
Sprostredkovateľ - každý, kto spracúva osobné údaje v mene prevádzkovateľa.
Spracúvanie osobných údajov - spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Súhlas dotknutej osoby - akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
2. Zásady spracúvania osobných údajov
Zásada zákonnosti – osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
Zásada obmedzenia účelu – osobné údaje sa môžu získavať len na konkrétne určených, výslovne uvedený a oprávnený účel.
Zásada minimalizácie osobných údajov - spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
Zásada správnosti - spracúvané osobné údaje musia byť správne a podľa potreby aktualizované.
Zásada minimalizácie uchovávania - osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
Zásada integrity a dôvernosti - osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov.
Zásada zodpovednosti - prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.
3. Práva dotknutej osoby
V zmysle ZOOÚ a GDPR má dotknutá osoba právo vedieť kto, kde a akým spôsobom spracúva jej osobné údaje. Zároveň má právo domáhať sa opravy, likvidácie, či namietať spracúvanie osobných údajov.
Právo na prístup – dotknutá osoba má právo na potvrdenie, či sa jej osobné údaje spracúvajú, právo získať prístup k osobným údajom a právo na ďalšie informácie (ako napr. ktoré osobné údaje sú spracúvané, na aký účel, komu prevádzkovateľ spracúvané osobné údaje poskytuje, príp. ako dlho budú uchovávané...).
Právo na opravu – dotknutá osoba môže požiadať prevádzkovateľa o opravu nesprávnych osobných údajov, ktoré sa jej týkajú, príp. požiadať o doplnenie neúplných údajov.
Právo na výmaz osobných údajov („Právo byť zabudnutý“) – dotknutá osoba má právo od prevádzkovateľa žiadať vymazanie jej osobných údajov.
Právo na obmedzenie spracúvania – na základe žiadosti dotknutej osoby je prevádzkovateľ povinný obmedziť ďalšie spracovanie osobných údajov za nasledovných okolností:
- ak dotknutá osoba namieta voči spracovaniu založenému na oprávnenom záujme, prevádzkovateľ obmedzí všetko spracovanie týchto údajov do overenia oprávneného záujmu,
- ak dotknutá osoba vyhlási, že jej osobné údaje sú nesprávne, prevádzkovateľ musí obmedziť všetko spracovanie týchto údajov do overenia správnosti osobných údajov,
- ak je spracovanie nezákonné, dotknutá osoba môže odporovať vymazaniu osobných údajov a namiesto toho požadovať obmedzenie používania jej osobných údajov,
- ak prevádzkovateľ už nepotrebuje osobné údaje, ale vyžaduje sa to na obhajobu právnych nárokov.
Právo na prenosnosť – dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné, a ak boli naplnené zákone podmienky v zmysle ZOOÚ a GDPR.
Právo namietať spracúvanie osobných údajov – dotknutá osoba môže namietať spracúvanie jej osobných údajov v zmysle ZOOÚ a GDPR.
Právo na neúčinnosť automatizovaného individuálneho rozhodovania vrátane profilovania - dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo automatizované individuálne rozhodovanie, vrátane profilovania, ktoré má právne účinky týkajúce sa dotknutej osoby prípadne ju podobne významne ovplyvňujú v zmysle ZOOÚ a GDPR.