OCHRANA OSOBNÝCH ÚDAJOV

Múzejná Galéria s.r.o. (Založená: november 2004)

Tento dokument ustanovuje pravidlá a postupy Múzejnej Galérie s.r.o. pri spracovaní osobných údajov fyzických osôb, ochranu a voľný pohyb osobných údajov.

I. Vymedzenie pojmov

1. „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2. „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3. „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

4. „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

5. „prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

6. „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

7. „príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

8. „tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

9. „súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

10. „porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

11. „hlavná prevádzkareň“ je:

a) pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

b) pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

12. „podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

13. „skupina podnikov“ je riadiaci podnik a ním riadené podniky;

14. „záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

15. „cezhraničné spracúvanie“ je buď:

a) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

16. „relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

II. Údaje prevádzkovateľa a spracovávané osobné údaje

1. Správcom Vašich osobných údajov je spoločnosť Múzejná Galéria s.r.o., sídlo Korzo Bélu Bartóka 789/3, 929 01 Dunajská Streda, IČO: 36 265 675, IČ DPH: SK2021896811, zapísaná v Obchodnom registri Okresného súdu Trnava, oddiel Sro, vložka č. 15449/T, telefón: 034/ 553 0462, email: info@muzejnagaleria.sk , v zastúpení: Koloman Schmidt

2. Účel spracúvanie osobných údajov: plnenie zmluvy pre úspešné vybavenie objednávky a doručenie objednaného tovaru.

3. Spracovávané osobné údaje: meno, priezvisko, adresa, adresa doručenia, e-mail, telefónne číslo.

4. Právny základ spracúvania osobných údajov: údaje sú potrebné na plnenie zmluvy v zmysle Nariadenia podľa čl. 6 ods. 1 písm. b). Keďže Vaša objednávka je zadaná on-line a prevádzkovateľ nemá kamennú predajňu, tovar bude doručený prostredníctvom pošty. K plneniu zmluvy je nutné, aby sme Vás o zaregistrovaní objednávky, o stave vybavenia objednávky a o spôsobe doručenia informovali. Telefónny kontakt je potrebný, aby sme sa s Vami mohli spojiť a informovať Vás. O uskutočnenom predaji vystavujeme daňový doklad, kde spracovanie údajov je v zmysle Nariadenia podľa čl. 6 ods. 1 písm.c). Údaje daňových dokladov musia byť v zákonom stanovenej lehote archivované. Telefónne číslo a e-mailová adresa budú spracované po plnení zmluvy podľa Nariadenia čl. 6 ods. 1 písm. a). Na základe Vášho súhlasu Vás môžeme kontaktovať e-mailom alebo telefonicky, aby sme Vám poskytli ďalšie informácie o našich produktoch. Váš súhlas môžete kedykoľvek odvolať, podrobnosti o všetkých Vašich právach nájdete v článku V.

5. Doba uchovania osobných údajov: meno, priezvisko, adresa podľa účtovných a daňových predpisov je do 10 rokov, emailová adresa a číslo telefónu po plnení poslednej zmluvy do jedného roku, v prípade udeleného súhlasu až do odvolania súhlasu. Vaše osobné údaje neposkytujeme tretím stranám, okrem sprostredkovateľov s ktorými spolupracujeme , s výnimkou prípadov, ktoré nám ukladá zákon. Takíto sprostredkovatelia sú poskytovateľ webhostingu alebo spoločnosť vykonávajúca doručovanie zásielok.

6. Záznamy o spracovateľských činnostiach: v zmysle zákona.

III. Zásady spracúvania osobných údajov

Osobné údaje musia byť

1. spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“)

2. získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi („obmedzenie účelu“)

3. primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“)

4. správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“)

5. uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú („minimalizácia uchovávania“)

6. spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“)

7. Prevádzkovateľ je zodpovedný za súlad uvedených v v bode 1. a musí vedieť tento súlad preukázať („zodpovednosť“).

IV. Zákonnosť spracúvania

Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely

2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy

3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa

4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby

5. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

V. Práva dotknutej osoby

1. Transparentnosť a opatrenia

a. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho. Informácie sa poskytujú písomne alebo inými prostriedkami - vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

b. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

2. Informácie a prístup k osobným údajom

a. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,

- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,

- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.

b. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania

- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,

- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,

- existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,

- právo podať sťažnosť dozornému orgánu,

- informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov.

3. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

a. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,

- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,

- kategórie dotknutých osobných údajov,

- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.

b. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu

- doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie,

- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,

- existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,

- právo podať sťažnosť dozornému orgánu,

- z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.

c. Prevádzkovateľ poskytne informácie uvedené v odsekoch a) a b):

- v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

- ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou,

- ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom:

a. dotknutá osoba má už dané informácie,

b. sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby,

c. v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

5. Právo dotknutej osoby na prístup k údajom

a. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

- účely spracúvania;

- kategórie dotknutých osobných údajov;

- príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

- ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

- existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

- právo podať sťažnosť dozornému orgánu;

- ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj,

- v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

b. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

6. Právo na opravu

a. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

7. Právo na vymazanie (právo „na zabudnutie“)

a. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie údajov vykonáva a ak neexistuje iný právny základ pre spracúvanie;

- dotknutá osoba namieta voči spracúvaniu osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu;

- osobné údaje sa spracúvali nezákonne;

- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha.

b. bod a) sa neuplatňuje, pokiaľ je spracúvanie potrebné:

- na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,

- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

8. Právo na obmedzenie spracúvania

a. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

- dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

- spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

- prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

- dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

b. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

c. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

9. Právo na prenosnosť údajov

a. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

- údaje poskytol na základe súhlasu alebo na základe zmluvy

- ak sa spracúvanie vykonáva automatizovanými prostriedkami.

b. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

c. Uplatňovaním práva uvedeného v bode a) tohto článku nie je dotknuté právo v bode 7. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

10. Právo namietať

a. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.

b. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

c. Dotknutá osoba sa výslovne upozorní na právo uvedené v bode a) najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

VI. Špecificky navrhnutá a štandardná ochrana údajov

1. Prevádzkovateľ požaduje od dotknutej osoby osobné údaje respectíve spravuje a ukladá výlučne také osobné údaje, ktoré umožňujú rýchle a pohodlné dodanie tovaru dotknutým osobám.

2. Osobné údaje uložené bez súhlasu dotknutých osôb – priezvisko, adresa a dodacia adresa – sú nevyhnutné pre dodanie tovaru dotknutej osobe, nakoľko prevádzkovateľ neprevádzkuje kamennú predajňu. V dôsledku toho sú tieto údaje potrebné na plnenie kúpno-predajných zmlúv a vzhľadom na to, že zároveň slúžia aj k vystaveniu daňového dokladu (faktúra), ktorého archivácia je zákonnou povinnosťou prevádzkovateľa.

3. Tieto údaje nie sú uložené na internete, ale sú uložené výhradne v internom systéme prevádzkovateľa (VILMA), ktorý je pripojený k internej internetovej sieti spoločnosti. Internetová sieť je chránená voči externým útokom bránou firewall LINUX. Lokálne pracovné stanice a počítače v sieti pripojené k internetovej sieti sú chránené a monitorované individuálnym antivírusovým programom ESET-NOD. Na lokálnych PC je inštalovaný operačný systém WINDOWS 10 vrátane aktivovaného antivírusového programu DEFENDER.

4. E-mailová adresa a údaje o telefónnom čísle získané so súhlasom dotknutých osôb slúžia na udržiavanie kontaktu s dotknutými osobami. Náš zákaznícky servis a systém pre zasielanie newsletteru pravidelne informuje dotknuté osoby o stave ich objednávky od momentu zaregistrovania až po doručenie.

5. Okrem programu VILMA sú osobné údaje dotknutých osôb uložené aj v našej databáze pre zasielania newsletterov, do ktorého nie sú prenášané iné osobné údaje. Tieto údaje sa nachádzajú na serveri prevádzkovanom poskytovateľom hostingu webových stránok, ktorý je chránený fyzickým aj elektronickým bezpečnostným systémom. Dáta sa dajú získať iba cez administratívne rozhranie, ktorého heslo nie je známe poskytovateľom hostingu.

6. Podacie hárky, ktoré sú nevyhnutné pre zasielateľstvo, sú vyhotovené na základe špecifikácií a bezpečnostných protokolov poskytovateľa služieb (Slovenská pošta a.s) a sú im doručené iba prostredníctvom ich zabezpečeného portálu, v podobe a spôsobom, ktoré si určili.

VII. Záznamy o spracovateľských činnostiach

a. Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

i. meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

ii. účely spracúvania;

iii. opis kategórií dotknutých osôb a kategórií osobných údajov;

iv. kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

v. podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

vi. podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v bode 15.

b. Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

i. meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

ii. kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

iii. podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v bode 15.

c. Záznam o spracovateľských činnostiach prevádzkovateľa (čl. 30) je prílohou č. 3 bezpečnostnej dokumentácie.

VIII. Bezpečnosť spracúvania

a. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

ii. pseudonymizáciu a šifrovanie osobných údajov;

iii. schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

iv. schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

v. proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

b. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

IX. Oznámenie porušenia ochrany osobných údajov dozornému orgánu

a. V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa písm. e) výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

b. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

c. Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

i. opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

ii. meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

iii. opis pravdepodobných následkov porušenia ochrany osobných údajov;

iv. opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

d. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

e. Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, Slovenská republika, telefón: +421 /2/ 3231 3214, e-mail: statny.dozor(zav)pdp.gov.sk, web: https://dataprotection.gov.sk/uoou/sk

f. Evidencia bezpečnostných incidentov je príloha č. 4. Oznámenie úradu o bezpečnostnom incidente je príloha č. 5

X. Oznámenie porušenia ochrany osobných údajov dotknutej osobe

a. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

b. Oznámenie dotknutej osobe uvedené v písm. a) tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v bode 16 písm c).

c. Oznámenie dotknutej osobe uvedené v písm. a) sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

ii. prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

iii. prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v písm. a) pravdepodobne už nebude mať dôsledky;

iv. by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

v. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v písm. c).


Toto prehlásenie nadobúda účinnosť dňa 25.5.2018

© Múzejná Galéria - 2004