Vyberte stránku

ORGANIZAČNÁ SMERNICA PRE SPRACÚVANIE A OCHRANU OSOBNÝCH ÚDAJOV

Podľa ustanovení nariadenia európskeho parlamentu a rady (EÚ) 2016/679, z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, (ďalej len GDPR) a podľa ustanovení zákona 18/2018 z.z, z 29. novembra 2017 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, (ďalej len ZoOOÚ)

Obsahuje technické a organizačné opatrenia, ktoré sa naša spoločnosť zaviazala dodržiavať, keďže je podľa článku 24 GDPR s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb zodpovedná, aby zabezpečila a bola schopná preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR.

Spoločnosť:

Názov: B.K.Modus s.r.o.

Sídlo: Antona Brnoláka 2170/43, 010 01 Žilina

Zapísaná: Obchodný register Okresného súdu Žilina, oddiel: Sro, vložka: 62851/L

IČO: 47 485 281

DIČ: 20 239 269 49

Dozorný orgán:

Úradu na ochranu osobných údajov Slovenskej republiky

Hraničná 12, 820 07 Bratislava 27

Tel: 02/ 32 31 3214

E-mail: statny.dozor@pdp.gov.sk

(ďalej len „dozorný orgán“)

1.Vymedzenie základných pojmov

dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,

prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,

sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,

spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,

súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov

informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,

biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,

obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,

profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,

pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,

šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,

online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,

porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov alebo k neoprávnenému prístupu k nim,

príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,

treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,

2.Mapovanie osobných údajov

Naša spoločnosť sa v tomto kroku rozhodla definovať, aké osobné údaje spracúva, aby bola schopná zanalyzovať spracúvanie osobných údajov a zabezpečiť súlad s GDPR.

Jednotlivé kategórie osobných údajov si zadefinujeme ako jednotlivé informačné systémy.

-IS Zákazníci

Právnická osoba: názov firmy, fakturačná adresa firmy, IČO, DIČ, IČ DPH, adresa sídla, meno a priezvisko kontaktnej osoby, pracovná pozícia kontaktnej osoby, telefónne číslo, emailová adresa, fax, web, cookies

účel spracovania: vystavenie daňového dokladu, kontakt so zákazníkom, plnenie zmluvy, dodanie tovaru, dodanie služieb, reklamácie

-IS Účtovníctvo

Právnická osoba: názov firmy, fakturačná adresa firmy, IČO, DIČ, IČ DPH, názov banky, číslo účtu

účel spracovania: vedenie účtovníctva a správa daní

-IS Marketing

Meno, priezvisko, telefónne číslo, emailová adresa, cookies

Účel: zasielanie marketingových a reklamných emailov, kontaktný formulár, kontakt na sociálnych sieťach

-IS Právne poradenstvo a služby

Fyzická osoba: meno, priezvisko, adresa bydliska, telefónne číslo, emailová adresa

Právnická osoba: názov firmy, fakturačná adresa firmy, IČO, DIČ, IČ DPH, telefónne číslo, emailová adresa, meno a priezvisko konateľa

účel spracovania: vyhotovenie zmlúv, právne poradenstvo, vymáhanie pohľadávok, zastúpenie vo veci podania podnetu na prejednanie novoobjaveného majetku poručiteľa, zastúpenie na súde, správnych a samosprávnych inštitútoch (správne konania: katastrálne, stavebné a iné), zastúpenie vo vzťahu voči štátu (napr. SPF)

3.Zásady spracúvania osobných údajov (článok 5 GDPR)

Naša spoločnosť bude dodržiavať nasledovné zásady spracúvania osobných údajov:

3.1.Zákonnosť, spravodlivosť a transparentnosť (článok 5 ods.1 písm. a) GDPR)

Osobné údaje budú spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

  1. Zákonnosť spracúvania (článok 6 GDPR)

Naša spoločnosť sa zaviazala spracúvať údaje len zákonným spôsobom tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Spracúvanie osobných údajov našou spoločnosťou bude zákonné, a to zabezpečením, že sa vykonáva na základe aspoň jedného z týchto právnych základov:

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
  3. spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná (§ 13 ods. 1 písmeno c ZoOOÚ)
  4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
  5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
  6. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

Právny základ pre jednotlivé informačné systémy (IS) sú nasledovné:

-IS zákazníci

Právny základ – článok 6, ods. 1. písmeno c) GDPR – spracúvanie osobných údajov (meno, priezvisko, titul, ulica a číslo, PSČ, mesto) je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Predovšetkým podľa zákona č. 162/1995 Z.z. katastrálny zákon, zákona č. 220/2004 Z.z. 222/2004 Z. z. o ochrane a využívaní poľnohospodárskej pôdy a o zmene zákona č. 245/2003 Z. z. o integrovanej prevencii a kontrole znečisťovania životného prostredia a o zmene a doplnení niektorých zákonov, zákona č. 50/1976 Zb. stavebný zákon, zákon č. 278/1993 Z.z. o správe majetku štátu

Právny základ – článok 6, ods. 1. písmeno b) GDPR – spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy.

-IS Účtovníctvo

Právny základ – článok 6, ods. 1. písmeno c) GDPR – spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Predovšetkým podľa zákona č. 222/2004 Z. z. o dani z pridanej hodnoty v znení neskorších predpisov, zákona č. 595/2003 Zákon o dani z príjmu, zákon č. 582/2004 Z. z. – Zákon o miestnych daniach a poplatku za komunálne odpady

Právny základ – článok 6, ods. 1. písmeno c) GDPR článok 6, ods. 1. písmeno c) GDPR -zákon č. 431/2002 Z. z. o účtovníctve

-IS Marketing

Právny základ – článok 6, ods. 1. písmeno a) GDPR – dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel

-IS Právne poradenstvo a služby

Právny základ – článok 6, ods. 1. písmeno c) GDPR – spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Predovšetkým podľa zákona č. 311/2001 Z. z. Zákonník práce

Právny základ – článok 6, ods. 1. písmeno c) GDPR – spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Predovšetkým podľa zákona č. 513/1991 Z. z. Obchodný zákonník, zákona č. 40/1964 Zb. Občiansky zákonník v platnom znení

Právny základ – článok 6, ods. 1. písmeno b) GDPR – spracúvanie osobných údajov (email, telefónny kontakt) je nevyhnutné na plnenie zmluvy.

3.2.Zásada obmedzenia účelu (článok 5 ods.1 písm. b) GDPR)

Naša spoločnosť bude získavať osobné údaje len na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Naša spoločnosť informuje dotknutú osobu o účele spracúvania osobných údajov pred ich spracúvaním.

V časti mapovanie osobných údajov sme si stanovili účely spracovania jednotlivých IS a osobné údaje budeme spracúvať len na účely uvedené v tejto časti.

3.3.Zásada minimalizácie osobných údajov (článok 5 ods.1 písm. c) GDPR)

Naša spoločnosť bude spracúvať osobné údaje tak, aby toto spracúvanie primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

S cieľom zabezpečiť minimalizáciu osobných údajov sa naša spoločnosť rozhodla zanalyzovať, či sú spracuvávané údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

Analyzujú sa nasledovné kategórie, konkrétne druhy osobných údajov sú uvedené v časti „mapovanie osobných údajov“.

-IS Zákazníci

Všetky spracuvávané údaje sú nevyhnutné. Sú spracuvávané na účely vystavenia daňového dokladu, kontaktu so zákazníkom a plnenia zmluvy.

-IS Účtovníctvo

Všetky spracuvávané údaje sú nevyhnutné. Sú spracuvávané na účely vystavenia daňového dokladu a plnenia zmluvy.

-IS Marketing

Všetky spracuvávané údaje sú nevyhnutné.

-IS Právne poradenstvo

Všetky spracuvávané údaje sú nevyhnutné. Sú spracuvávané na účely vypracovania zmlúv, vymáhania pohľadávok, právneho poradenstva a zastúpenie

3.4.Zásada správnosti (článok 5 ods.1 písm. d) GDPR)

Naša spoločnosť bude spracúvať osobné údaje tak, aby boli správne a podľa potreby aktualizované; a prijme primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

Na zabezpečenie zásady správnosti má naša spoločnosť v písomnom súhlase so spracovaním osobných údajov nasledovnú formuláciu:

„Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. V prípade zmeny osobných údajov je dotknutá osoba povinná zmenu bezodkladne oznámiť prevádzkovateľovi.“

3.5.Zásada minimalizácie uchovávania (článok 5 ods.1 písm. e) GDPR)

Osobné údaje bude naša spoločnosť uchováť vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.

3.6.Zásada integrity a dôvernosti (článok 5 ods.1 písm. f) GDPR)

Osobné údaje budú v našej spoločnosti spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov a to prostredníctvom primeraných technických alebo organizačných opatrení.

  1. Osobné údaje uložené v papierovej (vytlačenej) podobe

Fyzické dokumenty sú uložené v obaloch a v šanónoch, čím je zabezpečená ochrana pred poškodením.

Šanóny s fyzickými dokumentami sú uložené:

  • v skrinke
  • v zamknutej kancelárii

Tak je zabezpečené, že sa k týmto dokumentom dostanú len oprávnené osoby

Fyzické dokumenty sa likvidujú pomocou skartovačky.

3.7.Zásada zodpovednosti (článok 5 ods. 2 GDPR)

Naša spoločnosť je zodpovedná za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinná tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

4.Podmienky poskytnutia súhlasu so spracúvaním osobných údajov (článok 7 GDPR)

Spoločnosť zabezpečí splnenie nasledovných podmienok pri vyjadrení súhlasu dotknutou osobou

  1. súhlas so spracúvaním osobných údajov musí byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle.
  2. žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.
  3. dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

5.Mlčanlivosť (§ 79 ZoOOÚ)

Naša spoločnosť je povinná zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.

Naša spoločnosť je tiež povinná zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.

Ako dlho uchovávame Vaše osobné údaje?

Osobné údaje uchovávame najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Pri uchovávaní osobných údajov sa riadime odporúčanými dobami uchovávania v zmysle zákona č. 395/2002 o archívoch a registratúrach:

  • Knihu došlej pošty a knihu odoslanej pošty po jej zaplnení počas desiatich (10) rokov od dátumu prijatia alebo odoslania v knihe zapísanej poslednej zásielky
  • Ak vedieme menoslov klientov (databázu) a protokol klientskeho spisu elektronicky, ku koncu kalendárneho roka vyhotovíme za kalendárny rok jeho tlačenú formu a túto uložíme v kancelárii bez časového obmedzenia;
  • Skartačná lehota klientskeho spisu je 10 rokov a plynie odo dňa, keď sú splnené všetky podmienky pred uloženim spisu do archívu.

Ako o Vás získavame osobné údaje?

Ak ste náš klient, Vaše osobné údaje najčastejšie získavame priamo od Vás. V takom prípade je získanie Vašich osobných údajov dobrovoľné. V závislosti od konkrétneho prípadu neposkytnutie osobných údajov klientom môže maĵ dopad na našu schopnosĵ poskytnúĵ kvalitné právne poradenstvo alebo vo výnimočných prípadoch aj našu povinnosĵ odmietnuť poskytnúť právne poradenstvo. Osobné údaje o našich klientoch môžeme získavaĵ aj z verejne dostupných zdrojov, od orgánov verejnej moci alebo od iných osôb, cez internet.

Ak nie ste náš klient, Vaše osobné údaje najčastejšie získavame od našich klientov alebo z iných verejných alebo zákonných zdrojov ako napr. vyžiadaním od orgánov verejnej moci, výpisom z verejných registrov, získavaním dôkazov v prospech klienta a pod.

Aké práva máte ako dotknutá osoba?

Ak o Vás spracúvame osobné údaje na základe Vášho súhlasu so spracúvaním osobných údajov, máte právo kedykoľvek svoj súhlas odvolať.
Bez ohľadu na to máte právo kedykoľvek namietať proti spracúvaniu osobných údajov na základe oprávneného alebo verejného záujmu ako aj na účely priameho marketingu vrátane profilovania.

Ako klient máte právo požadovaĵ prístup k Vašim osobným údajom ako aj ich opravu. Ak spracúvame osobné údaje pri poskytovaní právnych služieb nemáte ako klient ani ako iná fyzická osoba (napr. protistrana) právo namietaĵ proti takému spracúvaniu podľa článku 22 GDPR. Ak sa osobné údaje týkajú klienta (bez ohľadu na to, či je klient právnická alebo fyzická osoba), právo na prístup údajov ani právo na prenosnosĵ iné osoby nemajú z dôvodu povinnosti zachovávaĵ mlčanlivosĵ s poukazom na čl. 15 ods. 4 GDPR, 20 ods. 4 GDPR

Zmeny podmienok ochrany súkromia

Ochrana osobných údajov pre nás nie je jednorazovou záležitosĵou. Informácie, ktoré sme Vám povinní vzhľadom na naše spracúvanie osobných údajov poskytnúť sa môžu meniĵ alebo prestali byť aktuálne. Z tohto dôvodu si vyhradzujeme možnosĵ kedykoľvek tieto podmienky upraviť a zmeniť v akomkoľvek rozsahu. V prípade, ak zmeníme tieto podmienky podstatným spôsobom, túto zmenu Vám dáme do pozornosti napr. všeobecným oznámením na tejto webstránke alebo osobitným oznámením prostredníctvom emailu.