Zásady ochrany osobných údajov
Interná smernica v oblasti ochrany osobných údajov v súvislosti s podmienkami spracovania a ochranou osobných údajov v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) a zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“)
(ďalej len ako „Smernica“)
I. Základné ustanovenia
1. Predmetom tejto Smernice je úprava ochrany a nakladania s osobnými údajmi pri činnostiach, ktoré vykonáva prevádzkovateľ Karpatské gazdinky, s.r.o., sídlo: Ferdinanda Píseckého 8, 900 01 Modra, IČO: 35944277, telefón: 0903 55 11 22, e-mail: info@karpatskegazdinky.sk, v zastúpení: Dana Freyová, Ivana Požgayová (ďalej len prevádzkovateľ).
II. Všeobecné povinnosti
- Osobné údaje musia byť adekvátne zabezpečené vo všetkých prípadoch, kedy sa s nimi v organizácii nakladá.
- Prevádzkovateľ môže nakladať s osobnými údajmi len na základe individuálneho písomného poverenia klienta.
- Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, s ktorými prichádza do styku pri výkone svojej pracovnej činnosti alebo činnosti vyplývajúcemu z poverenia.
- Povinnosť mlčanlivosti trvá aj po ukončení zmluvného vzťahu s oprávnenou osobou.
- Prevádzkovateľ môže nakladať len s takými osobnými údajmi, ktoré sú nevyhnutné na výkon jeho zmluvnej činnosti alebo činností vyplývajúcich z poverenia.
- Prevádzkovateľ môže vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na výkon jeho zmluvnej činnosti alebo činnosti vyplývajúcej z poverenia.
- Prevádzkovateľ nesmie získavať informácie týkajúce sa osobných údajov nad rámec poverenia.
- Prevádzkovateľ je povinný dbať o to, aby pri výkone jeho činností alebo činností vyplývajúcich z poverenia nedošlo k úniku spracúvaných osobných údajov alebo k narušeniu bezpečnosti spracovateľských operácií.
III. Získavanie osobných údajov
- Osobné údaje prevádzkovateľa sú uložené a zálohované vo vlastnej databáze s externým úložiskom.
- Do databázy sa prevádzkovateľ dostane prostredníctvom individuálneho softvéru, ktorý je prístupný na každom firemnom počítači prevádzkovateľa.
- Každá oprávnená osoba má svoje prístupové meno a heslo potrebné na prístup do softvéru Prevádzkovateľa, pričom jej databáza poskytne len osobné údaje dotknutých osôb v rozsahu jej pracovnej činnosti alebo poverenia.
- Pokiaľ by oprávnená osoba potrebovala prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v databáze, je povinná žiadať od Prevádzkovateľa individuálny písomný súhlas na získanie týchto údajov na základe žiadosti.
- Písomný súhlas udeľuje Prevádzkovateľ na žiadosť, a to len v rozsahu potrebnom na splnenie účelu oprávnenej osoby.
- Oprávnená osoba nesmie získané osobné údaje poskytovať iným osobám.
- Oprávnená osoba nesmie poskytovať svoje prístupové údaje do softvéru Prevádzkovateľa iným osobám.
- Oprávnená osoba nesmie používať softvér Prevádzkovateľa pre vlastné potreby.
IV. Ochrana osobných údajov
- Všetky pracovné počítače oprávnených osôb musia byť šifrované.
- Po ukončení práce s počítačom musia oprávnené osoby dbať na to, aby boli odhlásené zo systému Prevádzkovateľa, aby nedošlo k narušeniu bezpečnosti osobných údajov neoprávnenými osobami.
- Oprávnené osoby musia dbať na to, aby boli všetky spisy a písomnosti, v ktorých sa nachádzajú osobné údaje, po opustení pracoviska uložené v uzamykateľných skrinkách nachádzajúcich sa na ich pracovisku.
- Oprávnené osoby musia dbať na to, aby boli kancelárie po ich odchode z pracoviska zamknuté.
V. Porušenie bezpečnosti
- V prípade, že dôjde k porušeniu bezpečnosti osobných údajov, je oprávnená osoba bezodkladne povinná informovať o tejto skutočnosti svojho nadriadeného.
- Oprávnená osoba je povinná prerušiť svoju činnosť, pričom nesmie vykonať akékoľvek úkony, ktoré by mohli viesť k zvýšeniu rizika bezpečnosti osobných údajov.
- Oprávnená osoba je povinná spísať zápisnicu, v ktorej uvedie všetky podrobnosti v rozsahu:
a) o aké osobné údaje ide,
b) kedy sa o narušení bezpečnosti dozvedela,
c) k akému porušeniu bezpečnosti došlo,
d)ako sa o tomto porušení dozvedela,
e) aké kroky podnikla. - Prevádzkovateľ je povinný vyvinúť čo najväčšiu snahu o to, aby k ďalšiemu porušovaniu bezpečnosti pri spracúvaní osobných údajov nedošlo, pričom je povinný v čo najkratšom čase odstrániť vzniknuté problémy.
- Prevádzkovateľ je povinný vypracovať zápisnicu, ktorá bude obsahovať:
a) druh osobných údajov, ktorých ochrana bola narušená,
b) pôvod a formu narušenia,
c) rozsah narušenia a predpokladanú mieru rizika,
d) opatrenia, ktoré boli vykonané s cieľom odstránenia vzniknutého stavu,
e) opatrenia, ktoré boli vykonané s cieľom zabezpečenia bezpečnosti osobných údajov.
VI. Spracúvanie podaní dotknutých osôb
- Žiadosti a námietky dotknutých osôb spracúva osoba, ktorej to vyplýva z náplne pracovnej činnosti alebo z poverenia (ďalej len „určená osoba“).
- Určená osoba po prijatí žiadosti, námietky alebo sťažnosti dotknutej osoby (ďalej len „podanie“) informuje dotknutú osobu o jej prijatí a ďalšom postupe.
- Určená osoba je povinná vyhodnotiť podanie dotknutej osoby najneskôr v lehote 30 dní odo dňa jej doručenia.
- Pokiaľ by si vyhodnotenie podania vyžadovalo viac času, je určená osoba povinná kontaktovať Prevádzkovateľa a primerane o tom informovať aj dotknuté osoby.
- Po vyhodnotení podania je určená osoba povinná náležite informovať dotknuté osoby vo vyššie stanovenej lehote.
Právny stav od: 3. 5. 2019