Zásady ochrany osobných údajov

Interná smernica v oblasti ochrany osobných údajov v súvislosti s podmienkami spracovania a ochranou osobných údajov v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) a zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“)

(ďalej len ako „Smernica“)

 

I. Základné ustanovenia

1. Predmetom tejto Smernice je úprava ochrany a nakladania s osobnými údajmi pri činnostiach, ktoré vykonáva prevádzkovateľ Karpatské gazdinky, s.r.o., sídlo: Ferdinanda Píseckého 8, 900 01 Modra, IČO: 35944277, telefón: 0903 55 11 22, e-mail: info@karpatskegazdinky.sk, v zastúpení: Dana Freyová, Ivana Požgayová (ďalej len prevádzkovateľ).

 

II. Všeobecné povinnosti

  1. Osobné údaje musia byť adekvátne zabezpečené vo všetkých prípadoch, kedy sa s nimi v organizácii nakladá.
  2. Prevádzkovateľ môže nakladať s osobnými údajmi len na základe individuálneho písomného poverenia klienta.
  3. Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, s ktorými prichádza do styku pri výkone svojej pracovnej činnosti alebo činnosti vyplývajúcemu z poverenia.
  4. Povinnosť mlčanlivosti trvá aj po ukončení zmluvného vzťahu s oprávnenou osobou.
  5. Prevádzkovateľ môže nakladať len s takými osobnými údajmi, ktoré sú nevyhnutné na výkon jeho zmluvnej činnosti alebo činností vyplývajúcich z poverenia.
  6. Prevádzkovateľ môže vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na výkon jeho zmluvnej činnosti alebo činnosti vyplývajúcej z poverenia.
  7. Prevádzkovateľ nesmie získavať informácie týkajúce sa osobných údajov nad rámec poverenia.
  8. Prevádzkovateľ je povinný dbať o to, aby pri výkone jeho činností alebo činností vyplývajúcich z poverenia nedošlo k úniku spracúvaných osobných údajov alebo k narušeniu bezpečnosti spracovateľských operácií.

 

III. Získavanie osobných údajov

  1. Osobné údaje prevádzkovateľa sú uložené a zálohované vo vlastnej databáze s externým úložiskom.
  2. Do databázy sa prevádzkovateľ dostane prostredníctvom individuálneho softvéru, ktorý je prístupný na každom firemnom počítači prevádzkovateľa.
  3. Každá oprávnená osoba má svoje prístupové meno a heslo potrebné na prístup do softvéru Prevádzkovateľa, pričom jej databáza poskytne len osobné údaje dotknutých osôb v rozsahu jej pracovnej činnosti alebo poverenia.
  4. Pokiaľ by oprávnená osoba potrebovala prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v databáze, je povinná žiadať od Prevádzkovateľa individuálny písomný súhlas na získanie týchto údajov na základe žiadosti.
  5. Písomný súhlas udeľuje Prevádzkovateľ na žiadosť, a to len v rozsahu potrebnom na splnenie účelu oprávnenej osoby.
  6. Oprávnená osoba nesmie získané osobné údaje poskytovať iným osobám.
  7. Oprávnená osoba nesmie poskytovať svoje prístupové údaje do softvéru Prevádzkovateľa iným osobám.
  8. Oprávnená osoba nesmie používať softvér Prevádzkovateľa pre vlastné potreby.

 

IV. Ochrana osobných údajov

  1. Všetky pracovné počítače oprávnených osôb musia byť šifrované.
  2. Po ukončení práce s počítačom musia oprávnené osoby dbať na to, aby boli odhlásené zo systému Prevádzkovateľa, aby nedošlo k narušeniu bezpečnosti osobných údajov neoprávnenými osobami.
  3. Oprávnené osoby musia dbať na to, aby boli všetky spisy a písomnosti, v ktorých sa nachádzajú osobné údaje, po opustení pracoviska uložené v uzamykateľných skrinkách nachádzajúcich sa na ich pracovisku.
  4. Oprávnené osoby musia dbať na to, aby boli kancelárie po ich odchode z pracoviska zamknuté.

 

V. Porušenie bezpečnosti

  1. V prípade, že dôjde k porušeniu bezpečnosti osobných údajov, je oprávnená osoba bezodkladne povinná informovať o tejto skutočnosti svojho nadriadeného.
  2. Oprávnená osoba je povinná prerušiť svoju činnosť, pričom nesmie vykonať akékoľvek úkony, ktoré by mohli viesť k zvýšeniu rizika bezpečnosti osobných údajov.
  3. Oprávnená osoba je povinná spísať zápisnicu, v ktorej uvedie všetky podrobnosti v rozsahu:
    a) o aké osobné údaje ide,
    b) kedy sa o narušení bezpečnosti dozvedela,
    c) k akému porušeniu bezpečnosti došlo,
    d)ako sa o tomto porušení dozvedela,
    e) aké kroky podnikla.
  4. Prevádzkovateľ je povinný vyvinúť čo najväčšiu snahu o to, aby k ďalšiemu porušovaniu bezpečnosti pri spracúvaní osobných údajov nedošlo, pričom je povinný v čo najkratšom čase odstrániť vzniknuté problémy.
  5. Prevádzkovateľ je povinný vypracovať zápisnicu, ktorá bude obsahovať:
    a) druh osobných údajov, ktorých ochrana bola narušená,
    b) pôvod a formu narušenia,
    c) rozsah narušenia a predpokladanú mieru rizika,
    d) opatrenia, ktoré boli vykonané s cieľom odstránenia vzniknutého stavu,
    e) opatrenia, ktoré boli vykonané s cieľom zabezpečenia bezpečnosti osobných údajov.

 

VI. Spracúvanie podaní dotknutých osôb

  1. Žiadosti a námietky dotknutých osôb spracúva osoba, ktorej to vyplýva z náplne pracovnej činnosti alebo z poverenia (ďalej len „určená osoba“).
  2. Určená osoba po prijatí žiadosti, námietky alebo sťažnosti dotknutej osoby (ďalej len „podanie“) informuje dotknutú osobu o jej prijatí a ďalšom postupe.
  3. Určená osoba je povinná vyhodnotiť podanie dotknutej osoby najneskôr v lehote 30 dní odo dňa jej doručenia.
  4. Pokiaľ by si vyhodnotenie podania vyžadovalo viac času, je určená osoba povinná kontaktovať Prevádzkovateľa a primerane o tom informovať aj dotknuté osoby.
  5. Po vyhodnotení podania je určená osoba povinná náležite informovať dotknuté osoby vo vyššie stanovenej lehote.

 

Právny stav od: 3. 5. 2019