Bezpečnostná smernica
Článok 1
Predmet činnosti Prevádzkovateľa a jeho spracovateľských operácií ktoré podliehajú spracovaniu osobných údajov dotknutých osôb.
Prevádzkovateľ: MIBE GROUP s.r.o., Gondovo 239, 935 25 Nová Dedina, IČO: 50 622 218
Profil prevádzkovateľa: Spoločnosť MIBE GROUP s.r.o. sa zaoberá opracovávaním kovu jednoduchým spôsobom, vedením nerezových potrubných rozvodov vo farmaceutických fabrikách a čítaním izometrií.
Prevádzkovateľ spracováva osobné údaje:
a) zákazníkov v rozsahu: meno, priezvisko, adresa, e-mail, tel. číslo, IČO – ďalej všetky nevyhnutné údaje potrebné na spracovanie/plnenie objednávky
b) dodávateľov v rozsahu: titul, meno a priezvisko kontaktnej osoby názov spoločnosti, IČO, adresa sídla, emailová adresa, telefónny kontakt, a iné osobné údaje nevyhnutné na plnenie účelu spracovania, ktorým je dodávka služieb
c) zamestnancov v rozsahu:bežné osobné údaje týkajúce sa zamestnanca a jeho rodinných príslušníkov, ktoré boli zamestnávateľovi poskytnuté zo strany zamestnanca na účely plnenia podmienok zmluvy pracovná zmluva, ktorej zmluvnou stranou je dotknutá osoba – zamestnanec na účely evidencie účtovníctva, personálnej mzdovej agendy a odvodov do sociálnej a zdravotnej poisťovne.
1. Používatelia osobných údajov: poverené osoby
2. Manipulácia s osobnými údajmi: zber, spracovanie, archivovanie, alebo likvidácia.
3. Charakteristika práce s osobnými údajmi: Spracovanie osobných údajov v informačnom systéme: Databáza klientov osobné údaje nie sú poskytované, sprístupňované ani zverejňované. V informačnom systéme Mzdy a Personalistika sú poskytované sociálnej poisťovni, zdravotnej poisťovni, orgánom finančnej správy a iným orgánom verejnej správy.
4. Cezhraničný tok: Neuskutočňuje sa
5. Spôsob spracovania: Automatizovaným a neautomatizovaným spôsobom
6. Profilovanie: Neuskutočňuje sa
7. Kamerový Systém: Áno
Právnym základom takéhoto spracúvania osobných údajov je:
Článok 6 ods. 1 písm. a) nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie GDPR“) – súhlas
Článok 6 ods. 1 písm. b) Nariadenie GDPR – plnenie zmluvy a predzmluvné vzťahy Článok 6 ods. 1 písm. c) Nariadenie GDPR – plnenie zákonnej povinnosti
Článok 6 ods.1 písm. f) Nariadenia GDPR- oprávnený záujem
Prevádzkovateľ nemusí žiadať súhlas dotknutej osoby ak:
Spracúvanie je nevyhnutné na plnenie zákonnej povinnosti prevádzkovateľa
Spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnej stranou je dotknutá osoba.
Spracovanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
Spracovanie je nevyhnutné pre účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana s výnimkou prípadov kedy nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžaduje ochranu os. údajov najmä detí.
Spracúvanie je nevyhnutné vo verejnom záujme.
Ak sa spracovávajú osobné údaje z iných ako vyšších uvedených dôvodov a účel spracovania nie je možné priradiť pod právny základ spracovania musí byť zaznamenaný preukázateľný súhlas (dotknutej osoby)
Osobné údaje spracováva prevádzkovateľ, ktorý určuje účel a rozsah spracovania a poverené osoby na základe poverenia prevádzkovateľom.
Osobné údaje môžu byť poskytnuté tretím stranám, príjemcom a sprostredkovateľom, t. j. subjektom spolupracujúcim s prevádzkovateľom. Aktuálny zoznam týchto subjektov je nasledujúci:
Názov subjektu | Účel spracovania | Právny základ |
| JM credit s.r.o. | Vedenie účtovníctva, personálna a mzdová agenda | Podľa čl. 6 ods. 1 písm. b) Nariadenia- Plnenie zmluvných vzťahov medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva |
| BEXPO s.r.o. | Vedenie agendy BOZP, PO | Podľa čl. 6 ods. 1 písm. b) Nariadenia- Plnenie zmluvných vzťahov medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva |
| MED – ES, s.r.o. | Vedenie agendy PZS | Podľa čl. 6 ods. 1 písm. b) Nariadenia- Plnenie zmluvných vzťahov medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva |
Informačné systémy Prevádzkovateľa
1. Informačný systém v elektronickej podobe – automatizovaným spôsobom sú osobné údaje spracúvané na PC. (evidencia pracovníkov, zoznam zákaziek). Sú chránené heslom a prístupovým kódom.
2. Informačný systém v spisovej podobe – neautomatizovaným spôsobom spracúvania na nosičoch (žiadosti kartotéky, zoznamy, faktúry)
3. Popis jednotlivých IS:
IS Personálna mzdová agenda
IS Účtovné doklady
IS Správa registratúry
IS Došlá a odoslaná pošta
IS Reklamácie
IS Sťažnosti
IS Správa pohľadávok
IS Dodávatelia / dodávateľské vzťahy
IS Služby prevádzkovateľa v oblasti opracovávania kovov
IS Služby prevádzkovateľa v oblasti vedenia nerezových potrubných rozvodov
IS Evidencia zoznamu zákaziek
IS Evidencia pracovníkov
IS Kamerový systém – ochrana majetku
IS Kamerový systém na vyvodenie pracovnoprávnej zodpovednosti
IS Cookies
Účel spracúvania
je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných
údajov
Spracovanie osobných údajov zamestnancov:
| Účel spracovania | Právny základ spracovania | Kategória o. u. |
| Plnenie povinností zamestnávateľa súvisiacich s pracovnoprávnymi vzťahmi, vrátane predzmluvných vzťahov a vzťahov, ktoré vyplývajú z povinností zamestnávateľa po skončení pracovnoprávneho vzťahu na základe platných právnych predpisov | Zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov, Zákon č. 580/2004 Z. z. o zdravotnom poistení o zmene a doplnení zákona č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, Zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov, Zákon č. 462/2003 Z. z. o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Zákon č. 233/1995 Z. z. o súdnych exekútoroch a exekučnej činnosti (Exekučný poriadok ) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov | Bežné osobné údaje týkajúce sa zamestnanca a jeho rodinných príslušníkov, ktoré boli zamestnávateľovi poskytnuté zo strany zamestnanca na účely plnenia podmienok zmluvy (pracovná zmluva), ktorej zmluvnou stranou je dotknutá osoba – zamestnanec a na účely vedenia personálnej a mzdovej agendy a odvodových povinností do sociálnej a zdravotnej poisťovne plynúcich zo zákonných povinností zamestnávateľa. |
| BOZP- zabezpečenie bezpečnosti, zdravia a pracovnú schopnosť zamestnancov, prispieť k eliminovaniu škôd zamestnávateľa na zariadeniach, výrobkoch, v službách, pri výlukách v pracovnom procese a iné finančné straty. PO – ochrana života a zdravia fyzických osôb, majetku a životného prostredia. | -Zákon č. 314/2001 Z. z. o ochrane pred požiarmi v znení neskorších predpisov -Zákon č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov a jeho vykonávacie predpisy -Zákon č. 125/2006 Z. z. o inšpekcii práce v znení neskorších predpisov -Zákon NR SR č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov | Bežné osobné a identifikačné údaje týkajúce sa zamestnanca v rozsahu: titul, meno, priezvisko, dátum a miesto narodenia, podpis, trvalé bydlisko, prechodné bydlisko, údaje o zdravotnej poisťovni, údaje o zdravotnom stave(lekárske prehliadky), pracovné zaradenie, pracovisko, veľkostné čísla pre pridelenie ochranných pracovných pomôcok, fotografia, údaje o zaradení v systémoch BOZP, PO, CO počet a druh pridelených OOPP. |
| Pracovná zdravotná služba | Zákon č. 355/2007 Z. z. podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov Zákon č.311/2001 Z. z. Zákonník práce v znení niektorých predpisov. | Bežné osobné a identifikačné údaje týkajúce sa zamestnanca v rozsahu: titul, meno, priezvisko, podpis, adresa, telefónne číslo, e-mailová adresa, údaje o zdravotnom poistení, údaje o zdravotnom stave (lekárske prehliadky), pracovné zaradenie, pracovisko, údaje týkajúce sa zdravia. |
Spracovanie osobných údajov Dodávateľov:
| Účel spracovania | Právny základ spracovania | Kategória o. u. |
| Účelom sú predzmluvné a zmluvné vzťahy / plnenie zmluvy uzatvorenej medzi Prevádzkovateľom a jeho zmluvnými obchodnými partnermi, dodávateľmi („zmluva“), | Článok 6 ods. 1 písm. b) Nariadenie GDPR – plnenie zmluvy a predzmluvné vzťahy | Bežné osobné a identifikačné údaje v rozsahu: titul, meno a priezvisko kontaktnej osoby názov spoločnosti, IČO, adresa sídla, emailová adresa, telefónny kontakt, a iné osobné údaje nevyhnutné na plnenie účelu spracovania, ktorým je dodávka služieb. |
Kamerový systém Monitorovanie priestorov:
| Účel spracovania | Právny základ spracovania | Kategória o. u. |
| Ochrana majetku a osôb pred krádežou, vandalizmom, prevencia pred páchaním trestných činov , bezpečnosť a odhaľovanie kriminality. | Právnym základom monitorovania priestorov je z pohľadu GDPR článok 6 ods.1 písm. f) Všeobecného Nariadenia EP a R (EÚ)2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. | Obrazový záznam fyzickej osoby. |
Kamerový systém Monitorovanie zamestnancov:
| Účel spracovania | Právny základ spracovania | Kategória o. u. |
| Vyvodenie pracovnoprávnej zodpovednosti | Právnym základom monitorovania zamestnanca je z pohľadu GDPR osobitný predpis, ktorým je Zákonník práce. Z tohto dôvodu zamestnanec neudeľuje súhlas s monitorovaním na pracovisku a/alebo v spoločných priestoroch zamestnávateľa. | Obrazový záznam fyzickej osoby. |
Spracovanie osobných údajov zákazníkov:
| Účel spracovania | Právny základ spracovania | Kategória o. u. |
| Služby prevádzkovateľa v oblasti opracovávania kovov | článok 6 ods. 1 písm. b) plnenie zmluvy a predzmluvné vzťahy Zákon č. 513/1991 Zb. Obchodný zákonník. Zákon č. 40/1964 Zb. Občiansky zákonník. | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, adresa, e-mail, tel. číslo, IČO – ďalej všetky nevyhnutné údaje potrebné na plnenie účelu, ktorými sú služby prevádzkovateľa v oblasti opracovávania kovov. |
| Služby prevádzkovateľa v oblasti vedenia nerezových potrubných rozvodov | článok 6 ods. 1 písm. b) plnenie zmluvy a predzmluvné vzťahy Zákon č. 513/1991 Zb. Obchodný zákonník. Zákon č. 40/1964 Zb. Občiansky zákonník. | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, adresa, e-mail, tel. číslo, IČO – ďalej všetky nevyhnutné údaje potrebné na plnenie účelu, ktorými sú služby prevádzkovateľa v oblasti vedenia nerezových potrubných rozvodov. |
| Evidencia zoznamu zákaziek | Článok 6 ods. 1 písm. b) Nariadenie GDPR – plnenie zmluvy a predzmluvné vzťahy Zákon č. 395/2002 Z. z. Zákon o archívoch a registratúrach a o doplnení niektorých zákonov | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, adresa, ďalej všetky nevyhnutné údaje potrebné na plnenie účelu, ktorým je evidencia zoznamu zákaziek |
| Evidencia pracovníkov | článok 6 ods. 1 písm. b) Nariadenie GDPR – plnenie zmluvy a predzmluvné vzťahy Zákon č. 395/2002 Z. z. Zákon o archívoch a registratúrach a o doplnení niektorých zákonov | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, adresa, e-mail, tel. číslo – ďalej všetky nevyhnutné údaje potrebné na vedenie evidencie pracovníkov |
| Vybavenie reklamácie | Zákon č.250/2007 Z. z. o ochrane spotrebiteľa v znení neskorších predpisov. Zákon č. 372/1990 Zb. o priestupkoch Zákon č.18/2018 Z. z. Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, titul, právna forma, typ osoby, adresa trvalého pobytu, telefónne číslo, emailová adresa, podpis a ďalšie nevyhnutné osobné údaje potrebné na vybavenie reklamačného konania. |
| Vybavovanie sťažností | Zákon č.9/2010 Z. z. o sťažnostiach | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, titul sťažovateľa, adresa sťažovateľa, adresa doručenia v elektronickej forme, Ďalšie osobné údaje zistené ,alebo predložené v priebehu vybavovania sťažnosti. |
| Správa pohľadávok | Zákon č. 513/1991 Zb. Obchodný zákonník. Zákon č. 40/1964 Zb. Občiansky zákonník | Bežné osobné a identifikačné údaje v rozsahu: meno, priezvisko, titul dlžníka, adresa dlžníka, adresa doručenia v elektronickej forme, ďalšie osobné údaje zistené alebo predložené v priebehu vymáhania. |
| Cookies | Článok 6 ods. 1 písm. a) Nariadenia GDPR – súhlas vyskakovacie okno tzv. cookie lišta webovej stránky, každé cookies jednotlivo s výnimkou technických cookies. | Online identifikátory, lokalizačné údaje |
Poverená osoba
je osoba, ktorá má z titulu svojej pracovnej náplne, funkcie, postavenia a poverenia prevádzkovateľa MIBE GROUP s.r.o. právo na prístup a právo k spracovaniu osobných údajov.
Poverené osoby: Martina Beňová – konateľ
Milan Beňo – konateľ
Tieto osoby prehlasujú, že boli poučené o tom aké osobné údaje a v akom rozsahu môžu spracovávať. Účel a rozsah spracovania určuje rámec služobného pomeru, členského vzťahu, na základe poverenia, zvolenia, alebo vymenovania, alebo v rámci výkonu verejnej funkcie v rozsahu a spôsobom určeným v poverení.
Článok 2
Využívanie internetu
1.Využívanie služieb internetu oprávnenými osobami je určené pre plnenie pracovných úloh.
2.Používanie internetu musí brať do úvahy dôvernosť prenášaných informácií.
3.Poverená osoba pri prístupe do siete internet je povinná dodržiavať nasledujúce zásady:
a)prístup do siete internet využívať predovšetkým v súlade so svojou pracovnou náplňou/funkciou,
b)riadiť sa hláseniami antivírusového programu,
c)nepripájať sa na neznáme internetové stránky s neprevereným obsahom, ak to nie je potrebné na výkon pracovných úloh/funkcie,
d)nepoužívať heslá, ktoré sa používajú pre prístup k vnútorným informačným systémom, na prístup k verejným internetovým službám.
Článok 3
Elektronická pošta
1.Elektronická pošta sa používa pre účely internej a externej komunikácie.
2.V prípade skončenia pracovnoprávneho alebo iného vzťahu s oprávnenou osobou ukončí prevádzkovateľ používanie emailovej adresy danej poverenej osoby v lehote do 30 dní od skončenia daného vzťahu.
Článok 4
Personálna bezpečnosť
1.Pri skončení pracovnoprávneho vzťahu alebo iného vzťahu (napr. skončenie funkcie konateľa) je poverená osoba (zamestnanec, konateľ…) povinná odovzdať pracovnú agendu vrátane spisov, všetky pridelené inventárne predmety, zapožičané knihy a kľúče.
2.Všetky poverené osoby musia byť poučené o základných bezpečnostných zásadách predtým, ako získajú prístup k informačnému systému prevádzkovateľa a k účelom spracúvania. Poučenie vykoná zodpovedná osoba, alebo Prevádzkovateľ. Doklad o poučení sa zakladá u zodpovednej osoby, alebo Prevádzkovateľa v prípade že nebolo nutné určiť zodpovednú osobu.
3.Poverenej osobe môže byť pridelený technický prostriedok (napr. služobný mobil, notebook), ktorého prevzatie poverená osoba potvrdí na potvrdení o prevzatí prostriedku. Pri vrátení prostriedku má poverená osoba právo žiadať potvrdenie o odovzdaní.
Článok 5
Fyzická bezpečnosť
1.Informačná technika (počítače, notebooky a pod.) musí byť umiestnená v uzamykateľných priestoroch. Miestnosť, v ktorej sa nachádza informačná technika, musí byť pri každom odchode oprávnenej osoby uzamknutá. Po skončení práce je poverená osoba povinná:
a)vypnúť osobný počítač alebo sa z neho odhlásiť,
b)uzamknúť skrine s materiálmi obsahujúcimi osobné údaje (ak sú skrine uzamykateľné).
Článok 6
Ochrana tlačených informačných aktív (písomností)
1.Poverené osoby sú povinné zachovávať obozretnosť pri podávaní chránených informácií (napr. osobných údajov) pred návštevníkmi prevádzkovateľa.
2.Informačné aktíva nesmú byť ponechávané bez dozoru voľne dostupné na chodbách a v iných neuzamknutých miestnostiach alebo na iných miestach. Informačné aktíva nesmú byť ponechané bez dozoru vo verejne prístupných miestach, opustených dopravných prostriedkoch a pod.
Článok 7
Ostatné opatrenia
1.Poverená osoba (zamestnanec, konateľ) je povinná pri každom opustení kancelárie v prípade, že v miestnosti už nie je iná poverená osoba, kanceláriu uzamknúť a kľúč vziať so sebou.
2.Pred odchodom z kancelárie je poverená osoba povinná skontrolovať uzatvorenie okien vo svojej kancelárii.
3.Poverená osoba nesmie meniť nastavenia antivírusového programu ani vypínať rezidentný antivírusový program bez súhlasu Prevádzkovateľa.
4.Každé podozrivé, netradičné správanie sa počítača, resp. poruchu je poverená osoba povinná nahlásiť ihneď Prevádzkovateľovi, alebo zodpovednej osobe v prípade že bola určená.
5.Poverená osoba nesmie svojvoľne inštalovať počítačové programy, či už z pamäťových médií alebo z internetu. Inštalovať programy môže len so súhlasom nadriadeného po predchádzajúcej konzultácii so zodpovednou osobou, alebo Prevádzkovateľom.
6.Každá poverená osoba musí mať pridelené heslo, ktorým sa autentifikuje a toto uchováva v tajnosti. Poverená osoba nesmie prezradiť svoje heslo, ktorým sa autentifikuje. Heslo nesmie byť zapísané a uložené na viditeľnom alebo ľahko dostupnom mieste. Poverená osoba je zodpovedná za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužitie a spôsobené škody.
7.Poverená osoba nesmie dovoliť pracovať s počítačom osobe, ktorá nie je poverená Prevádzkovateľom.
8.Ak na jednom počítači pracuje viac osôb, musí sa poverená osoba prihlásiť svojím prihlasovacím menom a heslom po predchádzajúcom odhlásení sa poverenej osoby, ktorá predtým pracovala s daným počítačom.
9.Zavedenie politiky ,,prázdneho stola“- odložiť všetky dokumenty obsahujúce osobné údaje z pracovného stola
Článok 8
GPS
1. GPS sú zariadenia, ktoré dokážu sledovať pohyb auta a zistiť jeho aktuálnu pozíciu. Ich hlavným účelom je predovšetkým ochrana majetku zamestnávateľa pred zneužitím alebo odcudzením služobného vozidla, ale tiež kontrola využívania pracovného času zamestnanca. GPS lokalizátory môžu byť používané buď online na zistenie aktuálnej polohy služobného auta bez uchovávania záznamov alebo s uchovávaním záznamov, ktoré potom zamestnávateľ ďalej spracúva. Zamestnávateľ by mal tiež zabezpečiť, aby bolo monitorovanie vozidiel z hľadiska jeho trvania primerané, t. j., aby trvalo len niekoľko dní alebo týždňov (napr. monitorovanie vozidla pri služobnej ceste zamestnanca do iného mesta). Rozsiahlejšie monitorovanie alebo sústavné monitorovanie služobného vozidla môže zamestnávateľ realizovať len v prípade existencie závažných dôvodov spočívajúcich najmä v povahe či predmete jeho činnosti (napr. monitorovanie vozidla pri každodennom výkone práce)
Článok 9
Cieľ a rozsah smernice
Identifikácia základných pojmov
Zákon o ochrane osobných údajov vychádza zo všeobecného nariadenia EU na ochranu osobných údajov (skratka GDPR). Týka sa všetkých, ktorí vlastnia alebo spracúvajú osobné údaje.
Definuje práva občanov EU, ktorých sa údaje týkajú. Zároveň prevádzkovateľom a sprostredkovateľom týchto údajov stanovuje ich povinnosti. Spracovaním osobných údajov sa rozumejú operácie alebo súbor operácií s osobnými údajmi.
Môžu byť vykonávané ručne alebo pomocou automatizovaných postupov. Na spracovaní osobných údajov sa môžu podieľať dva subjekty: prevádzkovateľ a sprostredkovateľ.
Prevádzkovateľ je ten, kto údaje získava, využíva a sám alebo spolu s ďalšími osobami určuje účel s spôsob spracovania.
Sprostredkovateľom je ten, kto údaje v mene prevádzkovateľa spracúva, napr. účtovná spoločnosť. Dôležité je, že prevádzkovateľ aj sprostredkovateľ sú povinní zrealizovať také technické a organizačné opatrenia, aby zabezpečili úroveň zabezpečenia zodpovedajúcu možnému riziku.
Cieľ a rozsah smernice Spoločnosť vydáva túto smernicu s cieľom:
-zabezpečenia primeranej ochrany osobných údajov
-zamedzenia získavania osobných údajov fyzických osôb nad rozsah potrieb účelu ich spracúvania
-zabezpečenia záväzných pravidiel ich spracúvania a zabezpečenia ochrany pred zneužitím osobných údajov po skončení účelu, na ktorý boli získavané.
Táto smernica upravuje základné pravidlá pre zabezpečenie bezpečnej a spoľahlivej prevádzky automatizovaných a neautomatizovaných prostriedkov spracúvania osobných údajov v informačných systémoch prevádzkovateľa. Smernica je záväzná pre všetkých zamestnancov prevádzkovateľa v rozsahu zodpovednosti vyplývajúcej z ich pracovného zaradenia alebo poverenia, pracovnej zmluvy, pracovnej náplne ako aj pre všetkých externých spolupracovníkov vykonávajúcich činnosť na základe iných právnych skutočností a zmlúv.
Základné pojmy :
- Čo je osobný údaj?
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
- Čo je spracúvanie osobných údajov?
Spracúvaním osobných údajov je spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štrukturovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
- Účel spracúvania osobných údajov
Účel spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
- Informačný systém
Informačný systém je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií.
- Dotknutá osoba
Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
- Poverená osoba
Je to zamestnanec prevádzkovateľa, ktorý prichádza do styku s osobnými údajmi.
- Príjemca
Príjemcom je každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu.
- Tretia strana
Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
- Súhlas dotknutej osoby
Súhlasom dotknutej osoby je akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
Článok 10
Riešenie úniku osobných údajov
Ak dôjde k porušeniu zabezpečenia osobných údajov, je prevádzkovateľ alebo sprostredkovať povinný túto situáciu bezodkladne riešiť. Ako porušenie zabezpečenia je podľa GDPR chápané porušenie zabezpečenia, ktoré vedie k náhodnému alebo protiprávnemu zničeniu, strate alebo neoprávnenému sprístupneniu prenášaných, uložených alebo inak spracúvaných osobných údajov.
Riešenie situácie závisí od charakteru porušenia zabezpečenia.
Prípady porušenia zabezpečenia môžu byť rôzne, všeobecne sa môžu členiť na:
- porušenie dôvernosti – neautorizované alebo náhodné prezradenie osobných údajov alebo neautorizovaný prístup k nim;
- porušenie dostupnosti – náhodná alebo neautorizovaná (neplánovaná) strata alebo zničenie osobných údajov;
- porušenie integrity – nežiaduca alebo neautorizovaná zmena osobných údajov.
Ak u prevádzkovateľa nastane prípad porušenia zabezpečenia, musí prevádzkovateľ okrem prijatia adekvátnych opatrení taktiež posúdiť riziko daného prípadu. Vždy sa musí porovnávať, aký dopad môže mať porušenie zabezpečenia na subjekty údajov, hlavne vo vzťahu ku strate kontroly nad ich údajmi, škode na reputácii, možnosti obmedzenia ich práv, atď. Veľkú úlohu pri hodnotení rizika porušenia zabezpečenia bude mať aj miera zavinenia, t. j. či išlo o nedbanlivosť alebo úmysel, pretože pri úmysle možno predpokladať väčšie riziko pre osobné údaje subjektu údajov, pretože ich získanie bolo cieľom útoku. Ak porušenie zabezpečenia predstavuje riziko pre práva a slobody fyzických osôb, je prevádzkovateľ povinný oznámiť ho dozornému orgánu – a to bez zbytočného odkladu, pokiaľ je to možné do 72 hodín od okamžiku, kedy sa o incidente dozvedel. Dozorným orgánom je Úrad na ochranu osobných údajov. Pokiaľ nastane porušenie zabezpečenia osobných údajov u sprostredkovateľa, oznamuje ho bez zbytočného odkladu prevádzkovateľovi, resp. všetkým dotknutým prevádzkovateľom. Prevádzkovateľ následne posúdi skutočnosti oznámené sprostredkovateľom a rozhodne, či oznámené porušenie zabezpečenia predstavuje riziká pre práva a slobody fyzických osôb. Ak je pravdepodobné, že určitý prípad porušenia zabezpečenia osobných údajov bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, je prevádzkovateľ povinný oznámiť prípad porušenia aj subjektu údajov. Oznámenie subjektu údajov nie je potrebné vykonať, ak síce došlo k porušeniu zabezpečenia osobných údajov, avšak prevádzkovateľ vykonal predbežné opatrenia, ktoré zapríčinili, že vysoké riziko, ktoré by bez použitia týchto prostriedkov nastalo, nenastane. Medzi tieto „predbežné“ opatrenia možno zaradiť napr. šifrovanie či pseudonymizáciu.
Ohlásenie musí obsahovať minimálne:
- popis povahy daného prípadu porušenia zabezpečenia osobných údajov (napr. hackerský útok na internetové bankovníctvo);
- meno a kontaktné údaje zodpovednej osoby na ochranu osobných údajov alebo iného kontaktného miesta;
- popis pravdepodobných dôsledkov porušenia zabezpečenia osobných údajov (napr. pravdepodobnosť neoprávneného prístupu k bankovým účtom);
- popis opatrení, ktoré prevádzkovateľ prijal alebo navrhol prijať s cieľom vyriešiť dané porušenie zabezpečenia osobných údajov (napr. dočasné zablokovanie internetového bankovníctva a výzva klientom na bezodkladnú zmenu hesiel).
Článok 11
Zodpovednosť za porušenie práv a povinností
Porušenie tejto smernice bude posudzované ako závažné porušenie pracovnej disciplíny. Prevádzkovateľ môže uplatniť svoje oprávnenie a vyvodiť pracovnoprávne dôsledky.
Článok 12
Spoločné, prechodné a záverečné ustanovenia
Táto Smernica nadobúda účinnosť dňa 25.05.2018
Táto smernica bola aktualizovaná dňa 16.11.2022
Táto Smernica je záväzná pre všetky poverené osoby prevádzkovateľa
| Dátum poučenia | Meno priezvisko poverenej osoby | Podpis poverenej osoby |
| 16.11.2022 | Martina Beňová | |
| 16.11.2022 | Milan Beňo | |
Nová Dedina, 16.11.2022
