Preskočiť na hlavný obsah Preskočiť prehliadku
sklady@maleskladypd.sk
046/381 13 33
(Po-Pia: 7:00 - 15:30)
Menu
  • Sklady
  • O nás
  • Časté otázky
  • Galéria
  • Kontakt
  • Sklady
  • O nás
  • Časté otázky
  • Galéria
  • Kontakt
Môj účet
Menu
  • Sklady
  • O nás
  • Časté otázky
  • Galéria
  • Kontakt
sklady@maleskladypd.sk
046/381 13 33
(Po-Pia: 7:00 - 15:30)

Ochrana osobných údajov

1. ÚČEL

Táto smernica upravuje postupy spoločnosti Self storage center Prievidza s. r. o. (ďalej len „spoločnosť“) a jej sprostredkovateľov pri nakladaní s osobnými údajmi, pravidlá pre získavanie, zhromažďovanie, ukladanie, používanie, šírenie, uchovávanie a likvidáciu osobných údajov. Smernica zároveň upravuje niektoré povinnosti prevádzkovateľa a sprostredkovateľov pri nakladaní s osobnými údajmi.

Zabezpečenie ochrany osobných údajov v našej organizácii sa riadi nariadením Európskeho parlamentu a rady č. 679/2016/EÚ z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – ďalej len „GDPR“.

K jednotlivým spracovateľským činnostiam sú vytvorené záznamy v zložke spracovateľské operácie a v zázname o spracovateľských operáciách.

 

2. ROZSAH PLATNOSTI

Táto smernica je záväzná pre všetkých sprostredkovateľov, príp. dotknuté osoby, ktoré vyjadrili súhlas so spracúvaním osobných údajov aspoň na jeden konkrétny účel.

Nedodržiavanie týchto pravidiel bude kvalifikované ako porušenie pracovnej disciplíny v zmysle Zákonníka práce resp. platných právnych predpisov alebo zmluvných podmienok.

 

3. POJMY, SKRATKY

3.1 Pojmy

Vysvetlenie pojmov je uvedené v čl. 4 Nariadenia GDPR.

 

3.1 Skratky

  • GDPR – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb…
  • IT – informačné technológie
  • PC – osobný počítač
  • OS – operačný systém
  • OÚ – osobné údaje
  • EZS – elektronický zabezpečovací systém

 

4. ZODPOVEDNOSTI A PRÁVOMOCI

Za bezpečnosť spracúvaných údajov zodpovedá prevádzkovateľ.

Prevádzkovateľ je povinný chrániť osobné údaje pred ich neoprávneným prístupom a sprístupnením, poskytnutím, zverejnením, poškodením, zničením, stratou, zmenou alebo akýmikoľvek inými neprípustnými formami spracúvania.
Dielčie zodpovednosti sú uvedené v jednotlivých bodoch smernice.

 

4.1 Zákonná povinnosť poveriť zodpovednú osobu

súlade s čl. 37 GDPR vzniká prevádzkovateľovi a sprostredkovateľovi povinnosť poveriť zodpovednú osobu v nasledovných prípadoch:

spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 GDPR vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

Posúdenie vzniku povinnosti určiť zodpovednú osobu prevádzkovateľ vypracoval v dokumente – Posúdenie vzniku povinnosti zodpovednej osoby.

 

5. POSTUP PRE ZABEZPEČENIE OCHRANY OSOBNÝCH ÚDAJOV

5.1 Pravidlá pre zabezpečovanie ochrany osobných údajov IT

Spoločnosť využíva operačné systémy Microsoft.

Osobné údaje sú uložené a spracúvané na serveri v prenajatých priestoroch prevádzkovateľa. na prízemí v uzamykateľnej miestnosti.

Zálohovanie sa vykonáva 1x za 24 hodín SQL databázy, 1x mesačne kompletná záloha na externý HDD.

Používateľ IT je oprávnený pracovať s technickými zariadeniami, softvérom (podľa Registra aktív a povolených softvérov) a údajmi potrebnými pre výkon jeho činnosti iba v súlade s pridelenými právami a oprávneniami. Všetky IT zariadenia vrátane heslovej politiky spravuje prevádzkovateľ.

Je zakázané poskytovať tretím osobám špecifické informácie o používateľoch IS , jednotlivé heslá a mená, ktoré by mohli byť použité na vstup do hardvéru alebo softvéru spoločnosti.

Každý používateľ IT má pridelené svoje prihlasovacie meno a heslo do svojho pracovného konta, ktoré musí zachovať v tajnosti. Tieto mená a heslá pomáhajú stanoviť osobnú zodpovednosť. Zakazuje sa spoločné používanie prihlasovacích mien a hesiel viacerými používateľmi IT. V prípade nebezpečia prezradenia je potrebné tieto heslá okamžite zmeniť.

Používateľ IT je plne zodpovedný za svoje heslo. V prípade zabudnutia mu konateľ vygeneruje nové heslo.

V záujme zaistenia bezpečnosti svojich počítačov, počítačových sietí a softvérového vybavenia majú používatelia nainštalovaný program Kasperski, chrániaci bezpečnosť.

Používateľom IT sa zakazuje vyraďovať z činnosti, narúšať, prekonávať alebo obchádzať ktorékoľvek bezpečnostné zariadenie alebo systém.

Súbory, ktoré obsahujú citlivé (dôverné) údaje, musia byť pri akomkoľvek prenose prostredníctvom Internetu zašifrované alebo odosielané cez zabezpečené programy.

Pri opustení pracoviska je potrebné zabezpečiť svoje pracovisko, tak aby neunikli osobné údaje, t. j. PC alebo notebook uspať alebo vypnúť, prípadne zamknúť celú kanceláriu. V prípade, že používateľ IT zistí pokus o narušenie bezpečnosti IT týkajúce sa ochrany dát, je povinný takémuto pokusu podľa svojich schopností a možností zabrániť napr. vypnutím zariadenia alebo odpojením od siete a okamžite o tom informovať svojho nadriadeného.

V prípade prítomnosti zástupcu servisnej alebo dodávateľskej firmy je zodpovedná osoba povinná realizovať dohľad nad dodržiavaním ustanovení tejto smernice zo strany zástupcu alebo zástupcov servisných alebo dodávateľských firiem.

Ak je poškodený pevný disk, technik IT je povinný dať zástupcovi servisnej firmy podpísať dohodu o mlčanlivosti, ktoré bude súčasťou zmluvy, prípadne objednávky.

Bez predchádzajúceho písomného súhlasu nadriadeného je zakázané poskytovať v akejkoľvek forme akékoľvek údaje, dáta, databázy či prehľady o informačných systémoch iným osobám, organizáciám.

Používateľ IT je povinný vykonať vždy priebežnú aktualizáciu antivírusového systému, jednotlivých programov a operačného systém pre všetky PC, notebooky a mobilné zariadenia, ktoré používa, ak ho k tomu daný program vyzve.

Každý bezpečnostný incident, ktorý sa vyskytne na hardvéri, softvéri alebo zariadeniach počítačovej siete, musí byť okamžite ohlásený zodpovednej osobe a správcovi IT. Dokumentáciu o všetkých bezpečnostných incidentoch, ktoré sa vyskytli, vedie zodpovedná osoba v evidencií bezpečnostných incidentov v zložke Bezpečnostné incidenty.

 

5.2 Nakladanie s nosičmi údajov

Akékoľvek materiálne nosiče údajov sú zabezpečené pred prístupom neoprávnených osôb. Miestom uloženia nosičov živých údajov sú skrine v uzamykateľnej miestnosti.

Záznamy a údaje, ktoré podliehajú archivácii, sú uložené v zabezpečenom archíve v samostatnej uzamykateľnej miestnosti, do ktorej má prístup len oprávnená osoba v zmysle registratúrneho poriadku. Záznamy s uplynulou lehotou uloženia sa musia bezodkladne bezpečne zlikvidovať.

Konateľ zabezpečí aby nosiče údajov pri prenášaní medzi miestom uloženia a miestom spracovania nemohli byť sprístupnené neoprávneným osobám.

 

5.3 Organizačné pravidlá pre zabezpečovanie ochrany osobných údajov

Spracúvať, zhromažďovať a likvidovať osobné údaje smú len pracoviská na to určené. Spracúvanie údajov musí byť v súlade s Nariadením GDPR, resp. zákonom.

V prípade mimoriadnej situácie, kedy dôjde k narušeniu bezpečnosti činnosť koordinuje a riadi osoba zodpovedná za ochranu osobných údajov.

Pri narušení počítačovej bezpečnosti, bezpečnosti v oblasti IT koordinuje činnosť konateľ.

Pri narušení globálnej bezpečnosti koordinuje činnosť zodpovedná osoba.

Pri narušení informačnej bezpečnosti v oblasti dokumentov, telefónnych liniek a mobilných sieti koordinuje činnosť prevádzkovateľ alebo zástupca prevádzkovateľa.

 

5.4 Dodávateľské a sprostredkovateľské vzťahy

Dodávatelia a sprostredkovatelia musia zabezpečiť ochranu osobných údajov v súlade s GDPR poskytnúť v prípade potreby prevádzkovateľovi informácie potrebné na preukázanie plnenia nariadenia GDPR.

Prevádzkovateľ v prípade potreby môže použiť na preverenie sprostredkovateľa alebo dodávateľa formulár Výber sprostredkovateľa v zložke Sprostredkovateľ.

V prípade, že sprostredkovateľ vykonáva svoju činnosť prostredníctvom ďalšieho sprostredkovateľa (subdodávkou) je povinný:

dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa čl. 28 ods. 2) GDPR, t. j. sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa.

vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.

Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo iného právneho úkonu je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3), a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto Nariadenia.

Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

 

5.4.1 Požiadavky na personálne opatrenia

Povedomie o bezpečnosti – program dosiahnutia povedomia bezpečnosti musí byť implementovaný na všetkých úrovniach organizácie, od vrcholového manažmentu až po používateľov.

Pridelenie zodpovednosti v oblasti bezpečnosti informácií.

Prevádzkovateľ a aj sprostredkovateľ je povinný poučiť každú fyzickú osobu, ktorá, ako oprávnená osoba, vykonáva pre prevádzkovateľa alebo sprostredkovateľa spracovateľské povinnosti, ako aj iné fyzické osoby, ktoré vykonávajú spracovateľské povinnosti pre prevádzkovateľa alebo sprostredkovateľa na základe poverenia a majú prístup k osobným údajom prevádzkovateľa alebo sprostredkovateľa, aby dodržiavali a vykonávali spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu, na základe ktorého táto fyzická osoba osobné údaje spracúva.

Na základe uvedeného platí, že povinnosť poučiť fyzickú osobu o dodržiavaní pokynov má tak prevádzkovateľ, ako aj sprostredkovateľ voči „svojim“ fyzickým osobám, ale povinnosť určiť pokyny, ktoré majú tieto fyzické osoby dodržiavať, má len prevádzkovateľ.

 

5.5 Pravidlá pre zabezpečovanie prostredia organizácie za účelom ochrany osobných údajov

Organizácia zabezpečila implementáciu prostriedkov a systémov opatrení na ochranu bezpečnostných aktív pred nepovolanými osobami a pred neoprávnenou manipuláciou v budove.

Nosiče s osobnými údajmi sa nachádzajú v prenajatých priestoroch prevádzkovateľa. na prízemí v uzamykateľnej miestnosti v uzamykateľnej budove na prízemí. Priestory sú chránené mechanickými zámkami, EZS majiteľa budovy a kamerovým systémom so záznamom majiteľa budovy. Návštevy môžu do kancelárie vstupovať len po ohlásení. Návšteva nemôže ostať osamote v miestnosti kde sa nachádzajú osobné údaje.

Vonkajšie priestory sú monitorované kamerovým systémom so záznamom.

 

5.5.1 Protipožiarna ochrana

  • ručné hasiace prístroje, ktorých funkčnosť musí byť pravidelne kontrolovaná
  • elektronické detektory dymu
  • postupy v prípade ohrozenia požiarom sú uvedené v Požiarno-poplachových smerniciach

 

5.6 Poskytovanie osobných údajov

Pamäťové média a výpisy požadované inými právnickými osobami na ďalšie spracovanie môžu byť odovzdávané nasledovným spôsobom:

  • osobne – odovzdaním priamo pracovníkovi, ktorý je poverený zberom dát,
  • poštovou zásielkou – typu „doporučený list“, v takom prípade pošta preberá zodpovednosť za doručenie nepoškodenej zásielky adresátovi,
  • bežnou poštou, alebo emailovou poštou – jedine za predpokladu, že si obe strany dohodnú také zabezpečenie, ktoré znemožní ich zneužitie inou osobou. Takýto spôsob nie je možné použiť pri zasielaní tlačových výstupov obsahujúcich osobitné kategórie osobných údajov.

 

5.7 Sprístupňovanie osobných údajov

V obchodnom styku sa používa taký formát elektronického dokumentu, na ktorom sa subjekty dohodli.

5.8 Spracúvanie osobitných kategórií osobných údajov

Spoločnosť prichádza do styku aj s citlivými údajmi, a to najmä s údajmi týkajúcimi sa zdravia dotknutých osôb na pracovnoprávne účely. Spracúvanie takýchto údajov je možné vykonávať na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia. Spoločnosť je oprávnená výlučne pre pracovnoprávne účely spracúvať takéto osobné údaje aj bez súhlasu dotknutej osoby. V prípade ak Spoločnosť bude spracúvať citlivé údaje na základe súhlasu dotknutej osoby, je povinná si obstarať od tejto dotknutej osoby výslovný súhlas na tento účel.

 

6. Analýza a riadenie rizík OU

6.1 Vytváranie súvislostí, definovanie potenciálnych rizík OU

Konateľ spoločnosti je povinný zadefinovať potenciálne riziká, ktoré by mohli ohroziť bezpečnosť osobných údajov hlavne pri zmene:

 

  • osobných údajov alebo rozšírení osobných hlavne citlivých údajov oprávnenej osoby
  • organizačnej štruktúry
  • legislatívy
  • počítačovej techniky alebo zmenách softvérov
  • zmene dodávateľov softvérov, hardvérov
  • zmene spolupracujúcich organizácií
  • zmene postupov pre ochranu osobných údajov
  • možnosti úniku alebo znehodnotenia OÚ
  • stavebných úpravách prípadne iných potenciálnych hrozbách.

 

6.2 Identifikácia a evidencia rizík OÚ

Riziká sú evidované určenou osobou za ochranu osobných údajov v registri rizík.

 

6.3 Analýza a hodnotenie rizika

Konateľ spoločnosti posúdi významnosť rizík podľa stanovených kritérií. V prípade, ak riziko podľa hodnotenia je posúdené ako obzvlášť závažné musia byť prijaté dostatočné ochranné opatrenia.. Všetky definované riziká musia byť evidované v Registri rizík.

 

6.4 Výpočet miery rizika:

Miera rizika = pravdepodobnosť x dopad

Pri analýze rizík je vykonávané hodnotenie pravdepodobnosti a dôsledku v štyroch stupňoch: veľmi nízka, nízka, vysoká, veľmi vysoká.

1. Veľmi nízka – riziko neohrozuje závažným spôsobom chod spoločností, procesu a ochranu osobných údajov.

2. Nízka – riziko vyvoláva odchýlky od očakávaného stavu, ktoré sa prejavujú iba ojedinele a nevytvárajú veľké materiálne škody, pripadne nebezpečenstvo pre vznik nezhôd a úniku osobných údajov.

3. Vysoká – riziko vyvoláva poškodenie nástrojov a zariadení slúžiacich na ochranu osobných údajov.

4. Veľmi vysoká – riziko môže znamenať hrozbu straty osobných údajov alebo veľké finančné straty.

Hodnotenie miery rizika Požiadavka na riadenie rizika / potreba znižovania rizika
Nevýznamné riziko s hodnotou 1-3 Nevyžaduje sa žiadna akcia. Riziko je možné akceptovať, pokiaľ potreba jeho riadenia nevyplýva z iných požiadaviek (právnych, zmluvných a pod.). V prípade rozhodnutia o riadení rizika sa postupuje ako v prípade významných rizík.
Tolerovateľné riziko s hodnotou 4-7 Riziko je možné akceptovať, pokiaľ náklady na riadenie rizika sú neúmerné škodám, ktoré by boli spôsobené využitím zraniteľnosti hrozbou. V prípade rozhodnutia o riadení rizika sa postupuje ako v prípade významných rizík.
Významné riziko s hodnotou Implementovať opatrenia v rámci určeného časového úseku. Je potrebné zabezpečiť zníženie rizika na tolerovateľnú úroveň.
8 – 11
Netolerovateľné riziko s hodnotou 12 -16 Procesy nesmú byť spustené skôr, ako sa zníži riziko na akceptovateľnú úroveň. Ak sa riziko týka už prebiehajúcich procesov, treba urýchlene podniknúť potrebné kroky na zníženie rizika.

 

6.5 Hodnotenie rizík

Prehodnotenie rizika musí vykonať konateľ v tej oblasti, kde je najväčšia pravdepodobnosť vzniku rizika pravidelne 1x ročne príslušného kalendárneho roka alebo v prípade vzniku incidentu.

 

7. Postup pri spracovaní agendy práv dotknutých osôb

V prípade prijatia žiadosti o informovaní akým spôsobom prevádzkovateľ spracováva osobné údaje dotknutej osoby je potrebné postupovať nasledovne:

Zaevidovať žiadosť dotknutej osoby do formulára – Evidencia žiadostí dotknutých osôb v zložke Práva dotknutých osôb.

Oznámiť vybavenie žiadosti v rozsahu:

v akom rozsahu spracúva prevádzkovateľ údaje dotknutej osoby

na aký účel spracúva prevádzkovateľ údaje dotknutej osoby po akú dobu sú jednotlivé osobné údaje uchovávané vyhovenie/nevyhovenie žiadosti a odôvodnenie výsledku.

Žiadosť je potrebné vybaviť do 30 dní a bezplatne. Výnimky neposkytnutia informácií o spracovaní osobných údajov sú vymenované v článku 14 bod V. Výnimky z poskytovania informácií nariadenia GDPR. Pri opakovanej zjavne neopodstatnenej alebo neprimeranej žiadosti môžeme požadovať primeraný administratívny poplatok alebo odmietnuť konať.

 

7.1 Prenos OU do tretej krajiny alebo v medzinárodnej organizácii

Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.

Pre overenie primeranosti prenosu do USA – https://www.dataprivacyframework.gov/s/participant-search, pre ostatné krajiny – https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-zarucujucich-primeranu-uroven-ochrany-0

 

7.2 Likvidovanie OU

Likvidácia produktov obsahujúce osobné údaje – likvidácia osobných údajov je samostatná operácia spracúvania osobných údajov, pri ktorej dôjde k zničeniu osobných údajov tak, že nie sú itateľné a obnoviteľné.

Všetky písomné, obrazové, zvukové a iné záznamy, ktoré obsahujú osobné údaje (zoznamy, výpisy, pamäťové média a pod.), musia byť po vylúčení z ďalšieho spracovania (ak nakladanie s nimi nepredpisuje iný zákon, napr. zákon č. 395/2002 Z. z. o archívoch a registratúrach v znení neskorších predpisov) fyzicky skartovaním, rozložením, alebo spálením.

Písomné výstupy nesmú byť odovzdané do zberu. Pokiaľ sa likviduje len časť údajov – textu na papierovom nosiči, tak je nutné tento začierniť, aby nebolo možné odhaliť jeho obsah (napr. čítaním proti svetlu).

Prepisovateľné pamäťové média (CDRW, DVDRW média, USB kľúče, pamäťové karty a pod.) sa musia bezpečne likvidovať vymazaním, alebo naformátovaním tak, aby sa z nich osobné údaje nedali obnoviť a reprodukovať. Neprepisovateľné pamäťové média (CD a DVD média a pod.) sa musia fyzicky likvidovať napr. zlomením.

Elektronická podoba: bezpečné vymazanie ( pozor nie presunutie do koša v prípade OS Microsoft Windows), alebo prekrytie osobných údajov prázdnymi znakmi, alebo iným textom.

Ak sú predmetom spracúvania úradné dokumenty obsahujúce osobné údaje, tieto musia byť vrátené dotknutej osobe, ak o to požiada.

Ochrana dokumentov, záznamov a informácií je zabezpečená prostredníctvom zabezpečenia informačného systému príslušnými prístupovými právami, antivírusovými programami a ostatnými bariérami.

 

8. Audity a opatrenia

Audity za účelom zistenia stavu ochrany osobných údajov plánuje správca systému v spolupráci so zodpovednou osobou 1x ročne na začiatku kalendárneho roka v Programe auditov. Program auditov schvaľuje riaditeľ spoločnosti.

Program auditov sa pravidelne 1x za rok reviduje na základe incidentov a nezhôd ktoré boli v predchádzajúcom období zistené, prípadne pri zmenách pravidiel ochrany osobných údajov.

 

8.1 Opatrenia na zlepšenie ochrany OU

Správy z auditu sú prerokované vo vedení spoločnosti, ktoré schvaľuje a vyhodnocuje plnenie a účinnosť nápravných opatrení na zlepšenie ochrany osobných údajov.

Prípadné nezhody, ktoré sú počas kontroly zistené zaznamenáva v bezpečnostných opatreniach. S nezhodami sú oboznámení majitelia procesov, ktorí navrhujú nápravné opatrenia a zabezpečujú ich realizáciu. O výsledku nápravy vedú záznamy v bezpečnostných opatreniach.

9. Bezpečnostné incidenty, sťažnosti

9.1 Evidencia incidentov a sťažností

Vykonáva osoba, zodpovedná za ochranu osobných údajov. Incidenty neodkladne nahlasuje konateľovi. V spolupráci so zodpovedným pracovníkom navrhnú nápravné opatrenia a dozerajú na ich realizáciu.

 

10. Oznamovanie

10.1 Oznámenie porušenia ochrany osobných údajov úradu v súvislosti s čl. 33 Nariadenia GDPR.

V prípade porušenia ochrany osobných údajov je prevádzkovateľ povinný vyplniť oznámenie na Úrade na ochranu osobných údajov v nasledovnom dotazníku:

https://dataprotection.gov.sk/uoou/dp/dp-breach

Prevádzkovateľ vyplní všetky povinné polia a odošle dotazník bez zbytočného odkladu najneskôr však do 72 hodín po zistení úniku osobných údajov s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebude odoslané do 72 hodín dozornému orgánu, prevádzkovateľ predloží zdôvodnenie omeškania.

Prevádzkovateľ je povinný poskytnúť informácie podľa v rozsahu, v akom sú mu známe v čase oznámenia; ak v čase oznámenia nie sú prevádzkovateľovi známe všetky informácie, poskytne ich bezodkladne po tom, čo sa o nich dozvie.

Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.

Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

 

10.2 Oznámenie porušenia ochrany osobných údajov dotknutej osobe

Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.

Oznámenie musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa

l. 33 ods. 3 Nariadenia GDPR.

Oznámenie sa nevyžaduje, ak:

prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,

prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby,

by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.

Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z vyššie uvedených podmienok.

 

11. Koncepcia a politika ochrany osobných údajov 11.1 Zákonnosť, nestrannosť a transparentnosť

Osobné údaje sú spracúvané zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Osobné údaje prevádzkovateľ získava, spracúva a zdieľa zákonne a nestranne len na určený účel.

Oprávnená osoba spracúva osobné údaje len na základe jedného alebo viacerých právnych základov, ktoré uvádza Nariadenie GDPR. Jedným z nich je, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel.

Súhlas dotknutej osoby

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založenom na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom akým súhlas udelila.

Oprávnený záujem

Prevádzkovateľ môže spracúvať osobné údaje dotknutej osoby na základe oprávneného záujmu vtedy, ak je to nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.

Každý oprávnený záujem prevádzkovateľa má vypracované posúdenie oprávneného záujmu(test proporcionality) v zložke Spracovateľské operácie a jednotlivé IS – posúdenie oprávneného záujmu.

V prípade, ak dotknutá osoba využije svoje právo na obmedzenie spracúvania, musí prevádzkovateľ opätovne uskutočniť posúdenie oprávneného záujmu. Ak sa preukáže podnet/námietka dotknutej osoby ako opodstatnená musí byť spracúvanie OU na základe konkrétneho oprávneného záujmu zrušené.

Informácie pre dotknutú osobu

Prevádzkovateľ poskytne všetky relevantné informácie pre dotknuté osoby o spracovaní ich osobných údajov zverejnením na webovom sídle alebo ich sprístupní k nahliadnutiu v sídle/prevádzkarni prevádzkovateľa. Pokiaľ sú osobné údaje získané nepriamo (nie od dotknutej osoby), do 30 dní musí byť dotknutá osoba informovaná spracovaní jej údajov.

Výnimky z informačnej povinnosti, ktoré môže prevádzkovateľ uplatniť:

V prípade, ak získal osobné údaje priamo od dotknutej osoby:

  • dotknutá osoba sa s takýmito informovaním oboznámila skôr.

V prípade, ak získal osobné údaje inak ako od dotknutej osoby:

  • dotknutá osoba sa s takýmito informovaním oboznámila skôr,
  • poskytnutie takýchto informácií sa ukáže ako nemožné alebo by sa vyžadovalo neprimerané úsilie,
  • získanie alebo poskytnutie údajov sa výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha,
  • v prípade, keď osobné údaje musia zostať dôverné na základe povinností zachovania profesijného tajomstva upravenej právom únie alebo právom členského štátu vrátane povinnosti vyplývajúcej zo štatútu.

Transparentnosť

Oprávnené osoby neposkytujú bez právneho dôvodu žiadnou formou osobné údaje dotknutých osôb cudzím osobám a inštitúciám, teda ani telefonicky ani e-mailom ani pri osobnom stretnutí.

 

11.2 Obmedzenie účelu

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom.

Osobné údaje nie sú použité na nové, odlišné účely od tých, ktoré boli uvedené pri prvom získaní osobných údajov, pokiaľ dotknutá osoba nebola informovaná o nových účeloch a nevyjadrila svoj súhlas v požadovanom rozsahu.

 

11.3 Minimalizácia údajov

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.

 

11.4 Správnosť

Osobné údaje musia byť správne a podľa potreby aktualizované; osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú je potrebné bez zbytočného odkladu vymazať a opraviť.

 

11.4.1 Integrita bezpečnosti a dôvernosti

Osobné údaje sú chránené a zabezpečené prijatými technickými a organizačnými opatreniami proti neoprávnenému alebo nezákonnému spracúvaniu, ako aj proti náhodnej strate, zničeniu alebo poškodeniu.

Sú dodržiavané všetky postupy a technológie, ktoré boli zavedené, aby bola zachovaná bezpečnosť všetkých osobných údajov od bodu ich získania až do bodu ich likvidácie.

Všetky opatrenia a postupy sú opísané v interných dokumentoch spoločnosti.

 

12. Súvisiace dokumenty
12.1 Interné dokumenty

  • Register rizík
  • Záznam o spracovateľských činnostiach prevádzkovateľa Analýza povinnosti určiť zodpovednú osobu
  • Posúdenie oprávnených záujmov
  • Informačná povinnosť pre externé stránky
  • Register aktív a povolených softvérov Požiarno-poplachové smernice

 

12.2 Externé dokumenty

The EU general data protection regulation 2016/679

Zákon č. 18/2018 Z. z. o ochrane osobných údajov

Vyhl. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

Usmernenia EDPB 3/2019 k spracúvaniu osobných údajov prostredníctvom kamerových zariadení

Bezpečné a cenovo dostupné sklady
pre každého, komu je pivnica malá
O nás
  • Domov
  • O nás
  • FAQ
  • Galéria
  • Kontakt
Dôležité informácie
  • Cookies
  • Ochrana osobných údajov
  • Všeobecné obchodné podmienky
Kontakt
sklady@maleskladypd.sk
046/381 13 33
(Po-Pia: 7:00 - 15:30)
© 2025 Self Storage Center Prievidza | Vytvorila digitálna agentúra Ametica
Sledujte nás na Facebooku:

Bezpečný

prenájom skladov

Hľadáte bezpečné miesto pre

uloženie svojich vecí?

Prenajať sklad