Dňa 25. 5. 2018 je platné Nariadenie Európskeho parlamentu a Rady EU č. 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov (ďalej iba „nariadenie“). Spoločnosť WIBER sp, s.r.o., IČO: 36456446, so sídlom Hviezdoslavova 1942, 091 01 Stropkov (ďalej iba „správca“) v tejto súvislosti prijala tieto Zásady ochrany osobných údajov (ďalej iba „zásady“), ktoré nadobúdajú platnosť a účinnosť dňa 1. 5. 2018.
„Osobným údajom“ sa pre účely tohoto dokumentu rozumie akákoľvek informácia týkajúca sa určenej alebo určiteľnej fyzickej osoby, ku ktorej sa osobné údaje vzťahujú. Fyzická osoba sa považuje za určenú alebo určiteľnú, ak je možné fyzickú osobu priamo či nepriamo identifikovať, hlavne na základe čísla, kódu alebo jedného či viac prvkov špecifických pre jej fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu nebo sociálnu identitu. Tieto zásady sa vzťahujú na všetky vzťahy medzi správcom a subjektami údajov, ktorými sa pre účely týchto zásad rozumejú predovšetkým zákazníci, potenciálny zákazníci, dodávatelia, potenciálny dodávatelia, správca a záujemcovia o zamestnanie u správcu. Tieto zásady sa vzťahujú na všetky spracovania osobných údajov správcom, ak nie je pre konkrétny prípad medzi správcom a subjektom údajov dohodnuté inak.
Osobné údaje zhromažďované správcom
V rámci svojej podnikateľskej činnosti správca zhromažďuje tieto osobné údaje za týmto účelom:
1. Poskytovanie služieb
V rámci tejto činnosti môže správca spracovávať osobné údaje svojich zákazníkov v rozsahu meno, priezvisko, adresa alebo sídlo, telefónne číslo, e-mailová adresa, číslo bankového účtu, prípadne identifikačné číslo alebo daňové identifikačné číslo. Jedná sa o informácie, ktoré sú správcovi prístupné zo strany zákazníka. Správca tiež môže ako spracovateľ spracovávať osobné údaje tretích osôb poskytnuté zákazníkom za účelom plnenia zmluvných záväzkov voči zákazníkovi. Údaje sú spracovávané za účelom plnenia zmluvne prevzatých záväzkov voči zákazníkovi a za účelom plnenia zákonných povinností – tj. hlavne za účelom fakturácie, vedenia účtovníctva, odvodu daní a prípadných poplatkov. Tieto informácie môžu byť tiež využité k vymáhaniu dlžnej pohľadávky po zákazníkovi, tj. za účelom plnenia zmluvy a v oprávnenom záujme správcu.
2. Dodanie služieb externými dodávateľmi
V rámci svojej činnosti môže správca využiť taktiež služby externých dodávateľov – fyzických osôb. V tejto súvislosti môže správca spracovávať osobné údaje externých dodávateľov, ak je to nevyhnutné pre umožnenie výkonu činnosti dodávateľa. Jedná sa predovšetkým o meno, priezvisko, dátum narodenia, adresu nebo sídlo, telefónne číslo, e-mailovú adresu, číslo bankového účtu, prípadne identifikačné číslo, daňové identifikačné číslo a podpis. Informácie sú získavané priamo od subjektu údajov a sú spracovávané v nevyhnutnom rozsahu za účelom plnenia zmluvy uzavretej medzi dodávateľom a správcom a ďalej za účelom plnenia zákonných povinností v súvislosti s obchodnou činnosťou, tj. predovšetkým za účelom fakturácie, vedenia účtovníctva, odvodu daní, poplatkov. Údaje môžu byť taktiež použité za účelom uplatňovania oprávnených záujmov správcu.
3. Nábor nových zamestnancov a potenciálnych odberateľov a dodávateľov
V rámci tejto činnosti, správca spracováva osobné údaje záujemcov o zamestnanie a potenciálnych nových odberateľov a dodávateľov, a to v rozsahu, v akom ich samy subjekty údajov poskytnú správcovi, kedy správca tieto údaje spracováva z titulu svojho oprávneného záujmu. Získavanie nových zamestnancov, odberateľov a dodávateľov je nevyhnutné pre výkon jeho podnikateľskej činnosti.
4. Ďalšie činnosti
Správca môže v rámci svojej podnikateľskej činnosti spracovávať taktiež ďalšie osobné údaje, ktoré mu subjekt údajov sám poskytne. Spracovanie však môže prebiehať iba ak je k nemu daný právny základ a v rozsahu nevyhnutnom pre naplnenie účelu, pre aký boli osobné údaje subjektom poskytnuté.
Správca vedie zoznam kontaktov na zamestnancov, odberateľov a dodávateľov, v rámci ktorého spracováva osobné údaje v rozsahu meno, priezvisko, adresa, príp. zamestnávateľ, e-mailová adresa a telefónne číslo. Zoznam kontaktov je vedený v CRM systéme. Účelom je zaistenie efektívnej komunikácie s partnermi, čo je oprávneným záujmom správcu, údaje sú spracovávané po dobu trvania spolupráce. Správca umožňuje prístup k CRM systému iba prevereným osobám, ktorý s ním spolupracujú za účelom plnenia záväzkov správcu a vedenia obchodnej činnosti správcu.
Spracovatelia
Správca nie je oprávnený bez výslovného súhlasu subjektu údajov využiť osobné údaje k inému účelu, než pre aký boli tieto osobné údaje získané.
Správca nepredáva ani neprenajíma osobné údaje tretím osobám, ani ich inak neposkytuje akýmkoľvek tretím osobám, ak nie je nižšie v týchto zásadách stanovené inak.
V rámci svojej podnikateľskej činnosti správca spolupracuje s tretími osobami – externými poskytovateľmi služieb za účelom využitia nevyhnutného softwarového vybavenia, zaistenie plnenia právnych povinností – predovšetkým vedenia účtovníctva, predaja produktov a marketingu. Na vyžiadanie subjektu údajov odošle správca zoznam spracovateľov na e-mailovú adresu subjektu údajov.
Všetci využívaný spracovatelia poskytujú dostatočné záruky zavedenia vhodných technických a organizačných opatrení tak, aby spracovanie osobných údajov spĺňalo požiadavky platnej právnej úpravy a aby bola zaistená ochrana práv subjektov údajov. Spracovateľ môže do spracovania zapojiť i ďalšieho spracovateľa, avšak iba za predpokladu, že tento spĺňa rovnaké opatrenia k ochrane osobných údajov, k akým sa zaviazal v zmluve zo správcom.
Časť spracovateľov správcu pochádza zo Slovenskej republiky a riadi sa pri spracovaní osobných údajov slovenskou právnou úpravou. Pri spracovaní osobných údajov spracovateľovi však môže prísť taktiež k prenosu osobných údajov do zahraničia, a to i mimo priestor Európskej únie. Všetky tieto prenosy sú nevyhnutné pre splnenie zmluvy medzi subjektom údajov a správcom. Väčšina zahraničných spracovateľov sú členmi Európskej únie alebo sú zapísaný v tzv. štíte EU-USA na ochranu súkromia, čo je možné overiť na https://www.privacyshield.gov/list. Európska komisia vydala rozhodnutie o zodpovedajúcej ochrane vo vzťahu k tomuto štítu, a to v režime čl. 45 odst. 9 nariadenia. S ohľadom na túto skutočnosť nie je pre takýto presun osobných údajov do tretej krajiny potrebné zvláštne povolenie.
Práva subjektov údajov
Subjekty údajov majú v súvislosti so spracovaním tieto práva:
– Právo prístupu: subjekt údajov môže kedykoľvek požiadať správcu o informáciu o spracovaní osobných údajov týkajúcich sa jeho osoby. Správca má v takomto prípade povinnosť bezodkladne túto informáciu subjektu údajov poskytnúť;
– Právo podať sťažnosť: subjekt údajov môže podať sťažnosť k dozornému orgánu pre predpokladané porušenie platných právnych predpisov, pričom dozorným orgánom sa rozumie Úrad pre ochranu osobných údajov, Hraničná 12 820 07 Bratislava 27 Slovenská republika https://dataprotection.gov.sk/uoou/sk;
– Právo na opravu: subjekt údajov môže žiadať opravu nepresných údajov týkajúcich sa jeho osoby;
– Právo na výmaz: subjekt údajov má právo, aby správca bez odkladu vymazal osobné údaje, ktoré sa ho týkajú, pokiaľ tieto osobné údaje už nie sú potrebné pre účely, pre ktoré boli získané a spracovávané, ak bola vznesená námietka proti spracovaniu a ak neexistujú žiadne prevažujúce dôvody k spracovaniu; pokiaľ by boli osobné údaje spracovávané protiprávne alebo pokiaľ musia byť vymazané kvôli splneniu právnej povinnosti správcu stanovenej platnými právnymi predpismi;
– Právo na obmedzenie spracovania: v prípade, že subjekt údajov poprie presnosť spracovávaných údajov, je správca povinný obmedziť spracovanie dotyčných osobných údajov, a to na dobu nevyhnutnú k tomu, aby správca mohol presnosť osobných údajov overiť;
– Právo na informáciu: Subjekt údajov má právo byť informovaný o všetkých opravách alebo výmazoch osobných údajov alebo obmedzení spracovania, ktoré správca vykonáva a ktoré sa jej týkajú;
– Právo vzniesť námietku: subjekt údajov má právo vzniesť kedykoľvek námietku proti spracovaniu osobných údajov, ktoré sa ho týkajú a ktoré sú spracovávané z dôvodu nevyhnutnosti pre splnenie úlohy vykonávanej vo verejnom záujme alebo z dôvodu nevyhnutnosti spracovania za účelom oprávneného záujmu správcu;
– Právo na prenosnosť: subjekt údajov má právo osobné údaje, ktoré sa ho týkajú a už správcovi poskytol, získať v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a tieto poskytnúť inému správcovi, bez toho, aby tomu súčasný správca bránil.
Ak sú osobné údaje spracovávané na základe súhlasu subjektu údajov, je subjekt údajov oprávnený súhlas kedykoľvek odvolať.
Na žiadosť poskytne správca subjektu údajov informácie o prijatých opatreniach nevyhnutných pre naplnenie práv subjektu údajov.
Svoje práva môže subjekt údajov uplatniť písomne zaslaním požiadavku na adresu sídla spoločnosti správcu, tj. WIBER sp, s.r.o., IČO: 36456446, so sídlom Hviezdoslavova 1942, 091 01 Stropkov, alebo prostredníctvom e-mailovej adresy wiber@wiber.sk
Mlčanlivosť
Správca si je vedomý dôvernosti spracovávaných osobných údajov. Správca je povinný zachovávať mlčanlivosť o všetkých spracovávaných osobných údajoch. Správca nie je oprávnený sprístupniť osobné údaje akejkoľvek tretej osobe, ak tieto zásady nestanovia inak.
Správca je oprávnený osobné údaje spracovávať iba prostredníctvom zamestnancov, ktorých zaviaže k mlčanlivosti minimálne v rovnakom rozsahu, v akom túto povinnosť stanovia tieto zásady a platná právna úprava.
Technické a organizačné opatrenia
Správca počas spracovania vždy dbá na to, aby nedošlo k ujme na právach fyzických osôb v súvislosti so spracovaním osobných údajov.
Správca prijal vhodné technické a organizačné opatrenia k zaisteniu odpovedajúcej úrovne zabezpečenia osobných údajov, a to s prihliadnutím k stavu techniky, nákladom na realizáciu, povahe, rozsahu, kontextu a účelom spracovania.
Pokiaľ je pravdepodobné, že určitý prípad porušenia zabezpečenia osobných údajov bude mať za následok vysoké riziko pre práva slobody fyzických osôb, správca oznámi toto porušenie bez zbytočného odkladu, najneskôr však do 72 hodín, subjektu údajov. Súčasne takéto porušenie správca oznámi aj dozornému orgánu.
Pri spracovaní osobných údajov správcom nenastáva automatizované rozhodovanie vrátane profilovania.
Doba spracovania
Doba spracovania závisí na kategórii osobných údajov i na účele, pre ktorý je daný osobný údaj spracovávaný. Vždy však platí, že osobné údaje sú spracované iba po dobu nevyhnutne nutnú.
– osobné údaje súvisiace s plnením zmluvy budú uchovávané po dobu, kedy bude zmluva účinná. Časť osobných údajov môže byť uchovávaná až po ďalšie 3 roky po vypršaní účinnosti zmluvy alebo 3 roky po skončení záručnej doby predmetu zmluvy z dôvodu oprávneného záujmu správcu tak, aby správca bol v prípade prípadného súdneho sporu schopný uniesť dôkazné bremeno. V prípade, že sa dokument týka dane z pridanej hodnoty, môže byť spracovávaný po dobu 10 rokov, a to s ohľadom na plnenie zákonných povinností správcu;
– osobné údaje spracovávané na základe súhlasu so spracovaním osobných údajov budú správcom spracovávané až do odvolania súhlasu subjektom údajov, alebo do chvíle, kedy vyprší účinnosť súhlasu, prípadne do chvíle, kým pominie účel spracovania;
– osobné údaje potenciálnych zamestnancov, zákazníkov a dodávateľov budú uchované najdlhšie po dobu 3 mesiacov odo dňa, kedy príde k ukončeniu jednania o nadviazanie prípadnej spolupráce. Po túto dobu je správca oprávnený subjekty osloviť s prípadnou novou ponukou;
– dáta zákazníkov uložené na servere budú spracovávané po dobu trvania spolupráce so zákazníkom alebo do chvíle, kedy dá zákazník pokyn, aby tieto údaje neboli naďalej spracovávané;
– osobné údaje, ktoré sú správcom spracovávané za účelom plnenia právnych povinností, tj. predovšetkým za účelom vedenia účtovníctva, odvodu daní a poplatkov apod. budú vymazané v lehotách stanovenými platnými právnymi predpismi a vnútornými predpismi správcu.
Ďalšie informácie
Správca nemá povinnosť menovať poverenca pre ochranu osobných údajov a neprikročil k tomuto kroku na základe vlastného rozhodnutia.
Správca ďalej prehlasuje, že za účelom propagácie využíva služby Facebook a Twitter. Prezentácia správcu, ktorú vykonáva prostredníctvom týchto služieb však neobsahuje žiadne osobné údaje. Správca kontaktuje subjekty údajov iba v prípade, že ho samy oslovia, a to iba za účelom odpovedi na vznesenú otázku.
Produktová analytika
Za účelom produktovej analytiky správca využíva taktiež služieb Google Analytics. Dáta získané prostredníctvom tejto služby sú využívané predovšetkým pre štatistické účely. Správca tak zisťuje počet užívateľov, ktorí navštívili webovú stránku správcu. Správca však nemá možnosť týmto spôsobom získať konkrétne informácie umožňujúce identifikáciu užívateľov, tj. nie je schopný identifikovať konkrétny subjekt údajov.
Vedľa toho využíva správca služby Google AdWords za účelom oslovenia potenciálnych zákazníkov. Týmto osobám sú prostredníctvom vyššie špecifikovaných služieb zobrazované na webových stránkach reklamné správy. Tieto služby využívajú za účelom zobrazenia reklamy na webových stránkach tretích strán súbory cookies. Správca však nemá možnosť týmto spôsobom získať konkrétne informácie umožňujúce identifikáciu užívateľov, tj. nie je schopný identifikovať konkrétny subjekt údajov.
Aktualizácia zásad
Správca si vyhradzuje právo tieto zásady pre ochranu osobných údajov zmeniť. Zmena bude vykonaná zverejnením na webových stránkach spoločnosti správcu a je účinná do 30 dní odo dňa zverejnenia. Vedľa toho sa správca zaväzuje zaslať všetkým registrovaným zákazníkom, dodávateľom i zamestnancom nové, aktualizované zásady ochrany osobných údajov, a to bezodkladne potom, čo budú správcom prijaté.