GDPR fundamentals

Zásady spracovania a ochrany osobných údajov

Cieľom týchto zásad spracovania a ochrany osobných údajov (ďalej len „Zásady“) je poskytnúť informácie o tom, aké osobné údaje sa o fyzických osobách spracovávajú pri poskytovaní služieb a predaji tovaru našou spoločnosťou, na aké účely a ako dlho naša spoločnosť tieto osobné údaje v súlade s platnými právnymi predpismi spracováva, komu a z akého dôvodu ich môže odovzdať, a tiež informovať o tom, aké práva fyzickým osobám v súvislosti so spracovaním ich osobných údajov náležia. Zásady sú účinné od 25. 5. 2018 a sú vydané v súlade s Nariadením Európskeho parlamentu a Rady EÚ 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov (ďalej len „GDPR“).

1.  Prevádzkovateľ osobných údajov, kontaktné údaje pre oblasť  GDPR

Prevádzkovateľom osobných údajov je spoločnosť  NOWAS s.r.o., IČO: 45 957 657, so sídlom Račianska 66, 831 02 Bratislava, zapísaná v obchodnom registri vedenom Okresným súdom Bratislava I., oddiel Sro, vložka 69367/B (ďalej len „Prevádzkovateľ“). Akékoľvek otázky týkajúce sa spracovávania osobných údajov môžete zasielať  na adresu sídla prevádzkovateľa, na e-mailovú adresu info@nowas.sk alebo na tel. 02/3210 9314.

2.  Rozsah spracovania a kategórie osobných údajov, ktoré sú predmetom spracovania

Osobné údaje sa spracovávajú v rozsahu, v akom ich príslušná dotknutá osoba prevádzkovateľovi poskytla, a to v súvislosti s uzatvorením zmluvného či iného právneho vzťahu s prevádzkovateľom, alebo ktoré prevádzkovateľ zhromaždil inak a spracováva ich v súlade s platnými právnymi predpismi či na plnenie zákonných povinností prevádzkovateľa. Prevádzkovateľ spracováva nasledujúce kategórie osobných údajov: 

a)    meno a priezvisko, príp. akademický titul

b)    adresa trvalého pobytu

c)     dátum narodenia

d)    obchodný názov  firmy

e)    IČO, DIČ

f)     adresa trvalého pobytu

g)    adresa sídla alebo miesta podnikania

h)    dodacia adresa

i)      kontaktná e-mailová adresa

j)      kontaktné telefónne číslo

k)     pracovná pozícia a/alebo funkcia v spoločnosti

l)      bankové spojenie a číslo účtu

3.  Účel spracovania osobných údajov

Spracovávanie z dôvodu splnenia zmluvy, splnenia zákonných povinností a z dôvodu oprávnených záujmov prevádzkovateľa. Poskytnutie osobných údajov nutných na splnenie zmluvy, plnenie zákonných povinností prevádzkovateľa a ochranu oprávnených záujmov prevádzkovateľa je povinné. Bez poskytnutia osobných údajov na tieto účely by nebolo možné služby poskytovať. Na spracovanie osobných údajov na tieto účely nepotrebuje prevádzkovateľ súhlas dotknutej osoby.

Základné čiastkové účely na spracovanie osobných údajov sú najmä:

• a) procesy spojené s identifikáciou a možným kontaktovaním zákazníka (plnenie zmluvy)
  
• b) poskytovanie služieb (plnenie zmluvy)
• c) vyúčtovanie za služby, vystavenie daňových dokladov (plnenie zmluvy)
• d) plnenie zákonných daňových povinností (plnenie zákonných povinností)
• e) vymáhanie pohľadávok od zákazníka a ostatné zákaznícke spory (oprávnený záujem)
• f) evidencia dlžníkov (oprávnený záujem)

Osobné údaje pre tieto činnosti sa spracovávajú v rozsahu nutnom pre naplnenie týchto činností a v čase nutnom na ich dosiahnutie alebo v čase priamo stanovenom právnymi predpismi. Potom sa osobné údaje vymažú alebo anonymizujú. Základné lehoty na spracovanie osobných údajov sú k dispozícii nižšie v čl. 5 Zásad.

3.1  Spracovávanie údajov zákazníkov s ich súhlasom na marketingové a obchodné účely

So súhlasom dotknutej osoby prevádzkovateľ  spracováva na marketingové a obchodné účely osobné údaje s cieľom možného vytvorenia vhodnej ponuky produktov a služieb prevádzkovateľa a v súvislosti s oslovením zákazníka, a to výhradne formou elektronickej komunikácie prostredníctvom kontaktnej e-mailovej adresy. Poskytnutie súhlasu na marketingové a obchodné účely je dobrovoľné a dotknutá osoba ich môže kedykoľvek odvolať. Tento súhlas zostáva v platnosti 10 rokov od jeho udelenia alebo počas využívania služieb prevádzkovateľa a nasledujúcich 10 rokov potom alebo dovtedy, kým ho dotknutá osoba neodvolá. Na marketingové a obchodné účely môžu byť na základe súhlasu spracované všetky kategórie údajov uvedené v čl. 2 týchto zásad. Pokiaľ dotknutá osoba svoj súhlas odvolá, nie je tým dotknuté spracovanie jeho osobných údajov zo strany prevádzkovateľa na iné účely a na základe iných právnych titulov, v súlade s týmito zásadami.

3.2  Spracovávanie cookies z internetových stránok prevádzkovaných prevádzkovateľom

V prípade, že má dotknutá osoba vo svojom webovom prehľadávači povolené cookies, spracováva o ňom prevádzkovateľ záznamy správania z cookies umiestnených na internetových stránkach prevádzkovaných prevádzkovateľom, a to na účely zaistenia lepšej prevádzky internetových stránok prevádzkovateľa a na účely internetovej reklamy prevádzkovateľa. V prípade udeleného súhlasu so spracovaním osobných údajov na marketingové a obchodné účely sa tieto údaje spracujú spoločne s ostatnými osobnými údajmi na tento účel.

4.  Spôsob spracovania a ochrany osobných údajov

Spracovanie osobných údajov vykonáva prevádzkovateľ. Spracovanie sa vykonáva v jeho prevádzkach a sídle jednotlivými poverenými zamestnancami prevádzkovateľa, príp. sprostredkovateľom. K spracovaniu dochádza prostredníctvom výpočtovej techniky, príp. aj manuálnym spôsobom pri osobných údajoch v listovej podobe pri dodržaní všetkých bezpečnostných zásad na správu a spracovanie osobných údajov. S týmto cieľom prijal prevádzkovateľ technicko-organizačné opatrenia na zaistenie ochrany osobných údajov, najmä opatrenia, aby nemohlo dôjsť  k neoprávnenému alebo náhodnému prístupu k osobným údajom, ich zmene, zničeniu či strate, neoprávneným prenosom, k ich neoprávnenému spracovaniu, ako aj k inému zneužitiu osobných údajov. Všetky subjekty, ktorým sa môžu osobné údaje sprístupniť, rešpektujú právo dotknutých osôb na ochranu súkromia a sú povinné postupovať  podľa platných právnych predpisov týkajúcich sa ochrany osobných údajov. Pri spracovaní osobných údajov prevádzkovateľom nedochádza k automatizovanému rozhodovaniu v zmysle čl. 22 GDPR.

5.  Lehota spracovania osobných údajov

K spracovaniu osobných údajov dochádza v čase, ktorý je nevyhnutný na účely, na ktoré sa údaje spracovávajú, a to v súlade s lehotami uvedenými v príslušných zmluvách, v spisovom a skartačnom poriadku prevádzkovateľa či v príslušných právnych predpisoch. Lehota, počas ktorej budú osobné údaje uložené, je stanovená nasledovne:

a) U zákazníkov služieb je prevádzkovateľ oprávnený v prípade, že títo majú splnené všetky svoje záväzky voči nemu, spracovávať  v zákazníckej databáze ich základné osobné, identifikačné, kontaktné údaje, údaje o službách a údaje z ich komunikácie s prevádzkovateľom počas 4 rokov odo dňa ukončenia poslednej zmluvy s prevádzkovateľom.

b) V prípade zakúpenia tovaru od prevádzkovateľa je tento oprávnený spracovávať  základné osobné, identifikačné a kontaktné údaje zákazníka, údaje o tovare a údaje z komunikácie medzi zákazníkom a prevádzkovateľom počas 4 rokov odo dňa uplynutia záručnej lehoty na tovar.

c) V prípade rokovania medzi prevádzkovateľom a potenciálnym zákazníkom o uzatvorení zmluvy, ktoré nebolo zavŕšené uzatvorením zmluvy, je prevádzkovateľ oprávnený spracovávať poskytnuté osobné údaje počas 6 mesiacov od ukončenia predzmluvného rokovania.

d) Daňové doklady vystavené prevádzkovateľom sa v súlade s novelou zákona č. 334/2017 Z. z. o dani z pridanej hodnoty, archivujú počas 10 rokov od konca zdaňovacieho obdobia, v ktorom sa plnenie uskutočnilo. Z dôvodu nutnosti doložiť právny dôvod pre vystavenie faktúr sa počas 10 rokov odo dňa ukončenia zmluvy archivujú aj zákaznícke zmluvy.

6.  Kategórie príjemcov osobných údajov

Prevádzkovateľ pri plnení svojich záväzkov a povinností zo zmlúv využíva odborné a špecializované služby iných subjektov. Pokiaľ títo dodávatelia spracovávajú osobné údaje odovzdané od prevádzkovateľa, majú postavenie sprostredkovateľov osobných údajov a spracovávajú osobné údaje iba v rámci pokynov od prevádzkovateľa a nesmú ich využiť  inak.    

7.  Práva dotknutých osôb

V súlade s GDPR patria dotknutej osobe nižšie uvedené práva. Ak ide o práva voči prevádzkovateľovi, je dotknutá osoba oprávnená ich uplatňovať  na kontaktných adresách uvedených v čl. 1 týchto Zásad.

7.1  Právo na prístup k osobným údajom

Podľa čl. 15 GDPR má dotknutá osoba právo na prístup k osobným údajom, ktoré zahŕňa právo získať od prevádzkovateľa potvrdenie, či osobné údaje, ktoré sa ho týkajú, sú alebo nie sú spracovávané, a ak je to tak, má právo získať  prístup k týmto osobným údajom a k informáciám o:

• a) účeloch spracovania
• b) kategóriách dotknutých osobných údajov
• c) príjemcoch, ktorým osobné údaje boli alebo budú sprístupnené
• d) plánovanom čase spracovania
• e) existencii práva požadovať od prevádzkovateľa opravu alebo vymazanie osobných údajov týkajúcich sa dotknutej osoby alebo obmedzenie ich spracovania alebo vzniesť  námietku proti tomuto spracovaniu
• f) právu podať  sťažnosť na dozornom úrade
• g) všetkých dostupných informáciách o zdroji osobných údajov, pokiaľ nie sú získané od dotknutej osoby
• h) skutočnosti, že dochádza k automatizovanému rozhodovaniu, vrátane profilovania
• i) vhodných zárukách pri odovzdaní údajov mimo EÚ

7.2 Právo na opravu nepresných údajov

Podľa čl. 16 GDPR má dotknutá osoba právo na opravu nepresných, prípadne doplnenie neúplných osobných údajov, ktoré o ňom prevádzkovateľ spracováva. Dotknutá osoba má povinnosť oznamovať  zmeny svojich osobných údajov a doložiť, že k takej zmene došlo. Zároveň je povinný poskytnúť prevádzkovateľovi súčinnosť, ak sa zistí, že osobné údaje, ktoré o ňom spracováva, nie sú presné.

7.3 Právo na vymazanie

Podľa čl. 17 GDPR má dotknutá osoba právo na vymazanie osobných údajov, ktoré sa ho týkajú, pokiaľ prevádzkovateľ nepreukáže oprávnené dôvody na spracovanie týchto osobných údajov.

7.4 Právo na obmedzenie spracovania

Podľa čl. 18 GDPR má dotknutá osoba, do času vyriešenia podnetu, právo na obmedzenie spracovania, pokiaľ bude popierať presnosť osobných údajov, dôvody ich spracovania alebo pokiaľ podá námietku proti ich spracovaniu. Pokiaľ bolo spracovanie obmedzené, môžu sa predmetné osobné údaje, s výnimkou ich uloženia, spracovať iba so súhlasom dotknutej osoby, alebo z dôvodu určenia, výkonu alebo obhajoby právnych nárokov, z dôvodu ochrany práv inej fyzickej alebo právnickej osoby alebo z dôvodov dôležitého verejného záujmu EÚ alebo niektorého jej členského štátu.

7.5  Oznamovacia povinnosť prevádzkovateľa týkajúca sa opravy alebo vymazania osobných údajov alebo obmedzenia spracovania

V prípade opravy, vymazania alebo obmedzenia spracovania osobných údajov má prevádzkovateľ podľa čl. 19 GDPR povinnosť  informovať jednotlivých príjemcov osobných údajov o tejto skutočnosti, a to s výnimkou prípadov, keď sa to ukáže ako nemožné alebo to vyžaduje neprimerané úsilie. Na základe žiadosti dotknutej osoby poskytne prevádzkovateľ dotknutej osobe informáciu o týchto príjemcoch.

7.6  Právo na prenositelnosť  osobných údajov

Podľa čl. 20 GDPR má dotknutá osoba právo na prenositeľnosť údajov, ktoré sa ho týkajú a ktoré poskytol prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo požiadať prevádzkovateľa o odovzdaní týchto údajov inému prevádzkovateľovi, a to v prípade, že k spracovaniu osobných údajov došlo na základe uzatvorenia a plnenia zmluvy alebo na základe súhlasu dotknutej osoby a ich spracovanie sa vykonáva automatizovane. V prípade, že by výkonom tohto práva mohlo dôjsť k nepriaznivému dotknutiu práv a slobôd tretích osôb, nie je možné takej žiadosti vyhovieť.

7.7  Právo vzniesť námietku proti spracovaniu osobných údajov

Podľa čl. 21 GDPR má dotknutá osoba právo vzniesť námietku proti spracovaniu svojich osobných údajov z dôvodu oprávneného záujmu prevádzkovateľa. V prípade, že prevádzkovateľ nepreukáže, že existujú závažné oprávnené dôvody na spracovanie, ktoré prevažujú nad záujmami alebo právami a slobodami dotknutej osoby, prevádzkovateľ spracovanie na základe námietky neodkladne ukončí.

7.8  Právo na odvolanie súhlasu so spracovaním osobných údajov

Súhlas so spracovaním osobných údajov na marketingové a obchodné účely je možné kedykoľvek odvolať. Odvolanie je potrebné vykonať výslovným, zrozumiteľným a určitým prejavom vôle. Spracovaniu údajov z cookies je možné zabrániť nastavením webového prehľadávača.

7.9  Právo byť  informovaný o porušení zabezpečenia osobných údajov

Dotknutá osoba má podľa čl. 34 GDPR právo byť prevádzkovateľom bez zbytočného odkladu informovaný o porušení zabezpečenia osobných údajov prijatých prevádzkovateľom, pokiaľ je pravdepodobné, že porušenie zabezpečenia osobných údajov bude mať za následok vysoké riziko pre práva a slobody fyzických osôb.

7.10  Právo obrátiť sa na úrad pre ochranu osobných údajov

Dotknutá osoba má právo obrátiť  sa na Úrad na ochranu osobných údajov Slovenskej republiky (dataprotection.gov.sk/uoou) v prípade, že zistí alebo sa domnieva, že prevádzkovateľ alebo sprostredkovateľ vykonávajú spracovanie jeho osobných údajov v rozpore s ochranou súkromného a osobného života dotknutej osoby alebo v rozpore s príslušnými právnymi predpismi. 

Aplikácia Všeobecného nariadenia o ochrane osobných údajov (GDPR):  

Prvoradým cieľom tohto nariadenia je posilniť  práva osôb (zákazníkov/spotrebiteľov, zamestnancov, dodávateľov, atď.) a urobiť  tých, ktorí sú zapojení do procesu spracovávania osobných dát (manažérov, subdodávateľov) zodpovednými za ich ochranu a zároveň posilniť a zladiť právomoci orgánov týkajúce sa ochrany dát.

V NOWAS s.r.o. bola vždy ochrana osobných údajov súčasťou našich spoločných hodnôt. V tomto smere nové nariadenie iba posilní naše opatrenia, ktoré v rámci spoločnosti aplikujeme už roky.

Keďže do nás vkladáte svoju dôveru a to nielen pri plnení zákonných povinností, zaväzujeme sa, že riadne a v súlade s týmto novým nariadením implementujeme všetky požadované opatrenia na zaistenie celkom transparentnej a bezpečnej ochrany vašich dát.

Kolektív NOWAS s.r.o.