Zásady spracúvania osobných údajov

Ceníme si Vašu dôveru, ktorú nám prejavujete, keď nám zverujte Vaše osobné údaje a sme odhodlaní chrániť Vaše osobné údaje, aby ste sa u nás cítili bezpečne. V tomto dokumente by sme Vás preto radi oboznámili s tým, ako nakladáme s Vašimi osobnými údajmi, ako nás môžete kontaktovať, ak máte otázky k spracúvaniu Vašich osobných údajov a ďalšie dôležité informácie o spracúvaní vašich osobných údajov.

Pri spracúvaní Vašich osobných údajov sa riadime zákonom č. 18/2018 Z. z. o ochrane osobných údajov v platnom znení (ďalej len „Zákon“) a Nariadením Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica č. 95/46/ES (ďalej len „GDPR“) a súvisiacimi predpismi

 

 

 

Čl. 1

Úvodné ustanovenia, podmienky a účel spracúvania osobných údajov

 

1.            Šport aréna Malacky (ďalej v texte smernice ako Prevádzkovateľ) má v zmysle tejto smernice povinnosť prijať organizačné opatrenie spracúvať len správne a aktualizované osobné údaje, pričom boli prijaté organizačné ako aj technické opatrenia, ktoré umožnia aktualizáciu a prípadne aj výmaz nesprávnych osobných údajov, ktoré sú spracúvané v manuálnej forme, prípadne elektronickou formou.

2.        Všetky osoby prichádzajúce do styku s osobnými údajmi musia byť na to určené v rámci svojich pracovných povinností a musia byť náležite poučené, čo potvrdia vlastnoručným podpisom.

3.            Účelom poskytovaných služieb je zabezpečenie bezpečnej a spoľahlivej prevádzky softvéru, dátového skladu a serverov, ich údržby a rozvoja, zálohovania údajov Prevádzkovateľa, ich obnovy a poskytnutia Prevádzkovateľovi.

4.            Osobné údaje dotknutých osôb pôsobiacich, alebo spolupracujúcich v týchto pracoviskách sú v nich spracovávané a archivované výhradne v neautomatizovanej forme za účelom vedenia vlastnej agendy. Kópie osobných údajov dotknutých osôb sú zasielané v písomnej forme a to konateľovi spoločnosti.

5.            Sprostredkovateľ je oprávnený poveriť údržbou a správou ďalších sprostredkovateľov, v súlade s Nariadením GDPR a Zákonom. Oblasť monitorovania kamerovým systémov v priestoroch Šport arény upravuje samostatná smernica.

6.            Do kontaktu s osobnými údajmi prichádzajú  tiež zamestnanci Šport arény Malacky a tiež dohodári.

Čl. 2

Dohľad nad ochranou osobných údajov

 

1.      Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tejto smernice a zákona zodpovedá Prevádzkovateľ a to konateľ, dozorná rada pri preverovaní a výkone dozornej činnosti podľa Obchodného zákonníka a  kontrolný orgán, resp. Úrad na ochranu osobných údajov.

2.            Prevádzkovateľ príjme s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR a zákonom o ochrane osobných údajov. Tieto opatrenia podľa potreby preskúmava a aktualizuje.

3.            Prevádzkovateľ prijme primerané technické a organizačné opatrenia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky nariadenia GDPR a chrániť práva dotknutých osôb, pričom prihliadne na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb.

4.            Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť.

5.            Zodpovedná osoba poverená výkonom dohľadu nad ochranou osobných údajov sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy.

 

Čl. 3

Zásady spracúvania osobných údajov a zákonnosť ich  spracúvania v Šport aréne Malacky

 

1.         Prevádzkovateľ zabezpečí, aby osobné údaje fyzických osôb  boli riadne spracúvané v súlade s nasledujúcimi zásadami:

  1. zákonnosť, spravodlivosť a transparentnosť, ktorá zahŕňa povinnosť spracúvať osobné údaje na základe zákonného základu, spravodlivo a transparentne vo vzťahu k dotknutej osobe.  Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
  2. obmedzenie účelu, ktoré spočíva v povinnosti, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi (výnimka: archivácia, vedecký alebo historický výskum či štatistický účel). Každé spracúvanie osobných údajov je potrebné na konkrétne účely, na ktoré sa osobné údaje spracúvajú. Tieto by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
  3. minimalizácia údajov, ktorá spočíva v povinnosti spracúvať osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Rovnako je potrebné rešpektovať potrebu spracúvať osobné údaje len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. 
  4. správnosť, ktorá spočíva v povinnosti spracúvať správne a podľa potreby aktualizované osobné údaje, pričom je nevyhnutné zabezpečiť, aby sa prijali všetky potrebné opatrenia, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Uvedená zásada predpokladá prijatie všetkých primeraných opatrení, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
  5. minimalizácia uchovávania, ktorá spočíva, že osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných nariadením GDPR na ochranu práv a slobôd dotknutých osôb. 

f) integrita a dôvernosť, ktorá spočíva v povinnosti spracúvať osobné údaje spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

2.            Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na právnom základe, ktorý je vyjadrený v GDRP. Podmienka zákonnosti spracúvania je splnená, ak je naplnená aspoň jedna z nižšie uvedených podmienok: 

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely. Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, pričom dotknutá osoba si musí byť vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. Súhlas, ktorý vopred naformuloval Prevádzkovateľ, musí byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemal by obsahovať nekalé podmienky.
  2. súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, pričom dotknutá osoba má právo kedykoľvek odvolať svoj súhlas.
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.
  4. Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve EÚ alebo v práve SR.
  5. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby.
  6. Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj na životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.
  7. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
  8. Právny základ na spracúvanie osobných údajov musí byť ustanovený v právnych predpisoch, ktoré stanovujú účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. 
  9. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

 

Čl. 4

Získavanie osobných údajov a ich spracúvanie

 

  1. Získavanie osobných údajov je vykonávanie akýchkoľvek operácií, ktoré vedú k nadobudnutiu osobných údajov o dotknutej osobe na ich systematické spracúvanie v informačnom systéme Šport aréna Malacky, ktoré sa vykonávajú v zmysle vopred stanoveného účelu ich spracúvania.
  2. Dotknutá osoba musí byť pred poskytnutím svojich osobných údajov vopred oboznámená s podmienkami ich spracúvania v informačnom systéme a to v rozsahu stanovenom nariadením GDPR. Takéto oboznámenie nie je potrebné v rozsahu, v akom dotknutá osoba už má dané informácie.
  3. Pri získavaní osobných údajov priamo od dotknutej osoby, ktorej sa osobné údaje týkajú, je potrebné poskytnúť nasledujúce informácie:
    1. totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;
    2. kontaktné údaje prípadnej zodpovednej osoby;
    3. účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;
    4. ak sa spracúvanie zakladá na dôvode nevyhnutnosti na účely oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana, a tiež
    5. príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.
  4. Pri získavaní osobných údajov musí byť vždy zachovaná ich diskrétnosť.
  5. Spracúvať osobné údaje možno len ak Prevádzkovateľ disponuje relevantným právnym základom pre spracúvanie osobných údajov (podmienka zákonnosti spracúvania osobných údajov). Takýmto právnym základom je:
    1. súhlas dotknutej osoby so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
    2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
    3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
    4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
    5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi a
    6. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa. 
  6. Spracúvanie osobných údajov je považované za zákonné, ak sú splnené nasledujúce podmienky:
  1. spracúvanie  osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo literárny účel; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ                                                                                                                                               porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
  2. spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
  3. prevádzkovateľ je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

 

  1. Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu (takýmto je rodné číslo) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby.

 

  1. Pri spracúvaní osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel je prevádzkovateľ a sprostredkovateľ povinný prijať primerané záruky pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä na zabezpečenie dodržiavania zásady minimalizácie údajov.

 

  1. Ak sa osobné údaje spracúvajú na vedecký účel, účel historického výskumu alebo na štatistický účel, môžu byť práva dotknutej osoby obmedzené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ak sú prijaté primerané podmienky, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.

 

  1. Ak sa osobné údaje spracúvajú na účel archivácie, môžu byť práva dotknutej osoby obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.

 

  1. V rámci neautomatizovaného spracúvania údajov v účtovnej agende sú povereným oprávneným osobám (externej účtovníčke) za účelom automatizovaného zaúčtovania (vedenia účtovníctva) poskytované v písomnej forme požadované podklady, vrátane osobných údajov dotknutých osôb v rozsahu potrebnom na zaúčtovanie.

Čl. 5

Prístup k osobným údajom

 

1.            Uložené pracovné povinnosti musia byť vždy v súlade s účelom spracúvania osobných údajov vymedzenom Bezpečnostným projektom na ochranu osobných údajov a v súlade s legislatívnymi normami vzťahujúcimi sa na daný účel spracúvania osobných údajov, najmä so Zákonom.

2.            Pre každý účel spracúvania osobných údajov musí byť určené a zrejmé, ktorá organizačná zložka Prevádzkovateľa takéto spracúvanie zabezpečuje.

3.            Prístup k osobným údajom majú iba určení zamestnanci organizačných zložiek Prevádzkovateľa, ktoré spracúvanie osobných údajov za daným účelom zabezpečujú.

4.            Podmienkou určenia poverenej osoby s prístupom k osobným údajom dotknutých osôb je jej poučenie o právach a zodpovednosti za ochranu osobných údajov, ktorého súčasťou je poučenie o rozsahu povolených spracovateľských operácií a zásadách prístupu k IS, v ktorom sa spracúvanie osobných údajov vykonáva.

5.            Sprístupnenie osobných údajov ďalším zamestnancom Prevádzkovateľa schvaľuje konateľ Prevádzkovateľa na základe žiadosti vedúceho organizačnej zložky, ktorý prístup k osobným údajom pre podriadeného zamestnanca požaduje. Súčasťou žiadosti o vytvorenie prístupu k osobným údajom je stanovisko vedúceho organizačnej zložky, v pôsobnosti ktorej sa spracúvanie osobných údajov vykonáva a vyjadrenie poverenej zodpovednej osoby za výkon dohľadu nad dodržiavaním Zákona u Prevádzkovateľa.

6.            Prevádzkovateľ umožní sprístupnenie, poskytnutie alebo zverejnenie osobných údajov iba za podmienok a v rozsahu stanovenom právnymi predpismi, ktoré stanovujú účel, podmienky, prostriedky a subjekty spracúvania osobných údajov.

7.            Zákonnosť sprístupnenia, poskytnutia alebo zverejnenia osobných údajov musí byť preskúmaná ešte v čase pred ich vykonaním.

8             Ten, kto sprístupnenie alebo poskytnutie osobných údajov od Prevádzkovateľa požaduje, je povinný vopred doložiť odkazom na konkrétne ustanovenia právnych predpisov, účel, rozsah a prípadné ďalšie podmienky spracúvania údajov, ktoré mu majú byť sprístupnené alebo poskytnuté. O každom takomto sprístupnení alebo poskytnutí osobných údajov musí byť informovaná zodpovedná osoba poverená dohľadom nad ochranou osobných údajov za Prevádzkovateľa.  

Čl. 6

Povinnosti pri spracúvaní osobných údajov v oblasti bezpečnosti

 

1.            Prevádzkovateľ zodpovedá za bezpečnosť spracúvaných osobných údajov tým, že ich chráni pred poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. 

2.            Prevádzkovateľ zabezpečuje rovnakú úroveň bezpečnosti osobných údajov spracúvaných v listinnej forme ako aj osobných údajov spracúvaných s využitím automatizovaných prostriedkov ich spracúvania (informačno-komunikačných technológií).

3.            Základné zásady bezpečnosti pri práci s písomnosťami obsahujúcimi osobné údaje sú nasledovné:

  1. písomnosti obsahujúce osobné údaje môžu byť uložené iba v priestoroch, ktoré sú primerane chránené pred prístupom alebo násilným vniknutím neoprávnenej osoby, pred ich zničením alebo poškodením ako následku vzniku mimoriadnej situácie.
  2. vynášanie písomností obsahujúcich osobné údaje mimo priestorov Prevádzkovateľa podlieha schváleniu vedúceho príslušného organizačnej zložky Prevádzkovateľa, prípadne stanovisku poverenej zodpovednej osoby za Prevádzkovateľa, 
  3. pri prenose písomností v rámci priestorov Prevádzkovateľa, ako aj pri schválenom prenose písomností mimo priestorov Prevádzkovateľa, je potrebné dbať na primeranú ochranu dôvernosti prenášaných písomností (uzavreté a nepriehľadné transportné obaly), 
  4. prístup k písomnostiam obsahujúcim osobné údaje majú iba na to určení zamestnanci v postavení poverenej osoby, 
  5. v prítomnosti neoprávnených osôb sa práca s písomnosťami obsahujúcimi osobné údaje zakazuje,
  6. vyhotovené písomnosti obsahujúce osobné údaje sú po ich vyradení z evidencií likvidované skartáciou, znemožňujúcou spätnú rekonštrukciu písomností,
  7. dátové nosiče sú po skončení životnosti fyzicky likvidované,
  8. nepretržitá prítomnosť poverenej osoby v chránenom priestore (v miestnostiach, v ktorých sú osobné údaje spracúvané), ak sa v ňom nachádzajú aj iné ako poverené osoby, ak oprávnená osoba odchádza, je povinná písomnosti obsahujúce osobné údaje uzamknúť, alebo uložiť do chráneného priestoru,
  9. spracúvanie citlivých údajov mimo priestory a infraštruktúru Prevádzkovateľa je zakázané,
  10. dodržiavanie politiky čistého stola, t.j. uloženie dokumentov s obsahom osobných údajov do určených uzamykateľných úschovných objektov (skríň) a tiež
  11. vytváranie, evidencia, ukladanie, obeh, prenos, archivácia, likvidácia prípadne ďalšie činnosti s písomnosťami prebiehajú podľa platného Registratúrneho poriadku Šport arény Malacky a príslušného registratúrneho Plánu.

 

4.            Základné zásady bezpečnosti pri spracúvaní osobných údajov v elektronickej forme sú nasledovné:

    1. každý počítač musí byť vybavený aplikáciou na antivírusovú kontrolu, táto aplikácia musí byť pravidelne aktualizovaná,
    2. pri prístupe k počítaču je vždy vyžadovaná identifikácia a autentifikácia používateľa,
    3. fyzický prístup k počítaču a jeho vstupno-výstupným zariadeniam má iba určený zamestnanec, výpočtové zariadenia musia byť umiestnené v zamykaných priestoroch,
    4. používateľské a prístupové heslá musia byť zvolené tak, aby boli ťažko uhádnuteľné, musia byť pravidelne obmieňané a držané v tajnosti,
    5. prenosné médiá, ktoré obsahujú osobné údaje musia byť chránené pred stratou, poškodením a neoprávneným prístupom,
    6. v aplikáciách je používané riadenie prístupu, rozsah povoleného prístupu k osobným údajom je iba v miere nevyhnutnej na výkon pracovných činností používateľa,
    7. spracúvané osobné údaje musia byť pravidelne zálohované, zálohovanie je zabezpečované centrálnou správou alebo lokálnym zálohovaním, podľa podmienok, obsahu a rozsahu spracúvaných osobných údajov, 
    8. používateľ dodržiava stanovené pravidlá práce s počítačom, aplikáciou a počítačovou sieťou, 
    9. voľné vystavenie osobných údajov na WWW stránkach Prevádzkovateľa je považované za zverejnenie osobných údajov,
    10. monitor pracovnej stanice a tlačiareň umiestniť vždy tak, aby bolo zamedzené prístupu k osobným údajom náhodným okoloidúcim.

5.            Každý zamestnanec Prevádzkovateľa pri podozrení z narušenia bezpečnosti osobných údajov spracúvaných v elektronickej forme, alebo pri podozrení z narušenia bezpečnosti zvereného počítača, upovedomí o tejto skutočnosti bezodkladne najbližšieho nadriadeného a poverenú zodpovednú osobu za Prevádzkovateľa.

6.            Kontrolu zamestnancov pri dodržiavaní týchto pravidiel vykonáva ich priamy nadriadený, osoba poverená výkonom dohľadu nad ochranou osobných údajov v danej organizačnej zložke a zodpovedná osoba poverená za Prevádzkovateľa.

Čl. 7

Technické a organizačné opatrenia v rámci ochrany osobných údajov

 

1.            Na zníženie rizík vyplývajúcich z používania elektronickej pošty sú implementované technické aj organizačné opatrenia. Technické opatrenia zabezpečuje správca počítačovej siete organizácie a zahŕňajú:

  1. testovanie prichádzajúcich aj odchádzajúcich správ elektronickej pošty na prítomnosť škodlivého kódu (napr. vírus) a automatické rozpoznávanie a separovanie nevyžiadaných správ,
  2. blokovanie správ prichádzajúcich z prostredia mimo organizácie, ak je ako adresa odosielateľa uvedená interná adresa z organizácie,
  3. monitorovanie parametrov správ s cieľom overiť dodržiavanie zásad komunikácie používateľmi,
  4. priebežná aktualizácia programového vybavenia na doručovanie a čítanie správ elektronickej pošty (u používateľa, ako aj na serveroch),
  5. údržba systémov na doručovanie pošty a pravidelná kontrola ich funkčnosti. Pri používaní elektronickej pošty sa aplikujú nasledovné zásady:
  6. používateľ je zodpovedný za obsah a údržbu svojej poštovej schránky, je preto povinný pravidelne kontrolovať jej obsah a mazať nepotrebné správy. Preplnenie poštovej schránky používateľa na poštovom serveri môže spôsobiť zablokovanie príjmu pošty,
  7. elektronická pošta prijatá a odoslaná zo systému elektronickej pošty organizácie je považovaná za pracovnú komunikáciu (nie je považovaná za súkromnú komunikáciu), ktorá môže byť organizáciou archivovaná, kontrolovaná a ostáva jej majetkom,
  8. neodosielať nevyžiadanú elektronickú poštu alebo reťazovú poštu (správy typu „…pošli ďalej“), ak to priamo nesúvisí s pracovnou činnosťou zamestnanca,
  9. prijaté správy obsahujúce výzvy a varovania zasielať ďalej iba ak súvisia s pracovnou náplňou zamestnanca alebo po konzultácii so správcom IT,
  10. neotvárať nevyžiadané správy (spam), alebo emaily s pochybným obsahom, najmä od neznámych odosielateľov,
  11. neotvárať prílohy z nevyžiadanej elektronickej pošty alebo prílohy nesúvisiace s pracovnou náplňou zamestnanca,
  12. v prípade opakovaného doručenia nevyžiadanej elektronickej pošty od iného zamestnanca túto skutočnosť oznámiť správcovi IT,
  13. za žiadnych okolností neposielať formou elektronickej pošty svoje prihlasovacie údaje (predchádzanie fishingu – vymámenia prístupových údajov od používateľov),
  14. neodosielať adresy elektronickej pošty iných zamestnancov mimo organizáciu bez ich vedomia a súhlasu, pri odosielaní hromadnej pošty využívať funkciu skrytej kópie (Bcc), do kolónky adresáta zapísať vlastnú adresu a ostatných adresátov uviesť do skrytej kópie,
  15. neposielať elektronickou poštou dokumenty s citlivými informáciami bez dodatočného zabezpečenia dôvernosti (napr. šifrovanie),
  16. používateľ je povinný pri odosielaní elektronickej pošty súvisiacej s pracovnou náplňou používať pridelenú pracovnú adresu,
  17. elektronickú poštu je možné používať iba na účely súvisiace s pracovnou náplňou zamestnanca,
  18. obsah odosielaných správ musí byť v súlade s legislatívou a dobrými mravmi,
  19. pri registrácii do externých systémov vyžadujúcich overenie prostredníctvom elektronickej pošty používať pracovnú adresu iba pri dôveryhodných systémoch a iba na účely súvisiace s pracovnou činnosťou (zníži sa tým objem nevyžiadaných správ zasielaných na túto adresu),
  20. posielanie elektronickej pošty s falošnou identitou (uvedením inej ako pridelenej adresy odosielateľa) a anonymný prístup k elektronickej pošte je zakázaný,
  21. zabezpečiť informovanie odosielateľa správy  elektronickej pošty, ktorá bola očividne zaslaná omylom, o prijatí správy. V prípade, ak takáto elektronická pošta bola zaslaná viacerým adresátom, treba informovať iba odosielateľa, nie všetkých adresátov uvedených v zozname.

 

2.            Pri používaní počítačovej siete sú používatelia povinní dodržiavať nasledovné pravidlá:

  1. počítačovú sieť a jej služby využívať iba na plnenie pracovných povinností,
  2. pri práci v sieti dodržiavať zákony, bezpečnostnú politiku, metodické pokyny, riadiace akty obchodnej organizácie, či príkazy konateľa alebo orgánov spoločnosti,
  3. používať všetky inštalované bezpečnostné mechanizmy a nemeniť ich nastavenie,
  4. v prípade identifikácie problémov, kompromitácie bezpečnosti alebo zneužitia zariadení siete alebo poskytovaných služieb tieto skutočnosti ihneď oznámiť konateľovi spoločnosti,
  5. zdroje dostupné v sieti sú zdieľané všetkými používateľmi, preto je potrebné využívať ich hospodárne.

3.            Používatelia majú zakázané nasledovné činnosti:

  1. meniť informácie slúžiace na určenie totožnosti používateľa alebo na určenie prístupových práv, 
  2. akýmkoľvek spôsobom pristupovať k údajom iných používateľov alebo používať inú než skutočnú identitu, meniť identitu iných používateľov vrátane takýchto pokusov, 
  3. používať akékoľvek  spôsoby na zisťovanie komunikácie (odpočúvanie) v počítačovej sieti,
  4. používať akékoľvek spôsoby na zisťovanie a vstupovanie do hardvérovej a softvérovej konfigurácie sieťového pripojenia zariadení alebo meniť tieto parametre,
  5. umožňovať prístup k službám počítačovej siete ďalším zamestnancom alebo osobám, iným ako schváleným spôsobom alebo ak to priamo nevyplýva z ich pracovných povinností,
  6. pripájať do siete ďalšie zariadenia okrem určených situácií (napr. pripájanie notebookov) a vytvárať nové prepojenia medzi sieťami,
  7. vytvárať v sieti nové služby (napríklad zdieľanie údajov, zasielanie krátkych správ) bez súhlasu zamestnávateľa – konateľa spoločnosti,
  8. manipulovať s aktívnymi alebo pasívnymi prvkami počítačovej siete,
  9. narúšať činnosť siete alebo zariadení v nej pripojených a tiež
  10. snažiť sa získať alebo využívať prístup k službám, na ktoré nemá oprávnenie.

 

4.            Aktivity používateľa v počítačovej sieti môžu byť monitorované. O zásadách používania počítačovej siete musia byť používatelia poučení pred prvým umožnením prístupu k sieti. Na zníženie rizík vyplývajúcich z používania internetu musia byť u Prevádzkovateľa implementované technické aj organizačné opatrenia.

5.            Technické opatrenia zabezpečuje správca informačných technológií (ďalej len IT) Prevádzkovateľa a zahŕňajú:

  1. filtrovanie komunikácie do siete internet blokovaním určených stránok, alebo naopak povolením prístupu iba k určitým stránkam,
  2. monitorovanie stránok, ku ktorým používatelia pristupujú a objemu prenesenej komunikácie s cieľom overiť dodržiavanie stanovených pravidiel používateľmi,
  3. pri prístupe k zabezpečeným WWW stránkam (protokolom HTTPS) automatické overenie identity zdroja, ak je toto overenie neúspešné, blokovanie prístupu,
  4. priebežná aktualizácia programového vybavenia na prístup k sieti internet (u používateľa prehliadač WWW, na serveroch najmä proxy server).

6.            Za nevhodné a neprijateľné využívanie prístupu k sieti internet sa považuje najmä:

  1. využívanie iného ako oficiálneho pripojenia do siete (napríklad neznáme wi-fi siete, prostredníctvom súkromného mobilného zariadenia),
  2. používanie služieb internetu na osobné účely a na činnosti zamerané na dosiahnutie osobného prospechu,
  3. aktivity a vystupovanie v rozpore so zákonmi, riadiacimi aktmi organizácie a dobrými mravmi,
  4. prístup k autorským dielam (hudba, obrázky, film, softvér) v rozpore s licenčnými podmienkami autora,
  5. vystupovať na internete oficiálne a prezentovať svoje názory ako názory Prevádzkovateľa (pokiaľ to nie je obsiahnuté v pracovnej náplni zamestnanca),
  6. publikovať interné materiály a informácie (pokiaľ to nie je obsiahnuté v pracovnej náplni zamestnanca),
  7. využívať služby na internete, ktoré by viedli k neúmernej záťaži alebo narušeniu činnosti prostriedkov Prevádzkovateľa, k nemožnosti použitia prostriedkov inými používateľmi alebo k obmedzeniu používateľských práv iných používateľov,
  8. umožňovať prácu v internete ostatným zamestnancom alebo iným osobám, ktoré to nemajú povolené,
  9. hrať hry na internete, spúšťať programy a otvárať súbory pornografického a rasistického charakteru ako aj pristupovať k týmto údajom cez internet,
  10. používať pracovnom čase verejné sociálne siete a iné prostriedky nechránenej komunikácie na súkromné účely,
  11. akákoľvek aktivita, ktorá by mohla poškodiť dobré meno Prevádzkovateľa,
  12. používať na prístup k službám siete internet programy a nástroje, ktoré neboli schválené a povolené správcom informačných technológií.

Čl. 8

Všeobecné opatrenia pre všetkých zamestnancov v rámci informačnej bezpečnosti

 

Všetci užívatelia sú povinní dodržiavať pravidlá informačnej bezpečnosti, a to hlavne: 

  1. každý užívateľ prevezme výpočtovú techniku na základe preberacieho protokolu, resp. dodatku k preberaciemu protokolu, 
  2. dodržiavanie pravidiel pri výbere, používaní a ochrane hesla a zariadení na vykonanie autentizácie,
  3. meniť svoje heslá často a pravidelne. Týmto sa zvyšuje istota voči neoprávnenému použitiu účtu užívateľa. Zvyčajne je zmena hesla preddefinovaná správcom systému, ale je povinnosťou užívateľa meniť heslo aj vtedy, keď ho k tomu automaticky systém nenúti,
  4. zmeniť heslo okamžite po podozrení z neoprávneného použitia účtu. Odporúča sa o tejto skutočnosti informovať správcu systému, nakoľko z histórie prístupu k účtu užívateľa je možno posúdiť, kto neoprávnene účet používa, resp. vykonal neautorizované pokusy o prihlásenie sa k účtu,
  5. zmeniť heslo okamžite po zistení, že heslo je známe inej osobe, alebo osobám,
  6. nenechávať osobné počítače prihlásené do systému, alebo siete bez dozoru oprávneného užívateľa,
  7. neumožniť prácu iným zamestnancom pod svojim užívateľským menom, 
  8. udržiavať pracovné miesto upratané, nenechávať dokumenty alebo médiá obsahujúce osobné údaje voľne na pracovnom stole počas neprítomnosti,
  9. zakazuje sa kopírovanie dát obsahujúcich osobné údaje do iných IS, alebo ich ukladanie na médiá, vyhotovovanie tlačených dokumentov, pokiaľ to nevyžadujú zavedené a schválené pracovné postupy,
  10. zakazuje sa vykonávať zásahy do technickej infraštruktúry, pripájať neautorizované zariadenia ako modemy, prenosné počítače, osobné organizéry, telefónne záznamníky a iné,
  11. každý užívateľ je povinný dodržiavať základné zásady antivírovej ochrany, zásady bezpečného používania Internetu a elektronickej pošty,
  12. práca na pracovnom počítači (ďalej len PC), ktorá by mohla viesť k narušeniu ochrany osobných údajov pri ich spracúvaní je zakázaná v prítomnosti neoprávnenej osoby,
  13. po ukončení práce na PC zabezpečí užívateľ svoje pracovisko v súlade so zavedeným prevádzkovým poriadkom,
  14. v prípade vyzradenia, zneužitia, poškodenia, zničenia, straty alebo pri odcudzení osobných údajov, alebo podozrenia z pokusu o vyššie uvedené, je užívateľ povinný oboznámiť s touto skutočnosťou zodpovednú osobu poverenú výkonom dohľadu nad ochranou osobných údajov, 
  15. rešpektovať príkazy a pokyny IT Administrátora,
  16. manipulovať so zariadeniami tak, aby nedošlo k ich poškodeniu, v súlade s používateľskými príručkami,
  17. narábať s nosičmi informácií podľa platných smerníc,
  18. viesť záznamy podľa prevádzkovej dokumentácie,
  19. nedovoliť manipuláciu s PC a tlačiarňou nepovolaným osobám,
  20. informovať o poruchách na zariadení IT Administrátora,
  21. nepoužívať iný softvér ako je špecifikované v dokumentácii k PC, je zakázané používať neautorizovaný softvér,
  22. nepoužívať iný hardvér ako je špecifikovaný v dokumentácii k PC,
  23. neodpájať tlačiareň, ani inak s ňou manipulovať nepovoleným postupom,
  24. všetky neštandardné situácie, ktoré by mohli viesť k bezpečnostnému incidentu, alebo naznačujú, že k nemu došlo, okamžite hlásiť  konateľovi a spísať o tom záznam a
  25. práca na PC, ktorá by mohla viesť k narušeniu ochrany osobných údajov je zakázaná v prítomnosti neoprávnenej osoby.

 

 

 

 

 

 

 

Čl. 9

Spoločné a záverečné ustanovenia, účinnosť smernice

 

1.            Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov. Po splnení účelu spracúvania sú osobné údaje uchovávané a neskôr vyraďované podľa platných predpisov Prevádzkovateľa a Registratúrneho poriadku Šport arény Malacky.

 

2.            Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených Zákonom.

3.            Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu a Registratúrneho poriadku obchodnej spoločnosti Šport aréna Malacky. Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných údajov, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú.

4.            Táto smernica je záväzná pre všetkých zamestnancov obchodnej spoločnosti a tiež osoby vykonávajúce prácu mimo pracovného pomeru. Súčasťou tejto smernice je prílohová časť č. 1 a 2, ktorá obsahuje vzorové poverenia a oprávnenia pre iné osoby k spracúvaniu osobných údajov. 

5.           Samostatná smernica, ktorá nadväzuje na oblasť GDPR, upravuje oblasť monitorovania kamerovými systémami v priestoroch Šport arény Malacky a je súčasťou interných aktov riadenia obchodnej spoločnosti.

6.            Táto smernica je účinná od 01.11.2024.

 

 

                                                                                                                                                ………………………….

                                                                                                                              Ing. Simona Hlavenková, konateľ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Prílohová  časť smernice č. 1

Interné číslo:

POVERENIE

oprávnenej osoby k spracúvaniu osobných údajov pre zamestnanca

 

Zamestnávateľ: 

 

 

 

 

 

 

 

Zamestnanec:

Meno, priezvisko, titul:    …………………………………………………………………….

 

Pracovné zaradenie:      ……………………………………………………………………..                                 (ďalej len „oprávnená osoba“)

 

Zamestnávateľ týmto poveruje zamestnanca k spracúvaniu osobných údajov, ktoré bude vykonávať len na základe pokynov zamestnávateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu a to v súlade s čl. 29 a 32 ods. 4 Nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorými sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „Nariadenie GDPR“). Na spracúvanie osobných údajov sa primerane vzťahuje tiež zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).

Potvrdzujem, že som bol poučený o: 

  1. Povinnosti oprávnenej osoby:

Oprávnená osoba pri spracúvaní osobných údajov postupuje v súlade s Nariadením GDPR, inými zákonmi, všeobecne záväznými právnymi predpismi a rešpektuje príslušné povinnosti určené zamestnávateľom v interných riadiacich aktoch, najmä Smernicou na ochranu osobných údajov. Oprávnená osoba sa zaväzuje zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku, tieto nesmie využiť pre osobnú potrebu, či potrebu inej osoby alebo na iné, než pracovné účely podľa tohto záznamu, pričom tieto osobné údaje nesmie zverejniť ani nikomu poskytnúť ani sprístupniť bez toho, aby na to existoval právny dôvod. Povinnosť mlčanlivosti trvá aj po zmene pracovného zaradenia alebo skončení pracovného pomeru.

  1. Rozsah oprávnení:

Zamestnanec sa oboznamuje a spracúva osobné údaje výhradne v súlade s účelom ich spracúvania určeným zamestnávateľom, po dobu a v rozsahu, ktorý je nevyhnutný na dosiahnutie tohto účelu..  Zamestnanec/kyňa vykonáva nasledujúce činnosti:

  • rozsah oprávnení  a povolených činností – vyplývajúcich z pracovného zaradenia a určených pracovných povinností konkretizovaných v popise pracovnej pozície a riadiacich aktoch Zamestnávateľa; najmä ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie, zmena, vyhľadávanie, prehliadanie, preskupovanie, premiestňovanie, využívanie, uchovávanie, likvidácia,
  • podmienky spracúvania osobných údajov – poverená osoba je povinná osobné údaje spracúvať len v súlade s účelom  spracúvania osobných údajov, po dobu a v rozsahu, ktorý je nevyhnutný pre jeho dosiahnutie,
  • miesto spracúvania osobných údajov – miesto výkonu práce,  ktoré poverená osoba nevyhnutne využíva na plnenie pracovných úloh a povinností,
  • prostriedky na spracúvanie osobných údajov – pracovné prostriedky zverené zamestnávateľom na plnenie pracovných úloh a povinností.

3. Ďalšie podmienky spracúvania osobných údajov:

Podmienky spracúvania osobných údajov sú vymedzené v interných riadiacich aktoch zamestnávateľa a všeobecne záväzných právnych predpisoch, s ktorými bola oprávnená osoba preukázateľne oboznámená pred začatím spracúvania osobných údajov alebo s ktorými je oprávnená osoba povinná sa priebežne oboznamovať. 

 

A) Podmienky spracúvania osobných údajov prostredníctvom neautomatizovaných prostriedkov spracúvania (listová forma spracúvaných osobných údajov):

Pri spracúvaní osobných údajov neautomatizovaným spôsobom oprávnená osoba najmä: 

  1. zachováva obozretnosť pri podávaní chránených informácií, vrátane osobných údajov, pred návštevníkmi alebo inými neoprávnenými osobami, 
  2. neponecháva osobné údaje voľne dostupné na chodbách a v iných neuzamknutých miestnostiach alebo na iných miestach, vo verejne prístupných miestach, opustených dopravných prostriedkoch a pod.,
  3. odkladá spisy a iné listinné materiály na určené miesto a neponecháva ich po skončení pracovného času, resp. opustení pracoviska voľne dostupné (napr. na pracovnom stole),
  4. zaobchádza s tlačenými materiálmi obsahujúcimi osobné údaje podľa ich citlivosti; je potrebné aplikovať všetky relevantné opatrenia, ktoré zabezpečia ochranu vytlačených informácií obsahujúcich osobné údaje pred neoprávnenými osobami,
  5. pri skončení pracovného pomeru alebo obdobného vzťahu oprávnená osoba je povinná odovzdať prevádzkovateľovi pracovnú agendu vrátane spisov obsahujúcich osobné údaje,
  6. v prípade tlače dokumentov obsahujúcich osobné údaje zabezpečuje, aby sa počas tlačenia neoboznámila s nimi neoprávnená osoba; tlačené materiály obsahujúce osobné údaje musia byť ihneď po ich vytlačení odobraté oprávnenou osobou a uložené na zabezpečené miesto; to sa uplatňuje aj pri kopírovaní dokumentov – nadbytočné a chybné dokumenty oprávnená osoba bez zbytočného odkladu zlikviduje skartovaním,
  7. uzamyká kanceláriu pri každom opustení v prípade, že v miestnosti už nie je iná oprávnená osoba.

B) Podmienky spracúvania osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania

Pri spracúvaní osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania oprávnená osoba dôsledne dodržiava príslušné interné predpisy.

Pri spracúvaní osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania oprávnená osoba najmä:

  1. využíva služby Internetu (povolené je využívanie iba verejných služieb WWW – world wide web a FTP – file transfer protocol) za účelom plnenia pracovných úloh, pričom dodržiava bezpečnostné opatrenia prijaté prevádzkovateľom za účelom zabezpečenia ochrany osobných údajov,
  2. nepoužíva verejné komunikačné systémy na rýchly prenos správ,
  3. informačná techniku (počítače, notebooky, USB kľúč, a pod.) umiestňuje iba v uzamykateľných priestoroch; miestnosť, v ktorej sa nachádza informačná technika, musí byť pri každom odchode oprávnenej osoby uzamknutá a po skončení pracovnej doby je oprávnená osoba povinná vypnúť počítač a uzamknúť skrine s materiálmi obsahujúcimi osobné údaje, 
  4. dbá na ochranu pred škodlivým kódom,
  5. dôsledne dodržiava pravidlá ochrany prístupových práv.

4. Zodpovednosť za porušenie práv a povinností

 

Porušením povinností alebo zneužitím oprávnení pri spracúvaní osobných údajov môže oprávnená osoba naplniť skutkovú podstatu správnych deliktov podľa Zákona. Oprávnená osoba môže v súvislosti s protiprávnym nakladaním s osobným údajmi čeliť aj trestnému stíhaniu za trestné činy podľa § 247 a § 374 zákona č. 300/2005   Z. z., Trestného zákona, v znení neskorších predpisov alebo môže voči nej byť vedené disciplinárne konanie.

 

Oprávnená osoba svojim podpisom potvrdzuje, že svojím právam a povinnostiam vymedzeným v rozsahu tohto záznamu v oblasti spracúvania osobných údajov a zodpovednosti za ich porušenie v plnom rozsahu porozumela.

 

 

 

 

 

 

 

 

Toto poverenie sa vydáva na dobu neurčitú a je platné a účinné odo dňa jeho podpísania oprávneným zástupcom prevádzkovateľa. 

 

Platnosť poverenia zaniká jeho písomným odvolaním zo strany zamestnávateľa. Platnosť poverenia automaticky zaniká dňom skončenia pracovného pomeru medzi zamestnávateľom a poverenou osobou.

 

 

V ………………………..   dňa ………….

 

 

                                                                                                                                   …………………………………….                                                                                                                                                  Zamestnávateľ 

 

 

 

 

Zamestnanec zároveň svojím podpisom potvrdzuje, že bol poučený a prijíma poverenie. 

 

V ……………………..   dňa ……………

 

 

                                                                                                                  ………………………………………                                                                                                                                                               Zamestnanec

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Prílohová časť smernice č. 2

 

 POVERENIE č. ……

 

 

POVERENIE

inej fyzickej osoby

na spracúvanie osobných údajov  

  

Prevádzkovateľ:  

 

 

 

Poverená osoba:

Meno, priezvisko, titul:  ………………………………………………………………………………………………

 

Dôvod

spracúvania:………………………………………………………………………………………………………………………………………………………………………………………………………………… (ďalej len „poverená osoba“)

 

Prevádzkovateľ týmto poveruje osobu k spracúvaniu osobných údajov, ktoré bude vykonávať len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu a to v súlade s čl. 29 a 32 ods. 4 Nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorými sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „Nariadenie GDPR“). Na spracúvanie osobných údajov sa primerane vzťahuje tiež zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).

Potvrdzujem, že som bol poučený o: 

  1. Povinnosti oprávnenej osoby:

Oprávnená osoba pri spracúvaní osobných údajov postupuje v súlade s Nariadením GDPR, inými zákonmi, všeobecne záväznými právnymi predpismi a rešpektuje príslušné povinnosti určené zamestnávateľom v interných riadiacich aktoch, najmä Smernicou na ochranu osobných údajov. Oprávnená osoba sa zaväzuje zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku, tieto nesmie využiť pre osobnú potrebu, či potrebu inej osoby alebo na iné, než pracovné účely podľa tohto záznamu, pričom tieto osobné údaje nesmie zverejniť ani nikomu poskytnúť ani sprístupniť bez toho, aby na to existoval právny dôvod. Povinnosť mlčanlivosti trvá aj po zmene pracovného zaradenia alebo skončení pracovného pomeru alebo zmluvného vzťahu.

  1. Rozsah oprávnení:

Poverená osoba sa oboznamuje a spracúva osobné údaje výhradne v súlade s účelom ich spracúvania určeným prevádzkovateľom, po dobu a v rozsahu, ktorý je nevyhnutný na dosiahnutie tohto účelu.. 

Poverená osoba vykonáva nasledujúce činnosti:

  • rozsah oprávnení  a povolených činností – vyplývajúcich z plnenia zmluvy, úloh vyplývajúcich zo zaradenia; najmä ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie, zmena, vyhľadávanie, prehliadanie, preskupovanie, premiestňovanie, využívanie, uchovávanie, likvidácia,
  • podmienky spracúvania osobných údajov – poverená osoba je povinná osobné údaje spracúvať len v súlade s účelom  spracúvania osobných údajov, po dobu a v rozsahu, ktorý je nevyhnutný pre jeho dosiahnutie,
  • miesto spracúvania osobných údajov – miesto výkonu práce,  ktoré poverená osoba nevyhnutne využíva na plnenie pracovných úloh a povinností,
  • prostriedky na spracúvanie osobných údajov – pracovné prostriedky zverené prevádzkovateľom na plnenie pracovných úloh a povinností.

3. Ďalšie podmienky spracúvania osobných údajov:

 

Podmienky spracúvania osobných údajov sú vymedzené v interných riadiacich aktoch prevádzkovateľa a všeobecne záväzných právnych predpisoch, s ktorými bola oprávnená osoba preukázateľne oboznámená pred začatím spracúvania osobných údajov alebo s ktorými je oprávnená osoba povinná sa priebežne oboznamovať. 

 

Podmienky spracúvania osobných údajov prostredníctvom neautomatizovaných prostriedkov spracúvania (listová forma spracúvaných osobných údajov):

Pri spracúvaní osobných údajov neautomatizovaným spôsobom oprávnená osoba najmä: 

  1. zachováva obozretnosť pri podávaní chránených informácií, vrátane osobných údajov, pred návštevníkmi alebo inými neoprávnenými osobami, 
  2. neponecháva osobné údaje voľne dostupné na chodbách a v iných neuzamknutých miestnostiach alebo na iných miestach, vo verejne prístupných miestach, opustených dopravných prostriedkoch a pod.,
  3. odkladá spisy a iné listinné materiály na určené miesto a neponecháva ich po skončení pracovného času, resp. opustení pracoviska voľne dostupné (napr. na pracovnom stole),
  4. zaobchádza s tlačenými materiálmi obsahujúcimi osobné údaje podľa ich citlivosti; je potrebné aplikovať všetky relevantné opatrenia, ktoré zabezpečia ochranu vytlačených informácií obsahujúcich osobné údaje pred neoprávnenými osobami,
  5. pri skončení pracovného pomeru alebo obdobného vzťahu oprávnená osoba je povinná odovzdať prevádzkovateľovi pracovnú agendu vrátane spisov obsahujúcich osobné údaje,
  6. v prípade tlače dokumentov obsahujúcich osobné údaje zabezpečuje, aby sa počas tlačenia neoboznámila s nimi neoprávnená osoba; tlačené materiály obsahujúce osobné údaje musia byť ihneď po ich vytlačení odobraté oprávnenou osobou a uložené na zabezpečené miesto; to sa uplatňuje aj pri kopírovaní dokumentov – nadbytočné a chybné dokumenty oprávnená osoba bez zbytočného odkladu zlikviduje skartovaním,
  7. uzamyká kanceláriu pri každom opustení v prípade, že v miestnosti už nie je iná oprávnená osoba.

 

Podmienky spracúvania osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania

Pri spracúvaní osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania oprávnená osoba dôsledne dodržiava príslušné interné predpisy.

 

Pri spracúvaní osobných údajov prostredníctvom úplne alebo čiastočne automatizovaných prostriedkov spracúvania oprávnená osoba najmä:

  1. využíva služby Internetu (povolené je využívanie iba verejných služieb WWW – world wide web a FTP – file transfer protocol) za účelom plnenia pracovných úloh, pričom dodržiava bezpečnostné opatrenia prijaté prevádzkovateľom za účelom zabezpečenia ochrany osobných údajov,
  2. nepoužíva verejné komunikačné systémy na rýchly prenos správ,
  3. informačná techniku (počítače, notebooky, USB kľúč, a podobne) umiestňuje iba v uzamykateľných priestoroch; miestnosť, v ktorej sa nachádza informačná technika, musí byť pri každom odchode oprávnenej osoby uzamknutá a po skončení pracovnej doby je oprávnená osoba povinná vypnúť počítač a uzamknúť skrine s materiálmi obsahujúcimi osobné údaje,  k) dbá na ochranu pred škodlivým kódom,
  4. dôsledne dodržiava pravidlá ochrany prístupových práv.

 

4. Zodpovednosť za porušenie práv a povinností

 

Porušením povinností alebo zneužitím oprávnení pri spracúvaní osobných údajov môže oprávnená osoba naplniť skutkovú podstatu správnych deliktov podľa Zákona.

 

Oprávnená osoba môže v súvislosti s protiprávnym nakladaním s osobným údajmi čeliť aj trestnému stíhaniu za trestné činy podľa § 247 a § 374 zákona č. 300/2005 Z. z., Trestného zákona v znení neskorších predpisov alebo môže voči nej byť vedené disciplinárne konanie.

 

Oprávnená osoba svojim podpisom potvrdzuje, že svojím právam a povinnostiam vymedzeným v rozsahu tohto záznamu v oblasti spracúvania osobných údajov a zodpovednosti za ich porušenie v plnom rozsahu porozumela.

 

 

Toto poverenie sa vydáva na dobu neurčitú a je platné a účinné odo dňa jeho podpísania oprávneným zástupcom prevádzkovateľa. 

 

 

Platnosť poverenia zaniká jeho písomným odvolaním zo strany prevádzkovateľa. Platnosť poverenia automaticky zaniká dňom skončenia právneho vzťahu medzi prevádzkovateľom a poverenou osobou.

 

 

V ……………………….. dňa ………….

 

 

                                                                                                                                 ……………………………………………..                                                                                                                                                zamestnávateľ 

 

 

 

 

 

Poverená fyzická osoba zároveň svojím podpisom potvrdzuje, že bola poučená a slobodne, bez nátlaku prijíma predmetné poverenie. 

V ……………………..   dňa ………….

 

 

                                                                                                                         …………………………………………………                                                                                                                                                          poverená osoba