v obchodnej spoločnosti Magic Box Slovakia, s.r.o.
Obchodná spoločnosť Magic Box Slovakia, s.r.o., so sídlom Trenčianska 47, 821 09 Bratislava, IČO: 35 832 550, zapísaná v Obchodnom registri vedenom Okresným súdom Bratislava I, oddiel Sro, vložka 26169/B, je v zmysle ustanovenia § 5 písm. o) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) pri výkone svojej činnosti Prevádzkovateľom spracúvajúcim osobné údaje (ďalej tiež len „Prevádzkovateľ“).
Zásady spracúvania osobných údajov určujú základné podmienky a postup Prevádzkovateľa pri spracúvaní osobných údajov.
I.
Osobné údaje, ich získavanie a rozsah spracúvania
Podľa § 2 zákona sú za osobné údaje považované údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Prevádzkovateľ na účely výkonu svojej podnikateľskej činnosti spracúva osobné údaje fyzických osôb (ďalej len „Dotknutá osoba“) najmä na účely uzatvárania a plnenia už uzavretých zmluvných vzťahov s Dotknutou osobou, ďalej tiež na daňové a účtovné účely, archivačné účely, štatistické účely a ďalšie účely stanovené platnými právnymi predpismi. Osobné údaje Dotknutej osoby sú získavané predovšetkým priamo od Dotknutej osoby Prevádzkovateľa. Pri získaní osobných údajov od inej než Dotknutej osoby, sú po vyslovení súhlasu s ďalším spracúvaním osobné údaje Dotknutej osoby spracúvané v rozsahu nevyhnutnom na účely uvedené vyššie, prípadne účely, s ktorými Dotknutá osoba vyslovila súhlas.
Prevádzkovateľ spracúva osobné údaje zahŕňajúce identifikačné a kontaktné údaje Dotknutých osôb výlučne v rozsahu potrebnom na plnenie zmluvných vzťahov s Dotknutými osobami. Osobné údaje sú spracúvané s prihliadnutím na povahu daného zmluvného vzťahu, vrátane požiadaviek vyžadovaných právnymi predpismi na rozsah spracúvania osobných údajov vyplývajúci z pracovnoprávnych predpisov a súvisiacich predpisov týkajúcich sa sociálneho a zdravotného poistenia.
Poskytnutie osobných údajov Dotknutou osobou v nevyhnutnom rozsahu na vyššie uvedené účely, je požiadavkou potrebnou na uzavretie zmluvy. Neposkytnutie osobných údajov v rozsahu potrebnom na jednotlivé účely spracúvania osobných údajov má za následok, že daný účel nebude možné realizovať.
II.
Zásady spracúvania osobných údajov
V zmysle príslušných ustanovení zákona, ako aj Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov Prevádzkovateľ dodržiava nižšie uvedené zásady.
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8 zákona, sa nepovažuje za nezlučiteľné s pôvodným účelom.
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8 Zákona.
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
III.
Právny základ spracúvania osobných údajov
Právne základy spracúvania osobných údajov sú definované v § 13 ods. 1 zákona, pričom Prevádzkovateľ pri výkone svojej podnikateľskej činnosti vykonáva spracúvanie osobných údajov predovšetkým na nasledovných základoch:
- súhlas Dotknutej osoby so spracúvaním osobných údajov, pokiaľ bol udelený,
- nevyhnutnosť spracúvania osobných údajov na plnenie zmluvy uzavretej s Dotknutou osobou, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti Dotknutej osoby,
- spracúvanie osobných údajov podľa osobitných predpisov, ktoré je Prevádzkovateľ povinný dodržiavať (napr. zákon č. 395/2002 Z. z. o archívoch a registratúrach, zákon č. 431/2002 Z. z. o účtovníctve),
- spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov Prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov.
IV.
Územný rozsah spracúvania osobných údajov
Spracúvanie osobných údajov Prevádzkovateľom nepresahuje územie krajín Európskej únie, resp. krajín, ktoré sú zmluvnou stranou Dohody o Európskom hospodárskom priestore.
Prevádzkovateľ nevykonáva prenos osobných údajov Dotknutej osoby do tretích krajín (t.j. krajiny, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore), alebo medzinárodnej organizácii.
V.
Uchovávanie osobných údajov
Osobné údaje sú uchovávané po dobu, ktorá je viazaná na účel spracúvania osobných údajov a je daná predovšetkým trvaním zmluvného vzťahu Prevádzkovateľa a Dotknutej osoby. Doba uchovávania osobných údajov je tiež daná lehotami, počas ktorých je možné uplatňovať nároky zo zmlúv (premlčacia doba), a tiež osobitnými právnymi predpismi (napr. na registratúrne a účtovné účely).
VI.
Práva Dotknutých osôb
Prevádzkovateľ pri spracúvaní osobných údajov dbá na dodržiavanie zákonom ustanovených práv Dotknutých osôb. Každá Dotknutá osoba má právo požadovať od Prevádzkovateľa prístup k jej osobným údajom, opravu osobných údajov, vymazanie osobných údajov, obmedzenie spracúvania osobných údajov, právo namietať spracúvanie osobných údajov, ako aj právo na prenosnosť osobných údajov.
Právo na prístup k osobným údajom
Ide o právo Dotknutej osoby získať od Prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak Prevádzkovateľ takéto osobné údaje spracúva, Dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o:
- účele spracúvania osobných údajov,
- kategórii spracúvaných osobných údajov,
- identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
- práve podať návrh na začatie konania na Úrade na ochranu osobných údajov Slovenskej republiky,
- zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
- existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne Prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
Právo na opravu osobných údajov
Dotknutá osoby má právo na to, aby Prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má Dotknutá osoba právo na doplnenie neúplných osobných údajov.
Právo na výmaz osobných údajov
Dotknutá osoba má právo na to, aby Prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú. V takom prípade je Prevádzkovateľ povinný bez zbytočného odkladu vymazať osobné údaje Dotknutej osoby, a to vo všeobecnosti ak:
- osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
- Dotknutá osoba odvolá súhlas so spracúvaním osobných údajov, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
- Dotknutá osoba namieta spracúvanie osobných údajov,
- osobné údaje sa spracúvajú nezákonne,
- je dôvodom pre výmaz splnenie povinnosti podľa zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Právo na obmedzenie spracúvania osobných údajov
Dotknutá osoba má právo požadovať, aby Prevádzkovateľ obmedzil spracúvanie osobných údajov, ak:
- Dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho Prevádzkovateľovi overiť správnosť osobných údajov,
- spracúvanie osobných údajov je nezákonné a Dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
- Prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich Dotknutá osoba na uplatnenie právneho nároku,
- Dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane Prevádzkovateľa prevažujú nad oprávnenými dôvodmi Dotknutej osoby.
Právo na prenosnosť osobných údajov
Jedná sa o právo Dotknutej osoby získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla Prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Dotknutá osoba má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a to vo všeobecnosti ak:
- Dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
- spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je Dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti Dotknutej osoby,
- spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv Prevádzkovateľa alebo Dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
- spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
Právo namietať spracúvanie osobných údajov
Dotknutá osoba má vo všeobecnosti právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané:
– na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
– na účel oprávnených záujmov Prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh,
vrátane profilovania založeného na vyššie uvedených účeloch. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.
V prípade spracúvania osobných údajov na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom, má Dotknutá osoba právo takéto spracúvanie namietať. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
Prevádzkovateľ aktuálne nevykonáva individuálne rozhodovanie na základe automatizovaného spracúvania osobných údajov, ani priamy marketing.
Pokiaľ je právnym základom spracúvania osobných údajov súhlas Dotknutej osoby, má Dotknutá osoba právo takýto súhlas so spracúvaním jej osobných údajov odvolať. V zmysle § 14 ods. 3 zákona však odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním. Dotknutá osoba môže súhlas so spracúvaním osobných údajov odvolať rovnakým spôsobom, akým súhlas udelila.
Dotknutá osoba je oprávnená uplatniť vyššie uvedené práva, prípadne akékoľvek ďalšie svoje požiadavky vo vzťahu k spracúvaniu osobných údajov priamo u Prevádzkovateľa, ktorého kontaktné údaje sú na daný účel uvedené na konci týchto zásad. O požiadavke, ktorou Dotknutá osoba u Prevádzkovateľa uplatnila svoje práva, bude Prevádzkovateľ informovať prípadné ďalšie subjekty, ktorým mohli byť osobné údaje v súlade so zákonom a týmito zásadami poskytnuté.
VII.
Uplatňovanie práv na ochranu osobných údajov
Prevádzkovateľ dbá na to, aby práva Dotknutých osôb na ochranu osobných údajov neboli nijakým spôsobom porušované, a aby zo strany Prevádzkovateľa boli tak vo vzťahu k Dotknutým osobám, ako aj voči na Úradu na ochranu osobných údajov Slovenskej republiky, dodržané všetky zákonom stanovené povinnosti.
V prípade, ak opatrenia prijaté Prevádzkovateľom na základe Dotknutou osobou uplatnených práv nebude Dotknutá osoba považovať za dostatočné a domnieva sa, že spracúvanie jej osobných údajov nie je v súlade so zákonom, je oprávnená iniciovať konanie o ochrane osobných údajov podaním návrhu na Úrade na ochranu osobných údajov Slovenskej republiky podľa § 99 a nasl. zákona. Návrh na začatie konania musí obsahovať:
- meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
- označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
- predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
- dôkazy na podporu tvrdení uvedených v návrhu
- kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy zákona alebo osobitného predpisu (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ak si takéto právo Dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala Dotknutá osoba.
Ďalšie informácie o postupe uplatnenia práv Dotknutej osoby sú dostupné na stránke: www.dataprotection.gov.sk.
VIII.
Spracúvanie osobných údajov sprostredkovateľmi
Prevádzkovateľ môže osobné údaje poskytnúť svojim zmluvným partnerom, ktorí prípadne pre Prevádzkovateľa spracúvajú osobné údaje ako sprostredkovatelia. Takéto poskytnutie osobných údajov musí byť realizované na základe zmluvy medzi Prevádzkovateľom a sprostredkovateľom, uzavretou v zmysle § 34 zákona. Sprostredkovateľmi môžu byť predovšetkým:
- profesionálni poradcovia, účtovní a daňoví poradcovia, advokáti a audítori,
- poskytovateľov informačných systémov a súvisiacich IT služieb.
Na účely doručenia tovaru, ktorý si Dotknutá osoba objednala u Prevádzkovateľa, poskytuje Prevádzkovateľ osobné údaje v nevyhnutnom rozsahu potrebnom na doručenie dopravcovi. Takéto osobné údaje Prevádzkovateľ odovzdá dopravcovi tak, ako ich Dotknutá osoba uvedie v objednávke. Odovzdané údaje zahŕňajú predovšetkým meno a priezvisko, doručovaciu adresu, tel. číslo, na ktorom môže dopravca Dotknutú osobu kontaktovať a v prípade, ak nebol tovar uhradený vopred, tak aj sumu, ktorú je potrebné pri prevzatí tovaru uhradiť. Dopravca je vo vzťahu k poskytnutým osobným údajom oprávnený spracúvať ich len na účely doručenia tovaru a potom osobné údaje bezodkladne vymazať.
V prípade objednávky tovaru uskladneného u zmluvného partnera Prevádzkovateľa je nevyhnuté poskytnúť osobné údaje tomuto zmluvnému partnerovi, ktorý objednávku vybaví. Takto odovzdané údaje zahŕňajú predovšetkým meno a priezvisko, doručovaciu adresu, telefónne číslo, na ktorom môže Dotknutú osobu kontaktovať a pokiaľ nebol tovar uhradený vopred, aj sumu, ktorú treba pri prevzatí tovaru uhradiť. Tento zmluvný partner potom uvedené osobné údaje odovzdá dopravcovi, ktorý bude tovar doručovať. Uvedený zmluvný partner, ako aj dopravca, sú vo vzťahu k poskytnutým osobným údajom povinní tieto osobné údaje použiť len na účely skladovania a doručenia tovaru a následne ich bezodkladne zmazať.
IX.
Kontaktné údaje Prevádzkovateľa
V prípade uplatnenia práv týkajúcich sa ochrany osobných údajov, alebo otázok týkajúcich sa spracúvania osobných údajov sa Dotknutá osoba môže obrátiť na Prevádzkovateľa e-mailom zaslaným na adresu: magicbox@magicbox.sk