Zásady ochrany osobných údajov

ČASŤ B – Spracovanie údajov v mene Užívateľa (Sprostredkovateľská zmluva s Užívateľom podľa čl.28 GDPR)

2.1. Poskytovateľ vystupuje vo vzťahu k dotknutým osobám Užívateľa v pozícii Sprostredkovateľa podľa ustanovenia čl. 28 GDPR. Z tohto dôvodu sa Zmluva medzi Poskytovateľom a Užívateľom pri poskytovaní Služieb riadi nasledovným:

2.1.1. Poskytovateľ má všeobecné povolenie na zapojenie ďalšieho sprostredkovateľa. Poskytovateľ informuje Užívateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa Užívateľovi dá možnosť namietať voči takýmto zmenám. Informovaním sa rozumie aktualizácia údajov v zozname sprostredkovateľov, ktorý vedie Poskytovateľ. V prípade, ak Poskytovateľ zapojí ďalšieho sprostredkovateľa, je Poskytovateľ tomuto ďalšiemu sprostredkovateľovi v osobitnej zmluve alebo inom právnom úkone povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v tejto Zmluve, pričom zodpovednosť voči Užívateľovi nesie Poskytovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov. Zoznam sprostredkovateľov je uvedený v závere týchto podmienok.

2.1.2. Poskytovateľ sa zaväzuje spracúvať osobné údaje len pre účely poskytovania Služieb. Predmetom spracúvania osobných údajov je služba, ktorú bude Poskytovateľ Užívateľovi poskytovať.

2.1.3. Poskytovateľ spracúva osobné údaje po celú dobu platnosti a účinnosti Zmluvy medzi ním a Užívateľom. Poskytovateľ však spracúva osobné údaje najdlhšie po dobu trvania účelu.

2.1.4. Poskytovateľ spracúva osobné údaje v identickom rozsahu, v akom ich spracúva Užívateľ. Užívateľ môže obmedziť rozsah spracúvaných osobných údajov. Pokiaľ nebolo výslovne Užívateľom uvedené inak, Poskytovateľ nespracúva údaje osobitnej kategórie. Spracúvať osobné údaje je možné len v rozsahu nevyhnutnom na dosiahnutie účelov uvedených v bode 2.1.7 tohto článku, a to najmä: (i) identifikačné a kontaktné údaje a iné údaje súvisiace s účtovnou a obchodnou agendou; (ii) identifikačné údaje alebo údaje týkajúce sa činnosti dotknutej osoby, logy alebo údaje nevyhnutné pre tvorbu databázy alebo mailing listu alebo danú komunikáciu alebo iné údaje súvisiace s poskytovaním dohodnutých služieb v závislosti od typu poskytovanej služby; (iii) ďalšie údaje nevyhnutné na dosiahnutie účelu spracúvania.

2.1.5. Vzhľadom na povahu služieb sa môže zoznam kategórií dotknutých osôb meniť. Užívateľ disponuje aktuálnym zoznamom kategórií dotknutých osôb. Kategóriami osobných údajov sú okrem iného: všetky fyzické osoby, ktorých OÚ sa pri poskytovaní dohodnutých činností a služieb spracúvajú ako napr. (i) zákazníci užívateľa; (ii) zamestnanci a štatutárny orgán obchodných partnerov Užívateľa; (iii) osoby, ktorých osobných údaje sa nachádzajú v databáze; (iv) a iné fyzické osoby v závislosti od poskytovaných služieb.

2.1.6. Poskytovateľ vykonáva s osobnými údajmi spracovateľské operácie nevyhnutné na splnenie účelu spracúvania, a to najmä: získavanie, zhromažďovanie, uchovávanie, tvorba databázy a likvidáciu.

2.1.7. Poskytovateľ je povinný spracúvať osobné údaje len v nevyhnutnom rozsahu, aby bolo možné dosiahnuť účel spracúvania – poskytnutie Služieb a len na základe pokynov Užívateľa, ktoré sú obsiahnuté v Zmluve a týchto Podmienkach tak, aby spracúvanie zodpovedalo bežnému spôsobu poskytovania Služieb, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie. Ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, Poskytovateľ je pri takom prenose povinný oznámiť Užívateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu.

2.1.8. Poskytovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými protiprávnymi spôsobmi spracúvania.

2.1.9. Poskytovateľ vyhlasuje že zaručuje bezpečnosť spracúvaných osobných údajov, pričom pri prijímaní technických a organizačných opatrení za účelom zabezpečenia ochrany práv a ochrany osobných údajov dotknutých osôb Užívateľa najmä pred náhodným alebo nezákonným zničením, stratou, zmenou alebo neoprávneným poskytnutím prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávneným prístupom, bral do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov, riziká, ktoré sú spôsobilé narušiť bezpečnosť ochrany osobných údajov a ich závažnosť.

2.1.10. Poskytovateľ je povinný neposkytnúť osobné údaje tretím osobám, nepoužiť osobné údaje na iný než dohodnutý účel, nezneužiť pre svoj prospech alebo prospech tretej osoby a nenakladať s osobnými údajmi v rozpore s týmto článkom Podmienok.

2.1.11. Poskytovateľ a jeho zamestnanci sú povinní zachovávať mlčanlivosť o osobných údajoch získaných o dotknutých osobách Užívateľa. Osobné údaje nesmú využiť pre osobnú potrebu, nesmú ich zverejniť, poskytnúť, sprístupniť alebo inak neoprávnene spracovať. Túto mlčanlivosť sa zaväzujú zachovať aj po zániku Zmluvy. Poskytovateľ zodpovedá za to, že mlčanlivosť budú zachovávať aj iné ním poverené osoby, ako aj prípadní externí spolupracovníci.

2.1.12. Poskytovateľ je povinný zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb Užívateľa len počas doby nevyhnutnej na dosiahnutie účelu spracúvania.

2.1.13. Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Užívateľovi súčinnosť pri zabezpečovaní dodržiavania povinností Užívateľa reagovať na žiadosti dotknutých osôb Užívateľa pri výkone ich práv podľa ustanovení kapitoly III GDPR, vrátane oboznámenia Užívateľa o každej písomnej žiadosti o prístup, ktoré prípadne budú doručené Poskytovateľovi v súvislosti s povinnosťami Užívateľa podľa GDPR, zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ochrane osobných údajov“) a iných súvisiacich predpisov.

2.1.14. Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Užívateľovi súčinnosť pri zabezpečovaní dodržiavania povinností podľa ustanovení čl. 32 až 36 GDPR, a to:

2.1.14.1. zabezpečiť bezpečnosť spracúvania;
2.1.14.2. oznámiť Úradu na ochranu osobných údajov Slovenskej republiky a dotknutým osobám, ak je to potrebné, akékoľvek porušenie ochrany osobných údajov;
2.1.14.3. v prípade potreby vykonať posúdenie vplyvu na ochranu osobných údajov, týkajúce sa vplyvu spracúvania na ochranu osobných údajov;
2.1.14.4. konzultovať s Úradom na ochranu osobných údajov Slovenskej republiky zámer uskutočniť spracúvanie osobných údajov, ak z posúdenia vplyvu na ochranu osobných údajov vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by Užívateľ neprijal opatrenia na zmiernenie tohto rizika.

2.1.15. Poskytovateľ sa zaväzuje poskytnúť Užívateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v ustanovení čl. 28 GDPR a poskytnúť Užívateľovi súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Užívateľa alebo audítora, ktorého poveril Užívateľ. Užívateľ je povinný audit oznámiť aspoň 1 mesiac pred plánovaným dátumom auditu. Oznámenie musí obsahovať predmet auditu, ako aj dátum začiatku auditu a jeho dĺžku. Audit musí byť vykonávaný v pracovnom čase Poskytovateľa a nesmie neprimeraným spôsobom zasahovať do činnosti Poskytovateľa. Audit sa vykoná na náklady Užívateľa a Užívateľ Poskytovateľovi nahradí aj všetky náklady, ktoré Poskytovateľovi vzniknú v súvislosti s auditom.

2.1.16. Poskytovateľ je povinný bezodkladne oznámiť Užívateľovi, ak podľa názoru Poskytovateľa akýkoľvek pokyn udelený Užívateľom porušuje GDPR, Zákon o ochrane osobných údajov, osobitný predpis alebo medzinárodnú zmluvu, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov. Poskytovateľ je povinný ihneď informovať Užívateľa ak si u neho uplatní právo dotknutá osoba Užívateľa. Poskytovateľ je povinný bezodkladne najneskôr do 72 hodín informovať Užívateľa ak dôjde k porušenie ochrany osobných údajov.

2.1.17. Poskytovateľ sa zaväzuje po skončení platnosti a účinnosti Zmluvy, na základe rozhodnutia Užívateľa vymazať osobné údaje alebo vrátiť osobné údaje Užívateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov.

2.2. Poskytovateľ v súlade s ustanovením čl. 13 GDPR oznamuje Užívateľovi ako dotknutej osobe nasledovné informácie:

2.2.1. Identifikačné údaje Poskytovateľa: TWONEO s.r.o., so sídlom: Karadžičova 7609/14, 821 08 Bratislava – mestská časť Ružinov, IČO: 57474206, zapísanou v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sro, vložka č. 197017/B. Poskytovateľa je možné kontaktovať na e-mailovej adrese: [email protected];

2.2.2. Poskytovateľ nemá v zmysle čl. 37 GDPR menovanú Zodpovednú osobu pre ochranu osobných údajov (DPO), nakoľko mu táto povinnosť nevyplýva z právnych predpisov. Vo všetkých otázkach ochrany osobných údajov sa dotknuté osoby môžu obracať priamo na Poskytovateľa prostredníctvom kontaktov uvedených v bode;

2.2.3. Účel, ako aj právny základ spracúvania osobných údajov, je uvedený v odsekoch 1.1. a 2.1. týchto Podmienok;

2.2.4. Rozsah spracúvaných osobných údajov je uvedený v odseku 1.1. a 2.1. týchto Podmienok;

2.2.5. V osobitných prípadoch, ak je pre poskytnutie Služby Poskytovateľom nevyhnutné poskytnúť osobné údaje príjemcovi alebo preniesť osobné údaje do tretej krajiny, poskytuje Poskytovateľ o tejto skutočnosti Užívateľovi informáciu.

2.2.6. Poskytovateľ uchováva osobné údaje po celú dobu poskytovania Služby, najdlhšie však po dobu trvania účelu.

2.2.7. Užívateľ má právo požadovať od Poskytovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, právo na opravu osobných údajov, právo na vymazanie osobných údajov alebo právo na obmedzenie osobných údajov, právo namietať spracúvanie osobných údajov, ako aj právo na prenosnosť osobných údajov.

2.2.8. Užívateľ pri podozrení, že jeho osobné údaje sa neoprávnene spracúvajú, môže podať Úradu na ochranu osobných údajov Slovenskej republiky návrh na začatie konania o ochrane osobných údajov.

2.2.9. Poskytnutie osobných údajov Užívateľom je potrebné pre uzavretie Zmluvy a poskytnutie Služby, bez poskytnutia osobných údajov nie je možné Službu poskytnúť.

2.3. Informácie o právach dotknutej osoby – Užívateľa: Osoba poskytujúca osobné údaje (dotknutá osoba – Užívateľ) má v zmysle ustanovenia čl. 15 až 22 a čl. 34 GDPR nasledovné práva:

2.3.1. Právo na prístup k osobným údajom podľa čl. 15 GDPR : Dotknutá osoba má právo získať od Poskytovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Dotknutá osoba má právo získať prístup k týmto osobným údajom a k informáciám uvedených v odseku 2.4.

2.3.2. Právo na opravu osobných údajov podľa čl. 16 GDPR : Dotknutá osoba má právo na to, aby Poskytovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

2.3.3. Právo na výmaz osobných údajov podľa čl. 17 GDPR: Dotknutá osoba má právo na to, aby Poskytovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak dotknutá osoba uplatnila právo na výmaz, ak:

2.3.3.1. osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
2.3.3.2. dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
2.3.3.3. dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu,
2.3.3.4. osobné údaje sa spracúvajú nezákonne,
2.3.3.5. je dôvodom pre výmaz splnenie povinnosti podľa GDPR, Zákona o ochrane osobných údajov, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
2.3.3.6. sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti.

2.3.4. Právo na obmedzenie spracúvania osobných údajov podľa čl. 18 GDPR: Dotknutá osoba má právo na to, aby Poskytovateľ obmedzil spracúvanie osobných údajov, ak:

2.3.4.1. dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho Poskytovateľovi overiť správnosť osobných údajov,
2.3.4.2. spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
2.3.4.3. Poskytovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku,
2.3.4.4. dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či
oprávnené dôvody na strane Poskytovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
2.3.4.5. Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí, je Poskytovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené. Na základe čl. 19 GDPR je Poskytovateľ v prípade, ak to dotknutá osoba požaduje, povinný informovať dotknutú osobu o príjemcoch, ktorým Poskytovateľ oznámil opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov.

2.3.5. Právo na prenosnosť osobných údajov podľa čl. 20 GDPR : Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla Poskytovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi.

2.3.6. Právo namietať spracúvanie osobných údajov podľa čl. 21 GDPR: Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané na právnom základe z dôvodu, že spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo z dôvodu, že spracúvanie je nevyhnutné na účel oprávnených záujmov Poskytovateľa alebo tretej strany, vrátane profilovania založeného na týchto ustanoveniach. Poskytovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku. Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom.
Na základe čl. 22 GDPR má dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
Na základe čl. 34 GDPR má dotknutá osoba právo, aby jej Poskytovateľ bez zbytočného odkladu oznámil porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.

2.4. Poskytnutie informácií dotknutej osobe Poskytovateľ je povinný poskytnúť dotknutej osobe na základe jej žiadosti informácie podľa čl. 13 GDPR a oznámenia podľa čl. 15 až 22 a čl. 34 GDPR , ktoré sa týkajú spracúvania jej osobných údajov. Tieto informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže Poskytovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom. Poskytovateľ je pri uplatňovaní práv podľa čl. 15 až 22 GDPR povinný poskytnúť dotknutej osobe súčinnosť. Poskytovateľ je povinný poskytnúť dotknutej osobe informácie podľa tohto odseku do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže Poskytovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Poskytovateľ je povinný informovať o každom takom predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty. Informácie podľa tohto odseku poskytuje Poskytovateľ bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, Poskytovateľ môže požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného opatrenia, alebo odmietnuť konať na základe žiadosti.

2.5. Obmedzenie práv dotknutej osoby O obmedzení práv dotknutej osoby v súlade a podľa čl. 23 GDPR v spojení s § 30 Zákona o ochrane osobných údajov Poskytovateľ informuje dotknutú sobu, ak tým nie je ohrozený účel obmedzenia.