ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ (ČR)

ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV (SR)

Tento dokument stanoví pravidla a postupy Muzejní Galerie s.r.o. při zpracování osobních údajů fyzických osob, ochranu a volný pohyb osobních údajů.

I. Definice

1. „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2. „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3. „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

4. „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

5. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

6. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

7. „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

8. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;

9. „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

10. „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

11. „hlavní provozovnou“:

a) v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;

b) v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;

12. „podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;

13. „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

14. „závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost;

15. „přeshraničním zpracováním“ buď:

a) zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo

b) zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;

16. „relevantní a odůvodněnou námitkou“ námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o

 

II. Údaje správce a zpracovávané osobní údaje

1. Správcem odpovědným za veškeré zpracování osobních údajů je Muzejní galerie s.r.o., Na Zahradách 3170, 690 02 Břeclav, poštovní adresa P. O. Box 25, 690 02 Břeclav, zapsaná v Obchodním rejstříku, vedeného u Krajského soudu v Brně oddíl C, vložka 48677, telefon: 519 322 460, e-mail: Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript , v zastoupení: Koloman Schmidt.

2. Účel zpracovávání osobních údajů: plnění smlouvy pro úspěšné vyřízení objednávky a doručení objednaného zboží.

3. Zpracovávané osobní údaje: jméno, příjmení, adresa, adresa doručení, e-mail, telefonní číslo.

4. Právní základ zpracování osobních údajů: údaje jsou nezbytné pro plnění smlouvy ve smyslu Nařízení podle čl. 6 odst. 1 písm. b). Jelikož Vaše objednávka je zadána on-line a správce nemá kamennou prodejnu, zboží bude doručeno prostřednictvím pošty. K plnění smlouvy je nutné, abychom Vás o zaregistrování objednávky, o stavu vyřízení objednávky a o způsobu doručení informovali. Telefonní kontakt je nutný, abychom se s Vámi mohli spojit a informovat Vás. O provedeném prodeji vystavujeme daňový doklad, kde zpracování dat je ve smyslu Nařízení podle čl. 6 odst. 1 písm. c). Daňové doklady musí být uchovány v zákonem stanovené lhůtě. Telefonní číslo a e-mailová adresa budou zpracovány po plnění smlouvy podle Nařízení čl. 6 odst. 1 písm. a). Na základě Vašeho souhlasu Vás můžeme kontaktovat e-mailem nebo telefonicky, abychom Vám poskytli další informace o našich produktech. Váš souhlas můžete kdykoliv odvolat, podrobnosti o všech Vašich právech naleznete v článku V.

5. Doba uchování osobních údajů: jméno, příjmení adresa podle účetních a daňových předpisů je do 10 let, e-mailová adresa a číslo telefonu po plnění poslední smlouvy do jednoho roku, v případě uděleného souhlasu až do odvolání souhlasu. Vaše osobní údaje neposkytujeme třetím stranám, kromě zprostředkovatelů se kterými spolupracujeme, s výjimkou případů, které nám ukládá zákon. Takoví zprostředkovatelé jsou poskytovatel v oblasti webhostingu nebo společnost provádějící doručování zásilek.

6. Záznamy o zpracovatelských činnostech: ve smyslu zákona.

 

III. Zásady zpracování osobních údajů

Osobní údaje musí být

1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“)

2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“)

3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“)

4. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“)

5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“)

6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“)

7. Správce odpovídá za dodržení zákonnosti, korektnosti a transparentnosti a musí být schopen toto dodržení souladu doložit („odpovědnost“).

 

IV. Zákonnost zpracování

Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

1. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů

2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů

3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje

4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby

5. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

 

V. Práva subjektu údajů

1. Transparentnost a opatření

a. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.

b. Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

 

2. Informace a přístup k osobním údajům

a. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

- totožnost a kontaktní údaje správce a jeho případného zástupce,

- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování,

- případné příjemce nebo kategorie příjemců osobních údajů.

b. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování

- doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,

- existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,

- existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,

- existence práva podat stížnost u dozorového úřadu,

- skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů.

 

3. Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

a. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

- totožnost a kontaktní údaje správce a případně jeho zástupce,

- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování,

- kategorie subjektu osobních údajů,

- případné příjemce nebo kategorie příjemců osobních údajů.

b. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů

- doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,

- existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,

- existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,

- existence práva podat stížnost u dozorového úřadu,

- zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů.

c. Správce poskytne informace uvedené v odstavcích a) a b):

- v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

- nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace,

- nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

 

4. Odstavce 1 a 3 se nepoužijí, pokud a do té míry, v níž:

a. subjekt údajů již uvedené informace má,

b. se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí,

c. je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

 

5. Právo subjektu údajů na přístup k osobním údajům

a. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

- účely zpracování;

- kategorie dotčených osobních údajů;

- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

- existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;

- právo podat stížnost u dozorového úřadu;

- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,

- a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

b. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

 

6. Právo na opravu

a. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

 

7. Právo na výmaz („právo být zapomenut“)

a. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

- subjekt údajů odvolá souhlas, ke zpracování údajů a neexistuje žádný další právní důvod pro zpracování;

- subjekt údajů vznese námitky proti zpracování údajů a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování;

- osobní údaje byly zpracovány protiprávně;

- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje.

b. Bod a) se neuplatní, pokud je zpracování nezbytné:

- pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,

- pro určení, výkon nebo obhajobu právních nároků.

 

8. Právo na omezení zpracování

a. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

- subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

- subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

b. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

c. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

 

9. Právo na přenositelnost údajů

a. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

- údaje poskytl na základě souhlasu nebo na základě smlouvy

- zpracování se provádí automatizovaně.

b. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

c. Výkonem práva uvedeného v bodě a) tohoto článku není dotčeno práva v bodě 7. toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

 

10. Právo vznést námitku

a. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

b. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

c. Subjekt údajů je na právo uvedené v bodě a) výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

 

VI. Záměrná a standardní ochrana osobních údajů

d. Správce vyžaduje od dotčené osoby osobní údaje, respektive zpracovává a ukládá pouze takové osobní údaje, které umožňují rychlé a pohodlné dodání zboží dotčeným osobám.

e. Osobní údaje uložené bez souhlasu dotčených osob – jméno, příjmení, adresa a dodací adresa – jsou nezbytné pro dodání zboží dotčené osobě, protože správce neprovozuje kamennou prodejnu. V důsledku toho jsou tyto údaje nezbytné pro plnění kupní smlouvy a vzhledem k tomu, že zároveň slouží i k vystavení daňového dokladu - faktury, jejich archivace je zákonnou povinností správce.

f. Tyto údaje nejsou uloženy na internetu, ale jsou uloženy výhradně v interním systému správce (VILMA), který je připojen k interní internetové síti společnosti. Internetová síť je chráněna vůči externím útokům bránou firewall LINUX. Lokální pracovní stanice a počítače v síti připojené k internetové síti jsou chráněny a monitorovány individuálním antivirovým programem ESET-NOD. Na lokálních PC je instalován operační systém WINDOWS 10 včetně aktivovaného antivirového programu DEFENDER.

g. E-mailová adresa a údaje o telefonním čísle získané se souhlasem dotčených osob slouží k udržování kontaktu s dotčenými osobami. Náš zákaznický servis a systém pro zasílání newsletteru pravidelně informuje dotčené osoby o stavu jejich objednávky od momentu registrace, až po doručení.

h. Kromě systému VILMA jsou osobní údaje dotčených osob uloženy také v naší databázi pro zasílání newsletterů, do kterého nejsou přenášeny jiné osobní údaje. Tyto údaje se nacházejí na serveru provozovaném poskytovatelem hostingu webových stránek, který je chráněn fyzickým i elektronickým bezpečnostním systémem. Data se dají získat pouze přes administrativní rozhraní, jehož heslo není známo poskytovatelem hostingu.

 

VII. Záznamy o činnostech zpracování

a. Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

i. jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;

ii. účely zpracování;

iii. popis kategorií subjektů údajů a kategorií osobních údajů;

iv. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

v. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

vi. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v bodě 15.

b. Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

i. jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;

ii. kategorie zpracování prováděného pro každého ze správců;

iii. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v bodě 15.

c. Záznam o zpracovatelských činnostech správce (čl. 30) je přílohou č. 3 organizační směrnice.

 

VIII. Zabezpečení zpracování

a. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

i. pseudonymizace a šifrování osobních údajů;

ii. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

iii. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

iv. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

b. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

 

IX. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

a. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle písmena e), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

b. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

c. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:

i. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

ii. jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

iii. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

iv. popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

d. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

e. Dohlížející orgán: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, pevná linka: +420 234 665 111 (Ústředna) e-mail: Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript , webová stránka: https://www.uoou.cz

 

X. Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

a. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

b. V oznámení určeném subjektu údajů podle bodu a) tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené bodu 16. písmena c).

c. Oznámení subjektu údajů uvedené v bodě a) se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

i. správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

ii. správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle bodu a) se již pravděpodobně neprojeví;

iii. vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

iv. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v písmenu c).

 

ZÁSADY OCHRANY OSOBNÝCH ÚDAJOV

Tento dokument ustanovuje pravidlá a postupy Múzejnej Galérie s.r.o. pri spracovaní osobných údajov fyzických osôb, ochranu a voľný pohyb osobných údajov.

I. Vymedzenie pojmov

1. „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2. „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3. „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

4. „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

5. „prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

6. „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

7. „príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

8. „tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

9. „súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

10. „porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

11. „hlavná prevádzkareň“ je:

a) pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

b) pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

12. „podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

13. „skupina podnikov“ je riadiaci podnik a ním riadené podniky;

14. „záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

15. „cezhraničné spracúvanie“ je buď:

a) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

16. „relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

 

II. Údaje prevádzkovateľa a spracovávané osobné údaje

1. Správcom Vašich osobných údajov je spoločnosť Múzejná Galéria s.r.o., sídlo Korzo Bélu Bartóka 789/3, 929 01 Dunajská Streda, IČO: 36 265 675, IČ DPH: SK2021896811, zapísaná v Obchodnom registri Okresného súdu Trnava, oddiel Sro, vložka č. 15449/T, telefón: 031/ 553 0462, email: Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript , v zastúpení: Koloman Schmidt

2. Účel spracúvania osobných údajov: plnenie zmluvy pre úspešné vybavenie objednávky a doručenie objednaného tovaru.

3. Spracovávané osobné údaje: meno, priezvisko, adresa, adresa doručenia, e-mail, telefónne číslo.

4. Právny základ spracúvania osobných údajov: údaje sú potrebné na plnenie zmluvy v zmysle Nariadenia podľa čl. 6 ods. 1 písm. b). Keďže Vaša objednávka je zadaná on-line a prevádzkovateľ nemá kamennú predajňu, tovar bude doručený prostredníctvom pošty. K plneniu zmluvy je nutné, aby sme Vás o zaregistrovaní objednávky, o stave vybavenia objednávky a o spôsobe doručenia informovali. Telefónny kontakt je potrebný, aby sme sa s Vami mohli spojiť a informovať Vás. O uskutočnenom predaji vystavujeme daňový doklad, kde spracovanie údajov je v zmysle Nariadenia podľa čl. 6 ods. 1 písm.c). Údaje daňových dokladov musia byť v zákonom stanovenej lehote archivované. Telefónne číslo a e-mailová adresa budú spracované po plnení zmluvy podľa Nariadenia čl. 6 ods. 1 písm. a). Na základe Vášho súhlasu Vás môžeme kontaktovať e-mailom alebo telefonicky, aby sme Vám poskytli ďalšie informácie o našich produktoch. Váš súhlas môžete kedykoľvek odvolať, podrobnosti o všetkých Vašich právach nájdete v článku V.

5. Doba uchovania osobných údajov: meno, priezvisko, adresa podľa účtovných a daňových predpisov je do 10 rokov, emailová adresa a číslo telefónu po plnení poslednej zmluvy do jedného roku, v prípade udeleného súhlasu až do odvolania súhlasu. Vaše osobné údaje neposkytujeme tretím stranám, okrem sprostredkovateľov s ktorými spolupracujeme , s výnimkou prípadov, ktoré nám ukladá zákon. Takíto sprostredkovatelia sú poskytovateľ webhostingu alebo spoločnosť vykonávajúca doručovanie zásielok.

6. Záznamy o spracovateľských činnostiach: v zmysle zákona.

 

III. Zásady spracúvania osobných údajov

Osobné údaje musia byť

1. spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“)

2. získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi („obmedzenie účelu“)

3. primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“)

4. správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“)

5. uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú („minimalizácia uchovávania“)

6. spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“)

7. Prevádzkovateľ je zodpovedný za súlad uvedených v v bode 1. a musí vedieť tento súlad preukázať („zodpovednosť“).

 

IV. Zákonnosť spracúvania

Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely

2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy

3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa

4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby

5. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

 

V. Práva dotknutej osoby

1. Transparentnosť a opatrenia

a. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho. Informácie sa poskytujú písomne alebo inými prostriedkami - vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

b. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

 

2. Informácie a prístup k osobným údajom

a. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,

- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,

- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.

b. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania

- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,

- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,

- existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,

- právo podať sťažnosť dozornému orgánu,

- informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov.

 

3. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

a. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,

- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,

- kategórie dotknutých osobných údajov,

- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.

b. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu

- doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie,

- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,

- existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,

- právo podať sťažnosť dozornému orgánu,

- z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.

c. Prevádzkovateľ poskytne informácie uvedené v odsekoch a) a b):

- v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

- ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou,

- ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

 

4. Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom:

a. dotknutá osoba má už dané informácie,

b. sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby,

c. v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

 

5. Právo dotknutej osoby na prístup k údajom

a. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

- účely spracúvania;

- kategórie dotknutých osobných údajov;

- príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

- ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

- existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

- právo podať sťažnosť dozornému orgánu;

- ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj,

- v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

b. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

 

6. Právo na opravu

a. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

 

7. Právo na vymazanie (právo „na zabudnutie“)

a. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie údajov vykonáva a ak neexistuje iný právny základ pre spracúvanie;

- dotknutá osoba namieta voči spracúvaniu osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu;

- osobné údaje sa spracúvali nezákonne;

- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha.

b. bod a) sa neuplatňuje, pokiaľ je spracúvanie potrebné:

- na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,

- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

 

8. Právo na obmedzenie spracúvania

a. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

- dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

- spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

- prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

- dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

b. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

c. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

 

9. Právo na prenosnosť údajov

a. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

- údaje poskytol na základe súhlasu alebo na základe zmluvy

- ak sa spracúvanie vykonáva automatizovanými prostriedkami.

b. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

c. Uplatňovaním práva uvedeného v bode a) tohto článku nie je dotknuté právo v bode 7. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

 

10. Právo namietať

a. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.

b. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

c. Dotknutá osoba sa výslovne upozorní na právo uvedené v bode a) najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

VI. Špecificky navrhnutá a štandardná ochrana údajov

1. Prevádzkovateľ požaduje od dotknutej osoby osobné údaje respectíve spravuje a ukladá výlučne také osobné údaje, ktoré umožňujú rýchle a pohodlné dodanie tovaru dotknutým osobám.

2. Osobné údaje uložené bez súhlasu dotknutých osôb – priezvisko, adresa a dodacia adresa – sú nevyhnutné pre dodanie tovaru dotknutej osobe, nakoľko prevádzkovateľ neprevádzkuje kamennú predajňu. V dôsledku toho sú tieto údaje potrebné na plnenie kúpno-predajných zmlúv a vzhľadom na to, že zároveň slúžia aj k vystaveniu daňového dokladu (faktúra), ktorého archivácia je zákonnou povinnosťou prevádzkovateľa.

3. Tieto údaje nie sú uložené na internete, ale sú uložené výhradne v internom systéme prevádzkovateľa (VILMA), ktorý je pripojený k internej internetovej sieti spoločnosti. Internetová sieť je chránená voči externým útokom bránou firewall LINUX. Lokálne pracovné stanice a počítače v sieti pripojené k internetovej sieti sú chránené a monitorované individuálnym antivírusovým programom ESET-NOD. Na lokálnych PC je inštalovaný operačný systém WINDOWS 10 vrátane aktivovaného antivírusového programu DEFENDER.

4. E-mailová adresa a údaje o telefónnom čísle získané so súhlasom dotknutých osôb slúžia na udržiavanie kontaktu s dotknutými osobami. Náš zákaznícky servis a systém pre zasielanie newsletteru pravidelne informuje dotknuté osoby o stave ich objednávky od momentu zaregistrovania až po doručenie.

5. Okrem programu VILMA sú osobné údaje dotknutých osôb uložené aj v našej databáze pre zasielania newsletterov, do ktorého nie sú prenášané iné osobné údaje. Tieto údaje sa nachádzajú na serveri prevádzkovanom poskytovateľom hostingu webových stránok, ktorý je chránený fyzickým aj elektronickým bezpečnostným systémom. Dáta sa dajú získať iba cez administratívne rozhranie, ktorého heslo nie je známe poskytovateľom hostingu.

6. Podacie hárky, ktoré sú nevyhnutné pre zasielateľstvo, sú vyhotovené na základe špecifikácií a bezpečnostných protokolov poskytovateľa služieb (Slovenská pošta a.s) a sú im doručené iba prostredníctvom ich zabezpečeného portálu, v podobe a spôsobom, ktoré si určili.

 

VII. Záznamy o spracovateľských činnostiach

a. Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

i. meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

ii. účely spracúvania;

iii. opis kategórií dotknutých osôb a kategórií osobných údajov;

iv. kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

v. podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

vi. podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v bode 15.

b. Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

i. meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

ii. kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

iii. podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v bode 15.

c. Záznam o spracovateľských činnostiach prevádzkovateľa (čl. 30) je prílohou č. 3 bezpečnostnej dokumentácie.

 

VIII. Bezpečnosť spracúvania

a. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

ii. pseudonymizáciu a šifrovanie osobných údajov;

iii. schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

iv. schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

v. proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

b. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

 

IX. Oznámenie porušenia ochrany osobných údajov dozornému orgánu

a. V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa písm. e) výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

b. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

c. Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

i. opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

ii. meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

iii. opis pravdepodobných následkov porušenia ochrany osobných údajov;

iv. opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

d. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

e. Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, Slovenská republika, telefón: +421 /2/ 3231 3214, e-mail: statny.dozor(zav)pdp.gov.sk, web: https://dataprotection.gov.sk/uoou/sk

f. Evidencia bezpečnostných incidentov je príloha č. 4. Oznámenie úradu o bezpečnostnom incidente je príloha č. 5

 

X. Oznámenie porušenia ochrany osobných údajov dotknutej osobe

a. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

b. Oznámenie dotknutej osobe uvedené v písm. a) tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v bode 16 písm c).

c. Oznámenie dotknutej osobe uvedené v písm. a) sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

ii. prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

iii. prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v písm. a) pravdepodobne už nebude mať dôsledky;

iv. by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

v. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v písm. c).

 

Tyto podmínky nabývají platnosti dne 25. 5. 2018

 
Newsletter
Ochrana osobních údajů
Zdraví Vás Muzejní Galerie. Prosím, pročtěte si uživatelskou příručku.