Práva dotknutej osoby

 

 

ČLÁNOK I               PREAMBULA

 

Ochranu údajov fyzických osôb zakotvuje článok 19 ods. 3 Ústavy Slovenskej republiky, v zmysle ktorého každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.

 

Pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov sú stanovené nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej aj len „nariadenie GDPR“) v spojení so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v platnom znení (ďalej aj len „zákon o ochrane osobných údajov“).

 

V zmysle nariadenia GDPR:

 

  • dotknutou osobou je identifikovaná alebo identifikovateľná fyzická osoba, t.j. osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby,
  • osobnými údajmi sú akékoľvek informácie týkajúce sa dotknutej osoby.

 

Nariadenie GDPR v spojení so zákonom o ochrane osobných údajov vymedzuje nasledovné práva dotknutých osôb:

 

(1)   požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby

(2)   na opravu osobných údajov

(3)   na vymazanie osobných údajov

(4)   na obmedzenie spracúvania osobných údajov

(5)   namietať proti spracúvaniu osobných údajov

(6)   na prenosnosť osobných údajov

(7)   podať sťažnosť dozornému orgánu, t.j. Úradu na ochranu osobných údajov Slovenskej republiky

(8)   odvolať udelený súhlas so spracúvaním osobných údajov.

 

ČLÁNOK II             PRÁVA DOKTNUTEJ OSOBY

 

Dotknutá osoba ma právo:

 

(1)   požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby

 

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a nasledovné informácie:

 

a)      účely spracúvania osobných údajov,

b)      kategórie spracúvaných osobných údajov,

c)      príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,

d)      doba uchovávania osobných údajov; ak to nie je možné, informácie o kritériách na jej určenie,

e)      existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania osobných údajov alebo práva namietať proti takémuto spracúvaniu osobných údajov,

f)                   právo podať sťažnosť dozornému orgánu, t.j. Úradu na ochranu osobných údajov Slovenskej republiky v zmysle článku 34 nariadenia GDPR,

g)                  právo podať návrh na začatie konania podľa § 100 zákona o ochrane osobných údajov,

h)      akékoľvek dostupné informácie o zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,

i)                    v prípade existencie automatického rozhodovania vrátane profilovania aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu,

j)                    ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, právo na informácie o primeraných zárukách podľa článku 46 nariadenia GDPR týkajúcich sa prenosu.

 

Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Právo získať kópiu nesmie mať nepriaznivé dôsledky na práva a slobody iných.

 

(2)   na opravu osobných údajov

 

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. Skutočnosť, že spracúvané osobné údaje sú nesprávne, chybné, môže zistiť tak dotknutá osoba, ako aj prevádzkovateľ. V prípade, že dotknutá osoba zistí, že jej osobné údaje spracúvané prevádzkovateľom sú nesprávne, mala by o tejto skutočnosti bezodkladne informovať prevádzkovateľa a podať žiadosť o ich opravu a likvidáciu nesprávnych osobných údajov. V prípade, že prevádzkovateľ pri výkone svojej činnosti zistí sám, že osobné údaje dotknutej osoby sú zrejme nesprávne, chybné, je povinný o tejto skutočnosti informovať dotknutú osobu a vyžiadať si od dotknutej osoby správne, aktuálne osobné údaje.

 

(3)   na vymazanie osobných údajov

 

Dotknutá osoba má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

 

a)      osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b)      dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak   neexistuje iný právny základ pre spracúvanie;

c)      dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 nariadenia GDPR a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2 nariadenia GDPR;

d)      osobné údaje sa spracúvali nezákonne;

e)      osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie  alebo práva Slovenskej republiky;

f)       osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1 nariadenia GDPR.

 

Právo na vymazanie osobných údajov sa neuplatňuje v prípade, že spracúvanie osobných údajov je potrebné:

 

a)     na uplatnenie práva na slobodu prejavu a na informácie;

b)     na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva Slovenskej republiky, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c)     z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i) nariadenia GDPR, ako aj článkom 9 ods. 3 nariadenia GDPR;

d)     na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 nariadenia GDPR, pokiaľ je pravdepodobné, že právo na vymazanie osobných údajov znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e)     na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

 

(4)   na obmedzenie spracúvania osobných údajov

 

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, pokiaľ ide o jeden z týchto prípadov:

 

a)      dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

b)      spracúvanie osobných údajov je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

c)      prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

d)      dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1 nariadenia GDPR, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

 

Prevádzkovateľ obmedzí spracúvanie osobných údajov za splnenia aspoň jednej z podmienok vyššie uvedených tým, že zreteľne a jasne označí osobné údaje, ktorých spracúvanie má byť obmedzené, a to napríklad dočasným presunutím osobných údajov do iného systému spracúvania, alebo zamedzením prístupu k vybraným osobným údajom, alebo dočasným odstránením zverejnených údajov z webovej stránky.

 

Cieľom obmedzenia spracúvania osobných údajov je zabezpečenie osobných údajov pred akoukoľvek manipuláciou s nimi, vrátane prístupu k nim tak, aby neboli predmetom ďalších spracovateľských operácií.

 

Ak sa spracúvanie osobných údajov obmedzilo, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo Slovenskej republiky.

 

Prevádzkovateľ je povinný vopred informovať dotknutú osobu, ktorá dosiahla obmedzenie spracúvania osobných údajov, o skutočnosti, že bude obmedzenie spracúvania osobných údajov zrušené.

 

(5)   namietať proti spracúvaniu osobných údajov

 

Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe verejného záujmu alebo oprávneného záujmu v zmysle článku 6 ods. 1 písm. e) alebo f) nariadenia GDPR vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

 

Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

 

(6)   na prenosnosť osobných údajov

 

Ak sa spracúvanie osobných údajov zakladá na súhlase so spracúvaním osobných údajov alebo na plnení zmluvy, ktorej zmluvnou stranou je dotknutá osoba, a ak sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil.

 

Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné. Uplatňovaním práva na prenosnosť osobných údajov nie je dotknutý článok 17 nariadenia GDPR upravujúci právo na vymazanie osobných údajov. Právo na prenosnosť osobných údajov nesmie mať nepriaznivé dôsledky na práva a slobody iných.

 

(7)   podať sťažnosť dozornému orgánu, t.j. Úradu na ochranu osobných údajov Slovenskej republiky

 

Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s nariadením a/alebo zákonom o ochrane osobných údajov.

 

Dozorným orgánom v Slovenskej republike je:

 

Úrad na ochranu osobných údajov Slovenskej republiky

sídlo: Hraničná 12, 820 07 Bratislava, Slovenská republika

tel.: +421 /2/ 3231 3214

web: www.dataprotection.gov.sk

e-mail: statny.dozor@pdp.gov.sk.

 

(8)   namietať automatické individuálne rozhodovanie vrátane profilovania

 

Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

 

Právo uvedené v predchádzajúcom odseku dotknutá osoba nie je oprávnená uplatniť v prípadoch, ak je rozhodnutie:

 

a)      nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,

b)      povolené právom Únie alebo právom Slovenskej republiky, alebo

c)      založené na výslovnom súhlase dotknutej osoby.

 

(9)   právo podať návrh na začatie konania podľa § 100 zákona o ochrane osobných údajov

 

Ak sa ako dotknutá osoba alebo osoba, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených zákonom o ochrane osobných údajov domnievate, že došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu zákona o ochrane osobných údajov alebo osobitného predpisu v oblasti ochrany osobných údajov, ste oprávnený podať návrh na začatie konania podľa § 100 zákona o ochrane osobných údajov na príslušný dozorný orgán, t.j. Úrad na ochranu osobných údajov Slovenskej republiky.

 

(10)                      právo na oznámenie porušenia ochrany osobných údajov

 

V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

 

V oznámení dotknutej osobe je prevádzkovateľ povinný uviesť jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d) nariadenia GDPR.

 

Oznámenie dotknutej osobe  sa nevyžaduje, ak je splnená ktorákoľvek z podmienok definovaných v článku 34 ods. 3 nariadenia GDPR.

 

(11)                      odvolať súhlas so spracúvaním osobných údajov

 

Ak sa spracúvanie osobných údajov zakladá na súhlase so spracúvaním osobných údajov, dotknutá osoba má právo kedykoľvek odvolať svoj súhlas so spracúvaním osobných údajov.

 

Odvolanie súhlasu so spracúvaním osobných údajov nemá vplyv na zákonnosť spracúvania osobných údajov dotknutej osoby vychádzajúceho zo súhlasu pred jeho odvolaním.

 

ČLÁNOK III            REALIZÁCIA PRÁV DOTKNUTEJ OSOBY

 

Vyššie uvedené práva dotknutej osoby si môže dotknutá osoba uplatniť formou žiadosti adresovanou prevádzkovateľovi Pavol Struhár-Soler s miestom podnikania: Angyalova 433/63,967 01 Kremnica, Slovenská republika, IČO: 33995583, registrácia: Živnostenský register vedený Obvodným úradom Žiar nad Hronom, odbor živnostenského podnikania, číslo živnostenského registra: 613-5724 (ďalej aj len „prevádzkovateľ“) nasledovnými spôsobmi:

 

  • elektronicky na emailovú adresu: soler@soler.sk
  • telefonicky na telefónne číslo: +421 903353004
  • zaslaním písomného oznámenia na adresu miesta podnikania prevádzkovateľa
  • osobným doručením oznámenia spoločnosti v mieste miesta podnikania prevádzkovateľa

 

Spoločnosť je povinná poskytnúť dotknutej osobe odpovede na žiadosti adresované a doručené spoločnosti vo forme, v akej dotknutá osoba žiadosť podala. Ak však dotknutá osoba požiada o iný spôsob poskytnutia odpovede než, v akom podala svoju žiadosť, spoločnosť je povinná poskytnúť dotknutej osobe odpoveď spôsobom požadovaným dotknutou osobou, pokiaľ má spoločnosť k dispozícii potrebné údaje.

 

V prípade požiadavky na odpoveď v ústnej forme, je dotknutá osoba povinná preukázať prevádzkovateľovi svoju totožnosť pred poskytnutím odpovede na jej žiadosť. V prípade, že existujú oprávnené pochybnosti o totožnosti fyzickej osoby - žiadateľa uplatňujúceho si svoje práva dotknutej osoby, je spoločnosť oprávnená vyžiadať si od žiadateľa poskytnutie bližších dodatočných informácii potrebných na potvrdenie totožnosti žiadateľa, a v prípade nezískania týchto dodatočných informácií zaslať odpoveď na žiadosť prostredníctvom subjektu poskytujúceho poštové služby s doručením do vlastných rúk, a to za účelom predchádzaniu situáciám, kedy akákoľvek anonymná fyzická osoba na základe žiadosti pri uplatňovaní práv dotknutej osoby získa osobné údaje o inej fyzickej osobe podliehajúce ochrane v zmysle platných právnych predpisov.

 

ČLÁNOK IV                         LEHOTY A POPLATKY

 

Spoločnosť je povinná poskytnúť dotknutej osobe odpovede na žiadosti, informácie o opatreniach, ktoré sa prijali na základe žiadosti pri uplatňovaní práv dotknutej osoby v zmysle nariadenia GDPR a zákona o ochrane osobných údajov bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti.

 

Prevádzkovateľ je oprávnený predĺžiť lehotu v prípade potreby o ďalšie dva mesiace, a to vzhľadom na  komplexnosť žiadosti a počet žiadostí adresovaných a doručených spoločnosti v určitom období.

Prevádzkovateľ je povinný informovať o každom predĺžení lehoty na vybavenie žiadosť pri uplatňovaní práv dotknutej osoby do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty na odpoveď.

 

Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, spoločnosť poskytne odpoveď na takúto žiadosť v tej istej forme, t.j. elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob poskytnutia odpovede na svoju žiadosť, a ak je to v rámci technických, organizačných a bezpečnostných možností prevádzkovateľa – spoločnosti.

 

V prípade, že spoločnosť neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne, najneskôr však do jedného mesiaca od doručenia žiadosti je spoločnosť povinná informovať dotknutú osobu o dôvodoch nekonania a o možnosť podať sťažnosť dozornému orgánu, t.j. Úradu na ochranu osobných údajov Slovenskej republiky, ako aj o možnosti uplatniť súdny prostriedok nápravy.

 

Spoločnosť je povinná poskytnúť všetky odpovede, opatrenia na základe žiadostí dotknutých osôb pri uplatňovaní ich práv v zmysle nariadenia GDPR a zákona o ochrane osobných údajov bezplatne. Ak sú však žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä z dôvodu ich opakujúcej sa povahy, spoločnosť je oprávnená:

 

a)      požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)      odmietnuť konať na základe žiadosti dotknutej osoby, pričom

 

dôkazné bremeno, t.j. povinnosť preukázať zjavnú neopodstatnenosť alebo neprimeranosť žiadosti dotknutej osoby má spoločnosť.

 

V Kremnici 20.5.2018