– bezpečnostný dokument prevádzkovateľa –
- PREAMBULA
Pri mojej práci sa snažím zachovávať súkromie dotknutých osôb a snažím sa zodpovedne zbierať Osobné údaje v súlade s Nariadením 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (Všeobecné nariadenie o ochrane Osobných údajov (ďalej ako „GDPR “)) a zároveň zákona č. 18/2018 Z.z. o ochrane osobných údajov v platnom znení (ďalej ako „ZoOOU“).
Zaväzujem sa chrániť a rešpektovať súkromie všetkých dotknutých osôb v súlade s aktuálnymi predpismi o ochrane fyzických osôb pri spracúvaní osobných údajov. Zásady vysvetľujú, kedy a prečo zhromažďujem osobné informácie, ich rozsah, ako ich používam či podmienky, za ktorých ich môžem prezradiť a sprístupniť iným, tretím osobám.
Prevádzkovateľom osobných údajov v zmysle § 5 ods. 1 písm. o) ZoOO je samostatne zárobkovo činná osoba s obchodným menom Petra Paštéková, so sídlom Spádová 1144/20, 926 01 Sereď, IČO: 51 606 593, zápis v ZRSR vedený Okresným súdom Galanta, živnostenským odborom, číslo živnostenského registra: 220-33654, ktorá prevádzkuje web portál (obsahom ktorého je aj eshop) umiestnený na adrese www.mahasi.sk (ďalej ako „Petra Paštéková – Mahasi“ alebo „Prevádzkovateľ“).
- DEFINÍCIE
„Osobné údaje“: akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby („Dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä pomocou identifikátora ako meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzickú, fyziologickú, genetickú, duševnú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
„Dotknutá osoba”: identifikovaná alebo identifikovateľná fyzická osoba, ktorej sa Osobné údaje týkajú.
„Prevádzkovateľ údajov” alebo “Prevádzkovateľ”: subjekt, t.j. Petra Paštéková – Mahasi, ktorý určuje účely a prostriedky spracúvania Osobných údajov; s výnimkou prípadov, keď je to výslovne určené právnymi predpismi platnými pre spracovateľské činnosti.
„Sprostredkovateľ údajov“ alebo “Sprostredkovateľ”: fyzická alebo právnická osoba, ktorá spracúva Osobné údaje v mene Prevádzkovateľa.
„Spracúvanie údajov”: akákoľvek operácia vykonaná s Osobnými údajmi, či už automatizovanými alebo neautomatizovanými prostriedkami, ako je získavanie, zhromažďovanie, zaznamenávanie, organizácia, štruktúrovanie, ukladanie, úprava alebo zmena, vyhľadávanie, nahliadnutie, používanie, zverejňovanie prenosom, šírením alebo iným spôsobom, usporiadanie alebo kombinácia, obmedzenie, vymazanie alebo zničenie.
„Pseudonymizáciou“ sa rozumie spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe.
„Informačným systémom“ sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
„Porušením ochrany osobných údajov“ sa rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim.
„Dotknutou osobou“ sa rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
- ZÁVÄZKY PETRI PAŠTÉKOVEJ – MAHASI TÝKAJÚCE SA OCHRANY O.U.
Zaväzujem sa zabezpečiť ochranu Osobných Údajov v rámci mojej činnosti a mojich podnikateľských aktivít:
- S cieľom zachovať dôvernosť a bezpečnosť Osobných údajov zamestnancov, obchodných partnerov, zákazníkov, uchádzačov o zamestnanie a akejkoľvek inej osoby, ktorej Osobné údaje budú spracúvané, sa zaväzujem konať v medziach zákona a dobrých mravov;
- Prijatím záväzných firemných pravidiel a záväznej firemnej dokumentácie popisujúcej povinnosti osôb pri spracúvaní osobných údajov, ktorých cieľom je zabezpečiť dodržiavanie rovnakej úrovne ochrany pre všetky subjekty so mnou spolupracujúce, a prípadne vytvorenie rámca na prenos Osobných údajov do krajín Európskeho hospodárskeho priestoru, v súlade s GDPR.
- Monitorovaním dodržiavania zásad ochrany Osobných údajov v rámci mojich podnikateľských aktivít a môjho „podniku“, prostredníctvom stálych školení.
- Sprísnením náročnosti pri výbere subjektov, ktoré budú spracúvať Osobné údaje (poskytovatelia služieb, dodávatelia, partneri, atď.).
- PREČO POTREBUJEM VAŠE OSOBNÉ ÚDAJE?
Spracúvam Osobné údaje iba na konkrétne, explicitné a legitímne účely a ďalej nespracúvam osobné údaje spôsobom, ktorý je nezlučiteľný s nasledujúcimi účelmi (okrem iných):
- Plnenie obsahu zmluvy so spolupracovníkmi a dodávateľmi (sprostredkovatelia);
- Plnenie obsahu zmluvy vrátane predzmluvných vzťahov s mojimi zamestnancami;
- Manažment zmluvných a predzmluvných vzťahov s klientmi / zákazníkmi (nákupy), vrátane predzmluvných vzťahov;
- Marketing, propagácia a reklama mojich podnikateľských činností;
- Vedenie účtovníctva a fakturácie;
- IT podpora a prevádzkovanie webového sídla www.mahasi.sk;
- AKÝ JE PRÁVNY RÁMEC?
Ako Prevádzkovateľ zhromažďujem a spracúvam Vaše Osobné údaje:
- v súlade s § 13 ods. 1 písm. a) ZoOOU na základe súhlasu dotknutej osoby (napr. marketing, newsletter);
- v súlade s § 13 ods. 1 písm. b) ZoOOU na účely plnenia zmluvy (napr. zmluva o vytvorení veci na zákazku, kúpna zmluva, pracovná zmluva a pod.);
- v súlade s § 13 ods. 1 písm. c) ZoOOU na účely dodržiavania zákonnej povinnosti, ktorej podlieha Prevádzkovateľ údajov (napr. povinnosti na základe zákona o dani z príjmu, zákona o sociálnom zabezpečení a pod.);
Všetko v závislosti od druhu právneho vzťahu, do ktorého vstupujete s Prevádzkovateľom.
- AKÉ OSOBNÉ ÚDAJE ZBIERAM?
Ako Prevádzkovateľ spracúvam osobné údaje v nasledovnom rozsahu:
- Pre účel plnenia obsahu zmluvy a predzmluvných vzťahov so zamestnancami (čl. 2 písm. B):
- meno a priezvisko;
- titul.;
- adresa trvalého bydliska;
- rodné číslo a dátum narodenia;
- počet detí;
- zdravotná poisťovňa;
- číslo bankového účtu;
- email a telefónne číslo;
- Pre účel plnenia obsahu zmluvy a predzmluvných vzťahov so spolupracovníkmi a dodávateľmi (čl. 2 písm. A):
- meno a priezvisko;
- adresa pracoviska;
- kontaktné údaje ako telefónne číslo a email;
- číslo bankového účtu;
- a iné bežné osobné údaje, ktoré sú potrebné na plnenie obsahu zmluvy, o ktorých ste v zmluve poučený;
- Pre účel manažmentu vzťahov s klientmi / zákazníkmi (nákupy), vrátane predzmluvných vzťahov (čl. 2 písm. C):
- meno a priezvisko;
- adresa (ulica a orientačné číslo, mesto, PSČ);
- telefonický a emailový kontakt;
- v závislosti od voľby spôsobu úhrady kúpnej ceny aj údaje o: vašom PayPal účte, č. bankového účtu a pod.)
- Pre účel marketingu, propagácie a reklamy (čl. 2 písm. D):
- meno a priezvisko;
- fotografie a videá zachytávajúce podobizeň dotknutej osoby alebo jej časti;
- zvukové a audiovizuálne záznamy zachytávajúce podobizeň dotknutej osoby alebo jej časti;
- Pre účel vedenia účtovníctva a fakturácie (čl. 2 písm. E):
- meno, priezvisko;
- adresa (vrátane ulice, orientačného čísla, mesta a PSČ);
- číslo bankového účtu;
- v prípade objednávok tovaru zhotoveného na mieru: dátum narodenia;
- Pre účel IT podpory a prevádzkovania webového sídla (čl. 2 písm. F):
- preferencie „cookies“;
- IP adresa dotknutej osoby;
- PRÁVNY RÁMEC PRE SPRACÚVANIE OSOBITNÝCH KATEGÓRIÍ OSOBNÝCH ÚDAJOV?
Osobitné kategórie Osobných údajov sú Osobné údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Petra Paštéková – Mahasi za žiadnych okolností nespracúva osobitné kategórie Osobných údajov.
- AKÉ ĎALŠIE PRINCÍPY OCHRANY OSOBNÝCH ÚDAJOV DODRŽIAVAM?
Osobné údaje zhromažďujem a spracúvam transparentným a zákonným spôsobom, v rozsahu nevyhnutnom pre moje oprávnené obchodné záujmy, zohľadňujúc práva a slobody Dotknutej osoby. To všetko v nevyhnutnom a obmedzenom rozsahu:
- Kvalita údajov a proporcionalita osobných údajov: Petra Paštéková – Mahasi obmedzuje spracovanie a zber osobných údajov na najnižšie možné nutné minimum a to s ohľadom na účel spracovania (minimalizácia spracovaných dát), to všetko výlučne s vhodnými a relevantnými osobnými údajmi. Za každých okolností podnikám kroky a procesy, aby som zabránila nadmerným alebo irelevantným prenosom osobných údajov od odosielateľa. Zároveň v prípade, ak od vás obdržím osobné údaje, ktoré nepožadujem, resp. nepotrebujem v rámci našej zmluvnej spolupráce, tieto okamžite vymažem, vrátim, alebo iným vhodným spôsobom zamedzím ich ďalšiemu spracúvaniu;
- Presnosť a aktuálnosť Osobných údajov: za každých okolností podnikám kroky na zabezpečenie vymazania alebo opravenia údajov, ktoré sú nepresné alebo neúplné, so zreteľom na účel ich zhromažďovania alebo ich ďalšieho spracúvania, k čomu nevyhnutne potrebujem vaše spolupôsobenie;
- Primerané obdobie uchovávania údajov: Osobné údaje uchovávam o zákonných požiadavkách a požiadavkách na uchovávanie obchodných údajov vo forme, ktorá umožňuje identifikáciu Dotknutej osoby na obdobie, ktoré je potrebné na účely spracúvania Osobných údajov. Keď sa dosiahne maximálna doba uchovávania požadovaná platnými právnymi predpismi alebo doba uchovávania požadovaná na účely zbierania údajov (podľa toho, ktorý dátum nastane neskôr), podniknem primerané kroky na vymazanie Osobných údajov.
- Bezpečnosť a dôvernosť Osobných údajov: Petra Paštéková – Mahasi zaviedla náležité a komerčne primerané technické a organizačné opatrenia, ktoré zabezpečujú dôvernosť Osobných údajov, ktoré zhromažďuje a uchováva. Tieto opatrenia zároveň chránia pred neoprávneným alebo nezákonným prezradením, sprístupnením, náhodnou stratou, vymazaním, zmenou alebo poškodením Osobných údajov, berúc do úvahy najmodernejšie technológie a náklady na realizáciu. Zároveň prijímam príslušné opatrenia na zabezpečenie toho, aby Sprostredkovatelia údajov, ktorí majú prístup k Osobným údajom, primerane dodržiavali aspoň také prísne bezpečnostné opatrenia, aké uplatňujem sama. Z mechanického hľadiska sú osobné údaje chránené tak, že v listinnej podobe sú uzamknuté v skriniach v uzamknutej budove. Údaje v PC ako aj v mobiloch sú zaheslované a šifrované.
- DOCHÁDZA K AKÝMKOĽVEK AUTOMATIZOVANÝM ROZHODNUTIAM TÝKAJÚCIM SA SPRACÚVANIA OSOBNÝCH ÚDAJOV?
Podnikám náležité kroky, ktoré zabezpečujú právo Dotknutej osoby nepodliehať rozhodnutiu, ktoré má právne účinky priamo sa týkajúce osoby alebo ovplyvňujúce osobu a ktoré je založené výlučne na automatizovanom spracúvaní Osobných údajov, vrátane profilovania určeného na vyhodnotenie určitých osobných aspektov, ako napríklad výkonnosť pri práci, bonita, spoľahlivosť, osobné vystupovanie, atď.
- AKÉ MÁ DOTKNUTÁ OSOBA PRÁVA?
Za každých okolností má Dotknutá osoba právo žiadať, a požiadavke musí byť vyhovené bez zbytočného odkladu:
- Byť v zrozumiteľnej forme informovaný aspoň o účeloch spracúvania, kategóriách príslušných Osobných údajov, príjemcoch alebo kategóriách príjemcov, existencii transferov a používaní vhodných ochranných opatrení.
- Získať prístup k Osobným údajom Dotknutej osoby. V závislosti od situácie dotknutej osoby (zamestnanec, obchodný partner, dodávateľ alebo iné) a platných právnych predpisov môžu byť Osobné údaje sprístupnené priamo, alebo prostredníctvom zamestnanca, alebo inej osoby, ktorú určil Prevádzkovateľ.
- Opraviť nepresné Osobné údaje,
- Vymazať Osobné údaje
- Ak je to uplatniteľné, získať obmedzenie spracúvania;
- Ak je to uplatniteľné, uplatniť právo na prenosnosť údajov a získať od Petri Paštékovej – Mahasi právo obdržať Osobné údaje, ktoré jej poskytla Dotknutá osoba, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte;
- Nesúhlasiť so spracúvaním na účely priameho marketingu (vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom), a to kedykoľvek, bezplatne a bez nutnosti uvedenia legitímnych dôvodov.
- Podať sťažnosť dozornému orgánu ohľadom používania Osobných údajov podľa § 100 ZoOOU.
Dotknutá osoba môže poslať žiadosť na príslušnú kontaktnú adresu (podrobne uvedenú v informačných oznámeniach) poštou alebo prostredníctvom e-mailu na: petra.pastekova@mahasi.sk,ktorý nájdete aj na webovej stránke www.mahasi.sk.
Prevádzkovateľ môže vzniesť námietky voči požiadavkám, ktoré sú zjavne neúmerné, najmä počtom alebo opakovaným a systematickým charakterom.
- DOCHÁDZA K AKÉMUKOĽVEK PRENOSU OSOBNÝCH ÚDAJOV?
Ako podnikateľ nezasielam vaše Osobné údaje do zahraničia žiadnym tretím osobám, okrem prípadov, kedy je to potrebné za účelom doručenia zásielok, prípadne vymáhania nárokov.
- Prenos údajov mimo územia SR:
- Sprostredkovatelia údajov: Uzatváram alebo uzavriem primerané písomné dohody so Sprostredkovateľmi údajov, aby som zaistila, že spracúvajú Osobné údaje v súlade s mojimi pokynmi, a aby zavádzali a udržiavali primerané opatrenia na zabezpečenie a ochranu dôverných informácií na zabezpečenie primeranej úrovne ochrany.
- Tretie strany: Od subjektov spolupracujúcich s Petra Paštéková – Mahasi sa môže požadovať, aby sprístupnili určité Osobné údaje tretím stranám. Takéto sprístupnenie sa môže vyžadovať najmä v súlade s platnými zákonmi (napr. zverejnenie údajov o mzdách daňovému úradu) alebo v prípade ohrozenia zdravia alebo bezpečnosti Dotknutej osoby (napr. v prípade pracovného úrazu, závadného výrobku a pod.). Môžem tiež zverejniť Osobné údaje na ochranu svojich zákonných práv (napr. v súdnych sporoch).
- RIEŠENIE SŤAŽNOSTÍ A MECHANIZMY VYMÁHANIA
Ak sú Osobné údaje sprístupnené, spracúvané alebo použité akýmkoľvek spôsobom, ktorý je v rozpore s týmito Zásadami alebo záväznými firemnými pravidlami, podniknem primerané nápravné opatrenia, ktoré môžu zahŕňať disciplinárne sankcie v súlade s platnými právnymi predpismi.
Ak sa Dotknutá osoba domnieva, že došlo k porušeniu týchto zásad a jej Osobné údaje sú spracúvané spôsobom, ktorý je nezlučiteľný s týmito zásadami, môže Dotknutá osoba podať sťažnosť nasledujúcim zainteresovaným stranám, garantujúcim nezávislosť počas výkonu ich úloh. Zároveň mám zavedený osobitný postup, ktorý určuje úlohy a zodpovednosti súvisiace s riešením sťažností dotknutých osôb a prijímam, dokumentujem, vyšetrujem a reagujem na sťažnosti týkajúce sa ochrany súkromia.
Po zaregistrovaní sťažnosti musí byť sťažnosť potvrdená a vybavená v primeranej lehote (jeden mesiac s možnosťou obnovenia/predĺženia lehoty na základe legitímnych dôvodov a v závislosti od stupňa zložitosti prípadu). Ak nie je Dotknutá osoba spokojná s poskytnutými odpoveďami, má právo podať sťažnosť príslušnému dozornému orgánu podľa § 100 ZoOOU a/alebo súdu, pod ktorého jurisdikciu spadá Petra Paštéková – Mahasi. Pred postúpením prípadu príslušnému orgánu dohľadu alebo príslušnej jurisdikcii by každá strana mala vynaložiť maximálne úsilie na vyriešenie sťažnosti prostredníctvom vyššie uvedeného interného mechanizmu.
- KONTAKT NA PETU PAŠTÉKOVÚ – MAHASI
V prípade akýchkoľvek otázok týkajúcich sa týchto Zásad alebo akýchkoľvek sťažností alebo žiadostí (napr. sprístupnenie, námietky alebo žiadosti o opravu) odporúčam, aby sa Dotknutá osoba obrátila na príslušný kontakt, ktorý je uvedený v informačnom oznámení:
Petra Paštéková ,Ochrana osobných údajov
Spádová 1144/20, 926 01 Sereď, email: petra.pastekova@mahasi.sk
- ZÁVER
Tieto Zásady sa môžu z času na čas meniť a dopĺňať. Najnovšia verzia Zásad ochrany Osobných údajov bude zverejnená na intranetovej stránke, vyvesená na voľne prístupnom mieste v ateliéroch Prevádzkovateľa a môže byť tiež distribuovaná (v tlačenej alebo elektronickej podobe).
V ………………….., dňa ………………….
_______________________________
Petra Paštéková
Mahasi