Smernica
o ochrane osobných údajov
2
Klasifikácia
Smernica o ochrane osobných údajov má dôverný charakter. Informácie obsiahnuté v tomto dokumente
je zakázané reprodukovať, kopírovať, distribuovať, zapožičiavať, poskytovať, sprístupňovať alebo
predávať tretím osobám. Taktiež je zakázané tieto informácie modifikovať alebo meniť akýmikoľvek
inými prostriedkami automatizovaného alebo neautomatizovaného spracúvania bez predchádzajúceho
písomného súhlasu autora.
Tento dokument je vypracovaný autorom výlučne pre prevádzkovateľa. Prevádzkovateľ ani žiadna tretia
osoba nie je oprávnená použiť tento dokument ani údaje z neho pre vlastnú potrebu alebo pre potrebu
inej osoby.
Identifikácia prevádzkovateľa
Obchodné meno: FADEUS s.r.o.
IČO: 54 928 176
DIČ:
Sídlo: Doležalova 3424/15C, 821 04 Bratislava
Zastp.: Viktor Radványi, Teodor Derzsi, Zalán Pónya, Lukáš Majerčík
3
Článok 1
Pôsobnosť smernice
1. Táto smernica upravuje postupy prevádzkovateľa, jeho zamestnancov, prípadne ďalších osôb
pri nakladaní s osobnými údajmi, pravidlá pre získavanie, zhromažďovanie, ukladanie,
používanie, šírenie a uchovávanie osobných údajov v jednotlivých informačných systémoch.
Smernica zároveň upravuje niektoré povinnosti prevádzkovateľa, jeho zamestnancov, prípadne
ďalších osôb pri nakladaní s osobnými údajmi.
2. Táto smernica je záväzná pre prevádzkovateľa.
Článok 2
Základné pojmy
1. Osobné údaje sú akékoľvek informácie týkajúce sa fyzickej osoby, na základe ktorých ju
možno priamo alebo nepriamo identifikovať. Osobnými údajmi sú napríklad meno, priezvisko,
druh a adresa pobytu, dátum narodenia, rodné číslo, email, tel. č., podpis, ale aj lokalizačné
údaje, či online identifikátor. Za osobný údaj sa považuje každý údaj, ktorý je špecifický pre
fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto
fyzickej osoby.
2. Spracúvanie osobných údajov je akákoľvek operácia, činnosť alebo súbor operácií
s osobnými údajmi alebo súbormi osobných údajov. Za spracúvanie osobných údajov sa
považuje napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie,
prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom,
šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie,
vymazanie alebo likvidácia. Spracúvaním je každá takáto operácia s osobnými údajmi bez
ohľadu na to, akými prostriedkami je vykonávaná.
3. Prevádzkovateľ je osoba, ktorá spracúva osobné údaje a určí účely a prostriedky spracúvania.
Prevádzkovateľom môže byť fyzická alebo právnická osoba, orgán verejnej moci, agentúra
alebo iný subjekt. Prevádzkovateľ sa odlišuje od iných subjektov, ktoré spracúvajú osobné údaje
(napr. sprostredkovateľ) tým, že určí účely a prostriedky spracúvania osobných údajov.
Prevádzkovateľom je vaša firma.
4. Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, na základe
jeho poverenia. Sprostredkovateľom je napríklad externý účtovník, ktorý pre vás spracúva
osobné údaje za účelom vedenia účtovníctva.
5. Dotknutá osoba je fyzická osoba, ktorej sa osobné údaje týkajú, resp. ktorej osobné údaje sa
spracúvajú. Dotknutými osobami sú napr. vaši zamestnanci, zákazníci alebo osoby, ktoré vám
dali súhlas na zasielanie newslettera.
6. Informačný systém je akýkoľvek usporiadaný súbor osobných údajov spracúvaných podľa
určitých kritérií na vymedzený účel.
Článok 3
Základné ciele prevádzkovateľa
1. Pri spracúvaní osobných údajov prevádzkovateľ smeruje k naplneniu nasledovných cieľov:
a) dodržiavanie základných zásad spracúvania osobných údajov;
b) spracúvanie osobných údajov na niektorom z právnych základov;
c) spracúvanie len nevyhnutných osobných údajov na dosiahnutie vymedzeného účelu
spracúvania osobných údajov;
d) uchovávanie osobných údajov len po nevyhnutnú dobu;
e) informovanie zákazníkov o spracúvaní osobných údajov vo vašej firme;
f) zabezpečenie mlčanlivosti zamestnancov;
g) dodržanie zákonných podmienok pri poverení sprostredkovateľa na spracúvanie
osobných údajov;
4
h) prijatie primeraných bezpečnostných opatrení.
Článok 4
Základné zásady
1. Pri spracúvaní osobných údajov dodržiava prevádzkovateľ tieto zásady spracúvania
osobných údajov:
a) zásada zákonnosti
Osobné údaje môžete spracúvať len zákonným spôsobom, spravodlivo a transparentne.
V rámci tejto zásady musíte dotknutú osobu informovať o podmienkach spracúvania
osobných údajov a následne jej údaje skutočne spracúvať v súlade s týmito informáciami.
Spracúvať osobné údaje môžete len na niektorom z právnych základov stanovených
GDPR, pričom ste povinný dodržiavať nie len GDPR a zákon o ochrane osobných údajov
ale aj iné relevantné právne predpisy.
b) zásada obmedzenia účelu
Osobné údaje môžete získavať len na konkrétne určený, výslovne uvedený a legitímny
účel. Ďalej spracúvať takto získané osobné údaje na iný účel, ktorý nie je zlučiteľný
s pôvodným účelom, je zakázané.
c) zásada minimalizácie údajov
Spracúvať môžete len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú
účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Nemôžete spracúvať také
osobné údaje, ktoré sú nadbytočné, nepotrebné a nie sú nevyhnutné na dosiahnutie
stanoveného účelu.
d) zásada správnosti
Spracúvať môžete len správne a aktuálne osobné údaje. Ak zistíte, že osobné údaje nie sú
správne, musíte prijať všetky dostupné opatrenia na ich opravu alebo vymazanie.
e) zásada minimalizácie uchovávania
Osobné údaje môžete spracúvať len po dobu, ktorá je nevyhnutná na dosiahnutie
stanoveného účelu. Keď ste spracúvanie na daný účel skončili, je potrebné osobné údaje
zlikvidovať.
f) zásada integrity a dôvernosti
Ste povinný zabezpečiť ochranu osobných údajov, ktoré spracúvate. Za týmto účelom
musíte prijať primerané technické a organizačné opatrenia, ako napríklad šifrovanie alebo
pseudonymizáciu.
g) zásada zodpovednosti
Skutočnosť, že spracúvate osobné údaje v súlade s GDPR a zákonom o ochrane osobných
údajov a dodržiavate všetky svoje povinnosti, ste povinný zdokumentovať, aby ste vedeli
splnenie jednotlivých povinností preukázať v prípade kontroly.
Článok 5
Práva dotknutých osôb
1. Prevádzkovateľ kladie dôraz na rešpektovanie práv dotknutých osôb. Dotknuté osoby majú
tieto práva:
a) Právo na informácie
Každá osoba, ktorej osobné údaje spracúvate, má právo na informácie, ktoré stanovuje
GDPR a zákon o ochrane osobných údajov. Za týmto účelom ste povinný prijať vhodné
opatrenia, aby ste tieto informácie dotknutej osobe poskytli. Informácie môžu byť
poskytnuté prostredníctvom webovej stránky, emailom alebo v listinnej forme.
Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko
dostupnej forme, formulované jasne a jednoducho.
b) Právo na prístup k údajom
5
Každá osoba, ktorej osobné údaje spracúvate, má právo získať od vás potvrdenie o tom,
či spracúvate jej osobné údaje. Ak osobné údaje tejto osoby spracúvate, má právo na
prístup k týmto údajom a informácie o ich spracúvaní stanovené zákonom.
c) Právo na opravu
Každá osoba má právo, aby ste spracúvali iba jej správne a aktuálne údaje. Ak vás o to
požiada, musíte nesprávne a neaktuálne údaje opraviť.
d) Právo na vymazanie
V určitých prípadoch má osoba, ktorej údaje spracúvate, právo na vymazanie jej
osobných údajov. Ak sú splnené zákonné podmienky, ste povinný jej údaje vymazať.
e) Právo na obmedzenie spracúvania
V určitých prípadoch má osoba, ktorej údaje spracúvate, právo na obmedzenie
spracúvania jej osobných údajov. Počas obmedzenia spracúvania môžete jej údaje len
uchovávať, iným spôsobom ich spracúvať nemôžete.
f) Právo na prenosnosť údajov
Pokiaľ spracúvate osobné údaje v elektronickej forme na základe súhlasu danej osoby,
môže vás požiadať, aby ste jej osobné údaje poskytli vo forme, ktorá umožňuje prenos
inému prevádzkovateľovi.
g) Právo namietať
Dotknutá osoba má za určitých okolností právo namietať proti spracúvaniu jej údajov.
h) Právo odmietnuť profilovanie
Dotknutá osoba má právo odmietnuť, aby jej osobné údaje boli predmetom
automatizovaného rozhodovania, vrátane profilovania.
2. Dotknutým osobám prevádzkovateľ výkon ich práv uľahčuje, nekladie im prekážky. Preto
vytvoril systém, prostredníctvom ktorého by mohli dotknuté osoby uplatňovať svoje práva.
3. Dotknutej osobe sú vždy poskytnuté informácie o spracúvaní jej osobných údajov a sú
poučené o svojich právach. Prevádzkovateľ poskytuje tieto informácie vhodným spôsobom
podľa okruhu dotknutých osôb, napríklad písomne v listinnej forme, mailom alebo
zverejnením na webovom sídle.
4. Dotknuté osoby môžu uplatňovať svoje práva prostredníctvom mailu na ..........................alebo
poštou na adrese sídla prevádzkovateľa.
5. Prevádzkovateľ každú žiadosť zaeviduje a vybaví bez zbytočného odkladu, najneskôr však do
jedného mesiaca. V tejto lehote informuje dotknutú osobu, ktorá žiadosť podala,
o opatreniach, ktoré na základe jej žiadosti prijali. Uvedená lehota sa môže v prípade potreby
predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí.
O predĺžení lehoty dotknutú osobu informuje do jedného mesiaca od podania žiadosti spolu
s odôvodnením zmeškania lehoty. Oznámenie o spôsobe vybavenia žiadosti sa podáva
rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ dotknutá osoba nepožiada o iný
spôsob.
Článok 6
Podmienky spracúvania osobných údajov
Prevádzkovateľ spracúva osobné údaje v nasledovných informačných systémoch: a to na
nižšie uvedené činnosti: Excel, Word, (vymenovať ďalšie )
Spracovanie osobných údajov za účelom prevádzkovanie aplikácie (dopísať názov)
Spracovanie osobných údajov za účelom prevádzkovanie webstránky (dopísať názov)
Spracovanie osobných údajov zamestnancov
Mzdy a personalistika
Agenda riadenia firmy
1. Prevádzkovateľ spracúva osobné údaje v týchto informačných systémoch na právnom základe
– plnenie zmluvnej povinnosti, plnenie zákonnej povinnosti alebo na základe súhlasu dotknutej
osoby. Pokiaľ sa na spracúvanie osobných údajov vyžaduje súhlas, prevádzkovateľ je povinný
6
zabezpečiť súhlas, ktorý spĺňa podmienky stanovené v platnej legislatíve. Bez platného súhlasu
je spracúvať osobné údaje v týchto prípadoch zakázané.
2. Prevádzkovateľ je povinný spracúvať len tie osobné údaje, ktoré nevyhnutne potrebuje na
naplnenie uvedených účelov.
3. Prevádzkovateľ poskytuje osobné údaje tretím osobám, len ak je na to právny dôvod.
4. Prevádzkovateľ môže poveriť spracúvaním osobných údajov len takých sprostredkovateľov,
ktorí poskytujú primerané záruky pre bezpečnosť osobných údajov. Sprostredkovateľa poverí
na základe zmluvy uzatvorenej v písomnej forme, ktorá spĺňa všetky obsahové náležitosti podľa
GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov.
5. Zamestnanci prevádzkovateľa, ktorí spracúvajú osobné údaje, sú povinní dodržiavať smernicu
pre zamestnancov, GDPR a zákon č. 18/2018 Z. z. o ochrane osobných údajov. Ďalej sú povinní
postupovať podľa pokynov prevádzkovateľa. Prevádzkovateľ zabezpečí, aby každý
zamestnanec bol zmluvne zaviazaný k mlčanlivosti.
6. Prevádzkovateľ vedie záznamy o spracovateľských činnostiach pre uvedené informačné
systémy. Pokiaľ sú splnené zákonné predpoklady, prevádzkovateľ vykoná posúdenie vplyvu na
ochranu údajov a konzultuje zvyškové riziká s Úradom na ochranu osobných údajov.
7. Prevádzkovateľ je povinný zdokumentovať súlad spracúvania osobných údajov s GDPR.
8. Prevádzkovateľ pravidelne, raz za kalendárny rok a vždy keď dôjde k zmene podmienok
spracúvania osobných údajov opätovne posúdi povinnosti, ktoré mu v súvislosti so spracúvaním
osobných údajov vznikajú a tieto zdokumentuje.
9. Prevádzkovateľ je povinný uchovávať osobné údaje len po nevyhnutnú dobu na dosiahnutie
stanoveného účelu a splnenie zákonnej povinnosti. Po uplynutí tejto doby osobné údaje
zlikviduje. Doba uchovávania vyplýva zo zákona
Mzdy a personalistika
a) Osobný spis zamestnanca (platový dekrét, menovací dekrét a iné) sa uchováva po dobu 70
rokov od narodenia.
b) Mzdové listy sa uchovávajú po dobu 20 rokov.
c) Dokumenty týkajúce sa dochádzky, dovolenky a náhradného voľna sa uchovávajú po dobu
3 rokov.
d) Iné dokumenty sa uchovávajú 5 až 10 rokov podľa lehoty stanovenej osobitným zákonom.
Evidencia uchádzačov o zamestnanie
a) Dokumenty týkajúce sa uchádzačov o zamestnanie sa uchovávajú po dobu, na ktorý
uchádzač o zamestnanie poskytol súhlas.
10. Po uplynutí stanovenej lehoty prevádzkovateľ zabezpečí likvidáciu osobných údajov.
Článok 7
Bezpečnosť údajov
1. Prevádzkovateľ je povinný zabezpečiť ochranu osobných údajov. Za týmto účelom prijal
primerané technické a organizačné bezpečnostné opatrenia zohľadňujúce hroziace riziko,
povahu spracúvania, najnovšie poznatky a náklady na prijatie týchto opatrení. Prijaté
bezpečnostné opatrenia sú popísané v samostatnom dokumente.
2. Prevádzkovateľ chráni osobné údaje vhodnými a dostupnými prostriedkami pred zneužitím.
Pritom predovšetkým uchováva osobné údaje v priestoroch, na miestach, v prostredí alebo
v systéme, do ktorého má prístup obmedzený, vopred stanovený a v každom okamihu
kontrolovaný okruh osôb; iné osoby môžu získať prístup k osobným údajom len s povolením
štatutárneho orgánu alebo inej poverenej osoby.
3. Prevádzkovateľ aspoň raz za rok vykoná vyhodnotenie postupov pri nakladaní a spracovávaní
osobných údajov. Vyhodnotenie môže byť vykonané podľa zvyklostí, spravidla sa spíše stručný
záznam napr. zápis z porady vedenia. Ak sa zistí, že niektoré postupy sú zastaralé, zbytočné
alebo sa neosvedčili, vykoná prevádzkovateľ bezodkladne nápravu.
4. Prevádzkovateľ ihneď rieši každý bezpečnostný incident týkajúci sa osobných údajov.
V prípade, že je pravdepodobné, že incident bude mať za následok vysoké riziko pre práva
a slobody fyzických osôb, prevádzkovateľ túto osobu vždy informuje a oznámi, aké opatrenia
7
prijala na nápravu. O každom incidente sa spíše záznam. O každom závažnom incidente
prevádzkovateľ informuje Úrad na ochranu osobných údajov.
V Bratislave, dňa 01.02.2023
............................................................
Za Prevádzkovateľa
