Organizačná smernica PURTEX

Organizačná smernica pre spracovanie a ochranu osobných údajov v organizácii.

Podľa ustanovenia nariadenia Európskeho parlamentu a rady (EU) 2016/679, z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len GDPR) a podľa ustanovení zákona 18/2018 z.z, z 29. novembra 2017 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ZoOOÚ)

Obsahuje technické a organizačné opatrenia, ktoré sa naša spoločnosť zaviazala dodržiavať, pretože je podľa článku 24 GDPR s ohľadom na povahu, rozsah, kontext a účely spracovania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb zodpovedná, aby zabezpečila a bola schopná preukázať, že spracovanie sa vykonáva v súlade s nariadením GDPR.

Spoločnosť: Purtex organizačná zložka podniku zahraničnej osoby

Názov: Purtex

Adresa: Kopčianska 35, 908 51 Holíč

IČO: 48 069 175

Dozorný orgán:

Úrad na ochranu osobných údajov Slovenskej republiky

Hraničná 12, 820 07 Bratislava 27

Tel: 02/32 31 3214

E-mail: statny.dozor@pdp.gov.sk

(ďalej len „dozorný orgán“)

1.Vymedzenie základných pojmov:

Dotknutá osoba: každá fyzická osoba, ktorej sa osobné údaje spracovávajú Prevádzkovateľom, každý, kto sám, alebo spoločne s inými vymedzí účel a prostriedky spracovávania osobných údajov a spracováva osobné údaje vo vlastnom mene; prevádzkovateľ, alebo konkrétne požiadavky na jeho určenie, môžu byť stanovené v osobitnom predpise, alebo v medzinárodnej zmluve ktorou je Slovenská republika viazaná, len takýto predpis, alebo takáto zmluva stanovuje účel a prostriedky spracovávania osobných údajov

sprostredkovateľom .

Každý, kto spracováva osobné údaje v mene prevádzkovateľa ,

spracovávaním osobných údajov .

spracovateľská operácia, alebo súbor spracovateľských operácií s osobnými údajmi, alebo súbory s osobnými údajmi, najmä získavanie, zaznamenávanie, usporiadanie, štruktúrovanie, uchovávané, zaznamenávanie a vyhľadávanie, prehľadávanie, využívanie, poskytovanie prenosom, šírením, alebo iným spôsobom, preskupovanie, alebo kombinovanie, obmedzovanie, vymazávanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami, alebo neautomatizovanými prostriedkami,

súhlasom dotknutej osoby.

Akýkoľvek vážny a slobodne daný konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia, či jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracovaním svojich osobných údajov.

Informačným systémom ako usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný, alebo distribuovaný na funkčnom základe, alebo geografickom základe,

biometrickými údajmi:

osobné údaje, ktoré sú výsledkom osobitého technického spracovávania osobných údajov,týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby, alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu, alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako vyobrazenie alebo daktyloskopické údaje.

Obmedzením spracovávania osobných údajov:

označovanie uchovávaných osobných údajov s cieľom obmedziť ich spracovávanie v budúcnosti, profilovaním a akákoľvek forma automatizovaného spracovávania osobných údajov spočívajúca v použití osobných údajov na vyhodnotenie určitých osobných znakov, alebo charakteristík, týkajúcich sa fyzickej osoby, najmä analýzu, alebo predvídanie znakov, alebo charakteristík dotknutej osoby , súvisiace s jej výkonom v prácou, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou, alebo pohybom.

Pseudonymizáciou:

spracovanie osobných údajov spôsobom, ak ich nie je možné priradiť ku konkrétnej dotknutej osoby, bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe, alebo identifikáciu fyzickej osoby.

Šifrovaním:

Transformácia osobných údajov spôsobom, ktorým opätovné spracovávanie je možné iba po zadaní zvoleného parametra, ako je kľúč, alebo heslo.

Online identfikátorom:

Identifikátor poskytnutý aplikáciou, nástrojom, alebo protokolom, najmä IP adresou, cookies, prihlasovacie údaje či online služieb, rádiofrekvenčné identifikácie, ktoré môžu zanechať stopy, ktoré sa najmä v kombinácii

Porušením ochrany osobných údajov:

Porušenie bezpečnosti, ktoré vedie k náhodnému, alebo nezákonnému zničeniu, strate, zmene, alebo k neoprávnenému poskytovaniu, prenášaniu, uchovávaniu osobných údajov, alebo inak spracovaných osobných údajov, alebo k neoprávnenému prístupu k nim.

Príjemcom:

Každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou.

Za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe

osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa daný účel spracovania osobných údajov.

Treťou stranou:

Každý, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom, alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracováva osobné údaje.

2: Mapovanie osobných údajov:

Naša spoločnosť sa v tomto kroku rozhodla definovať, aké osobné údaje spracováva, aby bola schopná zanalyzovať spracovanie osobných údajov a zabezpečiť v súlade s GDPR.

Jednotlivé kategórie osobných údajov, si zadefinujeme ako jednotlivé informačné systémy.(IS)

1) IS Zákazníci:

Meno, priezvisko, titul, ulica a číslo, PSČ, mesto, email, telefónny kontakt, IČO, DIČ, prihlasovacie meno, heslo, údaje k reklamácii, cookies, IP adresa.

Účel spracovania:

Vystavenie daňového dokladu, zmluvné a predzmluvné vzťahy, reklamácia, ponuka tovaru a služieb.

2) IS Mzdy a personalistika:

Osobné údaje zamestnancov-meno,priezvisko, titul,trvalý pobyt-ulica a číslo,PSČ,mesto, dátum narodenia, rodné číslo, číslo bankového účtu(IBAN), názov zdravotnej poisťovne, doplnkové dôchodkové sporenie, číslo OP, email, telefónny kontakt, najvyššie ukončené vzdelanie, základná mzda, osobné ohodnotenie, začiatok a koniec časového úseku, v ktorom zamestnanec vykonával prácu, práca nadčas, práca v noci, pracovná pohotovosť, PN, dovolenka, lekár, služobná cesta.

Osobné údaje rodinných príslušníkov zamestnancov:

Mená, priezviská a rodné čísla rodinných príslušníkov, kópie rodného listu dieťaťa zamestnanca.

Osobné údaje žiadateľov o zamestnanie:

meno, priezvisko, titul, vzdelanie, prax, email, telefónny kontakt

Účel spracovania:

Odvody do sociálnej poisťovne, odvody do zdravotnej poisťovne, plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom so zamestnancom, evidencia žiadateľov a zamestnania, evidencia dochádzky, lekárske posudky.

a) IS Kamerový systém

Tvár monitorovanej fyzickej osoby a iné rysy osoby, ktoré môžu byť odhalené kamerovým systémom.

Účel spracovania: ochrana práv a majetku:

b) IS Marketing

Emailové adresy, telefonické kontakty, IP adresy, cookies

Účel spracovania: analýza nastavenia ponuky, analýza sledovaných metrík, remarketingová ponuka, zasielanie marketingových a reklamných emailov.

c) IS online identifikátory

IP adresa, cookies, prihlasovacie údaje do online služieb.

Účel spracovania:

Identifikácia užívateľa webstránky, prihlásenie sa užívateľa do online služieb.

1) IS BOZP

Meno, priezvisko, dátum a druh školenia.

Účel spracovania: : evidencia školenia BOZP

3: Zásady spracovania osobných údajov (článok 5 v GDPR)

Naša spoločnosť bude dodržiavať nasledujúce zásady spracovania osobných údajov:

3.1. Zákonnosť, spravodlivosť a transparentnosť (čl. 5 ods. 1 písm. a) GDPR)

osobné údaje budú spracovávané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“)

Zákonnosť spracovania (článok 6 GDPR)

Naša spoločnosť sa zaväzuje spracovávať údaje len zákonným spôsobom tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Spracovanie osobných údajov našou spoločnosťou, bude zákonné a to zabezpečením, že sa vykonáva na základe aspoň jedného z týchto právnych základov:

1: dotknutá osoba vyjadrila súhlas so spracovaním osobných údajov na jeden alebo viac konkrétnych účelov.

2: spracovanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na žiadosť dotknutej osoby vykonali opatrenia pred uzavretím zmluvy;

2. spracovanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná (§ 13 ods. 1 písm. c ZoOOÚ)

3. 3. spracovanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

4. 4. spracovanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme, alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

5. 5. spracovanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ, alebo tretia strana, s výnimkou prípadov, keď nad takými záujmami prevažujú záujmy, alebo základné práva a slobody dotknutej osoby, ktoré vyžadujú ochranu osobných údajov, najmä ak je dotknutú osobu dieťa.

Právne základy pre jednotlivé účely spracovania osobných údajov sú definované v záznamoch o spracovateľských činnostiach.

3.2.Zásada obmedzenia účelu (článok 5 ods. 1 písm. b) GDPR)

Naša spoločnosť bude získavať osobné údaje iba na konkrétne určené, výslovne uvedené a legitímne účely a nesmie sa ďalej spracovávať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Naša spoločnosť informuje dotknutú osobu o účele spracovania osobných údajov pred ich spracovaním.

V časti mapovania osobných údajov sme si stanovili účely spracovania jednotlivých IS a osobné údaje budeme spracovávať iba na účely uvedené v tejto časti.

3.3.Zásada minimalizácie osobných údajov (článok 5 ods. 1 písm. c) GDPR)

Naša spoločnosť bude spracovávať osobné údaje tak, aby toto spracovanie bolo primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú, s cieľom zabezpečiť minimalizáciu osobných údajov sa naša spoločnosť rozhodla zanalyzovať, či sú spracovávané údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

Výsledky analýzy minimalizácie údajov sú uvedené v záznamoch o spracovateľských činnostiach.

3.4.Zásada správnosti (článok 5 ods. 1 písm. d) GDPR)

Naša spoločnosť bude spracovávať osobné údaje tak, aby boli správne a podľa potreby aktualizované; a prijme primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sú spracovávané, bez zbytočného odkladu vymazané, alebo opravené.

Na zaistenie zásady správnosti má naša spoločnosť v písomnom súhlase so spracovaním osobných údajov nasledujúcu formuláciu:

„Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. V prípade zmeny osobných údajov je dotknutá osoba povinná zmenu bezodkladne oznámiť prevádzkovateľovi.“

3.5.Zásada minimalizácie uchovávania (článok 5 ods. 1 písm. e) GDPR)

Osobné údaje bude naša spoločnosť uchovávať vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr do tej doby, než je to potrebné na účel, na ktorý sa osobné údaje spracovávajú.

3.6.Zásada integrity a dôvernosti (článok 5 ods. 1 písm. f) GDPR)

Osobné údaje budú v našej spoločnosti spracovávané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným spracovávaním osobných údajov, nezákonným spracovaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov, alebo poškodením osobných údajov a to prostredníctvom primeraných technických alebo organizačných opatrenia.

Osobné údaje uložené v elektronickej podobe.

Naša spoločnosť používa antivírus a firewall od spoločnosti Eset a PF Sense.

Náš server má automatickú zálohu dát.

Naša podniková sieť je chránená heslom, ktoré vedia iba oprávnené osoby a využívame protokol WPA.

Počítač s osobnými údajmi je chránený heslom, ktoré vedia iba oprávnené osoby. Prístupové práva zamestnancov prideľuje IT oddelenie spoločnosti, na základe informácie od nadriadených.

Osobné údaje sú uchovávané v zložkách, ku ktorým majú práva iba oprávnené osoby.

Prístupové práva zamestnancov do jednotlivých programov, ktoré spracovávajú osobné údaje prideľuje IT oddelenie spoločnosti na základe informácie od nadriadených.

Prístup do programov majú iba oprávnené osoby.

Osobné údaje spracovávané na eshope sú chránené heslom a automaticky zálohované na serveri, prístup k nim majú iba oprávnené osoby.

Osobné údaje uložené v papierovej (vytlačenej) podobe- Fyzické dokumenty, sú uložené v obaloch av šanónoch, čím je zaistená ochrana pred poškodením.

Šanóny s fyzickými dokumentmi sú uložené: v zamknutej kancelárii v archíve

Tak je zaistené, že sa k týmto dokumentom dostanú iba oprávnené osoby.

3.7.Zásada zodpovednosti (článok 5 ods. 2 GDPR)

Naša spoločnosť je zodpovedná za dodržiavanie základných zásad spracovania osobných údajov, za súlad spracovania osobných údajov so zásadami spracovania osobných údajov a je povinná tento súlad so zásadami spracovania osobných údajov na požiadanie úradu preukázať.

4.Podmienky poskytnutia súhlasu so spracovaním osobných údajov (článok 7 GDPR)

Spoločnosť zaistí splnenie nasledujúcich podmienok pri vyjadrení súhlasu dotknutou osobou, súhlas so spracovaním osobných údajov musí byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle.

Žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.

Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas.

Odvolanie súhlasu nemá vplyv na zákonnosť spracovania vychádzajúceho zo súhlasu pred jeho odvolaním.

Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

5.Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti (článok 8 GDPR) Ak sa uplatňuje článok 8 ods. 1 písm. a),

v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracovanie osobných údajov dieťaťa zákonné, len ak je dieťaťu menej ako 16 rokov.

Ak je dieťa mladšie ako 16 rokov, také spracovanie je zákonné iba za podmienky av rozsahu, v akom taký súhlas vyjadril alebo schválil nositeľ rodičovskej zodpovednosti.

Naša spoločnosť vynaloží primerané úsilie, aby si v takýchto prípadoch overila, že nositeľ rodičovskej zodpovednosti vyjadril súhlas alebo ho schválil, pričom zohľadní dostupnú technológiu.

6.Spracovanie osobitných kategórií osobných údajov (článok 9 GDPR)

Podľa GDPR sa zakazuje spracovanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské, alebo filozofické presvedčenie, alebo členstvo v odborových organizáciách, a spracovanie genetických údajov, biometrických údajov pre individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života, alebo sexuálnej orientácie fyzickej osoby.

Tento zákaz sa však nepoužije, ak platí niektorá z podmienok článku 11 ods. 2 GDPR písm. a) – j) Najčastejšie jeden z bodov a) alebo b) článku 2 GDPR:

a) dotknutá osoba vyjadrila výslovný súhlas so spracovaním týchto osobných údajov na jeden alebo viac určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

b)spracovanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany .

Naša spoločnosť spracováva údaje týkajúce sa zdravia na základe podmienky článku 2 GDPR písm. b) spracovanie je nevyhnutné na plnenie povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany Konkrétne ide o:

a) údaje z lekárskeho posudku spôsobilosti na prácu, ktoré spracovávame na právnom základe Čl. 1. písmeno c) GDPR - spracovanie osobných údajov je nevyhnutné podľa osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Predovšetkým podľa zákona 355/2007 Zb. o ochrane, podpore a rozvoji verejného zdravia

b) údaje o PN a lekárskych vyšetreniach, ktoré spracovávame na právnom základe Čl. 1. písmeno c) GDPR - spracovanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Predovšetkým podľa zákona 311/2001 Zb. Zákonník práce.

7: Práva dotknutej osoby (kapitola 3 GDPR)

Práva dotknutej osoby, sú upravené kapitolou 3 GDPR a naša spoločnosť sa zaväzuje ich dodržiavať.

Ide napríklad o nasledujúce práva:

7.1.Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby (článok 13 GDPR)

Naša spoločnosť poskytne dotknutej osobe pri spracovaní osobných údajov nasledujúce informácie: údaje o našej spoločnosti ,kontaktné údaje prípadnej zodpovednej osoby; účely spracovania právny základ ,spracovanie ak je spracovanie založené na článku 1 písm. f) GDPR, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

Príjemcovia, alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácie o tom , že naša spoločnosť zamýšľa preniesť osobné údaje do tretej krajiny , alebo medzinárodnú organizáciu .

Čas uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu, alebo vymazanie, alebo obmedzenie spracovania, alebo práva namietať proti spracovaniu, ako aj práva na prenositeľnosť údajov;

ak je spracovanie založené na článku 1 písm. a) alebo na článok 2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracovania založeného na súhlase udelenom pred jeho odvolaním;

právo podať sťažnosť orgánu dohľadu;

informácie o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;

existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článkoch 1 a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracovania pre dotknutú osobu.

7.2.Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby (článok 14 GDPR)

Naša spoločnosť poskytne dotknutej osobe, pokiaľ tieto osobné údaje neboli získané od nej, všetky informácie uvedené v bode 7.1 tejto organizačnej smernice a tiež z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.

Tieto informácie poskytne naša spoločnosť dotknutej osobe v primeranej lehote po obdržaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracovávajú uvedené v článku 2 ods.

3 GDPR Naša spoločnosť neposkytne dotknutej osobe tieto informácie v prípadoch uvedených v článku 14 ods. 5 GDPR, najmä ak:

dotknutá osoba má už dané informácie ,

poskytovanie takýchto informácií sa ukáže, ako nemožné, alebo by vyžadovalo neprimerané úsilie,

sa získanie alebo poskytnutie výslovne stanoví v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha av ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby.

7.3.Právo dotknutej osoby na prístup k údajom (článok 15 GDPR)

dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak je to tak, má právo získať prístup k týmto osobným údajom .

7.4.Právo na opravu (článok 16 GDPR)

dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú.

S ohľadom na účely spracovania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

7.5.Právo na vymazanie (právo „na zabudnutie“, článok 17 GDPR)

dotknutá osoba, má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

osobné údaje už nie sú potrebné na účely, na ktoré boli získavané alebo inak spracovávané;

dotknutá osoba odvolá súhlas, na základe ktorého sa spracovanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ na spracovanie;

dotknutá osoba spochybňuje spracovávanie podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracovanie, alebo dotknutá osoba spochybňuje spracovanie podľa článkz. článok 21 ods . 2;

osobné údaje boli spracovávané nezákonne;

osobné údaje musia byť vymazané, aby bola splnená zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;

osobné údaje boli získavané v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.

7.6.Právo na obmedzenie spracovania (článok 18 GDPR)

dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracovanie, pokiaľ ide o jeden z týchto prípadov:

dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

spracovanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

prevádzkovateľ už nepotrebuje osobné údaje na účely spracovania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie, alebo obhajovanie právnych nárokov;

dotknutá osoba vzniesla námietky voči spracovaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracovania (článok 19 GDPR)

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracovania vykonané podľa článku 16, článku 17 ods. 1 písm. 1 a článku 18, pokiaľ sa to neukáže ako nemožné, alebo si to nevyžaduje neprimerané úsilie.

Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

7.7.Právo na prenositeľnosť údajov (článok 20 GDPR)

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému boli tieto osobné údaje poskytnuté, bránil, ak :

1. sa spracovanie zakladá na súhlase podľa článku 6 ods. 1 písm. a), alebo č. 2 písm. a), alebo na zmluve podľa článku 6 ods. 1 písm. b), a 2. ak sa spracovanie vykonáva automatizovanými prostriedkami.

Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi, pokiaľ je to technicky možné.

7.8.Právo namietať (článok 21 GDPR)

Dotknutá osoba má právo kedykoľvek vzniesť námietky z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré sa vykonáva na základe článku 1 písm. e) alebo f), vrátane námietky proti profilovaniu založenej na uvedených ustanoveniach.

7.9.Automatizované individuálne rozhodovanie vrátane profilovania (článok 22 GDPR) Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracovaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú, alebo ju podobne významne ovplyvňujú.

8.Zodpovednosť PREVÁDZKOVATEĽA(článok 24 GDPR)

Naša spoločnosť, sa ako prevádzkovateľ zaväzuje dodržiavať nasledujúce všeobecné povinnosti: S ohľadom na povahu, rozsah a účel spracovania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby, sa zaväzujeme prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracovanie osobných údajov sa vykonáva v súlade s GDPR. Tieto opatrenia budeme podľa potreby aktualizovať.

Budeme pravidelne preverovať trvanie účelu spracovania osobných údajov a po jeho splnení, bez zbytočného odkladu zaistiť výmaz osobných údajov.

Naša spoločnosť bude zachovávať mlčanlivosť o osobných údajoch, ktoré spracováva. Povinnosť mlčanlivosti trvá aj po ukončení spracovania osobných údajov.

9. Špecificky navrhnutá a štandardná ochrana osobných údajov (článok 25 GDPR)

Naša spoločnosť sa zaväzuje pred spracúvaním osobných údajov zaviesť a počas spracovania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, napríklad aj vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie nariadenia GDPR .

Naša spoločnosť sa zaväzuje pri špecificky navrhnutej ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracovávania osobných údajov a rizika spracovávania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracovávanie osobných údajov predstavuje pre práva dotknutej osoby.

Naša spoločnosť sa zaväzuje zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, zabezpečenie spracovania osobných údajov iba na konkrétny účel, minimalizáciu množstva získaných osobných údajov a rozsahu ich spracovania, doby uchovávania a dostupnosti osobných údajov.

Naša spoločnosť zaistí, aby osobné údaje, neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

10.Sprostredkovateľ (článok 28 GDPR)

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

Naša spoločnosť ako prevádzkovateľ využíva sprostredkovateľov, ktorí v jej mene spracovávajú osobné údaje.

Ide napríklad o účtovnícke a právnické spoločnosti.

Pre našu spoločnosť spracovávajú údaje nasledovní sprostredkovatelia:

Mepatek s.r.o., Teplická 305, 417 61 Bystřany – develop a servis webu Sun Marketing s.r.o., Hybernská 32, 110 10 Praha 1- marketing.

Kamex Slovakia s.r.o., Zlatovského 404, 91105 Trenčín – kuriérska spoločnosť.

Naša spoločnosť bude využívať iba sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracovanie spĺňalo požiadavky GDPR a aby bola zaistená ochrana práv dotknutej osoby.

Spracovanie sprostredkovateľom pre našu spoločnosť sa riadi „zmluvou o spracovaní osobných údajov“, ktorej vzor je prílohou tohto dokumentu. Zaväzuje sprostredkovateľa voči prevádzkovateľovi a určí sa jej predmet a doba spracovania, povaha a účel spracovania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa a sprostredkovateľa.

Naša spoločnosť podpíše dodatky k zmluvám, so spomínanými sprostredkovateľmi, aby zmluvy spĺňali všetky náležitosti GDPR.

11.Záznamy o spracovateľských činnostiach (článok 30 GDPR)

11.1.Záznamy o spracovateľských činnostiach prevádzkovateľa.

Naša spoločnosť, ako prevádzkovateľ, vedie záznamy o spracovateľských činnostiach a na požiadanie ich sprístupní dozornému orgámu.

Tieto záznamy obsahujú nasledujúce údaje:

a) meno/názov a kontaktné údaje prevádzkovateľa av príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

b) účely spracovania;

c) opis kategórií dotknutých osôb a kategórií osobných údajov;

ci) d) kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách, alebo medzinárodných organizácií;

e) v prípade potreby prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia príslušnej tretej krajiny alebo medzinárodnej organizácie av prípade prenosov uvedených v článku 49 ods. 1 písm. 1 druhom pododseku GDPR dokumentáciu primeraných záruk;

f) podľa možnosti predpokladané lehoty na vymazanie rôznych kategórií údajov;

g) podľa možnosti všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1 písm. 1. GDPR .

11.2.Záznamy o spracovateľských činnostiach sprostredkovateľa Naša spoločnosť, ako sprostredkovateľ, vedie záznamy o spracovateľských činnostiach a na požiadanie ich sprístupní dozornému orgámu.

Tieto záznamy obsahujú nasledujúce údaje:

a) meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, av príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

b) kategórie spracovania vykonávaného v mene každého prevádzkovateľa;

c) v prípade potreby prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia príslušnej tretej krajiny alebo medzinárodnej organizácie av prípade prenosov uvedených v článku 49 ods. 1 písm. 1. v druhom pododseku dokumentáciu primeraných záruk;

d) podľa možnosti všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1. GDPR .

13.Oznámenie o porušení ochrany osobných údajov dozornému úradu (článok 33 a 34 GDPR)

V prípade porušenia ochrany osobných údajov, naša spoločnosť bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedela, oznámi porušenie ochrany osobných údajov dozornému orgánu.

Ak nebolo oznámenie dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

Oznámenie o porušení ochrany osobných údajov bude obsahovať aspoň:

a) opis povahy porušenia ochrany osobných údajov vrátane, pokiaľ možno, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

b) kontaktné údaje zodpovednej osoby v našej spoločnosti, kde je možné získať viac informácií o porušení ochrany osobných údajov;

c) opis pravdepodobných následkov porušenia ochrany osobných údajov;

d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane prípadných opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

Naša spoločnosť zdokumentuje každý prípad porušenia ochrany osobných údajov, vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.

V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, naša spoločnosť bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

14.Posúdenie vplyvu na ochranu údajov (článok 35)

Ak typ spracovania, najmä s využitím nových technológií a vzhľadom na povahu, rozsah, kontext a účely spracovania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracovaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov.

Posúdenie vplyvu na ochranu údajov sa vyžaduje najmä v prípadoch:

systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracovaní vrátane profilovania az ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

Spracovanie vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 , alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

Spracovateľské činnosti našej spoločnosti nezahŕňajú prípady uvedené vyššie, z tohto dôvodu, nie je nutné vykonať posúdenie vplyvu na ochranu osobných údajov.

15.Určenie zodpovednej osoby (kapitola 4 oddiel 4 GDPR)

Prevádzkovateľ je povinný určiť zodpovednú osobu, ak:

a) spracovanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávne inštitúcie okrem súdov pri výkone ich súdnej právomoci.

b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické sledovanie dotknutej osoby vo veľkom rozsahu,

c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa článku 9 GDPR vo veľkom rozsahu, alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu, alebo priestupku podľa článku 10 GDPR vo veľkom rozsahu.

Keďže naša spoločnosť nespĺňa ani jednu zo spomínaných podmienok, zodpovednú osobu neurčuje.

16. PRENOS OSOBNÝCH ÚDAJOV DO TRETÍJ KRAJINY, ALEBO MEDZINÁRODNEJ ORGANIZÁCIE.

Prenos osobných údajov, ktoré sú spracovávané, alebo sú určené na spracovanie po prenose do tretej krajiny, alebo medzinárodnej organizácie, sa môže uskutočniť iba vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z príslušnej tretej krajiny, alebo od príslušnej medzinárodnej organizácie do inej. Tretej krajiny, alebo inej medzinárodnej organizácie.

Úrad pre ochranu osobných údajov uverejňuje na svojej webovej stránke zoznam tretích krajín, území a určených sektorov v danej tretej krajine a medzinárodných organizácií, v ktorých Európska komisia rozhodla, že v nich je zaručená primeraná úroveň ochrany, alebo už prestala byť primeraná úroveň ochrany zaručená.

Zoznam je dostupný na stránke https://dataprotection.gov.sk/uoou/sk/content/prenos-do-zem-zarucujucich-primeranu-uroven-ochrany .

Naša spoločnosť bude tento zoznam pravidelne sledovať av prípade, že by prenášala osobné údaje do krajín mimo zoznamu úradu na ochranu osobných údajov, bude postupovať podľa kapitoly 4 GDPR.

17.Mlčanlivosť (§ 79 ZoOOÚ)

Naša spoločnosť je povinná zachovávať mlčanlivosť o osobných údajoch, ktoré spracováva. Povinnosť mlčanlivosti trvá aj po ukončení spracovania osobných údajov.

Naša spoločnosť je tiež povinná zaviazať sa mlčanlivosťou o osobných údajoch fyzickej osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.

Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátne zamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.

Názov súboru cookie	Poskytovateľ	Účel	Expirácia
cookiesplus	purtex-matrace.sk	ukladá vaše preferencie týkajúce sa súborov cookie.	1 rok
PrestaShop-#	purtex-matrace.sk	Tento súbor cookie pomáha udržiavať relácie používateľa otvorené pri návšteve webových stránok a pomáha im pri objednávaní a mnohých ďalších operáciách, ako napríklad: dátum pridania súboru cookie, zvolený jazyk, použitá mena, posledná navštívená kategória produktu, naposledy zobrazené produkty, identifikácia klienta, meno, krstné meno, šifrované heslo, e-mail prepojený s účtom, identifikácia nákupného košíka.	480 hodín

Názov súboru cookie	Poskytovateľ	Účel	Expirácia
ssupp.barclicked	Smartsupp	Potrebné pre automatické správy zo služby živého chatu poskytované spoločnosťou Smartsupp.	Session
ssupp.message	Smartsupp	Ukladá obsah do textovej oblasti zo služby živého chatu poskytovanej spoločnosťou Smartsupp.	Session
ssupp.opened	Smartsupp	Skontroluje, či je okno chatu otvorené zo služby živého chatu poskytovanej spoločnosťou Smartsupp.	Session
ssupp.unreaded	Smartsupp	Počet neprečítaných správ zo služby živého chatu poskytovaných spoločnosťou Smartsupp.	Session

Názov súboru cookie	Poskytovateľ	Účel	Expirácia
collect	Google	Používa sa na zasielanie údajov do služby Google Analytics o zariadení návštevníka a jeho správaní. Sledujte návštevníka naprieč zariadeniami a marketingovými kanálmi.	Session
r/collect	Google	Používa sa na zasielanie údajov do služby Google Analytics o zariadení návštevníka a jeho správaní. Sledujte návštevníka naprieč zariadeniami a marketingovými kanálmi.	Session
ssupp.chatid	Smartsupp	ID konverzácie zo služby živého chatu poskytované spoločnosťou Smartsupp	Session
ssupp.group	Smartsupp	Posledná skupina návštevníkov zo služby živého chatu poskytovanej spoločnosťou Smartsupp.	Session
ssupp.vid	Smartsupp	Nevyhnutné pre funkčnosť četu na webe.	6 mesiace
ssupp.visits	Smartsupp	Počet predchádzajúcich návštev, ktoré je potrebné sledovať pre automatické správy zo služby živého chatu poskytovanej spoločnosťou Smartsupp.	6 mesiace
_ga	Google	Registruje jedinečné ID, ktoré sa používa na generovanie štatistických údajov o tom, ako návštevník používa webovú stránku.	2 roky
_gat	Google	Používa program Google Analytics na obmedzenie rýchlosti požiadaviek	1 deň
_ga_#	Google	Used by Google Analytics to collect data on the number of times a user has visited the website as well as dates for the first and most recent visit.	2 roky
_gd#	Google	Toto je súbor cookie relácie Google Analytics, ktorý sa používa na generovanie štatistických údajov o tom, ako používate webovú stránku, ktorá sa odstráni po ukončení prehliadača.	Session
_gid	Google	Registruje jedinečné ID, ktoré sa používa na generovanie štatistických údajov o tom, ako návštevník používa webovú stránku.	1 deň

Názov súboru cookie	Poskytovateľ	Účel	Expirácia
lastExternalReferrer			Persistent
lastExternalReferrerTime			Persistent
sid	.seznam.cz		Persistent
ssupp.vid	.matrace.purtex.cz		6 mesiacov
_fbp	Facebook	Používa Facebook na dodanie radu reklamných produktov, ako napríklad ponúkanie cien v reálnom čase od inzerentov tretích strán.	3 mesiace
_gcl_au	.purtex-matrace.sk		3 months