Informácia prevádzkovateľa k spracúvaniu osobných údajov Dotknutých osôb – zákazníkov
podľa ustanovenia čl. 13 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), (ďalej len „Nariadenie GDPR“) a § 19 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „Zákon“)
(ďalej len „Informácia“)
Spoločnosť:
Obchodné meno: Okazio s.r.o.
Sídlo: Majerníkova 1, Bratislava – mestská časť Karlova Ves 841 05
IČO: 54 724 732
Registrácia: v Obchodnom registri vedenom Okresným súdom Bratislava I, oddiel Sro, vložka č. 163835/B
Štatutárny orgán: Martin Bittara, konateľ
Kontaktné údaje: info@okazio.sk
(ďalej len „Spoločnosť“ alebo „Prevádzkovateľ“),
informuje Dotknuté osoby o ochrane osobných údajov (ďalej aj ako „OÚ“) podľa ustanovenia čl. 13 Nariadenia GDPR a § 19 Zákona nasledovne:
1.
Dotknutou osobou sa pre účely tejto Informácie rozumie fyzická osoba, ktorej Prevádzkovateľ poskytuje svoje edukačné služby a informuje o možnostiach investovania alebo ktorej je zasielaný newsletter.
2.
Prevádzkovateľ je voči Dotknutej osobe v právnom postavení Prevádzkovateľa podľa Nariadenia GDPR a Zákona,j. osoba, ktorá sama alebo spoločne s inými vymedzí účel a prostriedky spracúvania OÚ
a spracúva OÚ vo vlastnom mene.
3.
Oprávnené záujmy Prevádzkovateľa alebo tretej strany, ak sa OÚ spracúvajú podľa čl. 6 ods. 1 písm. f) Nariadenia GDPR a § 13 ods. 1 písm. f) Zákona (čl. 13 ods. 1 písm. d) Nariadenia GDPR a § 19 ods. 1 písm. d) Zákona):
Prevádzkovateľ spracúva OÚ na základe takéhoto právneho základu v prípade fyzických osôb, ktorým Prevádzkovateľ poskytol edukačné služby a zasiela im newsletter na podporu poskytovania produktov alebo služieb. Dotknutá osoba môže kedykoľvek vyjadriť nesúhlas s takýmto oslovovaním. Na základe tohto vyjadrenia Prevádzkovateľ nebude tieto Dotknuté osoby ďalej oslovovať.
4.
Prevádzkovateľ získava OÚ najmä prostredníctvom svojej webovej stránky okazio.sk.
5.
Identifikácia príjemcu alebo kategóriu príjemcu, ak existuje (čl. 13 ods. 1 písm. e) Nariadenia GDPR
a § 19 ods. 1 písm. e) Zákona):
- Websupport
- Sendinblue
- Typeform
6.
Informácia o tom, či Prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie (čl. 13 ods. 1 písm. f) Nariadenia GDPR a 19 ods. 1 písm. f) Zákona):
Prevádzkovateľ nezamýšľa takýto prenos.
7.
Prevádzkovateľ spracúva nasledovné OÚ Klientov, pre účely, na základe právneho základu a po dobu spracúvania nasledovne (čl. 13 ods. 1 písm. c), e) a ods. 2 písm. e) Nariadenia GDPR a 19 ods. 1 písm. c), e) a ods. 2 písm. a) Zákona):
Zoznam spracúvaných osobných údajov | Účel spracúvania osobných údajov(čl. 5 ods. 1 Nariadenia GDPR a § 7 Zákona) | Právny základ spracúvania osobných údajov(čl. 6 ods. 1 Nariadenia GDPR a § 13 ods. 1 Zákona) | Zákonná/zmluvná požiadavka/ požiadavka potrebná na uzavretie zmluvy/povinnosť dotknutej osoby poskytnúť osobné údaje/možné následky neposkytnutia osobných údajov(čl. 6 ods. 1 Nariadenia GDPR a § 13 ods. 1 Zákona) | Doba spracúvania osobných údajov(čl. 5 ods. 1 písm. e) Nariadenia GDPRa § 10 Zákona) |
Osobné údaje týkajúce sa poskytovania edukačných služieb a informovanie o možnostiach investovania v rozsahu:meno, priezvisko, telefónne číslo, e-mailová adresa, údaje o ekonomickej situácií | Identifikácia zmluvnej strany zmluvy pri poskytovaní edukačných služieb a pri informovaní o možnostiach investovania. Plnenie zákonných a zmluvných povinností Prevádzkovateľa vyplývajúcich mu zo všeobecne záväzných právnych predpisov a zo zmluvy | Spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je Dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti Dotknutej osoby (čl. 6 ods. 1 písm. b) Nariadenia GDPR a § 13 ods. 1 písm. b) Zákona) v nadväznosti na osobitné predpisy alebo medzinárodne zmluvy, ktorými je Slovenská republika viazaná (čl. 6 ods. 1 písm. c) Nariadenia GDPRa § 13 ods. 1 písm. c) Zákona) | Poskytovanie osobných údajov je požiadavkou, ktorá je potrebná na uzavretie zmluvy medzi Dotknutou osobou a Prevádzkovateľom alebo na vykonanie opatrenia pred uzatvorením zmluvy. Následne ide o zmluvnú požiadavku v spojitosti s požiadavkami vyplývajúci z osobitných právnych predpisov. Neposkytnutie osobných údajov spôsobí nemožnosť identifikácie Dotknutej osoby, a teda aj nemožnosť uzatvorenia zmluvy zakladajúcej spoluprácu medzi Dotknutou osobou a Prevádzkovateľom. | Počas trvania spolupráce a podľa právnych predpisov Slovenskej republiky. |
Meno, priezvisko, e-mailová adresa, telefónne číslo pre účely zasielania newsletteraalebo priameho kontaktovania | Zasielanie a/alebo priame telefonické kontaktovanie so všeobecnými reklamnými (marketingovými) oznámeniami o produktoch a službách Prevádzkovateľa a tretích osôb a s informačnými letákmi o činnosti Prevádzkovateľa a tretích osôb, osobám, ktoré vyjadrili osobitný súhlas | Súhlas Dotknutej osoby so spracúvaním jej osobných údajov aspoň na jeden konkrétny účel (čl. 6 ods. 1 písm. a) Nariadenia GDPR a § 13 ods. 1 písm. a) Zákona) | Dobrovoľnosť poskytnutia údajov. Neudelenie súhlasu spôsobí, že obchodné ponuky produktov a služieb nebudú zasielané. | Po dobu 3 (troch) rokov, resp. do odvolania súhlasu. |
Meno, priezvisko, telefónne číslo a e-mailová adresa pre účely zasielania newslettera alebo priameho kontaktovania | Zasielanie a/alebo priame telefonické kontaktovanie s reklamnými (marketingovými) oznámeniami týkajúce sa edukačnej činnosti Prevádzkovateľa a možnostiach investovania osobám, s ktorými má Prevádzkovateľ predchádzajúci právny vzťah | Oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) Nariadenia GDPR a § 13 ods. 1 písm. f) Zákona) | Zákonné oprávnenie Prevádzkovateľa Dotknutá osoba môže kedykoľvek zrušiť zasielanie newsletterov | Po dobu 3 (troch) rokov, resp. do času doručenia požiadavky o zrušenie zasielania newslettera |
8.
Právo Dotknutej osoby požadovať od Prevádzkovateľa prístup k OÚ týkajúcich sa Dotknutej osoby,
o práve na opravu OÚ, o práve na vymazanie OÚ alebo o práve na obmedzenie spracúvania OÚ,
o práve namietať spracúvanie OÚ, ako aj o práve na prenosnosť OÚ (čl. 13 ods. 2 písm. b) Nariadenia GDPR a § 19 ods. 2 písm. b) Zákona):
Dotknutá osoba má voči Prevádzkovateľovi nasledovné práva vo vzťahu k OÚ:
a) Právo požadovať prístup k osobným údajom týkajúcich sa Dotknutej osoby:
Dotknutá osoba má právo získať od Prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje Dotknutej osoby a ak áno, má právo získať prístup k týmto osobným údajom a informácie o
- účele spracúvania osobných údajov,
- kategórii spracúvaných osobných údajov,
- identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
- práve podať návrh na začatie konania podľa § 100 alebo podať sťažnosť dozornému orgánu podľa ustanovenia čl. 77 Nariadenia GDPR,
- zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
- existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa ustanovenie čl. 22 ods. 1 a 4 Nariadenia GDPR a ustanovenia 28 ods. 1 a 4 Zákona (v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu).
Prevádzkovateľ poskytne kópiu OÚ, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré Dotknutá osoba požiada, môže Prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak Dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ Dotknutá osoba nepožiadala o iný spôsob.
Informácie musia byť poskytnuté okamžite, najneskôr v lehote 1 mesiaca. Prevádzkovateľ má právo predĺžiť dobu spracovania žiadosti o ďalšie 2 mesiace pokiaľ je požiadavka zložitá alebo častá. Musí však Dotknutej osoby do 1 mesiaca oznámiť dôvod predĺženia doby spracovania.
V prípade žiadosti neodôvodnenej alebo príliš častej má Prevádzkovateľ právo účtovať poplatok primeraný nákladom alebo odmietnuť žiadosť. Musí vysvetliť dôvod odmietnutia a právo Dotknutej osoby obrátiť sa so sťažnosťou na dozorný orgán.
b) Právo na opravu osobných údajov:
Dotknutá osoba má právo na to, aby Prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má Dotknutá osoba právo na doplnenie neúplných osobných údajov.
Informácie musia byť poskytnuté okamžite, najneskôr v lehote 1 mesiaca. Prevádzkovateľ má právo predĺžiť dobu spracovania žiadosti o ďalšie 2 mesiace pokiaľ je požiadavka zložitá alebo častá. Musí však Dotknutej osoby do 1 mesiaca oznámiť dôvod predĺženia doby spracovania.
V prípade žiadosti neodôvodnenej alebo príliš častej má Prevádzkovateľ právo účtovať poplatok primeraný nákladom alebo odmietnuť žiadosť. Musí vysvetliť dôvod odmietnutia a právo Dotknutej osoby obrátiť sa so sťažnosťou na dozorný orgán.
c) Právo na vymazanie osobných údajov alebo právo na obmedzenie spracúvania osobných údajov:
Dotknutá osoba má právo na to, aby Prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú. Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak Dotknutá osoba uplatnila právo na výmaz podľa predchádzajúcej vety, ak:
- OÚ už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
- Dotknutá osoba odvolá svoj súhlas so spracúvaním OÚ a neexistuje iný právny základ pre spracúvanie OÚ
- Dotknutá osoba namieta spracúvanie OÚ a neprevažujú žiadne oprávnené dôvody na spracúvanie OÚ,
- OÚ sa spracúvajú nezákonne,
- je dôvodom pre výmaz splnenie povinnosti podľa Nariadenia GDPR, Zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
- sa OÚ získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Predchádzajúce dve vety sa neuplatňujú, ak je spracúvanie osobných údajov potrebné:
- na uplatnenie práva na slobodu prejavu alebo práva na informácie,
- na splnenie povinnosti podľa Nariadenia GDPR, Zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
- z dôvodov verejného záujmu v oblasti verejného zdravia,
- na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je pravdepodobné, že právo znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
- na uplatnenie právneho nároku.
Dotknutá osoba má právo na to, aby Prevádzkovateľ obmedzil spracúvanie OÚ, ak
- Dotknutá osoba namieta správnosť OÚ, a to počas obdobia umožňujúceho Prevádzkovateľovi overiť správnosť osobných údajov,
- spracúvanie OÚ je nezákonné a Dotknutá osoba namieta vymazanie OÚ a žiada namiesto toho obmedzenie ich použitia,
- Prevádzkovateľ už nepotrebuje OÚ na účel spracúvania OÚ, ale potrebuje ich Dotknutá osoba na uplatnenie právneho nároku, alebo
- Dotknutá osoba namieta spracúvanie, a to až do overenia, či oprávnené dôvody na strane Prevádzkovateľa prevažujú nad oprávnenými dôvodmi Dotknutej osoby.
Ak sa spracúvanie osobných údajov obmedzilo, okrem uchovávania môže OÚ Prevádzkovateľ spracúvať len so súhlasom Dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
d) Právo namietať spracúvanie osobných údajov:
Ak sa osobné údaje spracúvajú na účely priameho marketingu, Dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu svojich osobných údajov vrátane profilovania. Ak Dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, Prevádzkovateľ už jej osobné údaje na tieto účely nesmie spracúvať.
e) Právo na prenosnosť osobných údajov:
Dotknutá osoba má právo získať OÚ, ktoré sa jej týkajú
a ktoré poskytla Prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi. Právo na prenosnosť nesmie mať nepriaznivé dôsledky na práva a slobody iných. Toto právo platí ak:
- sa spracúvanie zakladá na súhlase alebo zmluve a
- sa spracúvanie vykonáva automatizovanými prostriedkami
Prevádzkovateľ má lehotu na prenos údajov 1 mesiac, je možné ju predĺžiť o 2 mesiace v prípade, že je prenos zložitý. Musí o tom informovať Dotknutú osobu a odôvodniť, prečo nastalo predĺženie lehoty. V prípade, že kroky na prenos Prevádzkovateľ, musí informovať Dotknutú osobu prečo tak neučinil a o práve Dotknutej osoby podať sťažnosť dozornému orgánu.
9.
Právo Dotknutej osoby kedykoľvek odvolať súhlas so spracovaním OÚ (čl. 13 ods. 2 písm. c) Nariadenia GDPR a § 19 ods. 2 písm. c) Zákona):
Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním OÚ, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania OÚ založeného na súhlase pred jeho odvolaním. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
10.
Právo Dotknutej osoby podať návrh na začatie konania podľa § 100 Zákona alebo sťažnosť dozornému orgánu podľa čl. 77 Nariadenia GDPR (čl. 13 ods. 2 písm. d) Nariadenia GDPR a § 19 ods. 2 písm. d) Zákona):
Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má Dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore Nariadením GDPR.
Dotknutá osoba má právo podať na Úrad ochrany osobných údajov návrh na začatie konania o ochrane osobných údajov. Účelom konania je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu Nariadenia GDPR, Zákona alebo osobitného predpisu v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie Nariadenia GDPR, Zákona alebo osobitného predpisu pre oblasť ochrany OÚ.
Návrh na začatie konania musí obsahovať:
- meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
- označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
- predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
- dôkazy na podporu tvrdení uvedených v návrhu,
- kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa Zákona alebo osobitného predpisu, ak si takéto právo Dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa
o neuplatnení predmetného práva, ak návrh podala Dotknutá osoba.
Vzor návrhu na začatie konania bude uverejnený na webovom sídle Úradu na ochranu osobných údajov.
11.
Existencia automatizovaného individuálneho rozhodovania vrátane profilovania (čl. 13 ods. 2 písm. f) Nariadenia GDPR a § 19 ods. 2 písm. f) Zákona):
Prevádzkovateľ nevyužíva automatizované individuálne rozhodovanie a ani profilovanie.