Zabezpečenie ochrany osobných údajov
Čl. I
Základné ustanovenia
1. Spracúvanie osobných údajov spoločnosťou HR kontakt s.r.o. (ďalej iba HR kontakt) v Slovenskej republike sa vykonáva v súlade s aktuálne platnou právnou úpravou, najmä Zákonom 18/2018 Z. z. ochrane osobných údajov a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
2. HR kontakt spracúva v informačných systémoch osobné údaje a osobitné kategórie osobných údajov výlučne dotknutých osôb vymedzených týmto dokumentom a výlučne na základe zákonných dôvodov a pre účely vymedzené týmto dokumentom.
3. HR kontakt nespracúva žiadne ďalšie osobné údaje ani osobitné kategórie osobných údajov v informačných systémoch bez súhlasu dotknutých osôb.
4. Tento dokument je výsledkom posúdenia spracúvania osobných údajov a toku osobných údajov v HR kontakt pre účely právnych noriem upravujúcich ochranu osobných údajov. Zavedením štandardizovanej ochrany osobných údajov na základe princípov tu uvedených je minimalizované riziko porušenia ochrany osobných údajov.
Čl. II
Vymedzenie pojmov
1. Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
2. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
3. Spracúvaním osobných údajov sa myslí spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štrukturovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami, pomocou informačno-komunikačných technológií alebo bez nich.
4. Profilovaním sa myslí akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
5. Pseudonymizáciou sa rozumie spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osobe.
6. Logom (log, logovací záznam) sa rozumie záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme.
7. Šifrovaním sa rozumie transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra ako je kľúč alebo heslo.
8. Online identifikátorom sa rozumie identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu.
9. Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktorý je prístupný podľa určených kritérií, bez ohľadu na to, či ide o systém realizovaný digitálnymi technológiami, bez nich, prípadne kombinovane, centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
10. Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
11. Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa.
12. Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
13. Treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
14. Príjemcom je každá fyzická osoba, ktorá nie je dotknutou osobou a ktorá sa oboznámi s osobnými údajmi dotknutej osoby.
Čl. III
Vymedzenie prevádzkovateľa a sprostredkovateľa
1. HR kontakt je právnickou osobou a pre účely ochrany osobných údajov sa považujú za prevádzkovateľa alebo sprostredkovateľa a to v závislosti od skupiny a účelu spracúvania osobných údajov alebo od informačného systému.
2. Vzťahy medzi prevádzkovateľom a sprostredkovateľom v každom jednotlivom prípade sa riadia podľa záväzných predpisov. V týchto predpisoch sú písomne zahrnuté povinnosti spracovávať osobné údaje priamo prevádzkovateľom alebo v mene prevádzkovateľa. Prenos do tretej krajiny sa neuskutočňuje.
Čl. IV
Vymedzenie dotknutých osôb
1. Dotknuté osoby, ktorých osobné údaje sa spracúvajú vyššie uvedenými prevádzkovateľmi alebo sprostredkovateľmi sú:
- Zamestnanci
- Uchádzači o zamestnanie
- ďalšie fyzické osoby, ktoré sú s HR kontakt vzhľadom na jej ciele v pravidelnom styku
- osoby, ktoré sú v zmluvnom vzťahu s HR kontakt
Čl. V
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov osôb
A. Vymedzenie účelov a právnych základov
1) HR kontakt ako prevádzkovateľ spracúva osobné údaje výlučne pre účely správy vnútorných vecí a pre účely oprávnených záujmov prevádzkovateľa.
2) Spracúvané osobné údaje osobných údajov týchto dotknutých osôb slúžia výlučne pre vnútornú potrebu HR kontakt a nebudú poskytnuté príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
1) Spracúvané osobné údaje týchto dotknutých osôb nebudú prenesené do tretích krajín.
2) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov týchto osôb môže dôjsť k profilovaniu. Pri spracúvaní osobných údajov týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
3) Osobné údaje sa získavajú priamo od dotknutých osôb.
4) Prevádzkovateľ je povinný do administratívnych podkladov pri prvej žiadosti osôb o zamestnanie zahrnúť nasledovnú formuláciu: "Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov HR kontakt."
Čl. VI
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov zamestnancov
A. Vymedzenie účelov a právnych základov
HR kontakt spracúva osobné údaje svojich zamestnancov ako prevádzkovatelia výlučne pre účely pracovnoprávnych vzťahov a ďalších právnych vzťahov, ktoré vyplývajú z pracovného práva a práva sociálneho zabezpečenia a to na základe uvedených právnych základov:
- spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
- spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
- spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad tými to záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa;
- ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
- Osobitné kategórie osobných údajov sa spracúvajú na tom právnom základe, že ich spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
1) Spracúvané osobné údaje vrátane osobitnej kategórie osobných údajov týchto dotknutých osôb nebudú poskytnuté tretím stranám ani ďalším príjemcom bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby; to neplatí pre poskytnutie osobných údajov štátnym orgánom.
2) V súlade s platnou legislatívou HR kontakt môže poveriť spracúvaním osobných údajov svojich zamestnancov inú fyzickú alebo právnickú osobu (sprostredkovateľa v postavení subdodávateľa) a to výlučne na základe písomnej zmluvy s uvedením náležitostí týkajúcich sa ochrany osobných údajov.
3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, pracovné telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
4) Pri spracúvaní osobných údajov, vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k profilovaniu na úrovni tu definovaných právnických osôb. Pri spracúvaní osobných vrátane osobitných kategórií osobných údajov, týchto osôb nedochádza k automatizovanému individuálnemu rozhodovaniu.
5) Prevádzkovateľ je povinný do pracovnej alebo obdobnej zmluvy zahrnúť nasledovnú formuláciu: "Dotknutá osoba svojím podpisom potvrdzuje, že sa oboznámila s princípmi ochrany osobných údajov HR kontakt."
Čl. VII
Osobitné ustanovenia pre spracúvanie osobných údajov a osobitných kategórií osobných údajov fyzických osôb – uchádzačov o zamestnanie, ktoré sú s HR kontakt vzhľadom na jej ciele v pravidelnom styku
A. Vymedzenie účelov a právnych základov
1) HR kontakt ako prevádzkovateľ spracúva osobné údaje uchádzačov o zamestnanie, ktorí sú s HR kontakt vzhľadom na jeho ciele a povahu činnosti.
Spracúvanie osobných údajov je nevyhnutné na účel ďalšie spracúvanie osobných údajov na účel archivácie, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
B. Práva a povinnosti prevádzkovateľov a sprostredkovateľov
3) Prevádzkovateľ je zodpovedný za zahrnutie vyhlásenia súhlasu so spracúvaním osobných údajov. Prevádzkovateľ je zodpovedný za vedenie a archiváciu poskytnutých súhlasov od dotknutých osôb automatizovaným alebo neautomatizovaným spôsobom.
4) Prevádzkovateľ zabezpečí ochranu poskytnutých osobných údajov pred zverejnením, ak na to dotknutá osoba nedala výslovný súhlas.
5) Prevádzkovateľ je zodpovedný za spracúvanie osobných údajov výlučne v rozsahu a na účely, s ktorými dotknutá osoba súhlasila.
6) Prevádzkovateľ je zodpovedný za výmaz osobných údajov vrátane osobitných kategórií osobných údajov, ktoré spracúva na základe jemu poskytnutému súhlasu na základe žiadosti dotknutej osoby.
7) Prevádzkovateľ poskytne osobné údaje poskytnuté na základe súhlasu dotknutých osôb tretím stranám alebo príjemcom len ak na tento účel dala výslovný súhlas dotknutá osoba.
8) Prevádzkovateľ vymedzí v príslušnom dokumente dobu uchovávania osobných údajov. Osobné údaje uvedené na písomnom súhlase sa uchovávajú nepretržite.
9) Prevádzkovateľ nepožaduje od dotknutej osoby rodné číslo, ak mu to neukladá záväzný právny predpis Slovenskej republiky.
Čl. VIII
Spoločné ustanovenia pre všetky kategórie dotknutých osôb
1) Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. Prevádzkovateľ a sprostredkovateľ zabezpečí, že osobné údaje nebude spracúvať na iný ako vymedzený účel.
2) Prevádzkovateľ a sprostredkovateľ zabezpečí opravu osobných údajov bezodkladne po tom, čo sa o nesprávnom osobnom údaji dozvie.
3) Prevádzkovateľ alebo sprostredkovateľ sú povinní chrániť osobné údaje dotknutých osôb pred neoprávneným zverejnením, iným neoprávneným sprístupnením tretím stranám, neoprávneným spracúvaním, odcudzením, zničením, stratou. Prevádzkovateľ alebo sprostredkovateľ sú povinní nahlásiť takéto ohrozenie osobných údajov zodpovednej osobe ihneď, ak ide o závažnú vec (najmä pri odcudzení výpočtovej techniky, matričných kníh, vlámaniu do priestorov prevádzkovateľa a podobne).
4) Prevádzkovateľ a sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov. Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti trvá aj po skončení pracovného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.
5) Prevádzkovateľ môže poveriť spracovaním osobných údajov inú fyzickú alebo právnickú osobu, pričom právnym úkonom poverenia sa táto osoba stáva sprostredkovateľom.