Informačná povinnosť prevádzkovateľa
Kto je prevádzkovateľom?
V zmysle článku 13 resp. 14 Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“) je každý prevádzkovateľ, spracúvajúci osobné údaje, povinný poskytnúť podrobné a zrozumiteľné informácie dotknutým osobám, ktorých osobné údaje spracúva. V tomto dokumente si túto povinnosť ako prevádzkovateľ plní aj
Ministerstvo hospodárstva Slovenskej republiky
Mlynské nivy 44/a
827 15 Bratislava 212
IČO: 00686832
(ďalej len „MH SR“).
MH SR má vytvorené primerané technické, personálne a organizačné podmienky na zabezpečenie ochrany spracúvaných osobných údajov.
Na koho sa môžete obrátiť?
S cieľom posilniť záruky a právne garancie práv a slobôd dotknutých osôb pri spracúvaní osobných údajov sme vymenovali zodpovednú osobu, ktorá dohliada na zákonnosť a bezpečnosť spracúvania osobných údajov. Zodpovedná osoba je zároveň kontaktným bodom pre akékoľvek otázky príp. žiadosti týkajúce sa ochrany osobných údajov:
+421 2 4854 7960
Korešpondenčná adresa je totožná s vyššie uvedenou adresou prevádzkovateľa.
Prečo a na aké účely spracúvame osobné údaje?
Osobné údaje musíme spracúvať, aby sme boli schopní plniť povinnosti a úlohy, ktoré nám ako ústrednému orgánu štátnej správy vyplývajú zo všeobecne záväzných právnych predpisov, zo zmluvných vzťahov, z verejných záujmov alebo z výkonu verejnej moci a v malej miere aj z našich oprávnených záujmov.
V nasledovnej tabuľke je ku každej spracovateľskej činnosti uvedený účel a právny základ spracúvania osobných údajov:
Záznamy o spracovateľských činnostiach.xlsx
Komu poskytujeme osobné údaje?
Príjemcami osobných údajov dotknutých osôb sú rôzne okruhy subjektov, ktorým poskytujeme osobné údaje najčastejšie v rámci plnenia našich zákonných povinností. Pri spracúvaní osobných údajov využívame aj služby preverených a zmluvne zaviazaných externých obchodných partnerov a dodávateľov rôznych služieb, ktorí nám pomáhajú spracúvať a chrániť osobné údaje. Ide o tzv. sprostredkovateľov, ktorí pre naše potreby spracúvajú osobné údaje spravidla pri dodávaní služieb, ktoré sme si objednali pri zefektívňovaní činností a plnení úloh. Konkrétne zoznamy príjemcov, ktorým poskytujeme osobné údaje, nájdete v tejto tabuľke:
Záznamy o spracovateľských činnostiach.xlsx
Dochádza k cezhraničnému prenosu osobných údajov?
MH SR neuskutočňuje prenos osobných údajov do medzinárodných organizácií, neuskutočňuje ani cezhraničný prenos osobných údajov do tretích krajín. Tretími krajinami sú štáty, ktoré nie sú členskými štátmi EÚ a nie sú ani členmi Európskeho hospodárskeho priestoru. Dôvodom je, že tieto tretie krajiny nemusia podľa rozhodnutí Komisie EÚ zabezpečovať primeranú úroveň ochrany osobných údajov.
Ako dlho spracúvame osobné údaje?
Osobné údaje spracúvame najviac dovtedy, kým je to potrebné na dosiahnutie primárneho účelu spracúvania. To však neznamená, že osobné údaje okamžite zlikvidujeme. Po skončení primárneho účelu spracúvania vyplýva pre nás povinnosť archivácie osobných údajov. Povinnosť archivácie, ako sekundárneho účelu spracúvania, je často ustanovená v osobitných právnych predpisoch, vrátane doby archivácie. Ak z osobitných právnych predpisov povinnosť archivácie nevyplýva, ako orgánu štátnej správy nám ju ukladá zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov. Dobu archivácie osobných údajov v takomto prípade určujeme my prostredníctvom našich interných politík (registratúrneho plánu), vždy vo vzťahu ku konkrétnemu primárnemu účelu. Spravidla archivujeme údaje 5 rokov, výnimočne 10 rokov.
Pokiaľ spracúvame osobné údaje na základe nášho oprávneného záujmu, sú doby archivácie údajov ešte kratšie. Ak ste navštívili náš úrad a zaevidovali sme vás ako návštevu, archivujeme vaše osobné údaje 1 rok. Ak váš pohyb alebo polohu zosnímala niektorá z našich bezpečnostných kamier, uchovávame záznam nie dlhšie ako 7 dní.
Aké sú práva dotknutých osôb?
GDPR ustanovuje všeobecné podmienky výkonu jednotlivých práv dotknutých osôb. Ich existencia však automaticky neznamená, že pri uplatňovaní jednotlivých práv bude dotknutým osobám z našej strany vyhovené, nakoľko v konkrétnom prípade sa môžu uplatňovať aj výnimky, resp. niektoré práva sú naviazané na konkrétne podmienky, ktoré nemusia byť v každom prípade splnené. Žiadosťou, týkajúcou sa konkrétneho práva, sa budeme vždy zaoberať a budeme ju skúmať z hľadiska právnej úpravy a našej internej politiky pre vybavovanie podnetov dotknutých osôb.
Žiadosti o výkon práva dotknutej osoby nám môžete zasielať elektronicky alebo písomne na vyššie uvedené kontaktné údaje zodpovednej osoby. Odporúčame pri každej žiadosti čo najpodrobnejšie vysvetliť, aké právo v zmysle GDPR uplatňujete, aké sú Vaše identifikačné údaje (na overenie totožnosti), príp. akých účelov a údajov sa žiadosť týka. Pri príliš všeobecných žiadostiach musíme žiadať upresnenie.
Dovoľujeme si Vás upozorniť, že pri vybavovaní Vašej žiadosti o výkon práva dotknutej osoby podľa GDPR Vás môžeme požiadať o dôveryhodné overenie Vašej totožnosti, a to najmä v prípadoch, ak budú existovať pochybnosti o Vašej identite. Je našou povinnosťou zabrániť poskytnutiu osobných údajov o Vás nepovolanej osobe. Proces vybavenia Vašej žiadosti spojenej s výkonom Vášho práva dotknutej osoby podľa GDPR je bezplatný. Ak je Vaša žiadosť zjavne neopodstatnená alebo neprimeraná, najmä preto, že sa opakuje, sme oprávnení účtovať si primeraný poplatok, ktorý zohľadňuje administratívne náklady.
Ako dotknutá osoba máte nasledovné práva:
· Podľa článku 15 GDPR máte právo požiadať o prístup k osobným údajom, ktoré o Vás spracúvame. Toto právo zahŕňa právo na potvrdenie o tom, či o Vás osobné údaje spracúvame, právo získať prístup k týmto údajom, právo získať kópiu osobných údajov, ktoré o Vás spracúvame, ako aj právo na informácie o tom, ako Vaše osobné údaje spracúvame. Spracúvané osobné údaje vám môžeme poskytnúť v listinnej alebo elektronickej podobe, pokiaľ to bude technicky možné.
· Podľa článku 16 GDPR máte právo na opravu a doplnenie osobných údajov, ak o Vás spracúvame nesprávne alebo neúplne osobné údaje. Ako prevádzkovateľ máme prijaté primerané opatrenia, aby sme zabezpečili presnosť, úplnosť a aktuálnosť osobných údajov dotknutých osôb. Ak sú napriek tomu Vaše osobné údaje, ktorými disponujeme nepresné, neúplné alebo neaktuálne, neváhajte nás požiadať, aby sme tieto údaje opravili, aktualizovali alebo doplnili.
· Podľa článku 17 GDPR máte právo na vymazanie (na zabudnutie). Ak sa domnievate, že osobné údaje, ktoré sme o Vás spracúvame, už viac nie sú potrebné na naplnenie pôvodného účelu spracúvania, máte právo nás požiadať o ich vymazanie. Toto vaše právo je však potrebné posúdiť z pohľadu všetkých relevantných okolností. Napríklad, z dôvodu určitých zákonných povinností nebudeme môcť Vašej žiadosti vyhovieť.
· Podľa článku 18 GDPR máte právo na obmedzenie spracúvania Vašich osobných údajov. Ide napríklad o prípady, keď si myslíte, že osobné údaje, ktoré o Vás spracúvame, môžu byť nepresné alebo keď si myslíte, že už Vaše osobné údaje nepotrebujeme využívať.
· Podľa článku 21 GDPR máte právo namietať voči spracúvaniu osobných údajov, ktoré spracúvame na základe našich oprávnených záujmov alebo ktoré spracúvame za účelom splnenia nám zverených úloh vo verejnom záujme alebo pri výkone verejnej moci. V prípade, ak nemáme preukázateľný legitímny oprávnený dôvod na predmetné spracúvanie Vašich osobných údajov a Vy podáte námietku, nebudeme Vaše osobné údaje ďalej spracúvať.
· Podľa článku 20 GDPR máte za určitých okolností právo na prenosnosť osobných údajov, teda zabezpečenie ich prenosu inému prevádzkovateľovi na základe vašej žiadosti. Právo na prenosnosť sa však týka len takých osobných údajov, ktoré sme od Vás získali na základe vášho súhlasu alebo na základe zmluvy, ktorej ste zmluvnou stranou. Právo na prenosnosť sa uplatňuje len vtedy, keď sa spracúvanie predmetných osobných údajov vykonáva automatizovanými prostriedkami a prenos týchto osobných údajov je technicky možný.
· V prípade, ak je právnym základom pre spracúvanie osobných údajov Váš súhlas podľa článku 6 ods. 1 písm. a) GDPR, máte kedykoľvek právo súhlas odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov, ktoré sme na jeho základe o Vás spracúvali do jeho odvolania. Odvolanie súhlasu musí byť práve také jednoduché, ako jeho poskytnutie. Súhlas môžete odvolať elektronicky na adrese zodpovednej osoby, písomne oznámením o odvolaní súhlasu alebo osobne na našom úrade.
· Ako dotknutá osoba máte tiež právo podať sťažnosť na dozorný orgán, ktorým je Úrad na ochranu osobných údajov SR. Ak sa domnievate, že spracúvaním Vašich osobných údajov dochádza k porušovaniu Vašich práv ako dotknutej osoby, máte právo podať návrh na začatie konania v zmysle § 100 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Kontaktné údaje dozorného orgánu sú
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
tel. číslo: +421 /2/ 3231 3214
mail: statny.dozor@pdp.gov.sk
V prípade podania návrhu elektronickou formou je potrebné, aby spĺňal náležitosti podľa § 19 ods. 1 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.
Je poskytnutie osobných údajov vašou povinnosťou?
Odpoveď na túto otázku je závislá predovšetkým od právneho základu spracúvania a v niektorých prípadoch aj od účelu spracúvania osobných údajov.
V prípade, ak je právnym základom pre spracúvanie Váš súhlas so spracúvaním osobných údajov podľa článku 6 ods. 1 písm. a) GDPR, nie ste nikdy povinní poskytnúť Vaše osobné údaje. Poskytnutie osobných údajov je založené na Vašej slobodnej úvahe a dobrovoľnom konaní. Súhlas nesmie byť zo strany prevádzkovateľa vynútený pod hrozbou alebo pod nátlakom. Neposkytnutie osobných údajov by nemalo mať žiadne negatívne a podstatné následky na Vašu osobu.
V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov uzatvorenie alebo plnenie zmluvného vzťahu podľa článku 6 ods. 1 písm. b) GDPR, poskytnutie osobných údajov je požiadavkou, ktorá je potrebná na uzatvorenie resp. plnenie zmluvy. Neposkytnutie osobných údajov môže mať za následok nemožnosť uzatvorenia zmluvného vzťahu.
V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov náš oprávnený záujem v zmysle článku 6 ods. 1 písm. f) GDPR, ste povinní toto spracúvanie strpieť, ale máte voči nemu právo podať námietku. Inou možnosťou je počínať si z vašej strany tak, aby nedošlo k získaniu osobných údajov za týmto účelom (napr. nevstúpite do našej budovy, nebudete sa pohybovať v zornom poli našich kamier...).
V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov osobitný právny predpis podľa článku 6 ods. 1 písm. c) GDPR, alebo plnenie úlohy vo verejnom záujme či výkon verejnej moci podľa článku 6 ods. 1 písm. e) GDPR, závisí vaša povinnosť poskytnutia údajov ako aj dôsledky ich neposkytnutia, od účelu spracúvania a sú teda špecifické pre každú spracovateľskú činnosť. Neposkytnutie osobných údajov môže mať napr. za následok nemožnosť vydania rozhodnutia žiadaného dotknutou osobou, nemožnosť riešenia spotrebiteľského sporu, nemožnosť poskytnutia dotácií alebo štátneho príspevku, nemožnosť uzatvorenia pracovno-právneho vzťahu alebo vykonania bezpečnostnej previerky, marenie výkonu kontroly alebo auditu, nemožnosť realizácie verejného obstarávania zákazky a pod.
Dochádza k automatizovanému individuálnemu rozhodovaniu vrátane profilovania?
Pri spracúvaní osobných údajov v našich podmienkach nevyužívame automatizované individuálne rozhodovanie vrátane profilovania.