Zhromažďovanie informácií o Užívateľoch, ochrana osobných údajov
1. Užívateľ, ktorý je fyzickou osobou, podpisom Zmluvy alebo odoslaním Objednávky potvrdzuje, že ním poskytnuté osobné údaje v rozsahu: meno, priezvisko, adresa, email, telefónne číslo, sú presné a pravdivé. Spracúvanie uvedených osobných údajov sa vykonáva na právnom základe:
1.1. spracúvanie osobných údajov je nevyhnutné na plnenie Zmluvy, ktorej zmluvnou stranou je Užívateľ, alebo na vykonanie opatrenia pred uzatvorením Zmluvy na základe žiadosti Užívateľa v zmysle ustanovenia čl. 6 bod 1 písm. b) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“)
1.2. spracúvanie osobných údajov je nevyhnutné na splnenie zákonnej povinnosti Poskytovateľa v zmysle ustanovenia čl. 6 ods. 1 písm. c) GDPR; a
1.3. spracúvanie osobných údajov je nevyhnutné na účely oprávnených záujmov, ktoré sleduje Poskytovateľ
2. Poskytovateľ zhromažďuje, uchováva, chráni a prostredníctvom iných spracovateľských operácií spracúva osobné údaje Užívateľa na účely:
2.1. plnenia zákonných povinností, najmä z oblasti vedenia účtovníctva (meno, priezvisko, adresa)
2.2. plnenia zmluvy (fotografie, video-záznam), doručenie (adresa pre poštu)
2.3. neskoršej komunikácie s Užívateľom v súvislosti s poskytovanou Službou (meno, priezvisko, adresa, telefónne číslo, email); aj
2.4. pre potreby vlastného marketingu svojich Služieb, zasielania informácií o produktoch emailom, zlepšovania funkčnosti webovej stránky (email, IP adresa, online identifikátory, cookies)
3. Užívateľ nesie plnú zodpovednosť za škody spôsobené nesprávnosťou alebo neaktuálnosťou poskytnutých osobných údajov.
4. Poskytovateľ je oprávnený spracúvať osobné údaje nad rozsah alebo účel uvedený v bode 1. a 2. tohto dokumentu a ktorých spracúvanie nie je zlučiteľné s právnymi základmi uvedenými v bode 1. tohto dokumentu, len na základe:
4.1. predchádzajúceho súhlasu poskytnutého Užívateľom dobrovoľne a na vopred stanovený účel, rozsah a dobu. Užívateľ má právo takto udelený súhlas kedykoľvek písomne odvolať. Odvolanie súhlasu je účinné dňom jeho doručenia Poskytovateľovi; alebo
4.2. povinnosti vyplývajúcej zo všeobecne záväzného právneho predpisu alebo rozhodnutia orgánu verejnej moci
5. Poskytovateľ sa zaväzuje nespracúvať a neposkytovať osobné údaje mimo rozsah nutný na prevádzkovanie objednanej Služby a jej zabezpečenie. Osobné údaje nie sú na účely poskytovania Služieb poskytované žiadnym tretím osobám s výnimkou zabezpečenia Služieb a produktov na základe bodov 1., 2. a 4. V takom prípade je Poskytovateľ povinný v zmluvnom vzťahu s treťou osobou dohodnúť ochranu osobných údajov v zmysle platných právnych predpisov, najmä GDPR, Zákona o ochrane osobných údajov, a zároveň je povinný informovať Užívateľa, že poskytnutie osobných údajov tretej osobe je nevyhnutné pre plnenie Zmluvy a v opačnom prípade nie je možné Službu poskytnúť. Pre tieto účely je nevyhnutné, aby Poskytovateľ získal od Užívateľa súhlas.
6. Osobné údaje Užívateľa spracúva Poskytovateľ na obdobie trvania zmluvného vzťahu a na nasledujúcich 10 rokov od ukončenia takéhoto zmluvného vzťahu alebo do momentu, keď Užívateľ svoj súhlas odvolá. Po uplynutí príslušného obdobia budú osobné údaje Užívateľa vymazané, a to v rozsahu a na účely, pre ktoré podľa právnych predpisov nie je súhlas Užívateľa potrebný.
7. V prípadoch, keď je voľba príjemcu osobných údajov na Poskytovateľovi, ten pri výbere týchto partnerov vždy dbá na to, aby bol zaručený vysoký štandard ochrany osobných údajov dotknutej osoby.
8. Osobné údaje dotknutej osoby môžu byť spracúvané v krajinách Európskej únie a krajinách, ktoré sú zmluvnou stranou Dohody o Európskom hospodárskom priestore. Prenos osobných údajov môže nastať len do tretích krajín, ktorých právny režim považuje Európska komisia za zabezpečujúci adekvátnu úroveň ochrany osobných údajov
9. Príjemcov osobných údajov spracúvaných Poskytovateľom možno rozdeliť do nasledujúcich kategórií:
9.1. obchodní partneri zabezpečujúci plnenie zmluvy – napr. spoločnosti na tlač fotografií a fotokníh
9.2. obchodní partneri zabezpečujúci plnenie zmluvy v rámci doručovania diela Užívateľovi – Slovenská pošta, cloudové služby
9.3. obchodní partneri zabezpečujúci služby v oblasti webu, reklamy a marketingu Poskytovateľa
9.4. orgány verejnej správy, v prípadoch keď Poskytovateľovi vyplýva povinnosť poskytnúť osobné údaje zo všeobecne záväzného právneho predpisu alebo rozhodnutia orgánu verejnej moci (súdy, orgány činné v trestnom konaní, súdni exekútori, ...)
10. Poskytovateľ sa zaväzuje vykonať všetky kroky k najvyššiemu zabezpečeniu osobných údajov Užívateľa pred ich stratou, poškodením, zničením alebo akýmkoľvek iným protiprávnym spracovaním.
11. Zmluva medzi Poskytovateľom a Užívateľom sa riadi nasledovným:
11.1. Poskytovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu Užívateľa. V prípade písomného súhlasu Užívateľa je Poskytovateľ tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v tejto Zmluve, pričom zodpovednosť voči Užívateľovi nesie Poskytovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
11.2. Poskytovateľ sa zaväzuje spracúvať osobné údaje len pre účely poskytovania Služieb.
11.3. Poskytovateľ spracúva osobné údaje po celú dobu platnosti a účinnosti Zmluvy medzi ním a Užívateľom.
11.4. Poskytovateľ spracúva osobné údaje v identickom rozsahu, v akom ich spracúva Užívateľ. Užívateľ môže rozsah spracúvaných osobných údajov obmedziť.
11.5. Poskytovateľ je oprávnený vykonávať s osobnými údajmi iba spracovateľské operácie nevyhnutné na splnenie účelu spracúvania, a to najmä: získavanie, zhromažďovanie, uchovávanie a likvidáciu.
11.6. Poskytovateľ je povinný spracúvať osobné údaje len v nevyhnutnom rozsahu, aby bolo možné dosiahnuť účel spracúvania a len v súlade s podmienkami tohto článku a všeobecnými obchodnými podmienkami, prípadne písomnými pokynmi Užívateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie. Ak ide o takýto prenos na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je SR viazaná, Poskytovateľ je pri takom prenose povinný oznámiť Užívateľovi túto požiadavku ešte pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je SR viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu.
11.7. Poskytovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými protiprávnymi spôsobmi spracúvania.
11.8. Poskytovateľ vyhlasuje, že zaručuje bezpečnosť spracúvaných osobných údajov, pričom pri prijímaní technických a organizačných opatrení za účelom zabezpečenia ochrany práv a ochrany osobných údajov Užívateľa najmä pred náhodným alebo nezákonným zničením, stratou, zmenou alebo neoprávneným poskytnutím prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávneným prístupom, bral do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov, riziká, ktoré sú spôsobilé narušiť bezpečnosť ochrany osobných údajov a ich závažnosť.
11.9. Poskytovateľ je povinný neposkytnúť osobné údaje tretím osobám, nepoužiť osobné údaje na iný než dohodnutý účel, nezneužiť pre svoj prospech alebo prospech tretej osoby a nenakladať s osobnými údajmi v rozpore s týmto dokumentom.
11.10. Poskytovateľ je povinný zachovávať mlčanlivosť o osobných údajoch získaných o Užívateľovi. Osobné údaje nesmie využiť pre osobnú potrebu, zverejniť, poskytnúť, sprístupniť alebo inak neoprávnene spracovať. Túto mlčanlivosť sa zaväzuje zachovať aj po zániku Zmluvy. Poskytovateľ zodpovedá za to, že mlčanlivosť budú zachovávať aj iné osoby, s ktorými je nevyhnutná spolupráca.
11.11. Poskytovateľ je povinný zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu Užívateľa len počas doby nevyhnutnej na dosiahnutie účelu spracúvania.
11.12. Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Užívateľovi súčinnosť pri zabezpečovaní dodržiavania povinností Užívateľa reagovať na žiadosti Užívateľa pri výkone jeho práv podľa ustanovení kapitoly III GDPR.
11.13. Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Užívateľovi súčinnosť pri zabezpečovaní dodržiavania povinností podľa ustanovení čl. 32 až 36 GDPR, a to:
11.13.1. zabezpečiť bezpečnosť spracúvania
11.13.2. oznámiť porušenie ochrany osobných údajov Úradu na ochranu osobných údajov SR a dotknutým osobám najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti Poskytovateľ dozvedel (okrem prípadu, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb)
11.13.3. v prípade potreby vykonať posúdenie vplyvu na ochranu osobných údajov, týkajúce sa vplyvu spracúvania na ochranu osobných údajov
11.13.4. konzultovať s Úradom na ochranu osobných údajov SR zámer uskutočniť spracúvanie osobných údajov, ak z posúdenia vplyvu na ochranu osobných údajov vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by Užívateľ neprijal opatrenia na zmiernenie tohto rizika
11.14. Poskytovateľ sa zaväzuje poskytnúť Užívateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v ustanovení čl. 28 GDPR a poskytnúť Užívateľovi súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Užívateľa alebo audítora, ktorého poveril Užívateľ.
11.15. Poskytovateľ je povinný bezodkladne oznámiť Užívateľovi, ak podľa názoru Poskytovateľa akýkoľvek pokyn udelený Užívateľom porušuje GDPR, Zákon o ochrane osobných údajov, osobitný predpis alebo medzinárodnú zmluvu, ktorou je SR viazaná, ktoré sa týkajú ochrany osobných údajov.
11.16. Poskytovateľ sa zaväzuje po skončení platnosti a účinnosti Zmluvy, na základe rozhodnutia Užívateľa vymazať osobné údaje alebo vrátiť osobné údaje Užívateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je SR viazaná, nepožaduje uchovávanie týchto osobných údajov.
12. Poskytovateľ v súlade s ustanovením čl. 13 GDPR oznamuje Užívateľovi ako dotknutej osobe nasledovné informácie:
12.1. Identifikačné údaje Poskytovateľa: Lucia Šimková, obchodné meno: Mgr. Lucia Šimková – Eventis, IČO: 48086274, so sídlom Dúbrava 1097, Horná Súča 91333, ako fyzická osoba zapísaná v Živnostenskom registri Okresného úradu Trenčín, číslo živnostenského registra: 350-37013. Webová stránka: www.simkova.sk, možnosť kontaktu prostredníctvom kontaktného formulára, telefónne číslo uvedené v prvej odpovedi na kontaktný formulár.
12.2. Účel, ako aj právny základ spracúvania osobných údajov, je uvedený v bode 1. tohto článku a v dokumente Všeobecné pravidlá ochrany osobných údajov.
12.3. Zoznam osobných údajov je uvedený v bode 1. tohto článku a v dokumente Všeobecné pravidlá ochrany osobných údajov.
12.4. V osobitných prípadoch, ak je pre poskytnutie Služby Poskytovateľom nevyhnutné poskytnúť osobné údaje tretej osobe alebo preniesť osobné údaje do tretej krajiny, poskytne Poskytovateľ o tejto skutočnosti Užívateľovi informáciu.
12.5. Poskytovateľ uchováva osobné údaje po celú dobu poskytovania Služby.
12.6. Užívateľ má právo požadovať od Poskytovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, právo na opravu osobných údajov, právo na vymazanie osobných údajov alebo právo na obmedzenie osobných údajov, právo namietať spracúvanie osobných údajov, ako aj právo na prenosnosť osobných údajov.
12.7. Užívateľ pri podozrení, že sa jeho osobné údaje neoprávnene spracúvajú, môže podať Úradu na ochranu osobných údajov SR návrh na začatie konania o ochrane osobných údajov podľa § 100 Zákona o ochrane osobných údajov.
12.8. Poskytnutie osobných údajov Užívateľom uvedených v bode 1. je potrebné pre uzavretie Zmluvy a poskytnutie Služby.
13. Informácie o právach dotknutej osoby – Užívateľa:
Osoba poskytujúca osobné údaje (dotknutá osoba – Užívateľ) má v zmysle ustanovenia čl. 15 až 22 a čl. 34 GDPR nasledovné práva:
13.1. Právo na prístup k osobným údajom podľa čl. 15 GDPR: Dotknutá osoba má právo získať od Poskytovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Dotknutá osoba má právo získať prístup k týmto osobným údajom a k informáciám uvedených v bode 12.
13.2. Právo na opravu osobných údajov podľa čl. 16 GDPR: Dotknutá osoba má právo na to, aby Poskytovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
13.3. Právo na výmaz osobných údajov podľa čl. 17 GDPR: Dotknutá osoba má právo na to, aby Poskytovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak dotknutá osoba uplatnila právo na výmaz, ak:
13.3.1. osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali
13.3.2. dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva a neexistuje iný právny základ pre spracúvanie osobných údajov
13.3.3. dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na ich spracúvanie alebo dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu
13.3.4. osobné údaje sa spracúvajú nezákonne
13.3.5. je dôvodom pre výmaz splnenie povinnosti podľa GDPR, Zákona o ochrane osobných údajov, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je SR viazaná
13.3.6. sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti
13.4. Právo na obmedzenie spracúvania osobných údajov podľa čl. 18 GDPR: Dotknutá osoba má právo na to, aby Poskytovateľ obmedzil spracúvanie osobných údajov, ak:
13.4.1. dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho Poskytovateľovi overiť správnosť osobných údajov
13.4.2. spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia
13.4.3. Poskytovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku
13.4.4. dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane Poskytovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby
Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí, je Poskytovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.
Na základe čl. 19 GDPR je Poskytovateľ v prípade, ak to dotknutá osoba požaduje, povinný informovať dotknutú osobu o príjemcoch, ktorým Poskytovateľ oznámil opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov.
13.5. Právo na prenosnosť osobných údajov podľa čl. 20 GDPR: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla Poskytovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu Poskytovateľovi.
13.6. Právo namietať spracúvanie osobných údajov podľa čl. 21 GDPR: Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané na právnom základe z dôvodu, že spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo z dôvodu, že spracúvanie je nevyhnutné na účel oprávnených záujmov Poskytovateľa alebo tretej strany, vrátane profilovania založeného na týchto ustanoveniach. Poskytovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku. Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu, vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Následkom doručenia námietky je povinnosť Poskytovateľa v lehote 1 mesiaca od doručenia námietky Užívateľom prestať osobné údaje tejto dotknutej osoby ďalej na účely priameho marketingu spracúvať.
Na základe čl. 22 GDPR má dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
Na základe čl. 34 GDPR má dotknutá osoba právo, aby jej Poskytovateľ bez zbytočného odkladu oznámil porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
14. Poskytnutie informácií dotknutej osobe: Poskytovateľ je povinný poskytnúť dotknutej osobe na základe jej žiadosti informácie podľa čl. 13 GDPR a oznámenia podľa čl. 15 až 22 a čl. 34 GDPR , ktoré sa týkajú spracúvania jej osobných údajov. Tieto informácie je povinný poskytnúť v listinnej alebo elektronickej podobe, spravidla v rovnakej, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže Poskytovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom. Poskytovateľ je pri uplatňovaní práv podľa čl. 15 až 22 GDPR povinný poskytnúť dotknutej osobe súčinnosť.
Poskytovateľ je povinný poskytnúť dotknutej osobe informácie podľa tohto bodu do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže Poskytovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Poskytovateľ je povinný informovať o každom takom predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty.
Informácie podľa tohto bodu poskytuje Poskytovateľ bezodplatne.
Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, Poskytovateľ môže požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo odmietnuť konať na základe žiadosti.
15. Obmedzenie práv dotknutej osoby: O obmedzení práv dotknutej osoby v súlade a podľa čl. 23 GDPR v spojení s § 30 Zákona o ochrane osobných údajov Poskytovateľ informuje dotknutú osobu, ak tým nie je ohrozený účel obmedzenia.