Smernica pri spracúvaní osobných údajov
SMERNICA
upravujúca postup pri spracúvaní osobných údajov
Prevádzkovateľ:
Kanalizácie s.r.o.,
IČO: 45541931,
so sídlom: Kakatka 483/8, 976 62 Brusno,
zapísaný v Živnostenskom registri Okresného úradu Banská Bystrica , č. živnostenského registra: 620-30965
Vypracoval: JUDr. Diana Hrončeková, advokátka
so sídlom: Komenského 10E, 974 01 Banská Bystrica
IČO: 42007500, SAK 4514
úplné znenie k 01.11. 2019
OBSAH:
Úvod......................................................................................................................... 3
Definícia pojmov...................................................................................................... 4
Účel a cieľ ............................................................................................................... 5
Základné zásady spracúvania osobných údajov ...................................................... 6
Práva dotknutých osôb ...........................................................................................10
Bezpečnosť osobných údajov .................................................................................16
Oznamovanie porušení ochrany osobných údajov úradu na ochranu osobných údajov .....................................................................................................................31
Bezpečnostné incidenty...........................................................................................31
Kontrolná činnosť ...................................................................................................33
I.
ÚVOD
Kanalizácie s.r.o., IČO: 45541931, so sídlom: Kakatka 483/8, 976 62 Brusno, zapísaný v Živnostenskom registri Okresného úradu Banská Bystrica , č. živnostenského registra: 620-30965 (v ďalšom texte len ako „Slovenské kanalizacie“) je fyzická osoba - podnikateľ, ktorý je poskytovateľom služieb v oblasti čistenia kanalizácie a prevádzkovateľom – webovej stránky prevádzkovanej na internetovej doméne slovenskekanalizacie.sk. Webový portál zahŕňa všetky a akékoľvek časti webovej stránky, jej podstránok, ich obsah, zdrojové a strojové kódy tak ako je v akomkoľvek čase dostupný a prevádzkovaný na vyššie uvedenej doméne (ďalej len „Portál“).
Slovenské kanalizacie z vyššie uvedeného dôvodu spracúva osobné údaje svojich zamestnancov vrátane spolupracovníkov, ktorí sú fyzickými osobami-podnikateľmi a osobné údaje užívateľov Portálu – objednávateľov a zabezpečuje administráciu systémov potrebných na prevádzku webovej stránky, správy databáz, správy serveru, zabezpečenia dát, integrácie a vývoja nových funkcionalít a služieb ako aj integrácie služieb tretích strán na programovej a administratívnej úrovni a údajov o zmluvnej fakturácii a platbách Slovenské kanalizacie
V zmysle zákona č. 18/2018 Z.z. o ochrane osobných údajov (v ďalšom texte len ako „Zákon“ v príslušnom gramatickom tvare) má Slovenské kanalizacie postavenie prevádzkovateľa, z ktorého dôvodu zodpovedá za dodržiavanie zásad spracúvania osobných údajov v zmysle čl. 5 Nariadenia európskeho parlamentu a rady (EU) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (v ďalšom texte len ako „GDPR“) a prvej hlavy Zákona. Slovenské kanalizacie je povinná pri spracúvaní osobných údajov dodržiavať tieto zásady:
zásada zákonnosti,
zásada korektnosti a transparentnosti,
zásada účelového obmedzenia prevádzkovateľa,
zásada minimalizácie údajov a ich uchovávania,
zásada správnosti,
zásada integrity a dôvernosti.
Zároveň je Slovenské kanalizacie povinná chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
Táto smernica sa vzťahuje na Slovenské kanalizacie, na všetkých zamestnancov Slovenské kanalizacie, vrátane spolupracovníkov, ktorí sú fyzickými osobami – podnikateľmi a objednávateľov služby /zákazníkov/.
II.
DEFINÍCIA POJMOV
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje v zmysle § 57 ods. 2 zák. č. 351/2011 Z.z., alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Dotknutou osobou sa rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Prevádzkovateľom sa rozumie každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene a je ním Slovenské kanalizacie.
Sprostredkovateľom sa rozumie ten, kto spracúva osobné údaje v mene prevádzkovateľa Slovenské kanalizacie.
Príjemcom sa rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.
Treťou stranou sa rozumie každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
Spracúvaním osobných údajov sa rozumie spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
Súhlasom dotknutej osoby sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
III.
ÚČEL A CIEĽ
Táto smernica upravuje postup pri spracúvaní osobných údajov dotknutých osôb, ktoré Slovenské kanalizacie spracúva z titulu ich pôsobenia v postavení zamestnancov vrátane spolupracovníkov a z titulu uzatvoreného zmluvného vzťahu tak, aby nedošlo pri ich spracúvaní k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim.
Cieľom tejto smernice je zabezpečiť dodržiavanie zásad spracúvania osobných údajov v súlade s GDPR a zákonom .
Spracúvanými osobnými údajmi sú:
titul, meno a priezvisko, pôvodné priezvisko, adresa bydliska (trvalého, prechodného pobytu), korešpondenčná adresa, dátum narodenia, miesto narodenia, rodinný stav, počet detí, mená a priezviská detí, meno manžela/ky, rodné číslo osoby, na ktorú sa pozerá ako na zamestnanca, rodné čísla jeho rodinných príslušníkov, dosiahnuté vzdelanie, zápočet rokov a praxe, telefonický kontakt , e-mailová adresa, číslo občianskeho preukazu /iného dokladu totožnosti/, číslo bankového účtu, údaj o zdravotnej poisťovni osoby, na ktorú sa pozerá ako na zamestnanca, podpis, fyzická identita, prípadne ďalšie údaje potrebné na spracovanie personálnej a mzdovej evidencie, telekomunikačné údaje (prevádzkové údaje, lokalizačné údaje, inventarizačné údaje, údaje o online identifikátoroch, resp. IP adresách), telemediálne údaje (údaje o využívaní a inventarizačné údaje) alebo údaje o elektronickej komunikácii (obsah elektronickej komunikácie a metaúdaje elektronickej komunikácie), referenčné údaje zmluvy, resp. iného právneho vzťahu (zmluvný vzťah, predmet a/alebo účel zmluvy, resp. iného právneho vzťahu), údaje o zmluvnej fakturácii a platbách, osobitné kategórie osobných údajov (informácie o rasovom a etnickom pôvode, politické názory, náboženské alebo filozofické presvedčenia, členstvo v odboroch, zdravotný stav a intímny život, biometrické údaje, genetické údaje, údaje o odsúdení za trestný čin a o spáchaných trestných činoch), prípadne ďalšie údaje potrebné na spracovanie personálnej a mzdovej evidencie.
Slovenské kanalizacie spracúva osobné údaje na účtovné, mzdové a daňové účely. Pre Slovenské kanalizacie spracúva účtovnú evidenciu, personálnu a mzdovú agendu subjekt, ktorý má v zmysle GDPR, zákona a tejto smernice postavenie sprostredkovateľa.
Slovenské kanalizacie získava osobné údaje spracúvané na vyššie uvedené účely najmä priamo od dotknutých osôb písomnou korešpondenciou, telefonicky alebo elektronicky. V praxi môže dôjsť k situácií, kedy dotknutá osoba poskytne Slovenské kanalizacie aj osobné údaje o iných fyzických osobách, ktoré Slovenské kanalizacie musí alebo je oprávnený spracúvať na vlastné účely. Slovenské kanalizacie nezískava od fyzických osôb súhlas s poskytnutím ich osobných údajov na vyššie uvedené účely, t.j. účtovné, mzdové a daňové, nakoľko jeho oprávnenie spracúvať osobné údaje vyplýva z osobitných právnych predpisov.
IV.
ZÁKLADNÉ ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
Spracúvanie osobných údajov zo strany Slovenské kanalizacie sa vykonáva na tomto právnom základe:
- spracúvanie osobných údajov v dôsledku nevyhnutnosti podľa osobitného predpisu, ktorým je zákon č. 461/2003 Z.z. o sociálnom poistení, zákon č. 580/2004 Z.z. o zdravotnom poistení, zákon č. 162/1995 Z.z. o katastri nehnuteľností, Zákonník práce, Obchodný zákonník, Občiansky zákonník, zákon o živnostenskom registri.
Z tejto základnej zásady vyplývajú takmer všetky ďalšie povinnosti pre Slovenské kanalizacie ako prevádzkovateľa na jednej strane a zároveň všetky práva dotknutých osôb na strane druhej. Napriek tomu tieto ďalšie povinnosti a práva majú svoje limity a existujú z nich legitímne výnimky, ktoré nemožno vykladať ako porušenie základných zásad spracúvania, z ktorých vyplývajú.
4..1. Zákonnosť, spravodlivosť a transparentnosť
Spracúvanie osobných údajov zo strany Slovenské kanalizacie musí byť vykonávané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Zákonný spôsob spracúvania znamená, že spracúvanie osobných údajov sa musí opierať o aspoň jeden z právnych základov spracúvania uvedených v GDPR. Slovenské kanalizacie spracúva osobné údaje na právnom základe vyplývajúcom z osobitných predpisov, plnenia zmluvy a ochrany oprávnených záujmov, kedy súhlas so spracúvaním osobných údajov nie je potrebný. Pri spracúvaní osobných údajov sa môže v niektorých prípadoch odvolávať na viacero právnych základov súčasne.
Slovenské kanalizacie spracúva osobné údaje zamestnancov, účastníkov zmluvných vzťahov na účtovné, mzdové a daňové účely bez ich súhlasu, pretože účel spracúvania vyplýva z osobitných právnych predpisov. Slovenské kanalizacie má voľnosť vybrať si v takýchto prípadoch režim právneho základu (aspoň jeden), ktorý je vhodnejší, pričom táto smernica podporuje výber režimu splnenia zákonnej povinnosti z dôvodu, že daný režim pokrýva aj iné fyzické osoby, s ktorými Slovenské kanalizacie nemá uzatvorenú zmluvu.
Pri právnom základe vyplývajúceho z osobitného predpisu môže účel spracúvania, ktorý tým Slovenské kanalizacie sleduje, zároveň predstavovať aj oprávnený záujem Slovenské kanalizacie alebo inej osoby. Ak je možné zo strany Slovenské kanalizacie preukázať splnenie podmienok použitia právneho základu ochrany oprávnených záujmov, týmto spôsobom je zároveň preukázaná zákonnosť spracúvania osobných údajov vo väčšom rozsahu ako je nevyhnutné na splnenie zákonnej povinnosti podľa daného osobitného právneho predpisu.
Slovenské kanalizacie spracúva osobné údaje aj na právnom základe „plnenia zmluvy“.Tento právny základ dovoľuje spracúvať osobné údaje v rámci tzv. predzmluvných vzťahoch s dotknutou osobou.
Zásada spravodlivého a transparentného spracúvania vyžaduje, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Slovenské kanalizacie za účelom dodržania zásady spravodlivého a transparentného spracúvania osobných údajov informuje dotknuté osoby prostredníctvom Podmienok ochrany súkromia zverejnených a dostupných na Portále, v inej zmluvnej dokumentácií a zároveň prostredníctvom tejto Smernice.
4.2 Obmedzenie účelu
Zásada obmedzenia účelu vyžaduje, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a zakazuje osobné údaje ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.
Slovenské kanalizacie dotknutým osobám oznamuje súčasne všetky účely spracúvania, za akým spracúva osobné údaje prostredníctvom Podmienok ochrany súkromia zverejnených a dostupných na Portále, v inej zmluvnej dokumentácií a zároveň prostredníctvom tejto Smernice.
Pri určení nového účelu spracúvania osobných údajov je potrebné zo strany Slovenské kanalizacie vykonať test zlučiteľnosti nového účelu spracúvania s pôvodným účelom spracúvania, za ktorým boli osobné údaje získané. Ak sú osobné údaje získavané od začiatku so zámerom ich súčasného spracúvania na viacero účelov v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti (t.j. najmä pri existencii právneho základu na dané spracúvanie), tieto účely nepodliehajú testu zlučiteľnosti. Výsledkom testu zlučiteľnosti je, že pôvodný právny základ spracúvania môže Slovenské kanalizacie použiť aj na nový účel spracúvania. Niektoré účely sú automaticky považované za zlučiteľné s pôvodnými účelmi. Ide o účely archivácie vo verejnom záujme (Zákon o archívoch), účely vedeckého alebo historického výskumu a štatistické účely.
Slovenské kanalizacie získava osobné údaje zamestnancov, spolupracovníkov a objednávateľov/zákazníkov na účtovné, mzdové a daňové účely . Ak sa neskôr rozhodne spracúvať tieto osobné údaje na štatistické účely alebo pre účely archivácie vo verejnom záujme – dané spracúvanie je automaticky zlučiteľné s pôvodným účelom a Slovenské kanalizacie ho môže vykonávať na tom istom právnom základe.
4.3 Minimalizácia údajov
Zásada minimalizácie údajov vyžaduje, aby Slovenské kanalizacie spracúval len také osobné údaje, ktoré sú primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Za porušenie tejto zásady sa považuje spracúvanie osobných údajov v excesívnom rozsahu, ktoré znamená spracúvanie takých osobných údajov, ktoré nie sú potrebné na dosiahnutie účelov spracúvania. Slovenské kanalizacie musí vedieť preukázať, že všetky spracúvané osobné údaje potrebuje na dosiahnutie sledovaných účelov spracúvania.
4.4 Správnosť
Zásada správnosti vyžaduje, aby Slovenské kanalizacie spracúval správne a podľa potreby aktualizované osobné údaje, pričom zabezpečí, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymazali alebo opravili. Zásada správnosti však nesmeruje k absolútnej objektívnej správnosti spracúvaných osobných údajov, ale k správnosti osobných údajov z hľadiska účelov, na ktoré sú dané osobné údaje spracúvané. Niektoré účely môžu napr. vyžadovať, aby sa výslovne pokračovalo v spracúvaní objektívne nesprávnych osobných údajov. Správnosť osobných údajov sa posudzuje z hľadiska účelov spracúvania.
Zásada správnosti preto predstavuje povinnosť, ktorá vyžaduje vynaloženie primeraného úsilia Slovenské kanalizacie na zabezpečenie správnosti spracúvaných osobných údajov a druhú stranu nezbavuje zo zodpovednosti poskytovať správne osobné údaje.
Je v súlade so zásadou správnosti, ak Slovenské kanalizacie požaduje od dotknutých osôb oznamovať zmeny ich osobných údajov.
4.5 Minimalizácia uchovávania
Zásada minimalizácie uchovávania vyžaduje, aby Slovenské kanalizacie uchovával osobné údaje vo forme, ktorá umožňuje identifikáciu dotknutých osôb maximálne dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Vzhľadom na to, že osobné údaje sú spracúvané súčasne na viacero účelov, nie je porušením tejto zásady, ak skončí jeden z účelov spracúvania, ale Slovenské kanalizacie nepristúpi k vymazaniu osobných údajov z dôvodu, že tieto údaje potrebuje na iné prebiehajúce účely spracúvania. Tieto ďalšie účely môžu byť vymedzené od momentu získania osobných údajov spoločne alebo neskôr počas spracúvania v súlade so zásadou obmedzenia účelu, ktorá dovoľuje spracúvanie na ďalšie účely prostredníctvom testu zlučiteľnosti nového účelu s pôvodnými účelmi.
Slovenské kanalizacie uchováva osobné údaje na dobu, po ktorú je potrebné predmetné osobné údaje uchovávať v zmysle osobitných právnych predpisov. Slovenské kanalizacie uchováva osobné údaje zamestnancov, spolupracovníkov a iných dotknutých osôb (napr. o rodinných príslušníkoch) minimálne po dobu trvania zamestnaneckého vzťahu alebo obdobného zmluvného vzťahu. Zásada minimalizácie uchovávania dovoľuje pokračovať v spracúvaní osobných údajov po uplynutí retenčných dôb na niektoré ďalšie vymedzené účely. Ide o účely archivácie vo verejnom záujme, účely vedeckého alebo historického výskumu a štatistické účely .
Účely archivácie vo verejnom záujme sú bližšie upravené v Zákone č. 395/2002 Z.z. o archívoch, pričom verejný záujem, ktorý sleduje tento predpis je uchovanie archívnych dokumentov, ktoré majú trvalú dokumentárnu hodnotu pre poznanie dejín Slovenska a Slovákov. Spracúvanie osobných údajov na účely archivácie vo verejnom záujme zahŕňa aj tzv. predarchivačnú činnosť. Zákon o archívoch ukladá pôvodcom registratúry povinnosť evidovať došlé a vzniknuté registratúrne záznamy počas lehoty uloženia, ktorá predstavuje lehotu, počas ktorej pôvodca potrebuje registratúrne záznamy pre svoju činnosť. Primerané lehoty uloženia si môže Slovenské kanalizacie stanoviť sám. Lehoty uloženia podľa Zákona o archívoch nepredstavujú retenčné doby spracúvania osobných údajov podľa GDPR, nakoľko lehoty uloženia podľa Zákona o archívoch nastupujú až po uplynutí retenčných dôb podľa pôvodných účelov spracúvania. Registratúrne záznamy môžu ale nemusia obsahovať osobné údaje dotknutých osôb vrátane kópií zmluvnej dokumentácie. Podľa GDPR sa na účely archivácie vo verejnom záujme vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Prijatý registratúrny plán podľa Zákona o archívoch predstavuje také technické a organizačné opatrenia, ktoré sledujú dodržanie zásady minimalizácie. Slovenské kanalizacie obmedzuje prístup k dokumentom uchovávaných na základe Zákona o archívoch. Slovenské kanalizacie postupuje podľa Zákona o archívoch a je povinný vymazať osobné údaje až vo vyraďovacom konaní podľa daného predpisu, pričom takýto postup je v súlade so zásadou minimalizácie uchovávania.
Doba uchovávania osobných údajov:
Mzdové listy 20 rokov
Výplatné listiny 10 rokov
Rodinné prídavky a materské príspevky 5 rokov
Prehlásenia k dani zo mzdy 5 rokov
Zrážky zo mzdy 5 rokov
Podklady k mzdám 5 rokov
Osobné spisy zamestnancov 70 rokov (od narodenia zamestnanca)
Evidencia dochádzky 3 roky
Evidencia dovoleniek 3 roky
Popisy pracovných činností 5 rokov
Dohody o vykonaní práce 5 rokov
Dohody o hmotnej zodpovednosti 3 roky ( po strate platnosti )
Evidencia o preškolení a získaní odbornej kvalifikácie 10 rokov
Nemocenské poistenie – dávky, prihlášky, odhlášky, zmeny 10 rokov
Pracovná neschopnosť – evidencia, štatistika 5 rokov
Materská dovolenka a neplatené voľno – evidencia 5 rokov
Stravovanie zamestnancov – zabezpečenie 5 rokov
Bezpečnosť a ochrana zdravia pri práci 5 rokov
4.6 Integrita a dôvernosť
Zásada integrity a dôvernosti vyžaduje, aby Slovenské kanalizacie spracúval osobné údaje spôsobom, ktorý zaručuje primeranú úroveň bezpečnosti osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.
4.7 Zodpovednosť
Podľa zásady zodpovednosti je Slovenské kanalizacie zodpovedný za súlad so základnými zásadami spracúvania osobných údajov podľa článku 5 ods. 1 GDPR, pričom tento súlad musí vedieť preukázať.
V.
PRÁVA DOTKNUTÝCH OSÔB
5.1 Spôsob vybavovania žiadostí dotknutých osôb
Pri informovaní, komunikácii alebo odpovedaní na žiadosti dotknutých osôb je Slovenské kanalizacie povinný postupovať v súlade s článkom 12 GDPR.
Dotknutou osobou, ktorá si môže uplatňovať svoje práva podľa GDPR môže byť v zásade akákoľvek fyzická osoba. Slovenské kanalizacie až po posúdení obsahu žiadosti dotknutej osoby pristúpi k prípadnému nevyhoveniu žiadosti, ktoré musí byť odôvodnené.
Ak má Slovenské kanalizacie oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť, požiada fyzickú osobu o poskytnutie dodatočných informácií potrebných na potvrdenie jej totožnosti.
Ak dotknutá osoba uplatní žiadosť na základe GDPR z inej emailovej adresy, akú obvykle používa, Slovenské kanalizacie overí, či ide skutočne o dotknutú osobu napríklad tým, že si podanie žiadosti s dotknutou osobou telefonicky overí. Ak to nie je možné, Slovenské kanalizacie môže od fyzickej osoby vydávajúcej sa za dotknutú osobu požiadať napr. o poskytnutie kópie občianskeho preukazu. Slovenské kanalizacie za žiadnych okolností nesmie poskytnúť informácie o dotknutej osobe neoprávnenej osobe.
Lehota na vybavenie žiadosti dotknutej osoby začína plynúť až od overenia jej identity. Všeobecná lehota na vybavenie žiadosti dotknutej osoby je jeden mesiac od doručenia žiadosti. Slovenské kanalizacie je oprávnený rozhodnúť o predĺžení tejto mesačnej lehoty až o ďalšie dva mesiace, pričom zohľadní komplexnosť žiadosti a celkový počet žiadostí, ktoré v danom období obdržal. Vždy keď Slovenské kanalizacie rozhodne o predĺžení danej lehoty, je povinný informovať dotknutú osobu o každom takomto predlžení spolu s dôvodmi zmeškania lehoty v pôvodnej mesačnej lehote.
Ak Slovenské kanalizacie neprijme opatrenia na základe žiadosti dotknutej osoby je povinný v mesačnej lehote informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť na Úrade na ochranu osobných údajov alebo uplatniť súdny prostriedok nápravy do jedného mesiaca od doručenia žiadosti.
Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, Slovenské kanalizacie je oprávnený odmietnuť konať na základe žiadosti alebo požadovať primeraný poplatok zohľadňujúci administratívne náklady Slovenské kanalizacie podľa jeho vlastného rozhodnutia. Za neprimerane opakujúcu žiadosť tej istej dotknutej osoby sa považuje každá rovnaká alebo obdobná žiadosť, ktorá je podaná do 6 mesiacov od podania predchádzajúcej žiadosti.
Za zjavne neopodstatnené žiadosti dotknutej osoby sa považujú najmä také žiadosti:
ktoré majú výslovne šikanózny charakter voči zamestnancom Slovenské kanalizacie, spolupracovníkom Slovenské kanalizacie alebo voči Slovenské kanalizacie;
ktoré sú vulgárne alebo obsahujú prvky rasovej, etnickej, rodovej, pohlavnej, sexuálnej alebo náboženskej nenávisti;
ktoré majú tak všeobecný charakter alebo sú tak nezrozumiteľné, že Slovenské kanalizacie nevie z danej žiadosti posúdiť aké právo dotknutá osoba uplatňuje;
ktorými dotknutá osoba žiada informácie, oznámenia alebo žiada na uskutočnenie opatrení, ktoré výslovne nevyplývajú z článkov 15 až 20 GDPR;
ktoré smerujú opakovane k tej istej skutočnosti, ktorú Slovenské kanalizacie už vysvetlil dotknutej osobe, pričom dotknutej osobe musí byť z okolností jasné, že odpoveď Slovenské kanalizacie sa nemala prečo zmeniť;
pri ktorých dotknutá osoba vyhotovuje obrazové, zvukové alebo obrazovo-zvukové záznamy zamestnancov, spolupracovníkov alebo Slovenské kanalizacie;
pri ktorých dotknutá osoba koná agresívne, pod vplyvom alkoholu alebo omamných látok ,alebo ohrozuje bezpečnosť ostatných osôb nachádzajúcich sa v danom priestore.
5.2 Informácie poskytované dotknutým osobám
Slovenské kanalizacie je oprávnený splniť si informačné povinnosti podľa článkov 13 a 14 GDPR akýmkoľvek spôsobom, bez ohľadu na formu a podobu poskytnutých informácií. Hlavný rozdiel medzi danými povinnosťami spočíva v tom, že podľa čl. 13 GDPR sa postupuje len voči dotknutým osobám od ktorých Slovenské kanalizacie priamo získala osobné údaje a podľa čl. 14 GDPR postupuje len voči dotknutým osobám, ktorých osobné údaje nezískala priamo od dotknutých osôb, pričom podľa čl. 14 GDPR existuje viacero podstatných výnimiek z danej povinnosti.
V prípade , ak sa získavajú osobné údaje od dotknutej osoby, ktoré sa jej týkajú, je Slovenské kanalizacie povinný poskytnúť dotknutej osobe už pri ich získavaní tieto informácie:
a) identifikačné údaje a kontaktné údaje Slovenské kanalizacie,
b) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
c) oprávnené záujmy Slovenské kanalizacie alebo tretej strany, ak sa osobné údaje spracúvajú na účely oprávnených záujmov Slovenské kanalizacie (napr. práva Slovenské kanalizacie uplatňované v súdnom konaní) ,
d) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje (v prípade, že sa osobné údaje poskytujú tretej osobe odlišnej od Slovenské kanalizacie) ,
e) informáciu o tom, že Slovenské kanalizacie používa platené e-mailové služby zabezpečujúce ochranu dát viacúrovňovým zabezpečením vrátane popredných šifrovacích technológií ,
f) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia (v závislosti od jednotlivých účelov spracúvania osobných údajov a na ne sa viažúce osobitné právne predpisy) ,
g) o práve požadovať od Slovenské kanalizacie prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
h) o práve kedykoľvek svoj súhlas odvolať,
i) o práve podať návrh na začatie konania pred Úradom na ochranu osobných údajov, ak sa cíti priamo dotknutá na svojich právach ustanovených týmto zákonom
j) o tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov.
Ak má Slovenské kanalizacie v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané je povinné ešte pred ďalším spracúvaním osobných údajov poskytnúť dotknutej osobe informácie o inom účele .
Ak boli osobné údaje získané od dotknutej osoby, Slovenské kanalizacie nemusí informovať dotknutú osobu v rozsahu, v akom už dotknutá osoba má dané informácie.
V prípade , ak osobné údaje nie sú získané od dotknutej osoby, (napr. ide o údaje o rodinných príslušníkoch dotknutej osoby a pod.) Slovenské kanalizacie nemusí poskytovať informácie už pri získavaní osobných údajov, informácie je povinná poskytnúť v primeranej lehote a najneskôr do jedného mesiaca od ich získania, najneskôr v čase prvej komunikácie s touto dotknutou osobou, alebo keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi. Slovenské kanalizacie je povinný poskytnúť dotknutej osobe tieto informácie:
a) identifikačné údaje a kontaktné údaje Slovenské kanalizacie,
b) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
c) kategórie spracúvaných osobných údajov,
d) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
e) informáciu o tom, že Slovenské kanalizacie používa platené e-mailové služby zabezpečujúce ochranu dát viacúrovňovým zabezpečením vrátane popredných šifrovacích technológií ,
f) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia (v závislosti od jednotlivých účelov spracúvania osobných údajov a na ne sa viažúce osobitné právne predpisy) ,
g) o opránených záujmoch Slovenské kanalizacie alebo tretej strany, ak sa spracúvajú osobné údaje na tento účel,
h) o práve požadovať od Slovenské kanalizacie prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
i) o práve kedykoľvek svoj súhlas odvolať,
j) o práve podať návrh na začatie konania pred Úradom na ochranu osobných údajov, ak sa cíti priamo dotknutá na svojich právach ustanovených týmto zákonom
k) o zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov.
Ak má Slovenské kanalizacie v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané je povinný ešte pred ďalším spracúvaním osobných údajov poskytnúť dotknutej osobe informácie o inom účele .
Slovenské kanalizacie nie je povinný informovať dotktnutú osobu v zmysle vyššie uvedeného:
v rozsahu, v akom dotknutá osoba už dané informácie má,
v rozsahu v akom sa poskytovanie týchto informácií ukáže ako nemožné, alebo by si vyžadovalo neprimerané úsilie,
v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na Slovenské kanalizacie vzťahuje a v prípade, ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.
Slovenské kanalizacie zverejňuje na Portáli základné informácie podľa článkov 13 a 14 GDPR pod označením Podmienky ochrany súkromia, v príslušnom gramatickom tvare ) .
Odkaz na tieto podmienky a pravidlá Slovenské kanalizacie používa pri získavaní osobných údajov, v zmluvnej dokumentácii alebo v rámci podpisu v emailovej komunikácii.
V prípadoch, kedy dotknutá osoba nemá možnosť sa oboznámiť s podmienkami ochrany osobných údajov na Portále , Slovenské kanalizacie poskytne podmienky ochrany osobných údajov dotknutým osobám aj v tlačenej podobe alebo osobne, a to najmä ak dotknutá osoba nemá prístup k internetu.
Na preukázanie splnenia povinnosti informovať dotknutú osobu podľa článkov 13 GDPR je rozhodujúce, či dotknutá osoba mala možnosť pri získavaní osobných údajov oboznámiť sa s týmito informáciami a nie skutočnosť, či tak dotknutá osoba skutočne urobila, nakoľko dotknuté osoby nie sú povinné oboznamovať sa alebo čítať tieto informácie. Nie je potrebné, aby poskytnutie základných informácií dotknutá osoba potvrdzovala napr. označením, súhlasom, vyhlásením alebo podpisom.
Slovenské kanalizacie v dokumentoch, ktorými si plní informačnú povinnosť podľa čl. 13 a 14 GDPR odkazuje na túto Smernicu.
Právo na prístup k osobným údajom
Dotknuté osoby majú právo na prístup podľa čl. 15 GDPR, pričom dané právo zahŕňa právo dotknutej osoby získať od Slovenské kanalizacie potvrdenie, či o nej Slovenské kanalizacie spracúva osobné údaje alebo nie. Len v prípade, že Slovenské kanalizacie spracúva osobné údaje o dotknutej osobe má dotknutá osoba právo žiadať (aj v rámci jednej žiadosti aj postupne) ďalšie práva patriace pod právo na prístup, konkrétne:
právo na poskytnutie informácií podľa článku 15 ods. 1 GDPR;
právo získať prístup k osobným údajom spracúvaných Slovenské kanalizacie;
právo na poskytnutie kópie spracúvaných osobných údajov.
Pri poskytovaní informácií podľa čl. 15 ods. 1 GDPR Slovenské kanalizacie vychádza z toho, že dotknutá osoba už pravdepodobne mala možnosť oboznámiť sa s podmienkami ochrany osobných údajov a pravdepodobne žiada tieto generické informácie potvrdiť a prispôsobiť vo vzťahu k svojej osobe. Slovenské kanalizacie by mal týmto spôsobom aj odpovedať (napr. vybrať zo zoznamu všetkých účelov iba relevantné účely vo vzťahu k danej osobe).
Právo na poskytnutie kópie osobných údajov podľa článku 15 ods. 3 GDPR predstavuje doplnkové právo dotknutej osoby v rámci práva na prístup. Uplatnením práva na poskytnutie informácií podľa článku 15 ods. 1 GDPR Slovenské kanalizacie poskytne dotknutej osobe len kategórie dotknutých osobných údajov, ktoré spracúva o konkrétnej dotknutej osobe.
Ak iná fyzická osoba ako Slovenské kanalizacie, zamestnanec, alebo spolupracovník Slovenské kanalizacie už má informáciu, že Slovenské kanalizacie o nej spracúva osobné údaje v súvislosti s konkrétnym zamestnancom, alebo spolupracovníkom Slovenské kanalizacie, Slovenské kanalizacie postupuje nasledovne:
Slovenské kanalizacie základné informácie podľa čl. 13 a 14 GDPR tejto osobe neposkytuje, pretože táto osoba už dané informácie má z Portálu
Slovenské kanalizacie je oprávnený žiadosť o potvrdenie dotknutej osoby, či o nej spracúva osobné údaje podľa čl. 15 ods. 1 GDPR považovať za zjavne neopodstatnenú v zmysle čl. 12 ods. 4 a 5 GDPR (nakoľko dotknutá osoba už vie, že tieto údaje Slovenské kanalizacie spracúva);
Pri ďalších právach dotknutej osoby Slovenské kanalizacie postupuje podľa nasledujúcich bodov nižšie.
5.4 Právo na opravu, vymazanie
Dotknutá osoba má právo žiadať Slovenské kanalizacie o opravu nesprávnych osobných údajov, ktoré sa jej týkajú a má právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. O tom, či sú osobné údaje neúplné z pohľadu účelov spracúvania však rozhoduje Slovenské kanalizacie ako prevádzkovateľ. Právo na opravu podľa článku 16 GDPR musí byť vykladané v súlade so zásadou správnosti podľa tejto Smernice.
Právo na vymazanie osobných údajov nie je absolútne právo, ktorým je možné kedykoľvek dosiahnuť vymazanie všetkých osobných údajov u prevádzkovateľa. Právo na vymazanie sa aplikuje len v prípadoch vymedzených v článku 17 GDPR, ktoré nemajú všeobecnú alebo absolútnu povahu. Tieto dôvody je dotknutá osoba vo svojej žiadosti povinná vysvetliť a Slovenské kanalizacie má právo žiadať dané vysvetlenie, ak tak dotknutá osoba neurobila.
Ak dotknutá osoba žiada Slovenské kanalizacie o vymazanie osobných údajov bez uvedenia dôvodov na výmaz podľa čl. 17 GDPR (pričom tieto dôvody nevyplývajú ani z kontextu žiadosti), Slovenské kanalizacie má právo odpovedať (v mesačnej lehote od podania neúplnej žiadosti) takým spôsobom, že požaduje od dotknutej osoby doplnenie dôvodov na základe ktorých dotknutá osoba žiada o vymazanie. Ak dotknutá osoba tieto dôvody doplní, mesačná lehota na vybavenie žiadosti plynie od doplnenia týchto dôvodov.
Bez vplyvu na vyššie uvedené je Slovenské kanalizacie oprávnený odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak platí niektorý z dôvodov uvedený nižšie:
a) na uplatnenie práva na slobodu prejavu a na informácie;
b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie osobných údajov, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej Slovenské kanalizacie;
c) z dôvodov verejného záujmu v oblasti verejného zdravia;
d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo na vymazanie osobných údajov znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Pre Slovenské kanalizacie sú relevantné najmä dôvody odmietnutia podľa písm. b), d) a e).
Slovenské kanalizacie nevymaže osobné údaje na základe žiadosti dotknutej osoby, ak:
Doba uchovávania osobných údajov pre účely účtovné, mzdové a daňové ešte trvá;
Osobné údaje sú predmetom predarchívnej starostlivosti podľa Zákona o archívoch (lehota uloženia + vyraďovacie konanie);
osobitné právne predpisy vyžadujú alebo odporúčajú dané osobné údaje nezmazať resp. neskartovať.
Bez vplyvu na vyššie uvedené je Slovenské kanalizacie oprávnený odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak je žiadosť zjavne neopodstatnená .
5.5 Právo na obmedzenie spracúvania
Obsah naplnenia podmienok pre uplatnenie práva na obmedzenie spracúvania sa posudzuje obdobným spôsobom ako pri posudzovaní dôvodov na vymazanie osobných údajov vysvetlených vyššie.
5.6 Právo na prenosnosť
Dotknutá osoba má právo žiadať o poskytnutie osobných údajov len vo vzťahu k osobným údajom, ktoré sú spracúvané:
automatizovanými prostriedkami (t.j. elektronicky);
sú spracúvané na právnom základe súhlasu alebo plnenia zmluvy;
a ktoré aktívne poskytla Slovenské kanalizacie samotná dotknutá osoba.
Tieto podmienky vo väčšine prípadoch nebudú splnené vo vzťahu k osobným údajom iných fyzických osôb, nakoľko Slovenské kanalizacie vo väčšine týchto prípadov spracúva osobné údaje získané od zamestnanca, spolupracovníka Slovenské kanalizacie alebo objednávateľa /zákazníka Slovenské kanalizacie.
Právo na prenosnosť sa nevzťahuje na osobné údaje, ktoré Slovenské kanalizacie spracúva na iných právnych základoch ako je udelenie súhlasu a plnenie zmluvy. Pod kategórie údajov, ktoré nespadajú pod právo na prenosnosť sa vzťahujú predovšetkým všetky osobné údaje spracúvané na právnom základe vyplývajúcom z osobitných predpisov alebo oprávnených záujmov vysvetlených vyššie. Štandardne, pod túto kategóriu patria aj osobné údaje o iných fyzických osobách, nakoľko o týchto osobách Slovenské kanalizacie nespracúva osobné údaje na základe zmluvy alebo súhlasu.
Právo na prenosnosť nesmie mať nepriaznivé dôsledky pre práva a slobody iných.
Vo vzťahu k osobným údajom spracúvaným na účely účtovné, mzdové a daňové sa právo na prenosnosť vzťahuje len na osobné údaje priamo poskytnuté zamestnancom, spolupracovníkom Slovenské kanalizacie , Slovenské kanalizacie alebo objednávateľom /zákazníkom - fyzickou osobou v elektronickej podobe. Právo na prenosnosť nepatrí právnickým osobám.
Tieto údaje sú najčastejšie poskytované vo formáte .doc, .docx, .rtf, .xls, .pdf, .jpg, .jepg, .png, .gif alebo v texte emailu. Ak má Slovenské kanalizacie povinnosť poskytnúť osobné údaje v rámci práva na prenosnosť v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte platí, že môže osobné údaje poskytnúť v tom istom formáte, v ktorom mu ich poskytol zamestnanec, spolupracovník Slovenské kanalizacie alebo objednávateľ/zákazník -fyzická osoba.
5.7 Právo namietať
Dotknuté osoby majú právo namietať z dôvodov týkajúcich sa ich konkrétnej situácie proti spracúvaniu osobných údajov zo strany Slovenské kanalizacie na právnom základe verejného alebo oprávneného záujmu. Po prijatí žiadosti dotknutej osoby je Slovenské kanalizacie povinná v lehote do jedného mesiaca od doručenia žiadosti preukázať dotknutej osobe nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. V prípade ak Slovenské kanalizacie nie je schopná v danej lehote preukázať tieto dôvody spracúvania, nesmie od momentu uplynutia tejto lehoty ďalej osobné údaje spracúvať. Lehota podľa tohto bodu sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Slovenské kanalizacie informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
VI.
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
Slovenské kanalizacie dodržuje bezpečnostné opatrenia, ktoré môžu byť použité na preukázanie primeranej úrovne bezpečnosti osobných údajov:
pseudonymizáciu a šifrovanie osobných údajov;
schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu (napr. zálohovanie, archivácia);
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
Slovenské kanalizacie je povinná na každom zariadení, ktoré používa na spracúvanie osobných údajov:
mať nainštalovaný len legálny softvér;
mať inštalovanú antivírovú ochranu a používať primerané zabezpečenie heslami, pričom heslá musia obsahovať minimálne veľké a malé znaky a číslicu
Slovenské kanalizacie spracúvanie osobných údajov zverí inému sprostredkovateľovi len vtedy, ak poskytuje dostatočné záruky za to, že GDPR bude dodržané.
Pred začatím spracúvania údajov sprostredkovateľ doloží vypracované potrebné technické a organizačné opatrenia vypracované ešte pred uzavretím sprostredkovateľskej zmluvy, zohľadňujúc najmä jej detailné vypracovanie pred začatím spracúvania údajov, a predloží tieto zdokumentované opatrenia Slovenské kanalizacie na kontrolu. Po schválení zo strany Slovenské kanalizacie sa tieto zdokumentované opatrenia stanú súčasťou Zmluvy. Ak kontrola/audit zo strany Slovenské kanalizacie preukáže potrebu zmien uvedených opatrení, takéto zmeny budú na základe spoločnej dohody zapracované.
Zmluvne dohodnuté spracúvanie osobných údajov sa vykoná výlučne v rámci členského štátu Európskej únie (EÚ) alebo v rámci členského štátu Európskeho hospodárskeho priestoru (EHP). Každý prenos osobných údajov do štátu, ktorý nie je členským štátom EÚ alebo EHP alebo do medzinárodnej organizácie, si vyžaduje predchádzajúci súhlas Slovenské kanalizacie a vykoná sa iba v prípade, keď boli splnené osobitné podmienky prenosov podľa čl. 44 a nasl. GDPR.
Slovenské kanalizacie prijal na zabezpečenie ochrany osobných údajov pri ich spracúvaní nasledovné technické a organizačné opatrenia.
A/ TECHNICKÉ OPATRENIA
Technické opatrenia realizované prostriedkami fyzickej povahy
Všetky listinné dokumenty Slovenské kanalizacie obsahujúce spracúvané osobné údaje sú založené v prehľadne označených šanónoch, ktoré sa umiestňujú do uzamykateľnej skrini z drevného pevného materiálu, kľúče od ktorých má k dispozícii len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti. Iná osoba ako Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti prístup k takto uzamknutým dokumentom nemá . Uzamykateľné skrine sa nachádzajú v miestnosti – kancelárii určenej len pre Slovenské kanalizacie, do ktorej je prístup iným osobám povolený len v sprievode Slovenské kanalizacie alebo osoby poverenej Slovenské kanalizacie vedením administratívnej činnosti . Slovenské kanalizacie zabezpečí uloženie listinných dokumentov obsahujúcich osobné údaje takým spôsobom, aby tieto neboli prístupné tretím osobám a aby nebolo tretím osobám umožnené do nich nekontrolovane nahliadať.
Listinné dokumenty obsahujúce spracúvané osobné údaje, ktoré majú byť následne spracované na účel vedenia a spracovania miezd a účtovníctva externým subjektom – sprostredkovateľom, sa odovzdávajú zo strany Slovenské kanalizacie na spracovanie sprostredkovateľovi, s ktorým má Slovenské kanalizacie uzatvorenú sprostredkovateľskú zmluvu. Platí, že pred uzatvorením sprostredkovateľskej zmluvy a začatím spracúvania osobných údajov sprostredkovateľ predloží Slovenské kanalizacie vypracované a prijaté potrebné technické a organizačné opatrenia na kontrolu. Po schválení zo strany Slovenské kanalizacie sa tieto zdokumentované opatrenia stanú súčasťou sprostredkovateľskej zmluvy.
Zabezpečenie objektu pomocou mechanických zábranných prostriedkov
Slovenské kanalizacie má zriadenú prevádzku v rodinnom dome, do ktorého vstup je umožnený cez uzamykateľné vchodové dvere, ktoré sú vybavené zámkom s bezpečnostnou vložkou.
Prevádzka Slovenské kanalizacie sa nachádza na 1. poschodí rodinného domu v jednej miestnosti Vstup do tejto miestnosti je chránený dverami, ktoré sú vybavené zámkom s vložkou. Kľúče od prevádzky má Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti. Prevádzka Slovenské kanalizacie pozostáva z jednej miestnosti s okenným otvorom.
Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu
Prevádzka Slovenské kanalizacie je oddelená od ostatných častí objektu rodinného domu z vonkajšej strany zvislým obvodovým plášťom a z vnútornej strany spoločnou priečkou oddeľujúcou prevádzkové priestory Slovenské kanalizacie od susediacich priestorov a ďalšou zvislou priečkou oddeľujúcou prevádzkové priestory Slovenské kanalizacie od spoločnej chodby vrátane dverí do prevádzkových priestorov Slovenské kanalizacie. Vo vodorovnej polohe sú prevádzkové priestory Slovenské kanalizacie ohraničené podlahou a stropom, štyrmi stenami s okenným otvorom, s jediným prístupom cez uzamykateľné dvere.
Umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
Všetky listinné dokumenty Slovenské kanalizacie určené na spracovanie na účely vedenia miezd a účtovníctva a na archiváciu sa uschovávajú v priestoroch Slovenské kanalizacie v uzamykateľných skriniach, ku ktorým majú fyzický prístup len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti . Prehľadne označené šanóny, v ktorých sú listinné dokumenty Slovenské kanalizacie uložené, chránia listinné dokumenty pred ich znehodnotením v dôsledku zaprášenia a ich uloženie v uzamykateľných skriniach ich chráni pred znehodnotením v dôsledku zatečenia a fyzického odcudzenia. Rovnakým spôsobom sa uschovávajú aj záložné médiá a iné obdobné nosiče osobných údajov. Kľúče od uzamykateľných skríň má k dispozícii len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti. Informačné systémy sú umiestnené v prevádzkovom priestore Slovenské kanalizacie, ktorý je v čase neprítomnosti oprávnených osôb uzamknutý. Pohyb neoprávnených osôb po prevádzkovom priestore Slovenské kanalizacie je možný len za prítomnosti oprávnenej osoby.
Všetky osobné údaje nachádzajúce sa na nosičoch ako je pracovný laptop Slovenské kanalizacie, sú chránené pred prístupom zo strany neoprávnených osôb ich zabezpečením prístupovým heslom k takémuto nosiču, čím je znemožnený prístup k osobným údajom nachádzajúcim sa na tomto nosiči neoprávneným osobám. Heslo musí obsahovať minimálne 8 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%,/,#,&,@,$ (bez použitia diakritických znamienok). Heslá je potrebné pravidelne meniť každých 45-60 dní, po uplynutí doby platnosti sa heslá nesmú opakovať.
Heslo je sprístupnené len osobe, ktorej bol daný nosič zverený a osobe, ktorá vykonáva funkciu administrátora.
Za utajenie hesla zodpovedá užívateľ nosiča. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.
Užívateľ nosiča je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužite a spôsobené škody.
Na všetkých pracovných laptopoch a každom zariadení , ktoré Slovenské kanalizacie používa na spracúvanie osobných údajov je povinný mať nainštalovaný len legálny softvér a inštalovanú antivírovú ochranu, pričom sa používajú platené verzie.
Bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)
Všetky listinné dokumenty Slovenské kanalizacie určené na spracovanie na účely vedenia miezd a účtovníctva a na archiváciu sa uschovávajú v priestoroch Slovenské kanalizacie v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým majú fyzický prístup len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti. Prehľadne označené šanóny, v ktorých sú listinné dokumenty Slovenské kanalizacie uložené, chránia listinné dokumenty pred ich znehodnotením v dôsledku zaprášenia a ich uloženie v uzamykateľných skriniach ich chráni pred znehodnotením v dôsledku zatečenia a fyzického odcudzenia. Rovnakým spôsobom sa uschovávajú aj záložné médiá a iné obdobné nosiče osobných údajov.
Všetky osobné údaje nachádzajúce sa na nosičoch ako sú pracovné laptopy sú v prevádzke Slovenské kanalizacie chránené pred ich fyzickým odcudzením mechanickými zábrannými prostriedkami špecifikovanými vyššie.
Všetky osobné údaje nachádzajúce sa na nosičoch ako sú pracovné laptopy sa pravidelne zálohujú na externých harddiskoch, ktoré sa uschovávajú v priestoroch Slovenské kanalizacie v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým majú fyzický prístup len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti.
Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)
Slovenské kanalizacie zabezpečuje vhodné umiestnenie zobrazovacích jednotiek nosičov osobných údajov takým spôsobom, aby bolo vylúčené riziko náhodného odpozerania osobných údajov zo zobrazovacej jednotky neoprávnenými osobami.
Slovenské kanalizacie je povinný nosiče osobných údajov (listinné, laptopy) zabezpečiť tak, aby nedošlo k náhodnému nahliadnutiu, odpozeraniu, alebo vyhotovovaniu kópií nosičov spracovávaných osobných údajov neoprávnenou osobou.
Zariadenie na ničenie fyzických nosičov osobných údajov (napr. zariadenie na skartovanie listín)
Slovenské kanalizacie je povinný zabezpečiť zničenie fyzických nosičov osobných údajov po uplynutí doby, po ktorú je Slovenské kanalizacie povinný archivovať fyzické nosiče osobných údajov v zmysle všeobecne záväzných právnych predpisov, a to prostredníctvom zariadenia na skartovanie listín.
Nepotrebné a/alebo pokazené dokumenty , ktoré obsahujú citlivé informácie a osobné údaje sa skartujú bezodkladne.
Ochrana pred neoprávneným prístupom
Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí
Prístup k dátovým nosičom má výlučne Slovenské kanalizacie a externé subjekty, ktoré spracovávajú osobné údaje na účely účtovné, mzdové a daňové, ktoré majú postavenie sprostredkovateľov. Slovenské kanalizacie má so sprostredkovateľom uzatvorenú osobitnú sprostredkovateľskú zmluvu, v rámci ktorej sú dojednané požiadavky na ochranu pred neoprávneným prístupom k osobným údajom dotknutých osôb prostredníctvom šifrovacích technológií, používania vysoko bezpečného systému zálohovania dát využívajúceho externé alebo interné diskové polia tzv. RAID – polia, s požiadavkou inštalácie iba legálneho softvéru a to nielen operačného, ale akýchkoľvek aplikácií ako je napr. kancelársky balík, ekonomický softvér, pričom každú inštaláciu musí prevádzať systémový správca a kontrolu všetkých technických zariadení vykonávať systémový správca min. každých šesť mesiacov, pričom vstup do databáz príslušného softvéru je zabezpečený nastaviteľným heslom užívateľa.
Dokumenty zasielané prostredníctvom počítačových sietí sa zasielajú šifrované alebo zaheslované s heslom /kľúčom posielaným príjemcovi inými komunikačnými kanálmi, napr. SMS.
Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza
O prístupe tretích strán k informačnému systému rozhoduje Slovenské kanalizacie, ktorý prístup umožní osobe, ktorej to vyplýva zo zmluvného vzťahu s Slovenské kanalizacie.
Prevádzkovateľ je povinný poučiť osobu podľa predchádzajúcej vety o právach a povinnostiach ustanovených zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. Oprávnená osoba je povinná zachovávať mlčanlivosť a dôvernosť ohľadne osobných údajov, s ktorými príde do styku.
Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam. Záznam o poučení obsahuje
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko, pracovné, služobné, členské alebo funkčné zaradenie a podpis oprávnenej osoby,
c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
d) informácie o právach a povinnostiach ustanovených zákonom,
e) informáciu o oboznámení sa s touto smernicou
f) deň poučenia a
g) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.
Slovenské kanalizacie zaviaže mlčanlivosťou všetky fyzické osoby, ktoré u nej prídu do styku s osobnými údajmi, pričom táto povinnosť mlčanlivosti musí trvať aj po skončení pracovného , členského alebo obdobného pomeru daných osôb.
Slovenské kanalizacie je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
Príjemca je povinný zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu Slovenské kanalizacie ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
Povinnosť mlčanlivosti trvá aj po skončení pracovného, členského, alebo obdobného pomeru alebo vzťahu príjemcu .
Povinnosť mlčanlivosti neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.
6.3 Riadenie prístupu oprávnených osôb
Identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme (v ďalšom texte aj ako „IS“)
Prístup do informačného systému Slovenské kanalizacie má výlučne Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti.
Každý užívateľ IS je povinný pri prístupe k IS prihlásiť sa menom a heslom. Heslo musí obsahovať minimálne 8 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%,/,#,&,@,$ (bez použitia diakritických znamienok). Heslá je potrebné pravidelne meniť každých 45-60 dní, po uplynutí doby platnosti sa heslá nesmú opakovať.
Za utajenie hesla zodpovedá užívateľ IS. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.
Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužite a spôsobené škody.
Zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému
Slovenské kanalizacie je povinná viesť evidenciu vstupov jednotlivých oprávnených osôb do informačného systému.
V prípade, ak užívateľ nosiča osobných údajov získa v dôsledku chyby programových alebo technických prostriedkov privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli udelené, je povinný túto skutočnosť oznámiť Slovenské kanalizacie.
6.4 Ochrana proti škodlivému kódu
Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov
Každý užívateľ nosiča osobných údajov v Slovenské kanalizacie je povinný mať zabezpečenú ochranu IS pred jeho napadnutím neautorizovanými osobami a to inštalácou zakúpených licenčných programov, ktoré eliminujú možnosť napadnutia pracovnej stanice a spĺňajú tieto bezpečnostné ochrany:
- antivírová ochrana (ochrana pred vírusovými napadnutiami)
- antispamová ochrana (ochrana pred nevyžiadanou elektronickou poštou)
Antivírový program musí byť nainštalovaný na každej pracovnej stanici /laptope/, ktorá je z technického hľadiska pripojená do internetu.
Používanie legálneho a prevádzkovateľom schváleného softvéru
Slovenské kanalizacie je povinný používať na všetkých pracovných staniciach /laptopoch/ len legálny softvér so zakúpenou licenciou.
Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete
Slovenské kanalizacie vyslovuje zákaz pre oprávnené osoby, ktoré používajú pracovné stanice /laptopy/ zverené im zo strany Slovenské kanalizacie sťahovať súbory z neoverených zdrojov na verejne prístupnej počítačovej sieti. Rovnako vyslovuje zákaz vkladať cudzie médiá do vlastných zariadení Slovenské kanalizacie.
Všetci oprávnení užívatelia pracovných staníc /laptopov/, zverených im zo strany Slovenské kanalizacie, sú oprávnení na ich využitie výlučne v súlade s účelom plnenia úloh vyplývajúcich z ich zmluvného vzťahu s Slovenské kanalizacie .
6.5 Sieťová bezpečnosť
Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou
Slovenské kanalizacie prevádzkuje webovú stránku, ktorej zabezpečenie spĺňa štandardy v zmysle požiadaviek GDPR.
Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej počítačovej siete
Pracovné stanice /laptopy/ Slovenské kanalizacie nie sú navzájom prepojené. / Slovenské kanalizacie vedie evidenciu o všetkých miestach prepojenia nosičov osobných údajov s externými sieťami.
Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (napr. firewall)
Slovenské kanalizacie :
a) zabezpečuje ochranu vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (firewall) pre svoje informačné systémy ,
b) vedie evidenciu o všetkých miestach prepojenia nosičov osobných údajov s externými sieťami,
c) má zabezpečenú identifikáciu používateľa a následnú autentifikáciu pri vstupe do informačného systému,
d) používateľ má prístup iba k tým údajom a funkciám, ktoré sú potrebné na vykonávanie jeho úloh,
e) zodpovedným za prideľovanie prístupových práv používateľom je Slovenské kanalizacie
f) zaznamenáva zmeny v pridelenom prístupe a ich archiváciu počas celej doby činnosti informačného systému,
g) dodržiava bezpečnostné zásady pre mobilné pripojenie do informačného systému a pre prácu na diaľku; mobilným pripojením je najmä prenosný laptop
h) zabezpečuje, aby používatelia nepoužívali informačné systémy na nelegálne účely,
ch) umožňuje oprávneným osobám prístup iba k takým údajom a funkciám v týchto informačných systémoch, ktoré nevyhnutne potrebujú na vykonávanie pridelených úloh,
i) zaznamenáva každý prístup každého používateľa vrátane administrátora do informačného systému, zamedzuje možnosti zmeny týchto záznamov a možnosti vymazania týchto záznamov bez schválenia Slovenské kanalizacie
j) vedie formalizovanú dokumentáciu prístupových práv všetkých používateľov informačného systému
Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam)
Slovenské kanalizacie povoľuje prístup používateľom IS len k webovým sídlam potrebným pre vykonávanie pridelených úloh.
Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok)
Slovenské kanalizacie je povinný zabezpečiť všetky pracovné stanice takými programami, ktoré ochránia pracovnú stanicu pred hrozbami pochádzajúcimi z verejne prístupnej počítačovej siete, ak sú na ňu napojené. Doporučuje sa inštalovať min. antivírový program, ktorý musí byť pravidelne aktualizovaný s pravidelnou kontrolou celého počítača antivírovým programom v intervale 1x mesačne.
Nikdy sa nesmie otvárať podozrivá nevyžiadaná e-mailová príloha.
6.6 Zálohovanie
Test funkcionality dátového nosiča zálohy
Slovenské kanalizacie zabezpečuje v pravidelných intervaloch testovanie zálohovacích médií a kontroluje, či sú dáta na nich nahraté korektne a nevykazujú známky chybovosti.
Vytváranie záloh s vopred zvolenou periodicitou
Záloha sa musí robiť pravidelne (každé dva týždne) , systematicky, dôsledne a stáva sa rutinnou súčasťou práce. Oprávnené osoby sú uzrozumené s tým, že obnovením dát zo zálohy sa vždy nenávratne stratí tá časť práce, ktorá bola vykonaná od posledného zálohovania.
Každý užívateľ IS Slovenské kanalizacie je povinný zabezpečiť zálohu IS v pravidelných dvojtýždňových intervaloch, o ktorom uskutočnení zálohy vedie záznam v knihe záloh, v ktorej uvedie dátum zálohy, názov IS, znak „Z“ (záloha), svoje meno a podpis.
Test obnovy informačného systému zo zálohy
Každý užívateľ IS Slovenské kanalizacie je povinný v pravidelných intervaloch na mesačnej báze otestovať možnosť obnovy informačného systému zo zálohy, o ktorom uskutočnení obnovy IS zo zálohy vedie záznam v knihe záloh, v ktorej uvedie dátum obnovy IS zo zálohy, názov IS, znak „OZ“ (obnova zálohy) svoje meno a podpis.
Bezpečné ukladanie záloh
Údaje na pamäťovom médiu musia byť fyzicky umiestnené mimo počítača. Záložné médium musí byť dostatočne zabezpečené pred zničením a zneužitím neoprávnenými osobami. Na tento účel sa pamätové médiá uschovávajú v priestoroch Slovenské kanalizacie v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým má fyzický prístup len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti.
6.7 Likvidácia osobných údajov a dátových nosičov
Všetky písomné, obrazové, zvukové a iné záznamy, ktoré obsahujú osobné údaje (zoznamy, výpisy, pamäťové médiá a pod.) musia byť po vylúčení z ďalšieho spracovania fyzicky zlikvidované skartovaním, rozložením, alebo spálením. Je zakázané nosiče osobných údajov odovzdať do zberu bez predchádzajúceho znehodnotenia znemožňujúceho prístup k osobným údajom.
Bezpečné vymazanie osobných údajov z dátových nosičov
Prepisovateľné pamäťové média (CDRW, DVDRW média, USB kľúče, pamäťové karty a pod.) sa musia likvidovať vymazaním, alebo naformátovaním tak, aby sa z nich osobné údaje nedali reprodukovať. Neprepisovateľné pamäťové médiá (CD a DVD média a pod.) sa musia fyzicky likvidovať napr. zlomením alebo prostredníctvom zariadenia napr. skartovacieho prístroja. Pri vymazaní osobných údajov v elektronickej podobe je potrebé dávať pozor pri vymazaní súboru „vysypať kôš“) a zabezpečiť prekrytie osobných údajov prázdnymi znakmi alebo iným textom.
Zariadenie na likvidáciu dátových nosičov osobných údajov
Na fyzickú likvidáciu dátových nosičov má Slovenské kanalizacie zabezpečené zariadenie na to určené – tzv. skartovačku.
Aktualizácia operačného systému a programového aplikačného vybavenia
Slovenské kanalizacie je povinný zabezpečiť pravidelnú aktualizáciu operačného systému a programového aplikačného vybavenia.
B/ ORGANIZAČNÉ OPATRENIA
6.8 Personálne opatrenia
Písomné poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi
Slovenské kanalizacie je povinný každú oprávnenú osobu pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi poučiť o právach a povinnostiach ustanovených Zákonom a GDPR a o zodpovednosti za ich porušenie. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. O poučení je predseda povinný vyhotoviť písomný záznam. Oprávnená osoba poučenie potvrdí svojím podpisom.
Poučenie o právach a povinnostiach vyplývajúcich zo Zákona a GDPR a zodpovednosti za ich porušenie
Každá oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku. Tie nesmie využiť ani pre osobnú potrebu a bez súhlasu Slovenské kanalizacie ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť, mimo situácií vymedzených zákonom o ochrane osobných údajov. Povinnosť mlčanlivosti trvá aj po ukončení ich spracovania. Povinnosť mlčanlivosti platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti prídu do styku s osobnými údajmi. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní. Povinnosť mlčanlivosti trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu.
Vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh
Slovenské kanalizacie má prístup ku všetkým osobným údajom dotknutých osôb, ktoré Slovenské kanalizacie spracováva na právnych základoch a v súlade s účelom špecifikovanými v tejto smernici.
Sprostredkovateľ Slovenské kanalizacie má prístup k osobným údajom dotknutých osôb, ktoré spracúva na základe vymedzeného účelu a právneho základu v sprostredkovateľskej zmluve.
Určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov
Všetka korešpondencia doručovaná Slovenské kanalizacie prostredníctvom poštového doručovateľa je doručovaná do rúk Slovenské kanalizacie. Doporučené zásielky adresované Slovenské kanalizacie je oprávnený preberať len Slovenské kanalizacie. Obyčajné zásielky adresované Slovenské kanalizacie je oprávnený otvoriť len Slovenské kanalizacie alebo osoba poverená Slovenské kanalizacie vedením administratívnej činnosti.
Slovenské kanalizacie využíva v rámci svojej činnosti e-mailovú adresu info@slovenskekanalizacie.sk, ku ktorému má prístup len Slovenské kanalizacie alebo osoba poverená Slovenské kanalizacie vedením administratívnej činnosti, ktorý spracúva osobné údaje len v rozsahu vymedzeného účelu a právneho základu vyplývajúceho z plnenia úloh Slovenské kanalizacie v zmysle tejto smernice.
Osoby s oprávnením na prístup do e-mailového účtu Slovenské kanalizacie v prípade potreby výmeny informácií obsahujúcich osobné údaje fyzických osôb využívajú prednostne doručovanie prostredníctvom poštovej schránky. V prípade, ak nie je možné zo strany Slovenské kanalizacie zvoliť iný informačný kanál ako e-mailový účet, dokumenty obsahujúce osobné údaje Slovenské kanalizacie zasiela zabezpečené heslom s tým, že heslo adresátovi oznámi prostredníctvom iného komunikačného kanálu (napr. SMS).
Slovenské kanalizacie je prevádzkovateľom webovej stránky, v rámci ktorej činnosti spracováva osobné údaje len v rozsahu vymedzeného účelu a právneho základu vyplývajúceho z tejto smernice.
Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
Pre všetky osoby, ktoré boli oboznámené s touto smernicou a sú ňou viazané je zakázané zhromažďovanie a rozmnožovanie zhromaždených osobných údajov mimo zákonom stanovených prípadov.
Je zakázané: - zhromažďovať, zapisovať, evidovať osobné údaje mimo k tomu určených a zabezpečených médií
- poskytovať osobné údaje telefonicky, internetom (výnimka je zabezpečené spojenie), mobilnými sieťami
- poskytovať osobné údaje bez overenia oprávnenosti osoby, ktorej majú byť osobné údaje poskytnuté
Vymedzenie zodpovednosti za porušenie zákona
Osoby oprávnené spracúvať osobné údaje sú zodpovedné za komplexné, pravdivé, aktuálne údaje a vkladanie týchto údajov do IS. Sú zodpovedné za uchovávanie, ochranu a manipuláciu s nimi v prípade, že tieto údaje sú v textovej forme. Sú zodpovedné za preukázateľnosť súhlasu na spracúvanie osobného údaju, a to tak, že možno o ňom podať dôkaz, ak Slovenské kanalizacie spracúva osobné údaje na základe súhlasu. Sú zodpovedné za poriadok na pracovisku a odloženie všetkých písomností obsahujúcich osobné údaje a iných dokumentov, ktoré by mohli viesť k slobodnému prístupu k osobným údajom, do odkladacích skriniek, resp. skríň. Sú zodpovedné za dodržiavanie politiky tzv. čistého stola.
Poučenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov)
K spracúvaniu osobných údajov automatizovanými prostriedkami dochádza výlučne prostredníctvom účtovného programu, v ktorom je spracúvané účtovníctvo Slovenské kanalizacie, s ktorým pracuje externý subjekt – sprostredkovateľ, ktorý má s Slovenské kanalizacie uzavretú osobitnú sprostredkovateľskú zmluvu.
Oboznámenie oprávnených osôb so smernicou
Každá oprávnený osoba musí byť preukázateľne oboznámená s obsahom tejto smernice v rozsahu potrebnom na plnenie jej povinností a úloh. Uvedená povinnosť sa vzťahuje aj na každú zmenu tejto smernice.
Vzdelávanie oprávnených osôb (napr. právna oblasť, oblasť informačných technológií)
Slovenské kanalizacie zabezpečí sledovanie zmien v právnej oblasti a v oblasti informačných technológií a následne ich zakomponovanie do smernice, ktorá slúži ako zdroj vzdelávania oprávnených osôb v sledovaných oblastiach.
Postup pri ukončení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti)
Pri skončení pracovného, alebo obdobného pomeru je oprávnená osoba povinná odovzdať Slovenské kanalizacie všetky pridelené aktíva. Oprávnená osoba bude preukázateľne poučená o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti.
Riadenie prístupu oprávnených osôb k osobným údajom
Kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)
Prevádzka Slovenské kanalizacie sa nachádza na prízemí objektu rodinného domu. Vstup do prevádzky je chránený dverami, ktoré sú vybavené zámkom s bezpečnostnou vložkou. Kľúče od prevádzky Slovenské kanalizacie majú Slovenské kanalizacie, osoba poverená Slovenské kanalizacie vedením administratívnej činnosti. Prevádzka Slovenské kanalizacie pozostáva z jednej miestnosti s okenným otvorom.
Pohyb v prevádzke Slovenské kanalizacie inými osobami ako sú uvedené v predchádzajúcom odseku je možný len v sprievode niektorej z osôb definovaných v predchádzajúcom odseku.
Kľúče od uzamykateľných skríň slúžiacich na úschovu nosičov obsahujúcich osobné údaje má len Slovenské kanalizacie a osoba poverená Slovenské kanalizacie vedením administratívnej činnosti.
Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
O pridelení prístupových práv a úrovni prístupu oprávnenej osobe rozhoduje len Slovenské kanalizacie , ktorý je zároveň administrátorom. Oprávnej osobe je pridelené prístupové právo a rola len v rozsahu zodpovedajúcom a nevyhnutnom na plnenie úloh vyplývajúcich zo zmluvného vzťahu uzatvoreného s Slovenské kanalizacie.
Správa hesiel
Prístupové heslo do IS prideľuje oprávnenej osobe administrátor, ktorý vykonáva kontrolu dodržiavania pravidelnej zmeny hesla v zmysle tejto smernice zo strany oprávnenej osoby.
Pravidlá spracúvania osobných údajov v chránenom priestore
Všetky výstupy v listinnej podobe z IS slúžiaceho na vedenie účtovníctva sú určené na archiváciu, ktorú zabezpečuje externý subjekt – sprostredkovateľ, s ktorým má Slovenské kanalizacie uzatvorenú osobitnú sprostredkovateľskú zmluvu. V prípade ukončenia spolupráce je sprostredkovateľ povinný odovzdať Slovenské kanalizacie všetku listinnú dokumentáciu určenú na archiváciu, ktorá je následne uschovávaná v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov.
Slovenské kanalizacie nosiče osobných údajov v listinnej podobe, ktorých spracovávanie uskutočňuje na zmluvnom základe a ktorých archivácia vyplýva z osobitného právneho predpisu, uschováva v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov .
Z iných nosičov osobných údajov, ako sú napr. pracovné laptopy sa nevyhotovujú listinné nosiče osobných údajov. Vykonáva sa len záloha na externé hard disky, ktoré sú uschovávané v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov .
Slovenské kanalizacie spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon a ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené. Sprostredkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon.
Nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby
Vstup iných ako oprávnených osôb do prevádzky Slovenské kanalizacie je možný len za nepretržitej prítomnosti konateľa Slovenské kanalizacie , alebo niektorého zo zamenstnancov, resp. spolupracovníkov Slovenské kanalizacie.
Režim údržby a upratovania chránených priestorov
Upratovanie prevádzky Slovenské kanalizacie sa uskutočňuje svojpomocne.
Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá
Každá oprávnený osoba, ktorá spracováva osobné údaje mimo prevádzkového priestoru Slovenské kanalizacie, najmä na pracovných laptopoch v domácom alebo inom prostredí, je povinná dodržiavať zásady bezpečnosti a politiku čistého stola a dbať, aby nebolo možné odpozorovať spracúvané osobné údaje zo strany osoby bez oprávnenia napr. zo zobrazovacieho zariadenia.
Pravidlá spracúvania osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní ako aj v súvislosti s marketingovým účelom sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má Slovenské kanalizacie uzavretú so sprostredkovateľom .
Pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti
Každá oprávnená osoba manipuluje s fyzickými nosičmi osobných údajov (napr. listiny, fotografie, pracovné laptopy) takým spôsobom, aby zabránila prístupu tretích osôb k týmto nosičom osobných údajov.
Pravidlá manipulácie s fyzickými nosičmi osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má Slovenské kanalizacie uzavretú so sprostredkovateľom.
Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti
Pravidlá používania automatizovaných prostriedkov spracúvania osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má Slovenské kanalizacie uzavretú so sprostredkovateľom .
Pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovednosti
V prípade použitia prenosných dátových nosičov je oprávnená osoba povinná dodržiavať bezpečnostné opatrenia, tento dátový nosič starostlivo počas prenosu uschovávať a dbať, aby sa prenosný dátový nosič nedostal do dispozície inej ako oprávnenej osoby.
Likvidácia osobných údajov
Likvidáciu osobných údajov zabezpečuje Slovenské kanalizacie po ich vylúčení z ďalšieho spracovania, ak nakladanie s nimi nepredpisuje osobitný zákon.
Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)
Slovenské kanalizacie osobne vykoná fyzickú likvidáciu dátových a fyzických nosičov prostredníctvom zariadenia na to určeného – skartovacieho zariadenia a zodpovedá za vykonanie ich likvidácie v zmysle platných právnych predpisov.
Postup likvidácie osobných údajov v IS v súvislosti s vedením účtovníctva je predmetom osobitnej zmluvy, ktorú má Slovenské kanalizacie uzavretú s externým subjektom – sprostredkovateľom.
VII.
OZNAMOVANIE PORUŠENÍ OCHRANY OSOBNÝCH ÚDAJOV ÚRADU NA OCHRANU OSOBNÝCH ÚDAJOV
Slovenské kanalizacie je povinný oznamovať porušenia ochrany osobných údajov v lehote 72 hodín (t.j. 3 dní) s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Rozhodujúcou skutočnosťou pre začiatok tejto lehoty je moment, kedy Slovenské kanalizacie overí, či nastalo porušenie ochrany osobných údajov a aké môže predstavovať riziká pre práva a slobody fyzických osôb a nie zistenie, že porušenie ochrany osobných údajov mohlo nastať. Slovenské kanalizacie je povinná vykonávať overenie podľa predchádzajúcej vety bezodkladne po zistení, že porušenie ochrany osobných údajov mohlo nastať. Ak nie je možné oznámenie podať v uvedenej lehote, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
Slovenské kanalizacie stratí pracovný laptop , personálne spisy alebo prenosné dátové úložisko a vzhľadom na ich obsah usúdi, že únik daných informácií pravdepodobne povedie k rizikám pre práva a slobody fyzických osôb.
Slovenské kanalizacie musí zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
Pri porušení ochrany osobných údajov podľa čl. 34 GDPR je Slovenské kanalizacie povinný dané porušenie oznamovať tým dotknutým osobám, ktorých sa dané porušenie týka.
Osobou zodpovednou za zrealizovanie úkonov podľa tohto článku smernice je Slovenské kanalizacie .
VIII.
BEZPEČNOSTNÉ INCIDENTY
Postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení.
Všetky bezpečnostné incidenty a zistené zraniteľné miesta IS je potrebné ihneď nahlásiť Slovenské kanalizacie a to za účelom včasného prijatia preventívnych alebo nápravných opatrení.
Evidencia bezpečnostných incidentov a použitých riešení
Slovenské kanalizacie eviduje všetky vzniknuté bezpečnostné incidenty a použité riešenia v osobitnej evidencii.
Postup pri riešení jednotlivých typov bezpečnostných incidentov
strata, vyzradenie alebo krádež hesiel pre vstup do IS – je potrebné zmeniť všetky prihlasovacie heslá do IS , vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS
neoprávnený vstup neoprávnenej osoby do IS – je potrebné zmeniť všetky prihlasovacie heslá do informačného systému , vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS
krádež alebo strata kľúčov – je potrebné zabezpečiť okamžitú výmenu zámkov, prípadne doplnenie bezpečnostných ochrán IS – napr. inštalovaním senzorov, kamerového systému, doplnkových mechanických zábran
strata záložných médií – je potrebné zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo
krádež záložných médií- je potrebné zabezpečiť miesto, kde sú uložené média, proti opätovnému odcudzeniu- napr. inštalovaním senzorov, kamerových systémov, doplnkových mechanických zábran, zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo
Identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov
Slovenské kanalizacie zabezpečuje identifikáciu, evidenciu a odstraňovanie následov bezpečnostných incidentov.
Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)
Každý, kto zaregistruje haváriu, poruchu alebo inú mimoriadnu situáciu nasvedčujúcu tomu, že by sa mohlo jednať o bezpečnostný incident je povinný o tom bez zbytočného odkladu informovať Slovenské kanalizacie.
Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)
Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania osobných údajov v IS je predmetom osobitnej zmluvy, ktorú má Slovenské kanalizacie uzavretú so sprostredovateľom, u ktorého dochádza k automatizovanému spracúvaniu osobných údajov.
IX.
KONTROLNÁ ČINNOSŤ
Kontrolná činnosť Slovenské kanalizacie zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie
Slovenské kanalizacie vždy pred začatím spracúvania osobných údajov v informačnom systéme preverí, či ich spracúvaním nevzniká nebezpečenstvo narušenia práva a slobôd dotknutých osôb.
Pri zistení porušenia zákona Slovenské kanalizacie okamžite pozastaví zber údajov, údaje sa zablokujú a hľadajú sa postupy, ako dostať situáciu do súladu so zákonom.
Slovenské kanalizacie pri zistení zreteľahodného nedostatku spracuje zápis o zistenom nedostatku, jeho odstránení a navrhovanom riešení.
Slovenské kanalizacie musí vždy vykonať zápis pri zistení systémového nedostatku a pri porušení práv dotknutých osôb.
Slovenské kanalizacie vykonáva kontrolu dodržiavania bezpečnostnej smernice priebežne, najmenej každé tri mesiace.
Slovenské kanalizacie kontroluje zásady spracúvania osobných údajov minimálne raz za rok a vyhotovuje o tom písomný záznam.
Slovenské kanalizacie o každej kontrole vypracuje zápis do knihy kontrol bezpečnosti IS, ktorý musí obsahovať: dátum a čas kontroly, rozsah kontroly, zistené nedostatky pri kontrole, návrh protiopatrení, osobu zodpovednú za vykonanie protiopatrení, termín kontroly splnenia protiopatrení.
Slovenské kanalizacie pri vzniku bezpečnostnej udalosti vykoná mimoriadnu kontrolu a vypracuje zápis do knihy kontrol bezpečnosti IS.
Kontrola zabezpečenia priestoru prevádzky Slovenské kanalizacie pred nedovoleným prístupom je vykonávaná námatkovo Slovenské kanalizacie .
Táto smernica nadobúda účinnosť dňa 12.11.2018.
________________________________
Slovenské kanalizacie
Pôsobíme v rámci celého Slovenska.
Zásah do 3 hodín od Vášho zavolania.