PREHLÁSENIE O OCHRANE OSOBNÝCH ÚDAJOV
v súvislosti so spracúvaním osobných údajov dotknutých osôb
Pri návšteve, používaní a práci na portály www.cykloportal.sk , môže užívateľ dobrovoľne podať informácie (t. j. nemáte žiadnu povinnosť tak urobiť), medzi ktorými môžu byť aj osobné údaje identifikujúce užívateľa (t. j. Vás) ako konkrétnu osobu – dotknutú osobu, prevádzkovateľovi: Slovenský cykloklub, o. z., so sídlom: Námestie slobody 1716/6, 92101 Piešťany, IČO: 34009388 (ďalej len „prevádzkovateľ“), a to najmä elektronickou poštou (emailom),
vyplnením a podaním elektronického formuláru, používaním portálu alebo iným spôsobom, ktorý umožňuje funkcionalita portálu.
Výklad niektorých pojmov
Osobné údaje – sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (resp. „dotknutej osoby“), ktorou sa rozumie osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu
identitu tejto fyzickej osoby.
Spracúvanie – je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými
alebo neautomatizovanými prostriedkami.
Informačný systém – je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
Prevádzkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.
Sprostredkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Súhlas dotknutej osoby – je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Spôsob a účel spracovania osobných údajov
Prevádzkovateľ spracúva Vaše osobné údaje, ako automatizovane, tak aj manuálne, avšak iba rozsahu v nevyhnutne potrebnom na naplnenie účelu spracovania (t. j. v prípade poskytnutia
osobných údajov nad tento rámec, prevádzkovateľ takéto údaje ďalej nespracováva a odstráni ich zo svojich informačných systémov). Účelom (a právnym titulom) spracovania osobných údajov je najmä plnenie oprávnených záujmov prevádzkovateľa na riadnom chode občianskeho združenia, ďalej plnenie zmlúv a zákonných povinností prevádzkovateľa. Prevádzkovateľ uvádza, že v niektorých prípadoch nie je bez poskytnutia osobných údajov možné vykonať Vami požadované úkony (napr. registrácia člena, čerpanie členských výhod). Ak je na spracovanie poskytnutých osobných údajov potrebný súhlas Vás ako dotknutej osoby, je prevádzkovateľ povinný si ho vopred vyžiadať. Pri spracúvaní osobných údajov na základe SLOVENSKÝ CYKLOKLUB Slovenský cykloklub, P.O.BOX B-2, 921 01 Piešťany, Slovenská republika, office@cykloklub.sk VÚB Piešťany č.ú: 1377718455/0200 tel.: 0910 645 443 IČO: 34 00 93 88 IČ DPH SK2021001422 súhlasu so spracovaním, môžete kedykoľvek svoj súhlas odvolať, a to rovnako jednoduchým spôsobom ako bol udelený (napr. v prípade elektronicky udeleného súhlasu je možné súhlas odvolať zaslaním e-mailovej správy), avšak bez toho, aby to malo vplyv na zákonnosť spracúvania osobných údajov pred odvolaním súhlasu.
Rozsah spracovania osobných údajov
Prevádzkovateľ spracúva Vaše osobné údaje iba v nevyhnutnom rozsahu potrebnom na naplnenie účelu spracovania (t. j. v prípade poskytnutia osobných údajov nad tento rámec, prevádzkovateľ takéto údaje ďalej nespracováva a odstráni ich zo svojich informačných systémov) a to ako automatizovane, tak aj manuálne.
Bezpečnosť osobných údajov a doba uchovávania
Vami dobrovoľne poskytnuté osobné údaje sú uložené v bezpečnom prostredí a budú použité prevádzkovateľom výhradne pri plnení povinností a/alebo záväzkov k užívateľom portálu, a to iba v rozsahu, ktorý vyplynie z podanej informácie, na dobu s ktorou ste súhlasili, prípadne na dobu potrebnú na uplatňovanie práv prevádzkovateľa vyplývajúcu z právnych predpisov (napr. v prípade porušenia Vašej právnej povinnosti, z ktorej vznikne voči Vám
prevádzkovateľovi právny nárok, ide o dobu trvania premlčacej doby, samozrejme za aplikácie zásady minimalizácie uchovávania osobných údajov).
Spracovania osobných údajov iným subjektom ako prevádzkovateľ
Prevádzkovateľ vyhlasuje, že tretej strane neprenajme, nepredá ani si s treťou stranou nevymení osobné údaje užívateľov (t. j. údaje ako meno, adresu, telefónne číslo, e-mail atď., ktoré identifikujú užívateľa ako konkrétnu osobu), bez výslovného súhlasu užívateľa, čím však nie je dotknutá možnosť prevádzkovateľa určiť na spracovanie osobných údajov v súlade s týmto prehlásením sprostredkovateľa (napr. účtovnú spoločnosť, ktorá má prístup k osobným údajom nevyhnutným na fakturáciu, subjekt spracúvajúci členské preukazy a pod.). Rovnako tým nie je dotknutá tá skutočnosť, že k Vašim dobrovoľne poskytnutým údajom môžu mať prístup na to vyslovene prevádzkovateľom poverení a riadne poučení zamestnanci, avšak výhradne na účely nevyhnutne potrebné na spracovanie Vašich osobných údajov v súlade s účelom, na ktoré boli poskytnuté. Prevádzkovateľ je taktiež v zákonom stanovených prípadoch oprávnený resp. povinný niektoré osobné údaje odovzdať na základe platných právnych predpisov napríklad orgánom činným v trestnom konaní či ďalším orgánom verejnej moci.
Profilovanie a automatizované rozhodnutia
Prevádzkovateľ vyhlasuje, že Vami poskytnuté osobné údaje nie sú využívané na účely profilovania. Rovnako Vaše osobné údaje nie sú ani predmetom automatizovaného rozhodovania.
Prenos údajov do tretej krajiny
Prevádzkovateľ rovnako vyhlasuje, že Vaše osobné údaje neprenáša do tretej krajiny (t. j. mimo EÚ) a ani do medzinárodnej organizácie.
Vyhlásenie dotknutej osoby
Pred tým ako dobrovoľne podáte prevádzkovateľovi informácie, prehlasujete, že všetky Vami uvedené osobné údaje sú pravdivé, presné, aktuálne a úplné a dávate (tam kde je to aplikovateľné) svoj dobrovoľný súhlas na ich spracúvanie.
Odkazy na servery tretích strán
Odkazy na webové servery tretích strán, ktoré môžu byť obsiahnuté na tomto webovom sú uvádzané len pre pohodlie užívateľov stránky. Ak tieto odkazy využijete, opustíte tým tento portál a prevádzkovateľ ďalej nezodpovedá za zásady ochrany súkromia tretích strán a ich zabezpečovanie, ktoré sa môže líšiť od prístupu prevádzkovateľa. Na osobné údaje, ktoré sa rozhodnete poskytnúť prostredníctvom stránok nesúvisiacich tretích strán, sa tak toto prehlásenie nevzťahuje.
Kontaktné údaje prevádzkovateľa
Dotknutá osoba sa môže kedykoľvek obrátiť na osobu prevádzkovateľom poverenú v súvislosti s ochranou osobných údajov, a to na poverenú osobu: Pavol Heger, prostredníctvom e-mailu: heger@hpr-attorneys.eu
Poučenie o právach dotknutej osoby
Ako dotknutá osoba disponujete na základe Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“), určitými právami, medzi ktoré patrí napr. právo podať sťažnosť dozornému orgánu (t. j. Úradu na ochranu osobných údajov SR), právo požadovať prístup k osobným údajom, právo na opravu a vymazanie osobných údajov, právo na obmedzenie spracúvania, právo namietať proti spracúvaniu osobných údajov či právo na prenosnosť údajov.
Kompletný výpočet práv Vás ako dotknutej osoby možno nájsť nižšie:
POUČENIE O PRÁVACH DOTKNUTEJ OSOBY
v zmysle čl. 12 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej ako „GDPR“) poskytnuté dotknutej osobe prevádzkovateľom: Slovenský cykloklub, o. z., so sídlom: Námestie slobody 1716/6, 92101 Piešťany, IČO: 34009388
V zmysle čl. 12 bod 1. GDPR je povinnosťou prevádzkovateľa, t. j. subjektu spracúvajúceho osobného údaje dotknutej osoby na konkrétne účely, prijať vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 GDPR a všetky oznámenia podľa článkov 15 až 22 a článku 34 GDPR, ktoré sa týkajú spracúvania jej osobných údajov, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu a to písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami.
Vzhľadom na uvedené týmto prevádzkovateľ poskytuje dotknutej osobe nasledovné informácie a oznámenia:
Dotknutá osoba je v zmysle nariadenia GDPR osobou, u ktorej dochádza k spracovaniu jej osobných údajov. Nariadenie GDPR vymedzuje súbor práv dotknutej osoby, prostredníctvom ktorých sa zaručuje ochrana spracúvaných osobných údajov a ktorých praktickú realizáciu SLOVENSKÝ CYKLOKLUB Slovenský cykloklub, P.O.BOX B-2, 921 01 Piešťany, Slovenská republika, office@cykloklub.sk VÚB Piešťany č.ú: 1377718455/0200 tel.: 0910 645 443 IČO: 34 00 93 88 IČ DPH SK2021001422 musí prevádzkovateľ dotknutej osobe umožniť a súčasne byť pri ich uplatňovaný súčinný.
Medzi tieto práva patrí:
– právo na informácie a prístup k osobným údajom, ktoré znamená, že dotknutej osobe musí byť pri získavaní osobných údajov vždy poskytnutý určitý okruh informácií a údajov (pričom tieto údaje možno nájsť v prehlásení o ochrane osobných údajov na webovej stránke www.cykloportal.sk ) a taktiež jej musí byť poskytnutá možnosť na prístup k osobným údajom na základe stanovených podmienok;
– dotknutá osoba má taktiež právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje a s tým súvisiace informácie;
– právo na opravu a vymazanie, ktoré znamená, že dotknutá osoba má právo požadovať opravu nesprávne uvedených osobných údajov a doplnenie neúplných údajov a taktiež právo na vymazanie („na zabudnutie“), na základe ktorého sa u prevádzkovateľa, za súčasného splnenia vymedzených podmienok, môže dožadovať vymazania osobných údajov, ktoré sa jej týkajú;
– dotknutá osoba má rovnako právo za stanovených podmienok požadovať obmedzenie spracúvania svojich osobných údajov;
– v súvislosti s opravou, vymazaním a obmedzením spracúvania osobných údajov má dotknutá osoba právo na to, aby bola táto skutočnosť oznámená každému príjemcovi, ktorému boli tieto údaje poskytnuté;
– dotknutá osoba má právo na prenosnosť osobných údajov, spočívajúce v tom, že ak je to zo strany prevádzkovateľa možné, musia jej byť údaje poskytnuté spôsobom umožňujúcim ich prenesenie inému prevádzkovateľovi, prípadne ak je to možné, má právo na to, aby takýto prenos uskutočnil sám prevádzkovateľ;
– dotknutá osoba má právo v prípadoch upravených čl. 6 ods. 1 písm. e) alebo f) GDPR (t. j. spracúvanie na úlohy plnené vo verejnom záujme a pri výkone verejnej moci a na účely plnenia oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana) kedykoľvek namietať voči spracúvaniu osobných údajov;
– dotknutá osoba má právo namietať automatizované individuálne rozhodovanie, vrátane profilovania (za predpokladu, ak takémuto rozhodovaniu dochádza), ktoré spočíva v tom, že o záležitostiach dotknutej osoby je na základe poskytnutých osobných údajov rozhodované automatizovane bez zásahu človeka;
– dotknutá osoba má právo namietať voči spracúvaniu údajov na účely priameho marketingu, na čo musí byť upozornená už pri prvej komunikácií s ňou;
Vzhľadom na to, že vyššie uvedené vymedzenie je len stručným vymedzením práv dotknutej osoby, prevádzkovateľ pre potreby dotknutej osoby nižšie v celosti uvádza GDPR stanovený rozsah práv dotknutej osoby podľa článkov 15 až 22 a článku 34 GDPR.
Informácie a prístup k osobným údajom
I. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby
1. Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, prevádzkovateľ jej pri ich získavaní poskytne všetky nasledujúce informácie:
a) totožnosť, kontaktné údaje,
b) kontaktné údaje zodpovednej osoby, v prípade ak je ustanovená,
c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
d) ak sa spracúvanie zakladá na na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana,
e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
f) v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.
2. Okrem informácií uvedených v bode 1., prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:
a) doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
b) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
c) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods. 2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
d) právo podať sťažnosť dozornému orgánu,
e) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov,
f) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.
4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.
II. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby.
1. V prípade, ak neboli informácie získané priamo od dotknutej osoby prevádzkovateľ poskytne dotknutej osobe tieto informácie:
a) totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,
b) kontaktné údaje prípadnej zodpovednej osoby,
c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
d) kategórie dotknutých osobných údajov,
e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
f) v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.
2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:
a) doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie,
b) ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana,
c) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
d) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods. 2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
e) právo podať sťažnosť dozornému orgánu,
f) z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov,
g) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:
a) v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
b) ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo
c) ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.
4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.
5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:
a) dotknutá osoba má už dané informácie
b) sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1 GDPR, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti
c) sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo,
d) v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.
III. Právo dotknutej osoby na prístup k údajom
1. Dotknutá osoba má právo na prístup k osobným údajom a získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:
a) účely spracúvania,
b) kategórie dotknutých osobných údajov,
c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,
d) ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
e) existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu,
f) právo podať sťažnosť dozornému orgánu,
g) ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj,
h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 GDPR a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46 týkajúcich sa prenosu.
3. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
4. Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.
Oprava a vymazanie
IV. Právo na opravu
1. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
V. Právo na vymazanie (právo „na zabudnutie“)
1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali,
b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak neexistuje iný právny základ pre spracúvanie,
c) dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 1 GDPR a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 2 GDPR,
d) osobné údaje sa spracúvali nezákonne,
e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha,
f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti adresovanou dieťaťu podľa čl. 8 ods. 1 GDPR.
2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.
3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:
a) na uplatnenie práva na slobodu prejavu a na informácie
b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i) GDPR, ako aj článkom 9 ods. 3 GDPR
d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR, pokiaľ je pravdepodobné,
že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
VI. Právo na obmedzenie spracúvania
1. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, pokiaľ ide o jeden z týchto prípadov:
a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov
b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia
c) prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov
d) dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1 GDPR, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby
2. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.
3. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.
VII. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo
obmedzením spracúvania
1. Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18 GDPR, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
VIII. Právo na prenosnosť údajov
1. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:
a) sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) GDPR alebo článku 9 ods. 2 písm. a) GDPR, alebo na zmluve podľa článku 6 ods. 1 písm. b) GDPR, a
b) ak sa spracúvanie vykonáva automatizovanými prostriedkami
2. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku
1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.
3. Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17 GDR. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
4. Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných.
Právo namietať a automatizované individuálne rozhodovanie
IX. Právo namietať
1. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) GDPR vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.
3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.
4. Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.
5. V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu 2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.
6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.
X. Automatizované individuálne rozhodovanie vrátane profilovania
1. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:
a) nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom
b) povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo
c) založené na výslovnom súhlase dotknutej osoby.
3. V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1 GDPR, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo
g) GDPR a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.
XI. Oznámenie porušenia ochrany osobných údajov dotknutej osobe
1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.
2. Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie
a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d) GDPR.
3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:
a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie,
b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky,
c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.
4. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov
vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.
XII. Osobitné ustanovenia
1. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby. V prípadoch ak prevádzkovateľnie je schopný identifikovať dotknutú osobu v prípadoch uvedených v článku 11 ods. 2 GDPR, nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práv, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.
2. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi
zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
3. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.
4. Informácie poskytnuté dotknutej osobe a všetky oznámenia a všetky prijaté opatrenia sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:
a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia,
b) alebo odmietnuť konať na základe žiadosti.
5. Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.