General Data Protection Regulation

General Data Protection Regulation – GDPR

Dňa 25.05.2018 vstupuje do platnosti Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), s anglickým názvom General Data Protection Regulation (ďalej len „GDPR“) a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Slovenské elektrárne, a.s. (ďalej len „SE“) sú prevádzkovateľom, ktorý pri výkone činností a plnení úloh vyplývajúcich z platnej legislatívy a zmluvných vzťahov spracúva osobné údaje dotknutých osôb. Na zabezpečenie ochrany spracúvaných osobných údajov pred ich náhodným alebo nezákonným zničením, stratou, zmenou, neoprávneným poskytnutím, alebo neoprávneným prístupom k nim, boli v SE prijaté primerané technické a organizačné opatrenia zohľadňujúce najnovšie poznatky, náklady na vykonanie opatrení, povahu, rozsah, kontext a účely spracúvania, ako aj riziká, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb.

Definícia základných pojmov

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, pričom identifikovateľnou fyzickou osobou je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Spracúvanie osobných údajov je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú. Dotknutými osobami, ktorých osobné údaje sú spracúvané v prostredí SE, sú najmä vlastní zamestnanci a ich rodinní príslušníci, osoby pracujúce na dohodu, žiadatelia o zamestnanie, zamestnanci dodávateľov, návštevy a pod.

Prevádzkovateľ je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľom sú Slovenské elektrárne.

Sprostredkovateľ je každý, kto spracúva osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy alebo dohody.

Dodržiavanie zásad spracúvania osobných údajov

Slovenské elektrárne ako prevádzkovateľ vymedzujú účel, podmienky a prostriedky spracúvania osobných údajov, pričom dodržiavajú zásady spracúvania osobných údajov stanovené nariadením. Osobné údaje sú:

  • spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);
  • získavané na konkrétne určené, výslovne uvedené a legitímne účely („obmedzenie účelu“);
  • primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);
  • správne a podľa potreby aktualizované („správnosť“);
  • uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú („minimalizácia uchovávania“);
  • spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

Zákonnosť spracúvania osobných údajov

Spracúvanie osobných údajov v Slovenských elektrárňach je vykonávané na základe niektorého z nasledujúcich právnych základov:

  • zmluva s dotknutou osobou – spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy,
  • plnenie zákonnej povinnosti prevádzkovateľa – spracúvanie je nevyhnutné na plnenie povinnosti prevádzkovateľa stanovenej osobitným zákonom (legislatívou SR alebo EÚ),
  • oprávnené záujmy prevádzkovateľa – spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa,
  • súhlas dotknutej osoby – ak dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely.

Spracúvanie osobných údajov prostredníctvom sprostredkovateľa

Slovenské elektrárne ako prevádzkovateľ môžu pri spracúvaní osobných údajov využívať sprostredkovateľov, ktorí spracúvajú osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy. SE ako prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia, aby spracúvanie spĺňalo legislatívne požiadavky, a aby sa zabezpečila ochrana práv dotknutej osoby.

Uplatňovanie práv dotknutých osôb

Dotknuté osoby majú vo vzťahu k spracúvaniu ich osobných údajov:

Právo na prístup k údajom – poskytnutie informácie o tom, či sa o dotknutej osobe spracúvajú osobné údaje, ktoré sa jej týkajú, vrátane informácií o účele spracúvania, kategóriách spracúvaných osobných údajov, príjemcoch alebo kategóriách príjemcov, predpokladanej dobe uchovávania osobných údajov, a z akého zdroja boli osobné údaje získané.

Právo na opravu – oprava nesprávnych, resp. doplnenie neúplných osobných údajov, ktoré sa dotknutej osoby týkajú.

Právo na vymazanie (právo „na zabudnutie“) – vymazanie osobných údajov, ktoré už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali, alebo ktoré už nie je prevádzkovateľ oprávnený spracúvať z iných dôvodov (ak dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a neexistuje iný právny základ pre spracúvanie; alebo osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť, a pod.).

Právo na obmedzenie spracúvania – obmedzenie spracúvania osobných údajov, ak dotknutá osoba napadne správnosť osobných údajov, alebo namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia, alebo ak prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov, príp. ak dotknutá osoba namietala voči spracúvaniu na základe oprávneného záujmu prevádzkovateľa, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Právo na prenosnosť údajov – poskytnutie osobných údajov vo forme, aby boli prenositeľné inému prevádzkovateľovi; toto právo je možné uplatniť len na osobné údaje, ktorých spracúvanie sa zakladá na súhlase alebo na zmluve, a je vykonávané automatizovanými prostriedkami (osobné údaje boli získané a spracúvané v elektronickej forme).

Právo namietať (proti spracúvaniu osobných údajov) – dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov vykonávaného na základe oprávnených záujmov prevádzkovateľa, vrátane namietania proti profilovaniu; spracúvanie osobných údajov bude obmedzené, kým sa nepreukážu nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Ak je spracovanie osobných údajov založené na súhlase, dotknutá osoba má právo kedykoľvek svoj súhlas odvolať; ďalšie spracovanie jej osobných údajov bude bez zbytočného odkladu ukončené.

Kontaktným miestom pre vybavovanie požiadaviek a na zastupovanie SE vo vzťahu k dotknutým osobám v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv je zodpovedná osoba (dpo@seas.sk).

Okrem vyššie uvedených práv, máte vo veci spracúvania a ochrany osobných údajov právo podať sťažnosť dozornému orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, Slovenská republika.

Vybavovanie požiadaviek dotknutých osôb

Požiadavky môžu byť uplatňované v písomnej forme na adresu Slovenské elektrárne, a.s., Data Protection Officer / Zodpovedná osoba, Mlynské nivy 47, 821 09 Bratislava alebo v elektronickej forme na mailovú adresu zodpovednej osoby (dpo@seas.sk). Na predídenie nežiaducemu sprístupneniu a/alebo poskytnutiu informácií neoprávnenej osobe môžete byť požiadaný o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti žiadateľa.

Na urýchlenie procesu vybavenia požiadavky o uplatnenie práv dotknutej osoby použite tento formulár a postupujte podľa pokynov v ňom uvedených.

Požiadavky sú spravidla vybavované písomne do vlastných rúk žiadateľa, najneskôr do jedného mesiaca od doručenia žiadosti. V prípade komplexnej požiadavky, vyžadujúcej väčšiu časovú alebo technickú náročnosť spracovania, príp. z dôvodu doplnenia informácií potrebných k posúdeniu a vybaveniu požiadavky, je možné lehotu predĺžiť o ďalšie dva mesiace; o takomto predĺžení budete informovaní, spolu s dôvodmi predĺženia lehoty.

Porušenie alebo podozrenie na porušenie ochrany osobných údajov môžete oznámiť zodpovednej osobe využitím online formulára na tejto stránke, alebo e-mailom na dpo@seas.sk.

Formulár pre oznámenie porušenia ochrany osobných údajov

?
?