Zásady ochrany osobných údajov (Privacy Policy)

Aplikácie APPkA

ČLÁNOK I
ZÁKLADNÉ USTANOVENIA

1.1 PREDMET ÚPRAVY

1.1.1 Tieto Zásady ochrany osobných údajov Aplikácie APPkA upravujú pravidlá spracúvania a ochrany osobných údajov pre Aplikáciu APPkA.

1.1.2 Prevádzkovateľ Aplikácie APPkA je Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava, IČO: 42 173 809, Registrácia: Ministerstvo vnútra Slovenskej republiky, číslo spisu: VVS/1-900/90-33847-1.

1.2 DEFINÍCIE

1.2.1 Pokiaľ nie je v tomto dokumente vyslovene uvedené inak, v týchto Zásadách ochrany osobných údajov Aplikácie APPkA majú výrazy s veľkým počiatočným písmenom nižšie uvedený význam:

  1. „Aplikácia APPkA" znamená aplikácia, ktorou bude vyhodnocovaná pohybová aktivita dotknutej osoby, na základe čoho bude následne určený príspevok na projekty realizované APPA v závislosti od realizovanej pohybovej aktivity, pričom zúčastnená dotknutá osoba dostane v prípade jej záujmu vyhodnotenie jej pohybovej aktivity;
  2. „APPA" znamená Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava, IČO: 42 173 809, Registrácia: Ministerstvo vnútra Slovenskej republiky, číslo spisu: VVS/1-900/90-33847-1;
  3. „Dotknutá osoba" znamená fyzická osoba, ktorej Osobné údaje sa spracúvajú;
  4. „GDPR" znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – Ú. v. EÚ L 119, 4. 5. 2016;
  5. „Osobné údaje" znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 bod 1 GDPR a/alebo údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu v zmysle § 2 Zákona;
  6. „Príjemca" znamená fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa Osobné údaje poskytujú bez ohľadu na to, či je treťou stranou;
  7. „Zákon" znamená zákon 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

ČLÁNOK II
SPRACÚVANIE OSOBNÝCH ÚDAJOV V APLIKÁCII APPkA

2.1 Okamih začatia spracúvania Osobných údajov v Aplikácii APPkA a doba ich spracúvania

2.1.1 Pri prevádzkovaní Aplikácie APPkA spracúva APPA Osobné údaje Dotknutých osôb ako prevádzkovateľ Aplikácie APPkA.

2.1.2 APPA je oprávnená začať spracúvať Osobné údaje Dotknutých osôb ako Prevádzkovateľ Aplikácie APPkA momentom, ako Dotknutá osoba vyslovi prostredníctvom Aplikácie APPkA s tým súhlas.

2.1.3 APPA je povinná spracúvať Osobné údaje počas obdobia, po ktoré bude prevádzkovať Aplikáciu APPkA a po ukončení jej prevádzkovania až do uplynutia premlčacej doby na uplatnenie práva, a to všetko až do momentu, pokiaľ nebude súhlas spracúvať Osobné údaje odvolaný Dotknutou osobou. Dobu uchovávania Osobných údajov stanoví APPA tak, aby doba bola v súlade s GDPR a Zákonom. Osobné údaje sa archivujú v súlade so zákonom o archívnictve a inými všeobecne záväznými právnymi predpismi. Spracovávanie osobných údajov v prípade udelenia súhlasu na určitú dobu je možné najdlhšie do uplynutia doby, na ktorú bol súhlas udelený.

2.2 Účel spracúvania a používania Osobných údajov v Aplikácii APPkA

2.2.1 APPA spracúva Osobné údaje Dotknutých osôb výlučne za účelom prevádzkovania a fungovania Aplikácie APPkA – na výpočet aktivity v aplikácii a na prepočet na charitatívnu pomoc ako funkcionalitu aplikácie.

2.2.2 Právnym základom spracúvania Osobných údajov je súhlas Dotknutej osoby.

2.2.3 Poskytovanie Osobných údajov je požiadavkou potrebnou na využívanie Aplikácie APPkA Dotknutou osobou a Dotknutá osoba nie je povinná poskytnúť Osobné údaje.

2.3 Povaha a prostriedky spracúvania Osobných údajov

2.3.1 Spracúvanie Osobných údajov sa bude vykonávať úplne automatizovanými prostriedkami, pričom prostriedkami spracúvania Osobných údajov sú výpočtová technika a iná technika ako osobné počítače, notebooky, server a sieťové komponenty, mobilné zariadenia, ako aj inými než automatizovanými prostriedkami.

2.4 Kategórie (typy) spracúvaných Osobných údajov v Aplikácii APPkA

2.4.1 APPA spracúva v Aplikácii APPkA Osobné údaje Dotknutých osôb, a to:

  1. užívateľské meno;
  2. heslo;
  3. e-mailová adresa;
  4. pohlavie;
  5. výška;
  6. hmotnosť;
  7. vek;
  8. údaje o fyzickej aktivite, najmä prejdené kroky, údaje o inej pohybovej aktivite napríklad beh, bicyklovanie a plávanie a kalórie spálené týmito aktivitami.

2.4.2 APPA spracúva v Aplikácii APPkA nasledovné zdravotné údaje Dotknutých osôb, a to:

  1. pohlavie;
  2. výška;
  3. hmotnosť;
  4. vek;
  5. údaje o fyzickej aktivite, najmä prejdené kroky, údaje o inej pohybovej aktivite napríklad beh, bicyklovanie a plávanie a kalórie spálené týmito aktivitami.

2.5 Kategórie Dotknutých osôb

2.5.1 APPA spracúva bežné Osobné údaje nasledovných kategórií Dotknutých osôb:

  1. osoby využívajúce Aplikáciu APPkA.

2.6 Kategórie Príjemcov – osoby, ktorým APPA môže poskytovať Osobné údaje

2.6.1 APPA môže poskytovať Osobné údaje nasledovným kategóriám Príjemcov:

  1. zamestnanci APPA;
  2. externí spolupracovníci APPA;
  3. sponzori APPA;
  4. partneri APPA;
  5. audítor APPA;
  6. právnik APPA;
  7. účtovník APPA;
  8. spolupracujúce médiá;
  9. skupina Google;
  10. orgánom činným v trestnom konaní a iným orgánom, ktorým sa poskytujú osobné údaje podľa všeobecne záväzných právnych predpisov (napr. kontrolné orgány).

2.6.2 Spracúvané Osobné údaje a ani zdravotné údaje APPA nezdieľa a nepredáva tretím stranám na marketingové alebo reklamné účely. Spracúvané Osobné údaje a ani zdravotné údaje APPA (i) nepredáva tretím stranám (ii) nepoužíva na reklamu; (iii) nepoužíva na marketingové profilovanie.

2.7 Spracovateľské operácie

2.7.1 APPA je oprávnená spracúvať Osobné údaje Dotknutých osôb v rámci všetkých a akýchkoľvek spracovateľských operácií, ktoré sú nevyhnutné na splnenie účelu spracúvania Osobných údajov.

2.7.2 APPA spracúva Osobné údaje Dotknutých najmä nasledovne: (i) zaznamenáva ich do informačného systému okamžite po ich získaní, (ii) ďalej ich usporadúva, (iii) vyhodnocuje; (iv) uchováva po celý čas ich spracúvania a používania, ako aj následne v dobe, počas ktorej by sa Osobné údaje mali archivovať, (v) prípadne, ak dôjde k zmene Osobných údajov, tak údaje zmení, (vi) osobné údaje v prípade potreby vyhľadáva, (vii) prípadne prehliada, ako aj (viii) ďalej využíva, (ix) preskupuje, (x) alebo kombinuje a (xi) ak to vyplýva z GDPR a/alebo Zákona, tak aj obmedzuje, či vymaže.

2.8 Prenos Osobných údajov

2.8.1 APPA neprenáša Osobné údaje mimo Európskej únie do tretích krajín a/alebo medzinárodných organizácií.

2.9 Vymazanie alebo vrátenie Osobných údajov

2.9.1 Používateľ Aplikácie APPkA môže kedykoľvek požiadať o zmazanie jeho Osobných údajov alebo odvolať súhlas so spracúvaním jeho Osobných údajov, a to zrušením účtu v Aplikácii APPkA.

2.9.2 APPA vymaže Osobné údaje v prípadoch uvedených v článku 17 GDPR a v Zákone (najmä § 23).

ČLÁNOK III
TECHNICKÉ A ORGANIZAČNÉ OPATRENIA

3.1 Technické a organizačné opatrenia pre Aplikáciu APPkA

3.1.1 APPA týmto potvrdzuje, že prijala primerané technické a organizačné opatrenia tak, aby spracúvanie Osobných údajov v Aplikácii APPkA spĺňalo požiadavky GDPR a Zákona, a aby sa zabezpečila ochrana práv Dotknutej osoby a zaväzuje sa ich používať pri spracúvaní Osobných údajov v Aplikácii APPkA od okamihu prijatia týchto Osobných údajov až do ukončenia ich spracúvania, pokiaľ nedostane iné usmernenia od príslušných orgánov verejnej moci, a to najmä:

A/ Organizačné opatrenia

RizikoOpatrenia
1. Nesprávne plnenie povinností zo strany Prevádzkovateľa
  • Vypracovanie a prijatie internej dokumentácie o ochrane osobných údajov.
  • Poverenie osôb, ak spracúvajú osobné údaje.
  • Pravidelný monitoring právnych predpisov v oblasti ochrany osobných údajov.
  • Pravidelné preškoľovanie osôb, ktoré spracúvajú osobné údaje v oblasti ochrany osobných údajov.
  • Vyhotovenie záznamu o spracovateľských činnostiach.
2. Neoprávnený prístup k informačnému systému
  • Uzamknutie vstupných dverí do budovy, v ktorých sa nachádzajú priestory APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby.
  • Uzamknutie vstupných dverí do priestorov APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby APPA.
  • Uzamknutie jednotlivých miestností, v ktorých sa nachádzajú informačné systémy APPA alebo prostriedky spracúvania osobných údajov, pričom kľúčmi od týchto miestností disponujú iba oprávnené osoby APPA.
3. Narušenie integrity informačného systému
  • Zavedenie postupov pri odchode z pracoviska a z priestorov APPA.
  • Zabezpečenie uskladňovania dokumentácie a iných hmotných nosičov obsahujúcich osobné údaje v spisoch v skriniach alebo kontajneroch v uzamykateľných priestoroch a skriniach APPA.
  • Bezpečné umiestnenie zobrazovacej jednotky alebo monitoru, z ktorých by bolo možné odpozorovaním získať osobné údaje.
  • Zákaz poskytovať vybrané osobné údaje v telefonickom styku.
4. Nesprávna likvidácia osobných údajov
  • Likvidácia dokumentov v tlačenej forme pomocou zariadenia na skartovanie listín v pravidelných intervaloch takým spôsobom, že zlikvidované dokumenty a zložky nie je možné zrekonštruovať na opätovné použitie akýmkoľvek spôsobom.
  • Likvidácia dokumentov, ktoré sú evidované v archíve APPA podľa príslušných všeobecne záväzných právnych predpisov.
5. Nedodržanie minimalizácie doby uchovávania a dostupnosti osobných údajov
  • Pravidelné prehodnocovanie trvania účelov spracúvania osobných údajov.
6. Nezabezpečenie spracúvania osobných údajov osobami poskytujúcimi dostatočné záruky
  • Uzatváranie zmlúv o spracúvaní osobných údajov s inými sprostredkovateľmi v znení, ktoré je v súlade s GDPR a Zákonom.
  • APPA si pred uzavretím zmluvy s iným sprostredkovateľom vždy overí skúsenosti, povesť, špecializáciu a sídlo poskytovateľa, solventnosť, spoľahlivosť, vlastníctvo a kapitálovú primeranosť poskytovateľa, potenciálny konflikt záujmov, riziko zneužitia uchovávaných informácií, presné miesto, kde sa nachádzajú servery, fyzickú a elektronickú bezpečnosť serverov a dátového centra.

B/ Technické opatrenia

RizikoOpatrenia
1. Neoprávnený prístup k informačným systémom
  • Obmedzenie prístupu do operačných systémov osobných počítačov a notebookov, mobilných a iných zariadení, a používanie dostatočných hesiel, iných obmedzení prístupu a autentifikačných protokolov, vrátane prípadného použitia šifrovania údajov (ochrana pred únikom, zachytením alebo odpočúvaním komunikácie). Rozsah prístupu a spôsob prideľovania hesiel, pravidelných zmien a aktualizácií hesiel je stanovený APPA. Najdôležitejšie dokumenty, resp. súbory, ktoré sa nachádzajú v informačných systémoch sú taktiež zaheslované heslom, ktoré vytvoril a ktorým disponuje len autor dokumentu, prípadne iné oprávnené osoby, najmä osoby, ktorým je dokument určený.
2. Narušenie integrity informačného systému
  • Využívanie služieb odborne vzdelaného IT technika.
  • APPA využíva cloudové softvérové riešenie „cloud computing", pričom dáta sa ukladajú na softvér, ktorý sa nachádza v dátovom centre v Európskej únii, ktorý je prevádzkovaný súkromným poskytovateľom cloudových služieb, pričom APPA má s týmto poskytovateľom uzavretú zmluvu, v rámci ktorej sú upravené základné práva a povinnosti poskytovateľa.
  • Osobné počítače a notebooky, v ktorých sa nachádzajú elektronické dáta informačného systému sú vybavené výlučne legálnymi a Sprostredkovateľom schválenými softvérmi, ktoré zabezpečujú ochranu pred vírusmi a spyware, resp. inými prípadnými útokmi počítačových hackerov.
  • Monitorovanie integrity údajov, ktoré sa získajú a s ktorými sa pracuje, napr. prostredníctvom elektronického podpisu.
3. Neoprávnená strata osobných údajov
  • Pravidelné zálohovanie súborov a záznamov – záložné súbory uložiť do bezpečnostného súboru. APPA vykonáva zálohovanie spracovávaných osobných údajov v elektronickej podobe tak, že osobné údaje obsiahnuté v elektronických informačných systémoch sú v pravidelných mesačných intervaloch (vždy na konci príslušného kalendárneho mesiaca), resp. v iných intervaloch určených APPA podľa potreby, uložené a archivované na DVD nosiči informácií, resp. na inom zariadení schopnom uchovávať elektronické informácie.
4. Spoľahlivé zlikvidovanie údajov
  • Fyzické zničenie média, na ktorom sú osobné údaje, prípadne využitie softvéru na bezpečné zmazanie súborov alebo využitie iného spôsobu likvidácie osobných údajov, ktoré zabezpečí trvalo a nenávratne odstránenie z hard disku serverového počítača.

ČLÁNOK IV
ZÁSADY NA SPRACÚVANIE OSOBNÝCH ÚDAJOV V APLIKÁCII APPkA

4.1 Základné zásady

4.1.1 Osobné údaje v Aplikácii APPkA možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv Dotknutej osoby. APPA udeľuje konkrétnym osobám jasné a stručné pokyny, ktoré sú v súlade so Zákonom a s GDPR.

4.1.2 Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvania Osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných Osobných údajov.

4.1.3 Spracúvané Osobné údaje v Aplikácii APPkA musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

4.1.4 Každé spracúvanie Osobných údajov v Aplikácii APPkA musí byť založené na legálnom právnom základe a nesmie byť protiprávne. Pred každým spracúvaním Osobných údajov APPA posúdi, na základe akého právneho základu budú Osobné údaje spracúvané a následne tomu prispôsobí podmienky spracúvania Osobných údajov a rozsah Osobných údajov.

4.1.5 APPA vždy žiada Dotknutú osobu o udelenie súhlasu so spracúvaním Osobných údajov.

4.1.6 Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu Dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa Osobné údaje spracúvajú.

4.1.7 Osobné údaje musia byť spracúvané v Aplikácii APPkA spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú úroveň bezpečnosti Osobných údajov vrátane ochrany pred neoprávneným spracúvaním Osobných údajov, nezákonným spracúvaním Osobných údajov, náhodnou stratou Osobných údajov, výmazom Osobných údajov alebo poškodením Osobných údajov. APPA je povinná pred spracúvaním Osobných údajov vždy vykonať posúdenie povahy, rozsahu, kontextu a účelu spracúvania Osobných údajov, ako aj pravdepodobnosť a závažnosť rizík pre práva a slobody fyzických osôb, vrátane najnovších poznatkov a nákladov na vykonanie opatrení, a to najmä v súlade s článkom 32 GDPR a Zákonom a v prípade, ak sú naplnené všetky predpoklady, tak aj posúdenie vplyvu na ochranu osobných údajov podľa článku 35 GDPR a Zákona.

4.1.8 APPA je povinná zabezpečiť povinnosti reagovať na žiadosti o výkon práv Dotknutej osoby ustanovených v kapitole III. GDPR, ako aj plnenie povinností najmä podľa článkov 32 až 36 GDPR a Zákona.

4.1.9 APPA je zodpovedná za dodržiavanie základných zásad spracúvania osobných údajov a za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.

4.1.10 APPA je povinná spracúvať Osobné údaje len na základe zdokumentovaných pokynov tak, aby bol zabezpečený súlad spracúvania Osobných údajov s GDPR a Zákonom, najmä s článkom 28 ods. 3 písm. a) GDPR.

4.1.11 APPA je povinná viesť záznamy o spracovateľských činnostiach.

4.2 Osobitné povinnosti

4.2.1 APPA sa zaväzuje:

  1. spracúvať Osobné údaje v Aplikácii APPkA len na základe písomných pokynov, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
  2. zabezpečiť, aby sa osoby oprávnené spracúvať Osobné údaje v Aplikácii APPkA zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona;
  3. vykonať opatrenia podľa § 39 Zákona;
  4. dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa Zákona;
  5. po zohľadnení povahy spracúvania Osobných údajov v Aplikácii APPkA v čo najväčšej miere zabezpečiť vhodné technické a organizačné opatrenia pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy Zákona;
  6. zabezpečovať plnenie povinností podľa § 39 až 43 Zákona s prihliadnutím na povahu spracúvania Osobných údajov v Aplikácii APPkA a informácie dostupné APPA;
  7. vymazať Osobné údaje alebo vrátiť Osobné údaje po ukončení činností týkajúcich sa spracúvania Osobných údajov v Aplikácii APPkA a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto Osobných údajov;
  8. po ukončení činností týkajúcich sa spracúvania Osobných údajov v Aplikácii APPkA, osobné údaje vymazať alebo vrátiť a vymazať existujúce kópie, ktoré obsahujú Osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto Osobných údajov;
  9. poskytnúť informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany Osobných údajov a kontroly.

4.3 Súčinnosť

4.3.1 APPA sa zaväzuje:

  1. pomáhať pri zisťovaní, posudzovaní, ohlasovaní bezpečnostného incidentu a pri prijímaní opatrení;
  2. umožniť kontrolu a audity.

4.4 Profilovanie

4.4.1 APPA nevykonáva v Aplikácii APPkA profilovanie.

ČLÁNOK V
PRÁVA DOTKNUTEJ OSOBY

5.1 Práva dotknutej osoby

5.1.1 Dotknutá osoba má najmä nasledovné práva:

  1. právo požadovať od APPA prístup k svojim Osobným údajom;
  2. právo na opravu Osobných údajov;
  3. právo na vymazanie Osobných údajov;
  4. právo na obmedzenie spracúvania Osobných údajov;
  5. právo namietať spracúvanie Osobných údajov;
  6. právo na prenos svojich osobných údajov;
  7. právo odvolať súhlas (ak je súhlas právnym základom spracúvania);
  8. právo podať sťažnosť a návrh na začatie konania dozornému orgánu, t.j. Úradu na ochranu osobných údajov Slovenskej republiky.

5.1.2 Práva uvedené v odseku 5.1.1 tohto článku sú podrobnejšie špecifikované v článkoch 15 až 21 Nariadenia a § 19 až § 30 Zákona. Uvedené práva si Dotknutá osoba môže uplatniť v súlade s Nariadením, Zákonom a inými právnymi predpismi. Voči APPA si Dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami komunikácie. V prípade, ak Dotknutá osoba požiadala ústne o poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že Dotknutá osoba preukázala svoju totožnosť.

5.2 Kontakt

5.2.1 Dotknutá osoba môže kontaktovať APPA najmä:

  1. e-mailom na adrese: info@appa.sk
  2. poštou na adrese: Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava.

5.2.2 Podrobnosti sú zverejnené aj na stránke www.appa.sk.