GDPR Pravidlá Aplikácie APPkA
ČLÁNOK II
SPRACÚVANIE OSOBNÝCH ÚDAJOV
2.1 Okamih začatia spracúvania Osobných údajov a doba ich spracúvania
2.1.2 APPA je povinná spracúvať Osobné údaje počas obdobia, po ktoré bude prevádzkovať Aplikáciu APPkA a po ukončení jej prevádzkovania až do uplynutia premlčacej doby na uplatnenie práva, a to všetko až do momentu, pokiaľ nebude súhlas spracúvať Osobné údaje odvolaný Dotknutou osobou. Dobu uchovávania Osobných údajov stanoví APPA tak, aby doba bola v súlade s GDPR a Zákonom. Osobné údaje sa archivujú v súlade so zákonom o archívnictve a inými všeobecne záväznými právnymi predpismi. Spracovávanie osobných údajov v prípade udelenia súhlasu na určitú dobu je možné najdlhšie do uplynutia doby, na ktorú bol súhlas udelený.
2.2 Účel spracúvania Osobných údajov
2.2.1 APPA spracúva Osobné údaje Dotknutých osôb za účelom prevádzkovania Aplikácie APPkA (najmä za účelom funkčnosti Aplikácie APPkA, vyhodnocovania pohybovej aktivity prostredníctvom Aplikácie APPkA, poskytovanie príspevku prostredníctvom Aplikácie APPkA) a na marketingové účely (najmä informovanie o aktivitách APPA, zasielanie ponúk, prezentácií a komerčných oznámení tretích osôb).
2.2.2 Právnym základom spracúvania Osobných údajov je súhlas Dotknutej osoby.
2.2.3 Poskytovanie Osobných údajov je požiadavkou potrebnou na využívanie Aplikácie APPkA Dotknutou osobou a Dotknutá osoba nie je povinná poskytnúť Osobné údaje.
2.3 Povaha a prostriedky spracúvania Osobných údajov
2.3.1 Spracúvanie Osobných údajov sa bude vykonávať úplne automatizovanými prostriedkami, pričom prostriedkami spracúvania Osobných údajov sú výpočtová technika a iná technika ako osobné počítače, notebooky, server a sieťové komponenty, mobilné zariadenia, ako aj inými než automatizovanými prostriedkami.
2.4 Kategórie (typy) Osobných údajov
2.4.1 APPA spracúva bežné Osobné údaje Dotknutých osôb, najmä:
2.5 Kategórie Dotknutých osôb
2.5.1 APPA spracúva bežné Osobné údaje nasledovných kategórií Dotknutých osôb:
2.6 Kategórie Príjemcov
2.6.1 APPA môže poskytovať Osobné údaje nasledovným kategóriám Príjemcov:
a) zamestnanci APPA;
b) externí spolupracovníci APPA;
c) sponzori APPA;
d) partneri APPA;
e) audítor APPA;
f) právnik APPA;
g) účtovník APPA;
h) spolupracujúce médiá;
i) skupina Google;
2.8.1 APPA neprenáša Osobné údaje mimo Európskej únie do tretích krajín a/alebo medzinárodných organizácií.
2.8.2 V Aplikácií APPKA sa použitie a prenos osobných údajov získaných pomocou Google API riadi “Google API Services User Data Policy”, ktoré obsahujú aj “Limited use requirements”, teda Požiadavky obmedzeného použitia týchto údajov.
2.9.1 APPA vymaže Osobné údaje v prípadoch uvedených v článku 17 GDPR a v Zákone (najmä § 23).
ČLÁNOK III
3.1 Technické a organizačné opatrenia
3.1.1 APPA týmto potvrdzuje, že prijala primerané technické a organizačné opatrenia tak, aby spracúvanie Osobných údajov spĺňalo požiadavky GDPR a Zákona, a aby sa zabezpečila ochrana práv Dotknutej osoby a zaväzuje sa ich používať pri spracúvaní Osobných údajov od okamihu prijatia týchto Osobných údajov až do ukončenia ich spracúvania, pokiaľ nedostane iné usmernenia od príslušných orgánov verejnej moci, a to najmä:
Riziko | Opatrenia | |
1. | Nesprávne plnenie povinností zo strany Prevádzkovateľa | Vypracovanie a prijatie internej dokumentácie o ochrane osobných údajov. |
Poverenie osôb, ak spracúvajú osobné údaje. | ||
Pravidelný monitoring právnych predpisov v oblasti ochrany osobných údajov. | ||
Pravidelné preškoľovanie osôb, ktoré spracúvajú osobné údaje v oblasti ochrany osobných údajov. | ||
Vyhotovenie záznamu o spracovateľských činnostiach. | ||
2. | Neoprávnený prístup k informačnému systému | Uzamknutie vstupných dverí do budovy, v ktorých sa nachádzajú priestory APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby. |
Uzamknutie vstupných dverí do priestorov APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby APPA. | ||
Uzamknutie jednotlivých miestností, v ktorých sa nachádzajú informačné systémy APPA alebo prostriedky spracúvania osobných údajov, pričom kľúčmi od týchto miestností disponujú iba oprávnené osoby APPA. | ||
3. | Narušenie integrity informačného systému | Zavedenie postupov pri odchode z pracoviska a z priestorov APPA. |
Zabezpečenie uskladňovania dokumentácie a iných hmotných nosičov obsahujúcich osobné údaje v spisoch v skriniach alebo kontajneroch v uzamykateľných priestoroch a skriniach APPA. | ||
Bezpečné umiestnenie zobrazovacej jednotky alebo monitoru, z ktorých by bolo možné odpozorovaním získať osobné údaje. | ||
Zákaz poskytovať vybrané osobné údaje v telefonickom styku. | ||
4. | Nesprávna likvidácia osobných údajov | Likvidácia dokumentov v tlačenej forme pomocou zariadenia na skartovanie listín v pravidelných intervaloch takým spôsobom, že zlikvidované dokumenty a zložky nie je možné zrekonštruovať na opätovné použitie akýmkoľvek spôsobom. |
Likvidácia dokumentov, ktoré sú evidované v archíve APPA podľa príslušných všeobecne záväzných právnych predpisov. | ||
5. | Nedodržanie minimalizácie doby uchovávania a dostupnosti osobných údajov | Pravidelné prehodnocovanie trvania účelov spracúvania osobných údajov. |
6. | Nezabezpečenie spracúvania osobných údajov osobami poskytujúcimi dostatočné záruky | Uzatváranie zmlúv o spracúvaní osobných údajov s inými sprostredkovateľmi v znení, ktoré je v súlade s GDPR a Zákonom. |
APPA si pred uzavretím zmluvy s iným sprostredkovateľom vždy overí skúseností, povesť, špecializáciu a sídlo poskytovateľa, solventnosť, spoľahlivosť, vlastníctvo a kapitálovú primeranosť poskytovateľa, potenciálny konflikt záujmov, riziko zneužitia uchovávaných informácií, presné miesto, kde sa nachádzajú servery, fyzickú a elektronickú bezpečnosť serverov a dátového centra. |
Riziko | Opatrenia | |
1. | Neoprávnený prístup k informačným systémom | Obmedzenie prístupu do operačných systémov osobných počítačov a notebookov, mobilných a iných zariadení, a používanie dostatočných hesiel, iných obmedzení prístupu a autentifikačných protokolov, vrátane prípadného použitia šifrovania údajov (ochrana pred únikom, zachytením alebo odpočúvaním komunikácie). Rozsah prístupu a spôsob prideľovania hesiel, pravidelných zmien a aktualizácií hesiel je stanovený APPA. Najdôležitejšie dokumenty, resp. súbory, ktoré sa nachádzajú v informačných systémoch sú taktiež zaheslované heslom, ktoré vytvoril a ktorým disponuje len autor dokumentu, prípadne iné oprávnené osoby, najmä osoby, ktorým je dokument určený. |
2. | Narušenie integrity informačného systému | Využívanie služieb odborne vzdelaného IT technika. |
APPA využíva cloudové softvérové riešenie „cloud computing“, pričom dáta sa ukladajú na softvér, ktorý sa nachádza v dátovom centre v Európskej únii, ktorý je prevádzkovaný súkromným poskytovateľom cloudových služieb, pričom APPA má s týmto poskytovateľom uzavretú zmluvu, v rámci ktorej sú upravené základné práva a povinnosti poskytovateľa. | ||
Osobné počítače a notebooky, v ktorých sa nachádzajú elektronické dáta informačného systému sú vybavené výlučne legálnymi a Sprostredkovateľom schválenými softvérmi, ktoré zabezpečujú ochranu pred vírusmi a spyware, resp. inými prípadnými útokmi počítačových hackerov. | ||
Monitorovanie integrity údajov, ktoré sa získajú a s ktorými sa pracuje, napr. prostredníctvom elektronického podpisu. | ||
3. | Neoprávnená strata osobných údajov | Pravidelné zálohovanie súborov a záznamov – záložné súbory uložiť do bezpečnostného súboru. APPA vykonáva zálohovanie spracovávaných osobných údajov v elektronickej podobe tak, že osobné údaje obsiahnuté v elektronických informačných systémoch sú v pravidelných mesačných intervaloch (vždy na konci príslušného kalendárneho mesiaca), resp. v iných intervaloch určených APPA podľa potreby, uložené a archivované na DVD nosiči informácií, resp. na inom zariadení schopnom uchovávať elektronické informácie. |
4. | Spoľahlivé zlikvidovanie údajov | Fyzické zničenie média, na ktorom sú osobné údaje, prípadne využitie softvéru na bezpečné zmazanie súborov alebo využitie iného spôsobu likvidácie osobných údajov, ktoré zabezpečí trvalo a nenávratne odstránenie z hard disku serverového počítača |
ČLÁNOK IV
4.1 Základné zásady
4.1.1 Osobné údaje možno spracúvať len zákonným spôsobom podľa pokynov APPA a tak, aby nedošlo k porušeniu základných práv Dotknutej osoby. APPA udeľuje konkrétnym osobám jasné a stručné pokyny, ktoré sú v súlade so Zákonom a s GDPR.
4.1.2 Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel, ktorý stanoví APPA, ktorý nesmie byť nelegitímny a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Účel musí byť APPA vymedzený dostatočne jasne a určito tak, aby z neho bolo zrejmé, aké spracovateľské operácie budú na jeho základe prebiehať alebo aké spracovateľské operácie môže Dotknutá osoba očakávať, že s jej Osobnými údajmi môžu prebiehať. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvania Osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných Osobných údajov.
4.1.3 Spracúvané Osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom stanoveným APPA, na ktorý sa spracúvajú.
4.1.4 Každé spracúvanie Osobných údajov musí byť založené na legálnom právnom základe stanoveným APPA, nesmie byť protiprávne. Pred každým spracúvaním Osobných údajov je APPA povinná posúdiť, na základne akého právneho základu budú Osobné údaje spracúvané a následne tomu prispôsobiť podmienky spracúvania Osobných údajov a rozsah Osobných údajov.
4.1.5 APPA vždy žiada Dotknutú osobu o udelenie súhlasu so spracúvaním Osobných údajov.
4.1.6 Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu Dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa Osobné údaje spracúvajú.
4.1.7 Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú úroveň bezpečnosti Osobných údajov vrátane ochrany pred neoprávneným spracúvaním Osobných údajov, nezákonným spracúvaním Osobných údajov, náhodnou stratou Osobných údajov, výmazom Osobných údajov alebo poškodením Osobných údajov. APPA je povinná pred spracúvaním Osobných údajov vždy vykonať posúdenie povahy, rozsahu, kontextu a účelu spracúvania Osobných údajov, ako aj pravdepodobnosť a závažnosť rizík pre práva a slobody fyzických osôb, vrátane najnovších poznatkov a nákladov na vykonanie opatrení, a to najmä v súlade s článkom 32 GDPR a Zákonom a v prípade, ak sú naplnené všetky predpoklady, tak aj posúdenie vplyvu na ochranu osobných údajov podľa článku 35 GDPR a Zákona.
4.1.8 APPA je povinná zabezpečiť povinnosti reagovať na žiadosti o výkon práv Dotknutej osoby ustanovených v kapitole III. GDPR, ako aj plnenie povinností najmä podľa článkov 32 až 36 GDPR a Zákona.
4.1.9 APPA je zodpovedná za dodržiavanie základných zásad spracúvania osobných údajov a za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.
4.1.10 APPA je povinná spracúvať Osobné údaje len na základe zdokumentovaných pokynov tak, aby bol zabezpečený súlad spracúvania Osobných údajov s GDPR a Zákonom, najmä s článkom 28 ods. 3 písm. a) GDPR.
4.1.11 APPA je povinná viesť záznamy o spracovateľských činnostiach.
4.2.1 APPA sa zaväzuje:
a) spracúvať osobné údaje len na základe písomných pokynov, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona;
c) vykonať opatrenia podľa § 39 Zákona;
d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa Zákona;
e) po zohľadnení povahy spracúvania Osobných údajov v čo najväčšej miere zabezpečiť vhodné technické a organizačné opatrenia pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy Zákona;
f) zabezpečovať plnenie povinností podľa § 39 až 43 Zákona s prihliadnutím na povahu spracúvania Osobných údajov a informácie dostupné APPA;
g) vymazať Osobné údaje alebo vrátiť Osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania Osobných údajov a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto Osobných údajov;
h) po ukončení činností týkajúcich sa spracúvania Osobných údajov, osobné údaje vymazať alebo vrátiť a vymazať existujúce kópie, ktoré obsahujú Osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov;
i) poskytnúť informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly.
6.3 Súčinnosť
6.3.1 APPA sa zaväzuje:
6.4.1 APPA nevykonáva profilovanie.
7.1.1 Dotknutá osoba má najmä nasledovné práva:
a) právo požadovať od APPA prístup k svojim Osobným údajom;
b) právo na opravu Osobných údajov;
c) právo na vymazanie Osobných údajov;
d) právo na obmedzenie spracúvania Osobných údajov;
e) právo namietať spracúvanie Osobných údajov;
f) právo na prenos svojich osobných údajov;
g) právo odvolať súhlas (ak je súhlas právnym základom spracúvania);
h) právo podať sťažnosť a návrh na začatie konania dozornému orgánu t.j. Úradu na ochranu osobných údajov Slovenskej republiky.
7.1.2 Práva uvedené v odseku 7.1.1 toho článku sú podrobnejšie špecifikované v článkoch 15 až 21 Nariadenia a § 19 až § 30 Zákona. Uvedené práva si Dotknutá osoba môže uplatniť v súlade s Nariadením, Zákonom a inými právnymi predpismi. Voči APPA si Dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami komunikácie. V prípade, ak Dotknutá osoba požiadala ústne o poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že Dotknutá osoba preukázala svoju totožnosť.
7.2.1 Dotknutá osoba môže kontaktovať APPA najmä
a) e-mailom na adrese: info@appa.sk alebo
b) poštou na adrese: Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava.
7.2.2 Podrobnosti sú zverejnené aj na stránke www.appa.sk.