Informačná povinnosť v zmysle § 19 zákona č. 18/2018 Z.z. o ochrane osobných údajov
S cieľom zabezpečiť ochranu základných práv a slobôd fyzických osôb, v súvislosti so spracúvaním osobných údajov a prispieť k voľnému toku údajov medzi členskými štátmi Európskej únie, bolo prijaté Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 a ktoré sa uplatňuje od 25. mája 2018 (ďalej len „GDPR“)
Z dôvodu dodržania záväzkov Slovenskej republiky, vyplývajúcich zo ZFEU, bol prijatý zákon č.18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“). Cieľom tohto Zákona je harmonizácia právnej úpravy spracúvania osobných údajov fyzických osôb v právnom poriadku Slovenskej republiky, s novou komunitárnou právnou úpravou spracúvania a ochrany osobných údajov obsiahnutou v GDPR.
Spoločnosť TATRY FLY, s.r.o. je povinnou osobou – prevádzkovateľom, v zmysle GDPR a Zákona, nakoľko pri činnosti Spoločnosti dochádza k spracúvaniu osobných údajov fyzických osôb.
Prevádzkovateľ poskytuje nasledovné informácie, týkajúce sa spracúvania osobných údajov fyzických osôb, v súlade s vyššie uvedenou legislatívou, v rozsahu:
- Identifikačné a kontaktné údaje prevádzkovateľa:
TATRY FLY, s.r.o.
P.O.Hviezdoslava 41/58, Veľké Kapušany 079 01
IČO: 53 687 035
tel.: +421 951 458 733 e-mail: tatryfly@gmail.com
- Pojmy v oblasti ochrany osobných údajov:
Prevádzkovateľ – každá fyzická osoba alebo právnická osoba, ktorá sama alebo spoločne s inými určuje účel spracúvania a spracúva osobné údaje vo vlastnom mene.
Sprostredkovateľ – akákoľvek fyzická osoba alebo právnická osoba, ktorá na základe poverenia alebo zmluvy uzatvorenej s prevádzkovateľom spracúva osobné údaje v mene prevádzkovateľa.
Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
Osobné údaje – akékoľvek údaje alebo informácie tykajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Príjemca – fyzická osoba alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú alebo sprístupňujú, vrátane sprostredkovateľa.
Účel spracúvania – vopred jednoznačne vymedzený alebo zákonom ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
Spracúvanie osobných údajov – akákoľvek operácia alebo súbor operácií s osobnými údajmi, napríklad získavanie, zaznamenávanie, usporadúvanie, zmena alebo oprava, vyhľadávanie, prehliadanie, využívanie, obmedzenie, poskytovanie, zverejňovanie, cezhraničný prenos, uchovávanie, výmaz alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými, čiastočne automatizovanými alebo neautomatizovanými prostriedkami spracúvania.
Súhlas dotknutej osoby – akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým prostredníctvom jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú.
- Informácie k spracúvaniu osobných údajov:
Účel spracúvania a právny základ spracúvania osobných údajov
Spracúvanie osobných údajov je v podmienkach prevádzkovateľa vo všeobecnosti vykonávané predovšetkým za účelom, resp. na základe:
- splnenie zákonných povinností podľa osobitných predpisov,
- plnenie zmluvy alebo v rámci predzmluvných vzťahov na základe žiadosti dotknutej osoby,
- základe súhlasu dotknutej osoby
- Prevádzkovateľ spracúva Vaše osobné údaje na nasledujúce účely:
- Účelom spracúvania osobných údajov v oblasti účtovníctva je plnenie zákonných povinností prevádzkovateľa vyplývajúcich z osobitných predpisov (zákon o účtovníctve, zákon o dani z pridanej hodnoty, zákon o dani z príjmov, a podobne). Právnym základom spracúvania osobných údajov (vrátane ich poskytovania tretím stranám) je plnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) Nariadenia. Lehota uchovávania osobných údajov je 10 rokov. Príjemcami osobných údajov môžu byť orgány verejnej moci, audítor a pod.
- Účelom spracúvania je evidencia zmlúv. Právnym základom spracúvania osobných údajov je zmluva s dotknutou osobnou v zmysle čl. 6 ods. 1 písm. b) Nariadenia. Dotknutá osoba je povinná poskytnúť osobné údaje, v prípade neposkytnutia nie je možné uzatvoriť zmluvu. Príjemcami osobných údajov môžu byť orgány štátnej správy a pod.
- Účelom spracúvania agendy vybavovania žiadostí o výkon práv dotknutých osôb podľa GDPR a Zákona je vybavenie žiadostí dotknutých osôb v zmysle § 19 až 21 Zákona, kde dotknutou osobou je akákoľvek fyzická osoba, ktorá zašle žiadosť o poskytnutie informácií prevádzkovateľovi. Poskytnutie osobných údajov je zákonnou povinnosťou dotknutej osoby. Lehota uchovávania je 5 rokov. Príjemcami osobných údajov môže byť prepravca, Úrad na ochranu osobných údajov SR (ďalej len „ÚOOÚ“) a pod.
- Účelom spracúvania je plnenie zmluvy a/alebo predzmluvných vzťahom s dotknutou osobou – klientom, ktorý si prostredníctvom webového sídla kúpil a/alebo rezervoval službu, ktorá spočíva v letoch za zdieľané náklady v zmysle aktuálneho znenia Nariadenia Komisie (EÚ) č. 965/2012 z 5. októbra 2012 , ktorým sa ustanovujú technické požiadavky a administratívne postupy týkajúce sa leteckej prevádzky podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008.
- Účelom spracúvania je marketingové oslovovanie dotknutých osôb – klientov. Právnym základom spracúvania osobných údajov je súhlas klienta v zmysle čl. 6 ods. 1 písm. a) Nariadenia. Dotknutá osoba má právo kedykoľvek svoj súhlas odvolať, pričom odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním
Osobné údaje nie sú spracúvané za iným účelom, ako za účelom, na ktorý boli pôvodne získané, ak tak neustanoví osobitný predpis, podľa ktorého prevádzkovateľ postupuje alebo ak dotknutá osoba na to neudelí dobrovoľný súhlas.
Povinnosť poskytnutia osobných údajov prevádzkovateľovi
Dotknutá osoba je povinná poskytnúť svoje osobné údaje, ak ide o spracúvanie osobných údajov, ktoré vyplýva z osobitných predpisov (plnenie zákonných povinností), je potrebné na plnenie úloh prevádzkovateľa. Obdobne sa postupuje aj v prípade uzatvárania zmluvného vzťahu s dotknutou osobou. V prípade neposkytnutia osobných údajov by nemohlo dôjsť k splneniu zákonným povinnostiam alebo uzatvoreniu zmluvného vzťahu.
Súhlas so spracúvaním osobných údajov a právo na jeho odvolanie
Súhlas dotknutej osoby sa v podmienkach prevádzkovateľa získava len vtedy, ak sa neuplatňuje iný právny dôvod na spracúvanie osobných údajov bez súhlasu. Poskytnutie osobných údajov a udelenie súhlasu je v takomto prípade dobrovoľné. Ak sa osobné údaje spracúvajú na základe súhlasu, dotknutá osoba má právo kedykoľvek svoj súhlas so spracúvaním osobných údajov odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov, založeného na súhlase udelenom pred jeho odvolaním.
Príjemcovia osobných údajov, príjemcovia v tretích krajinách
Osobné údaje sú poskytované výlučne v rámci plnenia povinností, vyplývajúcich z platných právnych predpisov Slovenskej republiky (napr. súdy, orgány činné v trestnom konaní, iné orgány verejnej moci) alebo nariadení EÚ, ktoré sú priamo vykonateľné a uplatniteľné aj v Slovenskej republike, alebo sprostredkovateľom, v rámci zmluvných vzťahov a v súlade s GDPR a Zákonom.
Prevádzkovateľ neuskutočňuje prenos osobných údajov príjemcom do tretích krajín alebo medzinárodným organizáciám.
Doba uchovávania osobných údajov
Prevádzkovateľ uchováva osobné údaje po dobu trvania účelu v súlade so zásadou proporcionality. Po uplynutí tejto doby sa osobné údaje likvidujú v súlade s platnými právnymi predpismi.
Kategórie dotknutých osôb
Prevádzkovateľ spracúva osobné údaje dotknutých osôb nižšie uvedených kategórií:
- klienti a potenciálni klienti prevádzkovateľa,
- fyzické osoby, ktoré si uplatňujú svoje práva pri plnení úloh prevádzkovateľa,
- zástupcovia právnických osôb,
Prevádzkovateľ spracúva len správne, úplné a aktuálne osobné údaje, vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je dotknutá osoba povinná bez zbytočného odkladu opraviť alebo doplniť.
Rozsah spracúvaných osobných údajov dotknutých osôb
Prevádzkovateľ spracúva nižšie uvedené osobné údaje dotknutých osôb – klientov:
- meno a priezvisko
- kontaktné údaje dotknutej osoby (telefonický kontakt a e-mail)
- adresa bydliska
- hmotnosť dotknutých osôb – klientov
- Ochrana práv dotknutých osôb
V súlade s čl. 15 až 22 GDPR a § 19 až 29 Zákona sa vo všeobecnosti uplatňujú nasledovné práva dotknutých osôb:
Právo na potvrdenie a prístup k osobných údajom
Dotknutá osoba má právo vyžiadať si potvrdenie od prevádzkovateľa o tom, či sa spracúvajú jej osobné údaje. Rovnako má dotknutá osoba právo požiadať o prístup k osobným údajom, ktoré sa o nej spracúvajú, vrátane nasledovných informácií:
- účel spracúvania osobných údajov, ktorý sa jej týka,
- kategórie spracúvaných osobných údajov na daný účel,
- identifikáciu príjemcov alebo kategórií príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté,
- dobu uchovávania osobných údajov alebo ak to nie je možné, informáciu o kritériách jej určenia,
- zdroj osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
- informácia o existencii práva požadovať opravu osobných údajov, týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
- informáciu o práve podať sťažnosť, resp. návrh na začatie konania na ÚOOÚ,
- informáciu, či sa v podmienkach prevádzkovateľa vykonáva automatizované individuálne rozhodovanie alebo profilovanie.
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby jej osobné údaje boli bez zbytočného odkladu opravené. Dotknutá osoba má taktiež právo žiadať o doplnenie jej neúplných osobných údajov.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na výmaz osobných údajov
Dotknutá osoba má právo na to, aby jej osobné údaje boli bez zbytočného odkladu vymazané, ak:
- už nie sú potrebné na účel, na ktorý sa získali a/alebo spracúvali,
- dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a neexistuje iný právny základ pre spracúvanie,
- dotknutá osoba namieta spracúvanie osobných údajov na účely plnenia úloh vo verejnom záujme a oprávnenom záujme a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov na účely marketingu,
- osobné údaje sa spracúvajú nezákonne na základe rozhodnutia ÚOOÚ alebo iného orgánu príslušného na rozhodnutie o nezákonnom spracúvaní,
- dôvodom pre výmaz je splnenie povinnosti podľa zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
Právo na výmaz, ak sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti, podľa čl. 8 ods. 1 GDPR alebo § 15 ods. 1 Zákona ,sa v podmienkach prevádzkovateľa neuplatňuje; služby informačnej spoločnosti prevádzkovateľ neposkytuje.
Povinnosť vymazať osobné údaje sa však neuplatňuje, ak je daná výnimka podľa čl. 17 ods. 3 GDPR alebo § 23 ods. 4 Zákona.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na obmedzenie spracúvania osobných údajov
Dotknutá osoba má právo na to, aby sa spracúvanie jej osobných údajov obmedzilo, ak:
- namieta správnosť osobných údajov, a to počas obdobia umožňujúceho overiť si správnosť osobných údajov,
- spracúvanie osobných údajov je nezákonné, na základe rozhodnutia ÚOOÚ alebo iného orgánu príslušného na rozhodnutie o nezákonnom spracúvaní, a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
- prevádzkovateľ už nepotrebuje osobné údaje na dosiahnutie účelu spracúvania, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku,
- namieta spracúvanie osobných údajov, za účelom plnenia úloh vo verejnom záujme alebo pri výkone verejnej moci, v rámci originálnych kompetencií alebo preneseného výkonu štátnej správy, zverenej prevádzkovateľovi, a na oprávnené záujmy, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
Dotknutej osobe bude vopred oznámené zrušenie obmedzenia jej osobných údajov.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na prenosnosť osobných údajov
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné. Možnosť prenositeľnosti sa individuálne posúdi v každom prípade.
Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, v rámci originálnych kompetencií alebo preneseného výkonu štátnej správy, zverenej prevádzkovateľovi.
Uplatnenie práva na prenosnosť osobných údajov zo strany dotknutej osoby rovnako nesmie mať nepriaznivé dôsledky na práva iných osôb.
Právo namietať spracúvanie osobných údajov
Dotknutá osoba má právo namietať spracúvanie jej osobných údajov, ak sa spracúvanie:
- uskutočňuje za účelom splnenia úlohy, realizovanej vo verejnom záujme alebo pri výkone verejnej moci, v rámci originálnych kompetencií alebo preneseného výkonu štátnej správy, zverenej prevádzkovateľovi,
- vykonáva za účelom oprávnených záujmov prevádzkovateľa alebo tretej strany,
- vykonáva na účely priameho marketingu, vrátane profilovania, v akom profilovanie súvisí s priamym marketingom.
Profilovanie prevádzkovateľ nevykonáva.
Právo na neuplatňovanie rozhodovania založeného na automatizovanom individuálnom rozhodovaní, vrátane profilovania.
Právo na neuplatňovanie rozhodovania, založeného na automatizovanom individuálnom rozhodovaní, vrátane profilovania, sa v podmienkach prevádzkovateľa neuplatňuje; prevádzkovateľ nevykonáva spracúvanie založené na automatizovanom individuálnom rozhodovaní a nevykonáva ani profilovanie.
Spôsob uplatnenia práv
Predmetné práva si dotknutá osoba môže uplatniť:
- písomne doručením žiadosti, osobne alebo poštou, na adresu sídla prevádzkovateľa
- elektronicky na e-mailovej adrese: tatryfly@gmail.com,
telefonicky na tel. č.: +421 951 458 733
Ak sa dotknutá osoba domnieva, že boli pri spracúvaní osobných údajov prevádzkovateľa porušené jej práva, má právo podať na ÚOOÚ sťažnosť, resp. návrh na začatie konania, v súlade so Zákonom.