ENGLISH VERSION


Information to be provided in accordance with Article 13 of the Regulation

 

With the effectiveness as of 25 May 2018, all personal data shall be processed in accordance with the REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter referred to as the “Regulation“).

 

1. Identity and the contact details of the controller:

 

The controller processing a personal data is a company hameln rds a.s., Id. No.: 34 122 885, with its registered office at Horná 36, 900 01 Modra, Slovak republic, registered in the Commercial register of the District Court Bratislava I, Section.: Sa, Insert No.: 1286/B (hereinafter referred to as the “hameln rds a.s.” or the “controller”).

 

2. Contact details of data protection officer of the controller:

 

Data protection officer of the controller may be contacted via e-mail at: gdpr@hameln-rds.sk.

 

3. Information on conditions of processing the personal data:

 

Below please find the information on purposes of the personal data’s processing for which they are intended  (including legal purposes other than purposes for which the personal data were obtained), legal basis for the processing (including reasonable legitimate interests of company hameln rds a.s. or third party), categories of personal data, sources of the personal data (in case the personal data were obtained from other party than the data subject), the recipients of the personal data or categories of recipients of the personal data, if any (including information about transfer of personal data to a third country or an international organisation), the period for which the personal data will be stored, the existence or non – existence of an automated decision-making, including profiling (if there is an existence of automated decision-making, the information about the logic involved).

 

The controller processes your personal data for the below mentioned purposes:

 

a) purpose of areas’ monitoring – protection of company’s property in the monitored area and protection of health of persons being in the area, as well as continuous obtaining of evidence about reasons, process and consequences related with any emergency incidents. Legal basis of the personal data processing is legitimate interests pursued by the controller or by a third party under point f) of Article 6 Section 1 of the Regulation. The legitimate interest of the controller or the third party is a right for property protection, right for health protection of individuals and right for respecting public order. The period for which the personal data in a form of video records will be stored is 15 days. In justified cases, courts, law enforcement agencies or a contracted private security service, a camera service company or a staff of the controller’s contracted personal agency providing administrative reception services may be the recipients of the personal data.

 

b) purpose of evidence and controlling of the single entry of natural persons into the controller’s premises – protection of property in the monitored area and protection of health of the natural persons present in this area, as well as the protection of public order. Legal basis of the personal data processing is legitimate interests pursued by the controller or by a third party under point f) of Article 6 Section 1 of the Regulation. The legitimate interest of the controller or the third party is a right for property protection, right for controlling the entrance to the controller’s area, as well as organizational security measures. The period for which the personal data will be stored is 3 years. In justified cases, courts, law enforcement agencies or a staff of the controller’s contracted personal agency providing administrative reception services may be the recipients of the personal data.

 

c) purpose of personal data processing in accountancy and corporate agenda area is fulfillment of statutory obligations of the controller resulting from special legal regulations (Accountancy Act, VAT Act, Income Tax Act, Travel Compensation Act, Commercial Register Act, Commercial Code etc.). Legal basis of the personal data processing (including its providing to the third parties) is that it is necessary for compliance with legal obligations to which the controller is subject under point c) of Article 6 Section 1of the Regulation. The period for which the personal data will be stored is 10 years. Recipients of personal data are public authorities, respective registered court, respective district court – trade entrepreneurship section, Central Securities Depository, Office for Public Procurement – list of trade subjects, register of public sector partners, mother company, auditor and attorney, external audit companies, certified audit companies, data storage provider, companies providing support and management of information technology.

 

d) purpose of personal data processing in business communication is preparation and realization of the controller’s business activities. Legal basis of personal data processing is legitimate interests pursued by the controller or by a third party under point f) of Article 6 Section 1 of the Regulation. The legitimate interests pursued by the controller is right to execute its business activity. The period for which the personal data will be stored depends on preparation and existence of the commercial legal relation, as well as on a period of two years after termination of the commercial relation. Recipients of the personal data are companies providing support and management of information technology, external audit companies, certified audit companies, data storage provider, auditor and attorney and in justified cases also courts and law enforcement agencies.

 

e) purpose of personal data processing in personal and salary administration is preparation and executing of the labour contracts or agreements on work executed outside employment, evidence of work capacity records, payment of wages, levies, performing obligations towards state administration bodies, evidence of attendance, evidence of education, evidence of issued assignments and delegations, evidence of provided protective working tools, property or equipment, execution of agreements on material liability, evidence of cash money, provision of employee benefits, records of damages caused by employees on the employer’s property, securing of catering, copying of documents necessary for the purposes of employment or similar relations, as well as the performance of other statutory and contractual obligations. Legal basis of personal data processing is that it is necessary for compliance with a legal obligation to which the controller is subject under point c) of Article 6 Section 1of the Regulation, respective labour contract or agreement according point b) Article 6 Section 1 of the Regulation entered into with the data subject under the Labour Act. The data subject is obliged to provide the personal data in the needed extent; in case of a failure to provide such data, it is not possible to close the labour contract or similar agreement. The employee’s personal data will be provided to these recipients: Social Insurance, health insurances, supplementary pension savings banks, pension management companies, tax office, Labour Inspectorate, Central Office of Labour, Social Affairs and Family, state archives, auditor, State Institute for Drug Control, Slovak National Accreditation Service, Institute for State Control of Veterinary Bioproducts and Medicines, FDA (Food and Drug Control Institution), certified audit organizations, statistics entity, guard duty service, training agencies and trainers, occupational health service and health appraisals entity, entities providing postal services, organizations providing the development, management and support of information technologies, external audit companies, telecommunication service providers, catering services, accommodation providers, transport service providers, including air carriers commercial companies, banks, the data storage company on which servers personal data are stored, employers’ customers, clients, employers’ suppliers, public authorities, lawyers and, in justified cases, courts, law enforcement agencies and executors. The period for which the personal data will be stored in a personal file of the employee is determined by the time of preparation of the labour relationship and a time of seventy years of the employee (including former employee).

 

f) The purpose of personal data processing in safety and health at work area is performing of the employer’s related duties, in particular, but not only the realization of trainings, evidence of work accidents and procurement of medical examinations. The legal basis for the processing of the personal data (including its provision to third parties) is performing of the legal obligations of the controller under point c) of Article 6 Section 1of the Regulation (in particular obligations under the Safety and Health at Work Act). Personal data of the employee will be provided to the following recipients: external companies providing occupational health and safety, external audit company, labour inspectorate and, in justified cases, bodies involved in criminal or offense proceedings. The period for which the personal data will be stored is determined by the time of preparation of the labour relationship and the time of two years after its termination, in case of internal trainings the period is ten years and in case of external trainings the period is five years. The data subject is obliged to provide the personal data as a legal requirement.

 

g) The content of the internal administrative purposes of the processing of the personal data is transfer and use of personal data within the hameln group. Legal basis of personal data processing is legitimate interests pursued by the controller under point f) of Article 6 Section 1 of the Regulation, based on the fact that the controller is a member of a group of enterprises linked to a management company. The personal data of the employee will be provided to the following recipients: the companies forming the hameln group of companies. The period for which the personal data will be stored is determined by the duration of the membership of the controller in the hameln group.

 

h) Personal data for the purposes of registry administration are processed from the reason of performing legal obligations of the controller under the point c) of Article 6 Section 1 of the Regulation (in particular obligations under the Act No. 395/2002 Coll., on Archives and Registers and on Amendments to Certain Laws as amended, and obligation under Act No. 305/2013 Coll., on the electronic form of exercise of powers of public authorities and amending and supplementing certain laws – the e-Government Act). The providing of personal data is the legal obligation of the data subject. Personal data of the employee will be provided to the following recipients: Social Insurance, health insurances, supplementary pension savings banks, pension management companies, tax office, Labour Inspectorate, Central Office of Labour, Social Affairs and Family, state archives, auditor, State Institute for Drug Control, Slovak National Accreditation Service, Institute for State Control of Veterinary Bioproducts and Medicines, FDA (Food and Drug Control Institution), certified audit organizations, statistics entity, guard duty service, training agencies and trainers, occupational health service and health appraisals entity, entities providing postal services, organizations providing the development, management and support of information technologies, external audit companies, telecommunication service providers, catering services, accommodation providers, transport service providers, including air carriers commercial companies, banks, data storage company on which servers personal data are stored, employers’ customers, clients, employers’ suppliers, public authorities, lawyers and, in justified cases, courts, law enforcement agencies and executors. The period for which the personal data will be stored is determined by the special regulations and the Registry plan of the company.

 

Data moves across borders outside the Union does not take place in any of the above mentioned cases. The personal data will not be used for automated decision-making, including profiling.

 

4. Rights of the data subject

 

The right of the data subject to access its personal data according to Article 15:

 

The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

a) the purposes of the processing;

b) the categories of personal data concerned;

c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;

d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;

f) the right to lodge a complaint with a supervisory authority;

g) where the personal data are not collected from the data subject, any available information as to their source;

h) the existence of automated decision-making, including profiling, referred to in Article 22 Section 1 and 4 of the Regulation and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

 

Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 of the Regulation relating to the transfer.

 

The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. The right to obtain a copy shall not adversely affect the rights and freedoms of others.

 

Right to rectification of personal data according to Article 16:

 

The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

 

Right to erasure („right to be forgotten“) according to Article 17:

 

The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

b) the data subject withdraws consent on which the processing is based according to point a) of Article 6 Section 1, or point a) of Article 9 Section 2 of the Regulation, and where there is no other legal ground for the processing;

c) the data subject objects to the processing pursuant to Article 21 Article 1 and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21 Article 2 of the Regulation;

d) the personal data have been unlawfully processed;

e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

f) the personal data have been collected in relation to the offer of information society services referred to in Article 8 Section 1 of Regulation.

 

Where the controller has made the personal data public and is obliged to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

 

Right to erasure shall not apply to the extent that processing is necessary:

a) for exercising the right of freedom of expression and information;

b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

c) for reasons of public interest in the area of public health in accordance with points h) and i) of Article 9 Section 2 as well as Article 9 Section 3 of the Regulation;

d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89 section 1 of the Regulation in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

e) for the establishment, exercise or defence of legal claims.

 

Right to restriction of processing according to Article 18:

 

The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;

b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;

c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;

d) the data subject has objected to processing pursuant to Article 21 Section 1 of the Regulation pending the verification whether the legitimate grounds of the controller override those of the data subject.

 

Where processing has been restricted under above mentioned, such personal data shall, with the exception of storage, only be processed with the data subject’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.

A data subject who has obtained restriction of processing pursuant in accordance with the above mentioned shall be informed by the controller before the restriction of processing is lifted.

 

Right to data portability in accordance with Article 20:

 

The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: a) the processing is based on consent pursuant to point a) of Article 6 Section 1 or point a) of Article 9 Section 2 of Regulation or on a contract pursuant to point b) of Article 6 Section 1 of the Regulation; and b) the processing is carried out by automated means.

 

In exercising his or her right to data portability pursuant, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

 

The exercise of the right shall be without prejudice to Article 17 of the Regulation. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. The right to data portability shall not adversely affect the rights and freedoms of others.

 

Right to object to processing including object to profiling (if applicable) according to Article 21:

 

The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point e) or f) of Article 6 Section 1 of Regulation, including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing. Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes.

 

In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the data subject may exercise his or her right to object by automated means using technical specifications. Where personal data are processed for scientific or historical research purposes or statistical purposes pursuant to Article 89 Section 1 of the Regulation, the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest.

 

Right to lodge a complaint with a supervisory authority:

 

The supervisory authority with which the reasonable complaint can be lodged is The Office for Personal data Protection of the Slovak Republic.

 

Right to withdraw a consent with processing:

 

Where the processing is based on data subject consent, the data subject shall have the right to withdraw his or her consent at any time without affecting the lawfulness of processing based on consent before its withdrawal.

 

The right to withdraw his or her consent at any time, including before the expiry of that period for which consent was based, is possible by below mentioned ways:

 

  1. by email on gdpr@hameln-rds.sk
  2. by phone +421 33 6904 111
  3. by written request addressed to controller’s registered office, envelope marked by „GDPR – withdrawal of consent“.

 

 


SLOVAK VERSION


Informácie o spracúvaní osobných údajov poskytované podľa článku 13 Nariadenia

 

S účinnosťou odo dňa 25.05.2018 sú všetky osobné údaje spracúvané v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – ďalej len „Nariadenie“).

 

1. Totožnosť a kontaktné údaje prevádzkovateľa:

 

Prevádzkovateľom, ktorý spracúva osobné údaje, je spoločnosť hameln rds a.s., IČO: 34 122 885, so sídlom Horná 36, 900 01 Modra, zapísaná v Obchodnom registri Okresného súdu Bratislava I, odd.: Sa, vložka č.: 1286/B (ďalej aj „hameln rds a.s.“ alebo „prevádzkovateľ“).

 

2. Kontaktné údaje zodpovednej osoby prevádzkovateľa:

 

Zodpovednú osobu prevádzkovateľa možno kontaktovať na adrese gdpr@hameln-rds.sk.

 

 

3. Informácie o podmienkach spracúvania

 

Prehľad o jednotlivých účeloch, na ktoré spoločnosť hameln rds a.s. spracúva osobné údaje (v odôvodnenom prípade vrátane iného účelu spracúvania, než je účel, na ktorý boli osobné údaje získané), právnom základe spracúvania (v odôvodnenom prípade vrátane oprávneného záujmu sledovaného spoločnosťou hameln rds a.s. alebo treťou stranou), kategóriách osobných údajov, zdroji osobných údajov (v prípade ak sa osobné údaje získavajú od inej ako dotknutej osoby), príjemcoch osobných údajov (v odôvodnenom prípade vrátane informácie o prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii), dobe uchovávania osobných údajov, ako aj o existencii alebo neexistencii automatizovaného rozhodovania vrátane profilovania (ak automatizované rozhodovanie existuje, informácia zahŕňa aj použité postupy a dôsledky pre dotknutú osobu) nájdete nižšie:

 

Prevádzkovateľ spracúva Vaše osobné údaje na nasledujúce účely:

 

a) Účelom monitorovania priestorov je ochrana majetku v monitorovanom priestore a ochrana zdravia fyzických osôb nachádzajúcich sa v tomto priestore, ako aj priebežné získavanie dôkazov o príčinách vzniku, priebehu a následkoch súvisiacich bezpečnostných incidentov. Právnym základom spracúvania osobných údajov je oprávnený záujem sledovaný prevádzkovateľom alebo treťou stranou v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Oprávneným záujmom prevádzkovateľa alebo tretej strany je právo na ochranu majetku, právo na ochranu zdravia fyzických osôb a právo vyžadovať dodržiavanie verejného poriadku. Lehota uchovávania osobných údajov v podobe videozáznamov je 15 dní. V odôvodnených prípadoch môžu byť príjemcami osobných údajov súdy, orgány činné v trestnom konaní alebo prevádzkovateľom kontrahovaná súkromná bezpečnostná služba, servisná spoločnosť kamerových systémov alebo zamestnanci personálnej agentúry poskytujúci administratívne služby recepčnej.

b) Účelom evidencie a kontroly jednorazového vstupu fyzických osôb do priestorov prevádzkovateľa je ochrana majetku v monitorovanom priestore, ochrana zdravia fyzických osôb nachádzajúcich sa v tomto priestore, ako aj ochrana verejného poriadku. Právnym základom spracúvania osobných údajov je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Oprávneným záujmom prevádzkovateľa je právo na ochranu majetku a právo na kontrolu vstupu fyzických osôb do priestorov prevádzkovateľa všeobecne i v rovine organizačného bezpečnostného opatrenia. Lehota uchovávania osobných údajov je 3 roky. V odôvodnených prípadoch môžu byť príjemcami osobných údajov súdy, orgány činné v trestnom alebo v priestupkovom konaní alebo zamestnanci prevádzkovateľom kontrahovanej personálnej agentúry poskytujúci administratívne služby recepčnej.

 

c) Účelom spracúvania osobných údajov v oblasti účtovníctva a obchodnej agendy je plnenie zákonných povinností prevádzkovateľa vyplývajúcich z osobitných predpisov (zákon o účtovníctve, zákon o dani z pridanej hodnoty, zákon o dani z príjmov, zákon o cestovných náhradách, zákon o obchodnom registri, Obchodný zákonník a podobne). Právnym základom spracúvania osobných údajov (vrátane ich poskytovania tretím stranám) je plnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) Nariadenia. Lehota uchovávania osobných údajov je 10 rokov. Príjemcami osobných údajov sú orgány verejnej moci, príslušný registrový súd , príslušný okresný úrad – úsek živnostenského podnikania, Centrálny depozitár cenných papierov, a.s., Úrad pre verejné obstarávanie – zoznam hospodárskych subjektov, Register partnerov verejného sektora, materská spoločnosť, audítor a advokát, spoločnosti vykonávajúce externý audit, certifikované audítorské spoločnosti, poskytovateľ dátového úložiska, spoločnosti vykonávajúce správu a podporu informačných technológií.

d) Účelom spracúvania osobných údajov v oblasti obchodnej komunikácie je príprava a realizácia podnikateľských aktivít prevádzkovateľa. Právnym základom spracúvania osobných údajov je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Oprávneným záujmom prevádzkovateľa je právo podnikať v rozsahu predmetu jeho činnosti. Lehota uchovávania osobných údajov je determinovaná prípravou a trvaním obchodnoprávneho vzťahu, ako aj obdobím 2 rokov od ukončenia tohto obchodnoprávneho vzťahu. Príjemcami osobných údajov sú spoločnosti vykonávajúce správu a podporu informačných technológií, subjekty zabezpečujúce výkon externého auditu, poskytovatelia telekomunikačných služieb, poskytovatelia dátových úložísk, audítor a advokát a v odôvodnených prípadoch aj súdy a orgány činné v trestnom alebo v priestupkovom konaní.

 

e) Účelom spracúvania osobných údajov v oblasti personálnej a mzdovej agendy je príprava a uzatvorenie pracovnej zmluvy alebo dohody o prácach vykonávaných mimo pracovného pomeru, evidencia podkladov o pracovnej spôsobilosti, výplata mzdy, odvody, plnenie povinností voči orgánom štátnej správy, evidencia dochádzky, evidencia vzdelávania, evidencia vydaných poverení a splnomocnení, evidencia poskytnutých ochranných pracovných pomôcok, majetku alebo zariadenia, uzatváranie dohôd o hmotnej zodpovednosti, evidencia vydávania peňažných prostriedkov v hotovosti, poskytovanie zamestnaneckých benefitov, evidencia škôd spôsobených zamestnancami na majetku zamestnávateľa, zabezpečenie stravovania, kopírovanie dokladov nevyhnutných na účely pracovnoprávneho alebo obdobného vzťahu, ako aj plnenie ďalších zákonných a zmluvných povinností. Právnym základom spracúvania je plnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) Nariadenia a pracovná zmluva alebo dohoda v zmysle čl. 6 ods. 1 písm. b) Nariadenia uzatvorená s dotknutou osobou podľa Zákonníka práce. Dotknutá osoba je povinná poskytnúť osobné údaje v potrebnom rozsahu; v prípade neposkytnutia osobných údajov nie je možné uzatvoriť pracovnú alebo obdobnú zmluvu. Osobné údaje zamestnanca budú poskytované týmto príjemcom: sociálna poisťovňa, zdravotné poisťovne, doplnkové dôchodkové sporiteľne, dôchodkové správcovské spoločnosti, daňový úrad, inšpektorát práce, Ústredie práce, sociálnych vecí a rodiny, štátny archív, audítor, Štátny ústav pre kontrolu liečiv, Slovenská národná akreditačná služba, Ústav štátnej kontroly veterinárnych biopreparátov a liečiv, FDA  (Úrad pre kontrolu potravín a liečiv), certifikované audítorské organizácie, subjekt zabezpečujúci štatistiku, strážna služba, vzdelávacie agentúry a školitelia, subjekt zabezpečujúci pracovnú zdravotnú službu, pracovné zdravotné posudky a posudzovanie zdravotnej spôsobilosti, subjekty zabezpečujúce poštové služby, subjekty zabezpečujúce rozvoj, správu a podporu informačných technológií, subjekty zabezpečujúce výkon externého auditu, poskytovatelia telekomunikačných služieb, poskytovateľ stravovacích služieb, poskytovateľ ubytovacích služieb, poskytovateľ prepravných služieb vrátane leteckých spoločností, komerčné poisťovne, banky, spoločnosť, na ktorej serveroch sú osobné údaje uložené, zákazníci zamestnávateľa, klienti, dodávatelia zamestnávateľa, orgány verejnej moci, advokáti a v odôvodnených prípadoch aj súdy, orgány činné v trestnom konaní a exekútori. Lehotou uchovávania osobných údajov v osobnom spise zamestnanca je obdobie ohraničené prípravou pracovnoprávneho vzťahu a dovŕšením sedemdesiateho 70 roku života zamestnanca (aj bývalého).

 

f) Účelom spracúvania osobných údajov v oblasti BOZP je plnenie súvisiacich povinností zamestnávateľa, najmä, avšak nielen realizácia školení, evidencia pracovných úrazov a zabezpečovanie lekárskych prehliadok. Právnym základom spracúvania osobných údajov (vrátane ich poskytovania tretím stranám) je plnenie zákonných povinností prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) Nariadenia (najmä povinnosti vyplývajúce zo zákona o BOZP). Osobné údaje zamestnanca budú poskytované týmto príjemcom: externá spoločnosť zabezpečujúca BOZP, spoločnosti zabezpečujúce externý audit, Inšpektorát práce a v odôvodnených prípadoch aj orgány činné v trestnom alebo priestupkovom konaní. Lehotou uchovávania osobných údajov je obdobie ohraničené prípravou pracovnoprávneho vzťahu a uplynutím 2 rokov od ukončenia tohto vzťahu, v prípade interných školení 10 rokov a školení externých dodávateľov – 5 rokov. Poskytnutie osobných údajov je zákonnou povinnosťou dotknutej osoby.

 

g) Obsahom vnútorných administratívnych účelov spracúvania osobných údajov je prenos a využívanie osobných údajov v rámci skupiny podnikov hameln. Právnym základom spracúvania osobných údajov je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia, ktorý je založený na skutočnosti, že prevádzkovateľ je súčasťou skupiny podnikov prepojených s riadiacim podnikom. Osobné údaje zamestnanca budú poskytované nasledujúcim príjemcom: spoločnosti tvoriace skupinu podnikov hameln. Lehota uchovávania osobných údajov je determinovaná trvaním členstva prevádzkovateľa v skupine hameln.

 

h) Osobné údaje na účel správy registratúry sú spracúvané v rámci plnenia zákonných povinností prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) Nariadenia (najmä povinnosti vyplývajúce zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a povinnosti vyplývajúce zo zákona č. 305/2013 Z. z o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov – zákon o e-Governmente). Poskytnutie osobných údajov je zákonnou povinnosťou dotknutej osoby. Osobné údaje zamestnanca budú poskytované nasledujúcim príjemcom: sociálna poisťovňa, zdravotné poisťovne, doplnkové dôchodkové sporiteľne, dôchodkové správcovské spoločnosti, daňový úrad, inšpektorát práce, Ústredie práce, sociálnych vecí a rodiny, štátny archív, audítor, Štátny ústav pre kontrolu liečiv, Slovenská národná akreditačná služba, Ústav štátnej kontroly veterinárnych biopreparátov a liečiv, FDA  (Úrad pre kontrolu potravín a liečiv), certifikované audítorské organizácie, subjekt zabezpečujúci štatistiku, strážna služba, vzdelávacie agentúry a školitelia, subjekt zabezpečujúci pracovnú zdravotnú službu, pracovné zdravotné posudky a posudzovanie zdravotnej spôsobilosti, subjekty zabezpečujúce poštové služby, subjekty zabezpečujúce rozvoj, správu a podporu informačných technológií, subjekty zabezpečujúce výkon externého auditu, poskytovatelia telekomunikačných služieb, poskytovateľ stravovacích služieb, poskytovateľ ubytovacích služieb, poskytovateľ prepravných služieb vrátane leteckých spoločností, komerčné poisťovne, banky, spoločnosť, na ktorej serveroch sú osobné údaje uložené, zákazníci zamestnávateľa, klienti, dodávatelia zamestnávateľa, orgány verejnej moci, advokáti a v odôvodnených prípadoch aj súdy, orgány činné v trestnom konaní a exekútori. Lehoty uchovávania sú ustanovené osobitnými predpismi a Registratúrnym plánom.

 

Cezhraničný prenos osobných údajov mimo EÚ sa neuskutočňuje. Osobné údaje nebudú spracúvané v rámci automatizovaného rozhodovania vrátane profilovania.

 

 

4. Práva dotknutej osoby:

 

Právo požadovať od prevádzkovateľa prístup k osobným údajom, ktoré sa jej týkajú, podľa článku 15:

 

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

a) účely spracúvania;

b) kategórie dotknutých osobných údajov;

c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d) ak je to možné, predpokladaná doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

e) existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

f) právo podať sťažnosť dozornému orgánu;

g) ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;

h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 nariadenia a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

 

Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa článku 46 Nariadenia.

 

Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Právo získať kópiu nesmie mať nepriaznivé dôsledky na práva a slobody iných.

 

Právo na opravu osobných údajov podľa článku 16:

 

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

 

Právo na vymazanie (právo „na zabudnutie”) podľa článku 17:

 

Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a) Nariadenia, a ak neexistuje iný právny základ pre spracúvanie;

c) dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 Nariadenia a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2 Nariadenia;

d) osobné údaje sa spracúvali nezákonne;

e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;

f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1 Nariadenia.

 

Ak prevádzkovateľ zverejnil osobné údaje a je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

 

Právo na vymazanie sa neuplatňuje, pokiaľ je spracúvanie potrebné:

a) na uplatnenie práva na slobodu prejavu a na informácie;

b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3 nariadenia;

d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 nariadenia, pokiaľ je pravdepodobné, že právo uvedené vyššie znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

 

Právo na obmedzenie spracúvania podľa článku 18:

 

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

c) prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

d) dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1 nariadenia, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

 

Ak sa spracúvanie v súlade s vyššie obmedzeným obmedzilo, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

 

Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania v súlade s vyššie uvedeným, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

 

Právo na prenosnosť údajov podľa článku 20:

 

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak: a) sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a) nariadenia, alebo na zmluve podľa článku 6 ods. 1 písm. b) nariadenia, a b) ak sa spracúvanie vykonáva automatizovanými prostriedkami.

 

Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

 

Uplatňovaním práva nie je dotknutý článok 17 nariadenia Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo na prenosnosť údajov nesmie mať nepriaznivé dôsledky na práva a slobody iných.

 

Právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva) podľa článku 21:

 

Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) nariadenia vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

 

V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu 2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 nariadenia, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.

 

Právo podať sťažnosť dozornému orgánu:

 

Dozorným orgánom, ktorému dotknutá osoba v odôvodnených prípadoch svoju sťažnosť adresuje, sa rozumie Úrad na ochranu osobných údajov Slovenskej republiky.

 

Právo odvolať súhlas so spracúvaním:

 

V prípade, ak právnym základom spracúvania osobných údajov je súhlas dotknutej osoby, dotknutá osoba je oprávnená kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním.

 

Právo kedykoľvek odvolať súhlas, a to aj pred uplynutím doby, na ktorú bol tento súhlas udelený, môže dotknutá osoba uplatniť nasledujúcimi spôsobmi:

  1. e-mailovou správou zaslanou na adresu gdpr@hameln-rds.sk
  2. telefonicky na +421 33 6904 111
  3. zaslaním písomnej žiadosti na adresu sídla prevádzkovateľa s uvedením textu „GDPR – odvolanie súhlasu“ na obálke.