Kódex správania

Účel a zásady

Tento kódex správania popisuje spôsoby spracovávania osobných údajov, ako aj práva subjektov údajov (ďalej len „Kódex správania“) v spoločnosti Aime Cosmetics s.r.o., so sídlom České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04, IČ: : 03138488 (ďalej tiež „Spoločnosť“). Účelom Kódexu správania je zaistiť, aby spracovávanie osobných údajov prebiehalo v súlade s všeobecne záväznými právnymi predpismi, predovšetkým s Nariadením Európskeho parlamentu a Rady (EU) 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) (ďalej len „Nariadenie“).

Účelom tohto Kódexu správania je ďalej prihlásenie Spoločnosti k zásadám, ktoré vyplývajú z Nariadenia, a predovšetkým tiež k pravidlám a náležitostiam týkajúcich sa právnych titulov stanovených Nariadením, a to s ohľadom na oprávnené záujmy Spoločnosti, ktoré spočívajú predovšetkým v ochrane zdravia, života a majetku, ako aj know-how a kontinuity podnikania Spoločnosti.

Tento Kódex správania dopadá na všetky osobné údaje spracovávané Spoločnosťou, bez ohľadu na účel či právny titul jeho spracovania.

Spoločnosť spracováva presné a aktuálne osobné údaje na základe zákonného titulu, korektne a transparentným spôsobom, len pre určité, výslovne vyjadrené a legitímne účely, v minimálnom rozsahu, ukladá ich vo forme umožňujúcej identifikáciu subjektu údajov len počas potrebnej doby vo vzťahu k účelu a zaisťuje ich integritu a dôvernosť pomocou vhodných technických alebo organizačných opatrení a náležitého zabezpečenia pred neoprávneným či protiprávnym spracovaním a pred náhodnou stratou, zničením alebo poškodením.

Spoločnosť zaisťuje, aby nepresné údaje s prihliadnutím k ich účelu, pre ktorý sa spracovávajú, boli bezodkladne vymazané alebo opravené.

Všetky činnosti spojené s osobnými údajmi a ich ochranou Spoločnosť riadne dokumentuje, predovšetkým vedie záznamy o činnostiach spracovania a ďalšie doklady o spracovaní osobných údajov pre naplnenie zásady zodpovednosti podľa Nariadenia. Spoločnosť spolupracuje s dozorným úradom, a to je predovšetkým Úrad pre ochranu osobných údajov, so sídlom Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.

Obsah

1. Rozsah platnosti
2. Zodpovednosť a právomoci
3. Jednotlivé právne tituly a ich princípy
   1. Úvod
   2. Právny titul plnenia zmluvy
   3. Právny titul plnenia právnej povinnosti
   4. Právny titul životne dôležitý záujem
   5. Právny titul oprávnený záujem
      1. Využitie oprávneného záujmu v rámci marketingu
      2. Využitie oprávneného záujmu v prípadoch, keď nie je možné využiť titul plnenia právnej povinnosti
      3. Využitie oprávneného záujmu v prípadoch, keď nie je možné využiť titul plnenia zmluvy
      4. Využitie oprávneného záujmu v rámci užívania predchádzajúcich kontaktov
   6. Právny titul súhlas so spracovaním osobných údajov
4. Akým spôsobom Spoločnosť spracováva osobné údaje?
5. Počas akej doby spracovávame osobné údaje?
6. Za akých podmienok odovzdáva Spoločnosť osobné údaje?
7. Aké práva má subjekt údajov?
   1. Kde a ako uplatniť práva subjektu údajov?
   2. Právo na informácie (čl. 13 a 14 Nariadenia)
   3. Právo na prístup k osobným údajom (čl. 15 Nariadenia)
   4. Právo na opravu (čl. 16 Nariadenia)
   5. Právo na výmaz / právo byť zapomenutý (čl. 17 Nariadenia)
   6. Právo na obmedzenie spracovania (čl. 18 a 19 Nariadenia)
   7. Právo na prenositeľnosť údajov (čl. 20 Nariadenia)
   8. Právo vzniesť námietku (čl. 21 Nariadenia)
   9. Právo nebyť predmetom automatizovaného individuálneho rozhodovania, včítane profilovania (čl. 22 Nariadenia)
8. Súvisiace dokumenty
9. Záverečné a prechodné ustanovenie

1. Rozsah platnosti

Tento Kódex správania je záväzný pre všetky osoby, ktoré majú príslušný vzťah so Spoločnosťou a zároveň sa dostávajú do kontaktu s osobnými údajmi, ktoré Spoločnosť spracováva.

Tento Kódex správania je voľne prístupný na webových stránkach Spoločnosti www.aime.cz

Spoločnosť spracováva osobné údaje prostredníctvom Spracovateľov, ktorí prichádzajú do styku s osobnými údajmi, a sú s týmto Kódexom správania preukázateľné zoznámení a zmluvne zaviazaní k jeho dodržiavaniu.

Všetci spracovatelia osobných údajov v prípadoch, keď je Spoločnosť v postavení správcu osobných údajov, sú s týmto Kódexom správania preukázateľne zoznámení a zmluvne zaviazaní k jeho dodržiavaniu.

2. Zodpovednosť a právomoci

3. Jednotlivé právne tituly a ich princípy

3.1 Úvod, účel spracovanie

Pred zahájením akéhokoľvek spracovania osobných údajov Spoločnosť stanovuje účel, pre ktorý spracováva osobné údaje. Za akým účelom sú osobné údaje subjektu spracovávané, sa subjekt dozvie z informácie, ktorú mu individuálne odovzdá Spoločnosť (podrobne viď kapitola 6.2). Spracovanie osobných údajov je po celú dobu prevádzané výhradne v rozsahu a za účelom dosiahnutia dopredu stanoveného účelu.

Ak je účel spracovania naplnený, Spoločnosť osobné údaje v súladu so zásadou minimalizácie údajov (spracovanie primerané, relevantné a obmedzené na vyhovujúci rozsah vo vzťahu k účelu spracovania) a obmedzení uloženie vymazáva, pokiaľ nie je treba ich uchovávať pre iný účel.

Nasledujúce ustanovenia tohto Kódexu správania určujú základné princípy využívania právnych titulov ku spracovávaniu osobných údajov Spoločnosti.

3.2 Právny titul plnenie zmluvy

Právny titul plnenia zmluvy, podľa čl. 6 odst. 1 písm. b) Nariadenia, sa použije ku spracovaniu osobných údajov, pokiaľ je určité spracovanie potrebné k uzatvoreniu zmluvného záväzku nebo pre jeho plnenie.

Spracovanie osobných údajov za účelom vymáhania záväzkov, napr. pohľadávok z uzatvorenej zmluvy, je prevádzané na základe titulu oprávneného záujmu (podrobne viď. kapitola 3.5).

Pri obchodnom styku Spoločnosť požaduje po druhej zmluvnej strane len osobné údaje potrebné pre plnenie zmluvy, uzavretej na základe objednávky tovarov alebo služieb poskytovaných Spoločnosťou.

Rozsah spracovávaných osobných údajov pre uzatvorenie a plnenie zmluvného vzťahu je predovšetkým:

• Pre doručenie a realizáciu objednávky
  • Meno, priezvisko, adresa, podpis (v prípade papierovej objednávky);
  • Meno, priezvisko, adresa (v prípade telefonickej objednávky);
  • Meno, priezvisko, adresa (v prípade webovej objednávky).
• Pre komunikáciu so zákazníkom
  • Adresa;
  • Telefónne číslo, email (tieto údaje nie sú povinné, subjekt údajov ich poskytuje len v prípade, že chce, aby s ním Spoločnosť týmito spôsobmi komunikovala).
• Rok narodenia pre overenie identity, plnoletosti a zároveň platnosti objednávky.

3.3 Právny titul plnenie právnej povinnosti

Tento právny titul sa vzťahuje na spracovanie osobných údajov potrebných pre plnenie požiadaviek právnych predpisov Českej republiky a Európskej Únie, a to na základe čl. 6 odst. 1 písm. c) Nariadenia.

Právna povinnosť v tomto prípade musí byť stanovená dostatočne určite, aby bolo zrejmé, o akú právnu povinnosť sa jedná a mohol sa tak tento titul využiť. Spoločnosť neprekročí možné spracovanie osobných údajov, ktoré vyplýva z tohto titulu.

Spracovanie údajov na základe právnej povinnosti Spoločnosti sa uplatní predovšetkým v pracovnoprávnych vzťahoch, kde české právne predpisy Spoločnosti stanovia celý rad povinností voči zamestnancom. Spoločnosť osobné údaje o zamestnancoch považuje za dôverné. Sprístupnenie týchto údajov tretím osobám musí byť v prípade potreby schválené zo strany Spoločnosti a zamestnanca písomne, okrem sprístupnenia na základe žiadosti zo strany štátnych orgánov.

3.4 Právny titul životne dôležitý záujem

Tento právny titul sa vzťahuje na nutné spracovanie len v prípadoch, keď sa jedná o konanie smerované k predchádzaniu vzniku ujmy na zdraví a živote subjektu údajov alebo inej osoby, a to na základe čl. 6 odst. 1 písm. d) Nariadenia.

Spoločnosť dbá na to, aby sa rozsah spracovávaných osobných údajov riadil individuálne podľa vývinu situácie.

3.5 Právny titul oprávnený záujem

Oprávnený záujem Spoločnosti určuje Spoločnosť, a to v súlade s čl. 6 odst. 1 písm. f) Nariadenia. Spoločnosť pred tím, než začne osobné údaje podľa stanoveného oprávneného záujmu spracovávať, preverí tento záujem s oprávnenými záujmami a základnými právami a slobodami subjektu údajov, ktorých osobné údaje spracováva (prevedie tzv. balančný test).

Pokiaľ Spoločnosť zistí podľa výsledkov balančného testu, že môže osobné údaje subjektu údajov spracovávať na základe titulu oprávneného záujmu, informuje vždy subjekt údajov o tejto skutočnosti (tj. že spracováva údaje na základe oprávneného záujmu) a oznámi mu, na základe akého konkrétneho oprávneného záujmu tak činí.

Ak je titulom pre spracovanie osobných údajov subjektu údajov oprávnený záujem Spoločnosti, je subjekt údajov oprávnený podať námietku a žiadať výmaz vlastných osobných údajov (podrobne viď kapitola 7). O týchto právach je subjekt údajov informovaný, a to najneskôr v okamžiku prvej komunikácie Spoločnosti so subjektom údajov.

Spoločnosť spracováva osobné údaje na základe oprávnených záujmov, ako je napríklad predchádzanie podvodom a iné škodlivé či trestné činnosti, ochrana majetku, vymáhanie právnych nárokov, odovzdávanie v rámci skupiny pro administratívne účely, priamy marketing (pokiaľ Spoločnosť spracováva osobné údaje pre účel splnenia zmluvy, ktorých zmluvnou stranou je subjekt údajov, je oprávnená informovať subjekt údajov o tovare alebo službách a zasiela obchodný oznam na e-mailovú adresu uvedenú subjektom údajov), a i., ako sú špecifikované nižšie.

3.5.1 Využitie oprávneného záujmu v rámci priameho marketingu a primeraného očakávania

Tento druh právneho titulu oprávneného záujmu je založený na tzv. priamom marketingu. Priamy marketing, respektíve titul oprávneného záujmu je využívaný na základe historického vzťahu alebo z dôvodu prejaveného záujmu nastávajúceho či potenciálneho zákazníka o tovar či služby Spoločnosti a môže byť použitý len na tovar a služby obdobného charakteru, o ktoré zákazník v minulosti prejavil záujem a proti spracovaniu tohto druhu nevzniesol námietku.

Tento druh oprávneného záujmu môže Spoločnosť využiť za predpokladu, že existuje relevantný a odpovedajúci vzťah medzi subjektom údajov a Spoločnosťou.

Spoločnosť v tomto prípade dbá na to, aby v momente, keď sa subjekt údajov stáva jej (potenciálnym) zákazníkom, bolo dôvodne očakávané , že môže začať spracovávanie osobných údajov na základe oprávneného záujmu.

Spoločnosť klade dôraz na to, aby sa uprednostňovali záujmy subjektu údajov pred záujmami Spoločnosti ako správcu údajov predovšetkým vtedy ,keď ku spracovaniu osobných údajov dochádza za okolností, keď subjekt údajov, respektíve zákazník, ich ďalšie spracovanie neočakáva.

Spoločnosť môže pni posudzovaní oprávneného záujmu založeného na priamom marketingu vychádzať napríklad z nasledujúcich situácií:

• Odporučenie vhodných nadväzujúcich vzťahov výrobkov obdobného charakteru;
• predchádzajúca komunikácia so subjektom údajov, keď sa subjekt údajov neohradil proti ďalšiemu kontaktovaniu za marketingovým účelom;
• historický vzťah medzi Spoločnosťou a subjektom údajov, keď subjekt údajov nevyslovil nesúhlas s marketingovým kontaktovaním.

Spoločnosť v tomto prípade spracováva len osobné údaje, ktoré sú potrebné k naplneniu príslušného marketingového účelu, a to v súlade s princípom minimalizácie podľa Nariadenia. Spoločnosť tak neuchováva ďalšie nepotrebné osobné údaje, respektíve také osobné údaje maže riadnym a bezpečným spôsobom.

Proti tomuto spracovaniu osobných údajov môže subjekt údajov kedykoľvek vzniesť námietku a v takom prípade Spoločnosť prestane osobné údaje subjektu pre účel priameho marketingu spracovávať. O vyriešení námietky bude subjekt údajov informovaný prostredníctvom komunikačného kanálu, ktorým bola žiadosť podaná.

3.5.2 Využitie oprávneného záujmu v prípadoch, keď nie je možné využiť titul plnenia právnej povinnosti

Tento titul pre spracovanie osobných údajov je v rámci Spoločnosti využívaný v prípadoch, keď je
platnou legislatívou daná povinnosť dodržať stanovené pravidlá, ale ich dodržanie priamo nezakladá právny titul pro spracovanie osobných údajov.

Medzi typické prípady takéhoto oprávneného spracovania patrí vedenie zoznamu subjektov údajov (tzv. „black list“), ktoré sa v minulosti vyslovili proti kontaktovaniu pre marketingové účely zo strany Spoločnosti. Spoločnosť spracováva pre tieto účely len osobné údaje v nutnom rozsahu a len pre zamedzenie ďalšieho nevyžiadaného oslovovania.

Proti tomuto spracovaniu osobných údajov môže subjekt údajov kedykoľvek vzniesť námietku a Spoločnosť prevedie náležité opatrenia k zisteniu, či je požiadavka oprávnená a následne prípadne požiadavke vyhovie. O vybavení bude subjekt údajov oboznámený prostredníctvom komunikačného kanálu, ktorým bola žiadosť podaná, pokiaľ si nevyžiada iný spôsob. Spoločnosť vybaví takú požiadavku v súlade s pravidlami stanovenými v kapitole 7 tohto Kódexu správania.

3.5.3 Využitie oprávneného záujmu v prípadoch vymáhania nárokov

Tento titul spracovania je v rámci Spoločnosti využívaný v prípadoch, keď subjektu údajov plynú na základe uzavretej zmluvy so Spoločnosťou povinnosti, ktoré však týmto subjektom údajov nie sú naplnené.

Medzi typické prípady takého oprávneného spracovania patrí zasielanie výzev k úhrade zo strany Spoločnosti príslušnému subjektu údajov, ktorý mešká s plnením. Spoločnosť v tomto prípade spracováva len a len osobné údaje, ktoré sú potrebné k naplneniu vyššie uvedeného účelu.

Proti tomuto spracovaniu osobných údajov môže subjekt údajov kedykoľvek vzniesť námietku a Spoločnosť prevedie náležité opatrenie k zisteniu, či je požiadavka oprávnená a následne prípadne požiadavke vyhovie. O vybavení bude subjekt údajov oboznámený prostredníctvom komunikačného kanálu, ktorým bola žiadosť podaná, pokiaľ si nevyžiada iný spôsob. Spoločnosť vybaví takú požiadavku v súlade s pravidlami stanovenými v kapitole 7 tohto Kódexu správania.

3.5.4 Využitie  oprávneného záujmu pre administratívne a analytické účely

Tento titul spracovania je v rámci Spoločnosti využívaný v prípadoch, keď sú osobné údaje v oprávnenom záujme Spoločnosti odovzdávané tretím osobám.

Spoločnosť odovzdáva osobné údaje v rámci skupiny spoločností náležiacich do skupiny Aime Cosmetics za účelom administratívy týkajúcej sa predaja výrobkov zákazníkom. V rámci tohto procesu sa jedná predovšetkým o prijatia a vybavenie objednávky výrobkov a doručovanie.

Spoločnosť tiež spracováva osobné údaje za účelom efektívneho vyhodnocovania podnikových výkonov a finančných výsledkov a v rámci tohto spracovania využíva služieb tretích strán.

Proti tomuto spracovaniu osobných údajov môže subjekt údajov kedykoľvek vzniesť námietku a Spoločnosť prevedie náležité opatrenie k zisteniu , či je požiadavka oprávnená a následne prípadne požiadavke vyhovie. O vybavení bude subjekt údajov oboznámený prostredníctvom komunikačného kanálu, ktorým bola žiadosť podaná, pokiaľ si nevyžiada iný spôsob. Spoločnosť vybaví takú požiadavku v súlade s pravidlami stanovenými v kapitole 7 tohto Kódexu sprívania.

3.6 Právny titul súhlas so spracovaním osobných údajov

Súhlas subjektu údajov so spracovaním jeho osobných údajov môže byť daný pre jeden alebo viac konkrétnych účelov. Tento právny titul Spoločnosť používa výhradne v prípadoch, kde nie je možnosť iného právneho titulu pre spracovanie osobných údajov, a to na základe čl. 6 odst. 1 písm. a) Nariadenia.

Súhlas sa poskytuje napríklad pre účely štatistického vyhodnocovania dát tykajúcich sa predaja Výrobkov či na účely priameho marketingu tretích osôb.

Spoločnosť dbá na to, aby súhlas bol poskytnutý v súlade s Nariadením, predovšetkým tak, aby sa jednalo o slobodný, konkrétny , informovaný a jednoznačný prejav vôle subjektu údajov.

Súhlas so spracovaním osobných údajov môže subjekt kedykoľvek odvolať. Pokiaľ subjekt údajov svoj súhlas so spracovaním odvolá, neznamená to, že by spracovanie osobných údajov pred takýmto odvolaním bolo nezákonné – odvolanie súhlasu nemá spätný účinok a spracovanie osobných údajov vychádzajúce z tohto súhlasu pred jeho odvolaním nim nie je dotknuté. O tejto skutočnosti je subjekt údajov informovaný pred tým, než vyjadrí súhlas so spracovaním osobných údajov.

4. Akým spôsobom Spoločnosť spracováva a zabezpečuje osobné údaje?

Osobné údaje sú spracovávané v elektronickej podobe automatizovaným spôsobom / v elektronickej podobe neautomatizovaným spôsobom / v tlačenej podobe neautomatizovaným spôsobom.

Spoločnosť zadáva spracovanie a zabezpečenie osobných údajov Spracovateľom zo skupiny Aime a to predovšetkým: 

• Postavdelingen s.r.o., IČO: 26078236, so sídlom České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;

ktorá prijíma technické a organizačné opatrenia k ochrane osobných údajov, ktorá sú potrebné k naplneniu povinností podľa Nariadenia. Spracovanie sa deje s prihliadnutím ku stavu techniky, nákladom na prevedenie, povahe, rozsahu, kontextu a účelom spracovávania i k pravdepodobným a rôzne vážnym rizikám pre práva a slobody fyzických osôb.

Na strane Spracovateľa sú zavedené také vhodné technické a organizačné opatrenia, primerane k tomu, aby zaistili úroveň zabezpečenia osobných údajov odpovedajúcich danému riziku predovšetkým náhodnému alebo protiprávnemu zničeniu, strate, pozmeňovaniu, neoprávnenému sprístupneniu odovzdávaných, uložených alebo inak spracovávaných osobných údajov alebo neoprávnenému prístupu k nim.

Jedná sa predovšetkým o zavedenie nasledujúcich opatrení:

• Pseudonymizácia (utajenie) osobných údajov – údaje pre vyhodnocovanie a reportovanie sú uvedené len v obecných číslach bez uvádzania osobných údajov
• systém úrovní oprávnení pre prístup k osobným údajom, autentizácia, autorizácia;
• antivírová ochrana;
• monitorovanie prístupov konkrétnych osôb k osobným údajom;
• monitorovanie zmien prevedených konkrétnymi osobami v osobných údajoch;
• rozprestretie sieťovej služby a dát medzi väčší počet serverov;
• zálohovanie

Spoločnosť ako Správca viedla Spracovateľa povereného  nakladaním s osobnými údajmi výhradne podľa pokynov Spoločnosti ako správcu osobných údajov.

Spracovateľ zaviedol pohotovostné plány a postupy pre prípad fyzického či technického incidentu.

Spracovateľ zaviedol politiku pravidelného testovania , posudzovania a hodnotenia prijatých bezpečnostných opatrení (predovšetkým preverovanie bezpečnosti IT systémov, penetračné testovanie , simulácia bezpečnostných incidentov k prevereniu zavedených postupov či prevedených auditov zo strany externých subjektov.

5. Na akú dobu spracováva Spoločnosť osobné údaje?

Osobné údaje budú spracovávané len na dobu potrebnú k naplneniu účelu spracovania osobných údajov, ktorá je určená individuálne a o jej dĺžke je subjekt osobných údajov informovaný tiež individuálne. Nad rámec takto stanovenej doby je Spoločnosť oprávnená spracovávať osobné údaje subjektu údajov po dobu stanovenú zvláštnymi právnymi predpismi alebo po dobu potrebnú k vymáhaniu práv Spoločnosti voči subjektu údajov. Konkrétnu dobu, počas ktorej budú osobné údaje daného subjektu údajov spracovávané, sa subjekt údajov dozvie z informácie, ktorú mu individuálne odovzdá (zašle) Spoločnosť.

Ak je účel spracovania osobných údajov naplnený a Spoločnosť už nemá žiadny ďalší účel, pre ktorý by ich bola oprávnená spracovávať, prevádza Spoločnosť výmaz osobných údajov. V prípade osobných údajov spracovávaných na základe súhlasu subjektu údajov Spoločnosť prevedie výmaz osobných údajov tiež v prípade, kedy subjekt údajov svoj súhlas so spracovaním osobných údajov odvolá. Pokiaľ sú osobné údaje spracovávané z titulu oprávneného záujmu a subjekt údajov vznesie námietky proti spracovaniu a neexistujú žiadne prevažujúce oprávnené dôvody pre spracovanie, Spoločnosť rovnako osobné údaje vymaže, následne čo o tom subjekt údajov informuje.

6. Za akých podmienok odovzdáva Spoločnosť osobné údaje?

Osobné údaje môže Spoločnosť ako správca spracovávať priamo svojimi zamestnancami, alebo prostredníctvom tretích osôb (ďalej len „Spracovateľ“ alebo „Spracovatelia“), a to predovšetkým spoločností pôsobiacich v skupine Spoločnosti. Spoločnosť uzavrela s každým Spracovateľom zmluvu o spracovaní osobných údajov. O tom, komu a v akom rozsahu sú informácie odovzdávané, sa subjekt údajov dozvie z informácie, ktorú mu individuálne zašle Spoločnosť.

Spoločnosť odovzdáva osobné údaje predovšetkým nasledujúcim spoločnostiam v rámci skupiny:

• NaturaMed Services SK s. r. o., IČO: 48 191 582, so sídlom Slovenská Republika, Banská Bystrica, Na Troskách 14297/26, PSČ: 974 01
• Postavdelingen s.r.o., IČO: 26078236, so sídlom České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;
• NaturaMed Pharmaceuticals s.r.o., IČO: 26106965, so sídlom České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;

a ďalej nasledujúcim spoločnostiam mimo skupinu:

• spoločnosti FT Sun s.r.o., IČO:  28120434, so sídlom Pekárenská 761/77c, České Budějovice 4, 370 04 České Budějovice (marketing).

Spracovatelia poskytli Spoločnosti dostatočné záruky zavedenia vhodných technických a organizačných opatrení tak, aby dané spracovanie spĺňalo požiadavky Nariadenia a aby bola zaistená ochrana práv subjektov. Všetci Spracovatelia doložili Spoločnosti dostatočné záruky s nakladaním s odovzdávanými osobnými údajmi.

Spoločnosť nepredáva osobné údaje tretím osobám za poplatok.

Osobné údaje môžu byť odovzdávané do tretích zemí mimo Európsku úniu a Európsky hospodársky priestor. O tom, komu a v akom rozsahu sú informácie do tretích zemí mimo Európsku úniu a Európsky hospodársky priestor odovzdávané , sa subjekt údajov dozvie z informácie, ktorou mu individuálne odovzdá (zašle) Spoločnosť.

7. Aké práva má subjekt údajov?

Každý subjekt údajov má nasledujúce práva:

1. Právo na informácie
2. Právo na prístup k osobným údajom
3. Právo na opravu
4. Právo na výmaz (právo byť zabudnutý)
5. Právo na obmedzenie spracovania
6. Právo na prenositeľnosť údajov
7. Právo vzniesť námietku
8. Právo nebyť predmetom automatizovaného individuálneho rozhodovania, aj profilovania
9. Právo podať sťažnosť na Úrad pre ochranu osobných údajov alebo k inému príslušnému dozornému úradu v súvislosti so spracovaním osobných údajů.

7.1 Kde a ako uplatniť práva subjektu údajov?

Práva uvedené vyššie ad 1) – 8) môže subjekt údajov uplatniť voči Spoločnosti:

1. elektronicky na e-mailovej adrese: aime@aime.sk
2. telefonicky na čísle 02/33 00 68 92
3. písomne na adrese sídla Spoločnosti.

Právo uvedené vyššie ad 9) môže subjekt uplatniť na Úrade pre ochranu osobných údajov:

1. elektronicky na e-mailovej adrese posta@uoou.cz
2. prostredníctvom dátovej schránky ID: qkbaa2n;
3. telefonicky na čísle +420 234 665 111 alebo
4. písomne na adrese Pplk. Sochora 27, 170 00 Praha 7,

prípadne na inom príslušnom dozornom úrade v súvislosti so spracovaním osobných údajov.

7.2 Právo na informácie (čl. 13 a 14 Nariadení)

Každý subjekt údajov dostane od Spoločnosti stručným, transparentným, zrozumiteľným a ľahko prístupným spôsobom za použití jasných jazykových prostriedkov informácie súvisiace so spracovaním jeho osobných údajov, a to v okamžiku, keď od neho Spoločnosť získava jeho osobné údaje. Pokiaľ Spoločnosť nezíska osobné údaje priamo od subjektu údajov, poskytne subjektu údajov informácie v primeranej lehote po ich získaní, ale najneskôr do jedného mesiaca.

Informácie sú poskytované prostredníctvom dokumentu Informácie o spracovaní osobných údajov sprístupneného subjektu údajov:

• zaslaním v elektronickej forme na emailovú adresu subjektu údajov;
• telefonicky; alebo
• zaslaním poštou na kontaktnú adresu subjektu údajov.

7.3 Právo na prístup k osobným údajom (čl. 15 Nariadení)

Subjekt údajov vo svojej žiadosti adresovanej Spoločnosti určí, ktorú zo troch nižšie uvedených zložiek práva na prístup k osobným údajom využíva:

1. Subjekt údajov má právo získať od Spoločnosti potvrdenie, či osobné údaje, ktoré sa ho týkajú, sú či nie sú spracovávané.
2. Pokiaľ Spoločnosť osobné údaje subjektu údajov spracováva, je povinná mu oznámiť nasledujúce informácie (o ktoré z týchto informácii konkrétne subjekt žiada, rovnako stanoví vo svojej žiadosti):
   1. účely spracovania;
   2. kategórie dotknutých osobných údajov;
   3. prijímateľovi alebo kategórii prijímateľov , ktorým osobné údaje boli alebo budú sprístupnené, predovšetkým prijímatelia v tretích zemiach alebo v medzinárodných organizáciách;
   4. plánovaná doba, počas ktorej budú osobné údaje uložené, alebo ak nie je možné určiť, kritériá použité na stanovenie tejto doby;
   5. existencia práva požadovať od Spoločnosti opravu alebo výmaz osobných údajov tykajúcich sa subjektu údajov alebo obmedzení ich spracovania alebo vzniesť námietku proti tomuto spracovaniu;
   6. právo podať sťažnosť na Úrad pre ochranu osobných údajov alebo u iného príslušného dozorného úradu v súvislosti so spracovaním osobných údajov;
   7. všetky dostupné informácie o zdroji osobných údajov, pokiaľ nie sú získané od subjektu údajov;
   8. skutočnosť, že dochádza k automatizovanému rozhodovaniu, včítane profilovania, zmysluplné informácie tykajúce sa použitého postupu, ako i významu a predpokladaných dôsledkov takého spracovania pre subjekt údajov.
3. Pokiaľ Spoločnosť osobné údaje subjektu údajov spracováva, je povinná poskytnúť subjektu údajov  bezplatne kópiu spracovávaných osobných údajov. Za ďalšiu kópiu na žiadosť subjektu údajov môže Spoločnosť účtovať primeraný poplatok odpovedajúci administratívnym nákladom na výrobu týchto kópií. Právom získať kópiu spracovávaných osobných údajov nesmú byť nepriaznivo dotknuté práva a slobody iných osôb.

Ak subjekt údajov podáva žiadosť v elektronickej forme, budú informácie poskytnuté v bežne používanej elektronickej forme, len že by subjekt údajov vo svojej žiadosti uviedol, že požaduje iný spôsob poskytnutia informácii. O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená.

Pokiaľ sú osobné údaje odovzdávané do tretej zeme nebo medzinárodnej organizácii, má subjekt údajov právo byť informovaný o ďalších skutočnostiach tykajúcich sa odovzdania osobných údajov.

7.4 Právo na opravu (čl. 16 Nariadení)

Subjekt údajov má právo na:

1. opravu nepresných osobných údajov, ktoré sa ho týkajú;
2. doplnenie neúplných osobných údajov s prihliadnutím k účelom spracovania, a to i prostredníctvom poskytnutia dodatočného prehlásenia.

Právo na opravu či doplnenie subjekt údajov uplatní prostredníctvom žiadosti, v ktorej subjekt údajov uvedie svoje identifikačné údaje, právo, ktorého prostredníctvom žiadosť uplatňuje a spôsob, akým si želá byť informovaný o opatreniach prijatých Spoločnosťou.

O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená.

Spoločnosť oznamuje jednotlivým príjemcom, ktorým už boli osobné údaje sprístupnené, všetky opravy osobných údajov, pokiaľ je to možné s vynaložením primeraného úsilia. Pokiaľ to subjekt údajov požaduje, informuje Spoločnosť subjekt údajov o takto informovaných príjemcoch.

7.5 Právo na výmaz / právo byť zapomenutý (čl. 17 Nariadení)

Na žiadosť subjektu údajov (a v určitých prípadoch i bez žiadosti – napr. ak pominie účel spracovania, ak stratí Spoločnosť právny titul pre spracovávanie určitej kategórie osobných údajov) Spoločnosť bez zbytočného odkladu vymaže jeho osobné údaje, pokiaľ je daný niektorý z nižšie uvedených dôvodov:

1. osobné údaje už nie sú potrebné na účely, pre ktoré boli zhromaždené alebo inak spracované;
2. subjekt údajov odvolá súhlas, na jeho základe boli údaje spracované, a neexistuje žiadny ďalší právny dôvod pre spracovanie;
3. subjekt údajov vznesie námietky proti spracovaniu a neexistujú žiadne prevažujúce oprávnené dôvody pre spracovanie alebo subjekt údajov vznesie námietky proti spracovaniu osobných údajov pre účely priameho marketingu;
4. osobné údaje boli spracované protiprávne;
5. osobné údaje musia byť vymazané, aby bola splnená právna povinnosť stanovená právom Európskej únie, alebo členského štátu, ktorá sa na Spoločnosť vzťahuje;
6. osobné údaje dieťaťa boli zhromaždené v súvislosti s ponukou služieb informačnej spoločnosti učinenej priamo dieťaťu.

V žiadosti o výmaz osobných údajov subjekt údajov uvedie svoje identifikačné údaje, právo, ktorého prostredníctvom žiadosti uplatňuje a spôsob, akým si praje byť informovaný o opatreniach prijatých Spoločnosťou.

Ak Spoločnosť osobné údaje zverejnila a je povinná ich vymazať, príjme s ohľadom na dostupnú technológiu a náklady na prevedenie primerané kroky, včítane technických opatrení, aby informovala správcov, ktorí tieto osobné údaje spracovávajú, že ich subjekt údajov žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópie či replikácie.

Vyššie uvedené neplatí, pokiaľ je spracovanie osobných údajov nevyhnutné:

1. pre výkon práva na slobodu prejavu a informácie;
2. pre splnenie právnej povinnosti, ktorá vyžaduje spracovanie osobných údajov podľa práva Európskej únie albo členského štátu, ktoré sa na Spoločnosť vzťahuje, alebo pre splnenie úlohy prevedenej vo verejnom záujme alebo pri výkone verejnej moci, ktorým je Spoločnosť poverená;
3. z dôvodov verejného záujmu v oblasti verejného zdravia;
4. pre účely archivácie vo verejnom záujme, pre účely vedeckého či historického výskumu či pre štatistické účely, pokiaľ je pravdepodobné, že by využitie práva na výmaz znemožnilo alebo vážne ohrozilo splnenie cieľov uvedeného spracovania;
5. pre určenie, výkon alebo obhajobu právnych nárokov.

Spoločnosť oznamuje jednotlivým príjemcom, ktorým už boli osobné údaje sprístupnené, všetky výmazy osobných údajov, pokiaľ je to možné s vynaložením primeraného úsilia. Pokiaľ to subjekt údajov požaduje, informuje Spoločnosť subjekt údajov o tom, ktorí príjemcovia osobných údajov boli takto informovaní.

O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená. Pokiaľ na základe jednej z vyššie uvedených výnimiek Spoločnosť odmietne osobné údaje vymazať, informuje o tom subjekt údajov v lehote jedného mesiaca od doručenia žiadosti, odôvodní využitie výnimky a poučí subjekt údajov o práve podať sťažnosť na Úrad pre ochranu osobných údajov alebo na iný príslušný dozorujúci  úrad v súvislosti so spracovaním osobných údajov alebo žiadať súdnu ochranu.

7.6 Právo na obmedzenie spracovania (čl. 18 a 19 Nariadení)

Subjekt údajov má právo na to, aby Spoločnosť obmedzila spracovanie jeho osobných údajov, v ktoromkoľvek z týchto prípadov:

1. subjekt údajov popiera presnosť osobných údajov; v tomto prípade bude spracovanie obmedzené na dobu potrebnú k tomu, aby Spoločnosť mohla presnosť osobných údajov overiť;
2. spracovanie osobných údajov je protiprávne, subjekt údajov odmieta výmaz osobných údajov a žiada miesto toho o obmedzenie ich použitia;
3. Spoločnosť už osobné údaje nepotrebuje pre účely spracovania, ale subjekt údajov ich požaduje pre určenie, výkon albo obhajobu právnych nárokov;
4. subjekt údajov uplatnil právo vzniesť námietku proti spracovaniu osobných údajov; v tomto prípade bude spracovanie obmedzené, dokiaľ nebude overené, či oprávnené dôvody Spoločnosti prevažujú nad oprávnenými dôvodmi subjektu údajov.

O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr  však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená.

V dôsledku obmedzenia spracovania osobných údajov môže Spoločnosť potrebné osobné údaje ďalej ukladať, avšak spracované môžu byť len so súhlasom subjektu údajov, alebo z dôvodu určenia, výkonu alebo obhajoby právnych nárokov, z dôvodu ochrany práv inej fyzickej alebo právnickej osoby alebo z dôvodov dôležitého verejného záujmu Európskej únie alebo niektorého členského štátu. V týchto prípadoch bude subjekt údajov, ktorý dosiahol obmedzenie spracovania osobných údajov, Spoločnosťou dopredu upozornený na to, že obmedzenie spracovania bude zrušené.

Spoločnosť oznamuje jednotlivým príjemcom, ktorým boli osobné údaje sprístupnené, všetky obmedzenia v spracovaní osobných údajov, pokiaľ je to možné s vynaložením primeraného úsilia. Pokiaľ to subjekt údajov požaduje, informuje Spoločnosť subjekt údajov o tom, ktorým príjemcom bolo takéto oznámenie podané.

7.7 Právo na prenositeľnosť údajov (čl. 20 Nariadení)

Subjekt údajov má právo získať osobné údaje, ktoré sa ho týkajú, ktoré poskytol Spoločnosti a ktoré sú spracovávané automatizovane, pokiaľ je súčasne splnená niektorá z nižšie uvedených podmienok:

1. osobné údaje sú spracovávané pre konkrétny účel/-y na základe súhlasu subjektu údajov;
2. jedná sa o zvláštnu kategóriu osobných údajov spracovávaných pre jeden alebo viac stanovených účelov na základe výslovného súhlasu udeleného subjektom údajov; alebo
3. spracovanie osobných údajov je nevyhnutné pre splnenie zmluvy, ktorého zmluvnou stranou je subjekt údajov, alebo pre prevedenie opatrení prijatých pred uzavretím zmluvy na žiadosť subjektu údajov.

Za osobné údaje poskytnuté Spoločnosti sú považované údaje, ktoré subjekt údajov priamo, vedome a aktívne poskytol Spoločnosti napr. prostredníctvom formulára.

O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená.

Spoločnosť osobné údaje subjektu údajov poskytne v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Subjekt údajov je oprávnený odovzdať získané osobné údaje inému správcovi osobných údajov. Subjekt údajov si vo svojej žiadosti zvolí, či má Spoločnosť osobné údaje poskytnúť subjektu údajov alebo či využije právo na to, aby jeho osobné údaje boli odovzdané Spoločnosťou  priamo inému správcovi/spracovateľovi, ak je to technicky možné.

Právom na prenositeľnosť údajov nesmie byť nepriaznivo dotknuté právo a sloboda iných osôb.

7.8 Právo vzniesť námietku (čl. 21 Nariadení)

V prípade spracovania osobných údajov na základe právneho titulu oprávneného záujmu Spoločnosti má subjekt údajov právo vzniesť námietku proti spracovaniu svojich osobných údajov z dôvodov tykajúcich sa jeho konkrétnej situácie, ktorú v námietke popíše. Námietku môže subjekt údajov podať

• elektronicky na e-mailovej adrese: aime@aime.sk
• telefonicky na čísle 02/33 00 68 92
• písomne na adrese sídla Spoločnosti.

O opatreniach prijatých na základe žiadosti subjektu údajov informuje Spoločnosť subjekt údajov do jedného mesiaca od obdŕžania žiadosti, najneskôr však do troch mesiacov od obdŕžania žiadosti, ak bola lehota v prípade odôvodnenej potreby predĺžená.

V prípade obdŕžania námietky Spoločnosť osobné údaje prestane spracovávať (ponechá si ich len uložené) a prevedie posúdenie, či má závažne oprávnené dôvody pre ich spracovanie, ktoré prevažujú nad záujmy alebo práva a slobody subjektu údajov, alebo pre určenie, výkon alebo obhajobu právnych nárokov. Pokiaľ Spoločnosť dôjde k záveru, že také dôvody má, informuje o tom subjekt údajov, odovzdá mu zároveň možnosti ďalšej obrany a v spracovaní osobných údajov pokračuje. Pokiaľ Spoločnosť naopak dôjde k záveru, že dostatočné dôvody pre spracovanie osobných údajov nemá, subjekt údajov o tom informuje, spracovanie ukončí a prevedie výmaz osobných údajov.

Subjekt údajov má právo vzniesť kedykoľvek námietku proti spracovaniu osobných údajov pre účely priameho marketingu, v dôsledku čoho Spoločnosť osobné údaje pre tento účel prestane spracovávať.

Spoločnosť na vyššie uvedené právo vzniesť námietku subjekt údajov výslovne, zreteľne a oddelene od iných informácií upozorní najneskôr v okamžiku prvej komunikácie so subjektom údajov.

7.9 Právo nebyť predmetom automatizovaného individuálneho rozhodovania, ako aj profilovania (čl. 22 Nariadení)

Spoločnosť spravuje osobné údaje s rešpektom k právu subjektu údajov nebyť predmetom žiadneho rozhodnutia založeného výhradne na automatizovanom spracovaní osobných údajov, ktoré sa subjektu údajov významne dotýka, a to spolu profilovania (tj. akékoľvek formy automatizovaného spracovania osobných údajov spočívajúceho v ich použití k rozboru, odhadu alebo hodnoteniu určitých aspektov týkajúcich sa subjektu údajov – napr. pracovného výkonu, ekonomickej situácie, záujmov, apod.).

Spoločnosť môže pri správe osobných údajov učiniť subjekt údajov predmetom automatizovaného rozhodnutia, pokiaľ je také rozhodnutie potrebné k uzatvoreniu alebo k plneniu zmluvy medzi subjektom údajov a Spoločnosťou, alebo pokiaľ je rozhodnutie povolené právnym predpisom Európskej únie alebo českého právneho poriadku súčasne vhodne zaisťujúcom ochranu práv a slobôd a oprávnených záujmov subjektu údajov, alebo pokiaľ subjekt údajov k takémuto rozhodnutiu dal výslovný súhlas.

8. Súvisiaca dokumentácia

Súvisiace právne predpisy (v znení neskorších predpisov):

9. Záverečné a prechodné ustanovenia

Záverečné ustanovenie

Tento dokument nadobúda platnosť dňom jeho schválenia (podpisom) a účinnosť dňom uvedeným vo schvaľovacej tabuľke.

Platnosť od 25. 5. 2018.

• Kontaktuje nás: aime@aime.sk
• Zavolejte nám: 02/33 00 68 92
• Adresa: Banská Bystrica, Na Troskách 14297/26, PSČ: 974 01