Reklamácie a servis
Dokumenty na stiahnutie: Príloha 9 - Smernica k informačnému systému reklamácie a servis
Príloha 12B - Podmienky spracúvania osobných údajov
INTERNÁ SMERNICA K INFORMAČNÉMU SYSTÉMU
REKLAMÁCIE a SERVIS
A
ODPORÚČANIA KROKOV NA ZABEZPEČENIE
SÚLADU S NOVOU PRÁVNOU ÚPRAVOU
OCHRANY OSOBNÝCH ÚDAJOV
PRE
PREVÁDZKOVATEĽA
JR Tronic s.r.o.
Interná smernica je spracovaná podľa príslušných právnych predpisov v oblasti spracovania osobných údajov. Zistenia a závery tejto analýzy vychádzajú z jednotlivých požiadaviek zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ako aj nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov).
1. ÚVOD 3
2. OPATRENIA NAVRHOVANÉ PRE INFORMAČNÝ SYSTÉM REKLAMÁCIE a SERVIS 4
2.1 Zabezpečenie osobných údajov v rámci IS a postupy 4
2.2 Poverené osoby v IS REKLAMÁCIE a SERVIS 5
3. Práva dotknutej osoby 5
4. Zásady spracovania osobných údajov 5
5. PODROBNÝ POPIS SÚČASNÉHO STAVU INFORMAČNÉHO SYSTÉMU, SÚVISIACICH ZÁKONNÝCH POŽIADAVIEK A NÁVRHOV RIEŠENÍ 10
5.1 Analýza Informačného systému REKLAMÁCIE a SERVIS 10
5.1.1 Okruh osobných údajov 10
5.1.2 Účel a právny základ spracovania osobných údajov 10
5.1.3 Okruh dotknutých osôb 11
5.1.4 Doba spracúvania osobných údajov 12
5.1.5 Proces spracúvania osobných údajov 12
5.1.6 Cezhraničný prenos osobných údajov 13
5.1.7 Okruh príjemcov / osôb majúcich prístup k osobným údajom 13
5.1.8 Sprostredkovatelia Prevádzkovateľa 13
1. ÚVOD
Prevádzkovateľ JR Tronic s.r.o., Domovina 181/8, 951 44 Výčapy-Opatovce, Slovenská republika, IČO: 44688326, zapísaný Obchodnom registri Okresného súdu Nitra, oddiel: Sro, vložka č.: 24232/N (ďalej len „Prevádzkovateľ").
Podľa príslušných právnych predpisov by Prevádzkovateľ mal byť najneskôr od 25.05.2018 pripravený na zmenu pravidiel v oblasti spracovania osobných údajov (ďalej skrátene aj „OÚ"), ku ktorému nepochybne dochádza pri činnosti Prevádzkovateľa. Zistenia a závery tejto analýzy vychádzajú z jednotlivých požiadaviek zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ochrane osobných údajov"), ako aj nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) (ďalej len „GDPR").
Nižšie uvedený text bližšie popisuje, informačný systém Reklamácie a Servis a analyzuje procesy v ňom ako aj spracovateľské operácie s osobnými údajmi. Táto smernica slúži ako návod pre Prevádzkovateľa ako s jednotlivými osobnými údajmi pracovať, kto má povolený prístup k údajom a aké operácie s osobnými údajmi môžu vykonávať.
2. OPATRENIA NAVRHOVANÉ PRE INFORMAČNÝ SYSTÉM REKLAMÁCIE a SERVIS
1. Pri spracúvaní osobných údajov v internom systéme, je nevyhnutné vykonať technické zabezpečenie proti neoprávnenému vstupu. Zabezpečenie pomocou prihlasovacieho mena a hesla, zabezpečenie obrazovky a stanice heslom v neprítomnosti oprávnenej osoby. V prípade prístupu tretej strany zabezpečiť tento obchodný vzťah sprostredkovateľskou zmluvou.
2. Prístup k osobný údajom v rámci Informačného systému môžu mať len oprávnené a riadne poučené osoby.
3. Oboznámiť dotknuté osoby s ich právami a povinnosťami pri spracúvaní osobných údajov.
4. Poučiť zamestnancov, ktorí majú prístup k osobným údajom v tomto informačnom systéme a vyhotoviť o tom písomný záznam – tzv. „Záznam o poverení oprávnenej osoby".
5. Tlačové výstupy z Informačného systému, ktoré obsahujú osobné údaje sa musia ukladať na zabezpečené miesto s povoleným prístupom len oprávnených osôb. Po skončení lehoty uloženia je oprávnená osoba povinná tlačové výstupy skartovať a vyhotoviť záznam o skartácii alebo inej forme likvidácie.
6. Vykonávať zálohovanie na dennej báze na archívne médiá Prevádzkovateľa. Zálohovanie môžu vykonávať len oprávnené osoby.
2.1 Zabezpečenie osobných údajov v rámci IS a postupy
Osobné údaje v rámci IS sú spracovávane v tlačovej forme a elektronickej podobe. Osobné údaje sú získavané priamo od dotknutých osôb.
S ohľadom na v.u. odporúčame nasledovné:
1. Pri spracúvaní osobných údajov v elektronickom systéme je nevyhnutné vykonať technické zabezpečenie proti neoprávnenému vstupu. Zabezpečenie pomocou prihlasovacieho mena a hesla, zabezpečenie obrazovky a stanice heslom v neprítomnosti oprávnenej osoby. V prípade prístupu tretej strany zabezpečiť tento obchodný vzťah sprostredkovateľskou zmluvou.
2. Prístup k osobným údajom v rámci IS môžu mať len oprávnené a riadne poverené osoby.
3. Tlačové výstupy z tohto IS, ktoré obsahujú osobné údaje sa musia ukladať
na zabezpečené miesto s povoleným prístupom len oprávnených osôb. Po skončení lehoty uloženia je oprávnená osoba povinná OÚ skartovať a vyhotoviť záznam o skartácii alebo inej forme likvidácie.
2.2 Poverené osoby v IS REKLAMÁCIE a SERVIS
Poverenou osobou môže byť iba tá osoba, ktorá je riadne poučená ako správne pracovať s osobnými údajmi v rámci IS a je riadne a preukázateľne poverená.
Oprávnené osoby sú povinné zachovávať mlčanlivosť o všetkých skutočnostiach, o ktorých sa pri práci s IS dozvie.
Prístup k údajom z tohto IS majú oprávnené osoby. Všetky oprávnené osoby v tomto IS sú zaznamenané v poverení oprávnených osôb.
3. Práva dotknutej osoby
V zmysle všeobecne záväzných právnych predpisov má dotknutá osoba:
i. právo odvolať súhlas so spracovaním osobných údajov,
ii. právo na prístup k svojim osobným údajom,
iii. právo na opravu nesprávnych osobných údajov,
iv. právo na obmedzenie (blokovanie) spracúvania osobných údajov,
v. právo namietať spracúvanie svojich osobných údajov spracúvaných na účely priameho marketingu,
vi. právo na výmaz osobných údajov, najmä vtedy, ak už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali alebo ak dotknutá osoba odvolala svoj súhlas na ich spracúvanie a ak neexistuje iný právny základ pre spracúvanie, prípadne ak sa osobné údaje spracúvali nezákonne,
vii. právo na prenosnosť údajov, t.j. právo získať svoje osobné údaje, ktoré nám dobrovoľne poskytla v elektronickej forme na základe súhlasu, a to
v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a v tejto súvislosti môže žiadať právo na prenos týchto údajov k druhému prevádzkovateľovi, pokiaľ bude takýto prenos technický možný (právo na prenosnosť údajov),
viii. právo podať sťažnosť dozornému orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, so sídlom Hraničná 12, 820 07 Bratislava, pri podozrení, že sa osobné údaje dotknutej osoby spracúvajú v rozpore s platnou legislatívou.
V prípade podania námietky na spracúvanie osobných údajov má dotknutá osoba právo podať podnet alebo žiadosť písomne na adresu JR Tronic s.r.o., Výčapy-Opatovce 295, 951 44 Výčapy-Opatovce, alebo na e-mail: zakaznicke.centrum@jr-tronic.sk.
4. Zásady spracovania osobných údajov
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje
za nezlučiteľné s pôvodným účelom.
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne
z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie,
na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
Zákonnosť spracúvania
(1) Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň
na jeden konkrétny účel,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej
vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje
na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.
(2) Právny základ na spracúvanie osobných údajov podľa čl. 6 ods. 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.
(3) Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné
s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť
a) akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
b) okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa čl. 9 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa čl. 10,
d) možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu, a
e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.
Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(1) Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas
so spracúvaním svojich osobných údajov.
(2) Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
(3) Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
(4) Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
(1) Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.
(2) Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
Spracúvanie osobitných kategórií osobných údajov
(1) Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
(2) Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak:
a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
b) spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
c) spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f) spracúvanie je nevyhnutné na uplatnenie právneho nároku, alebo pri výkone súdnej právomoci,
g) spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia
na zabezpečenie základných práv a záujmov dotknutej osoby,
h) spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
i) spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a
v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j) spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,
k) spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku
Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny
za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.
Spracúvanie osobných údajov bez potreby identifikácie
(1) Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
(2) Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa čl. 15 až 20 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.
5. PODROBNÝ POPIS SÚČASNÉHO STAVU INFORMAČNÉHO SYSTÉMU, SÚVISIACICH ZÁKONNÝCH POŽIADAVIEK A NÁVRHOV RIEŠENÍ
V tejto kapitole nájdete konkrétne legislatívne požiadavky viažuce sa k aktivitám, ktoré Prevádzkovateľ už vykonáva, prípadne k aktivitám a procesom, ktoré by Prevádzkovateľ mal vykonávať, aby bola jeho činnosť v súlade s príslušnou legislatívou.
Je potrebné vziať na vedomie, že opatrenia alebo kroky odporúčané v tejto analýze majú za cieľ splniť najdôležitejšie zákonné požiadavky viažuce sa na nám známe aktivity Prevádzkovateľa, pričom Prevádzkovateľ a osoby konajúce v jeho mene, sú povinné riadiť sa a dodržiavať všetky ustanovenia Zákona o ochrane osobných údajov a nariadenia GDPR.
5.1 Analýza Informačného systému REKLAMÁCIE a SERVIS
Prevádzkovateľ v informačnom systéme spracúva osobné údaje dotknutých osôb v súvislosti s evidenciou a vybavovaním reklamácií.
5.1.1 Okruh osobných údajov
Okruh osobných údajov:
Prevádzkovateľ v tomto IS spracúva osobné údaje v rozsahu:
• meno, priezvisko, adresa, e-mailová adresa, telefonický kontakt, ďalšie údaje nevyhnutné na vybavenie reklamácie (údaje k reklamovanému tovaru/službe)
Legislatívne požiadavky:
• čl. 5 ods. 1 písm. c) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (zásada minimalizácie osobných údajov),
• Zákon č. 250/2007 Z.z. o ochrane spotrebiteľa a o zmene zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov
Odporúčané kroky:
• Zabezpečiť, aby Prevádzkovateľ v tomto informačnom systéme získaval a spracovával len osobné údaje v rozsahu nevyhnutnom pre dosiahnutie účelu. Údaje, ktoré sú nad tento rámec je prevádzkovateľ povinný zlikvidovať.
5.1.2 Účel a právny základ spracovania osobných údajov
Účel spracovania osobných údajov:
• Evidencia a vybavenie reklamácií/žiadostí o servisný úkon
Legislatívne požiadavky:
• čl. 5 ods. 1 písm. b) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (zásada obmedzenia účelu).
Právny základ:
• čl. 6 ods. 1 písm. b) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, vrátane predzmluvných vzťahov)
• čl. 6 ods. 1 písm. c) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (spracúvanie je nevyhnutné na splnenie povinnosti prevádzkovateľa podľa osobitných právnych predpisov).
Odporúčané kroky:
• Zabezpečiť, aby sa osobné údaje v tomto informačnom systéme spracovávali len na vyššie uvedený účel a spôsobom, ktorý je v súlade s týmto účelom, to napríklad znamená, že Prevádzkovateľ alebo oprávnené osoby nemôžu poskytnúť osobné údaje z tohto systému inej spoločnosti za účelom priameho marketingu.
5.1.3 Okruh dotknutých osôb
Okruh dotknutých osôb:
• Klient/zákazník, obchodný partner/osoba oprávnená konať v mene obchodného partnera
Legislatívne požiadavky:
• čl. 4 ods. 1) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (definícia dotknutej osoby),
• kap. III Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (práva dotknutej osoby).
Odporúčané kroky:
• Informovať dotknuté osoby o právach a povinnostiach pri spracúvaní osobných údajov prostredníctvom umiestnenia formulácie na webové sídlo e-shopu v sekcii Reklamačný formulár pod znenie formuláru s prepojením na Prílohu č. 12B „Podmienky spracovania osobných údajov E-shop jr-tronic.inteo.sk" nasledovne:
„Vaše osobné údaje budú spracúvané za účelom vybavenia reklamácie, evidencie reklamácie prípadne za účelom sprostredkovania a realizácie servisu na základe vašej požiadavky.
Na základe nášho oprávneného záujmu si niektoré z nich uložíme na dobu nevyhnutnú pre prípad vznesenia akýchkoľvek právnych nárokov. Proti takémuto spracovaniu údajov môžete kedykoľvek podať námietku.
Bližšie informácie o spracúvaní osobných údajov sú dostupné na Podmienky spracovania osobných údajov.
5.1.4 Doba spracúvania osobných údajov
Doba spracúvania osobných údajov:
• Do ukončenia reklamačného konania, následne po dobu 5 rokov
Legislatívne požiadavky:
• čl. 5 ods. 1 písm. e) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (zásada minimalizácie uchovávania OÚ).
• zákon č. 395/2002 Z. z. o archívoch a registratúrach.
Odporúčané kroky:
• Implementovať smernicu, ktorej návrh tvorí Prílohu 1 a zabezpečiť uchovávanie a likvidáciu osobných údajov v súlade s touto smernicou.
5.1.5 Proces spracúvania osobných údajov
Legislatívne požiadavky:
• kap. III Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (práva dotknutej osoby),
• kap. IV Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (práva a povinnosti prevádzkovateľa).
• čl. 5 ods. 1 písm. f) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (zásada integrity a dôvernosti),
• čl. 32 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (bezpečnosť osobných údajov).
Odporúčané kroky:
• Poučiť zamestnancov, ktorí majú prístup k osobným údajom a spracovávajú osobné údaje (oprávnené osoby) a spísať o tom záznam (vzorový dokument je obsahom Prílohy č. 3 „Záznam o poverení oprávnených osôb- zamestnanci").
• Pre osobné údaje spracovávané v tomto informačnom systéme v papierovej podobe odporúčame zabezpečiť uchovávanie všetkých dokumentov v uzamykateľnej skrini, resp. tak, aby k nim nemali prístup iné osoby ako oprávnené (netýka sa to len zamestnancov, ale aj iných osôb, napr. upratovací servis, údržba a pod.), a zároveň aby tieto dokumenty boli zabezpečené pred stratou neoprávneným poskytnutím, poškodením, náhodným alebo nezákonným zničením.
• V súlade so zásadou integrity a dôvernosti osobných údajov v súlade s ustanovením
čl. 5 ods. 1 písm. f) Nariadenia je potrebné zaistiť primeranú bezpečnosť osobných údajov, teda ochranu pred neoprávneným a nezákonným spracúvaním, náhodnou stratou, výmazom alebo poškodením osobných údajov, a to aj prostredníctvom vhodných antivírusových softvérov, heslovaním zariadení a dokumentov, šifrovaním a podobne. Odporúčame zmenu hesiel v elektronických zariadeniach v pravidelných intervaloch najmenej raz za tri mesiace.
5.1.6 Cezhraničný prenos osobných údajov
Cezhraničný prenos osobných údajov:
• Cezhraničný prenos mimo EÚ sa nevykonáva.
Legislatívne požiadavky:
• čl. 44 a čl. 45 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679.
Odporúčané kroky:
• Žiadne, nakoľko k prenosu nedochádza.
5.1.7 Okruh príjemcov / osôb majúcich prístup k osobným údajom
• Subjekty, ktorým je prevádzkovateľ povinný poskytnúť údaje zo zákona
Legislatívne požiadavky:
• najmä kap. IV Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (práva a povinnosti prevádzkovateľa).
Odporúčané kroky:
• Poveriť zamestnancov, ktorí majú prístup k osobným údajom a spracovávajú osobné údaje (oprávnené osoby) a spísať o tom záznam (vzorový dokument je obsahom Prílohy 3 „Záznam o poverení oprávnených osôb- zamestnanci").
5.1.8 Sprostredkovatelia Prevádzkovateľa
Na základe poskytnutých informácií nebol identifikovaný subjekt v postavení sprostredkovateľa.
Legislatívne požiadavky:
• kap. IV čl. 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (postavenie sprostredkovateľa),
• kap. IV Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (práva a povinnosti sprostredkovateľa a povinnosti).
Odporúčané kroky:
• Pri odovzdávaní OÚ v tlačenej forme spísať vždy preberací protokol. Pri odovzdávaní alebo posielaní OÚ v elektronickej forme používať heslovanie dokumentu alebo šifrovanie.
• Zabezpečiť podpis Zmluvy o spracúvaní osobných údajov medzi Prevádzkovateľom a všetkými budúcimi sprostredkovateľmi a dbať na ich dodržiavaní.