POUČENIE DOTKNUTEJ OSOBY
V zmysle čl. 12 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej ako „GDPR“) poskytnuté dotknutej osobe prevádzkovateľom: ALFYGEO Plus s.r.o., so sídlom: Senný trh 13, Komárno 945 01, Slovenská republika, IČO: 36554758 (ďalej len „prevádzkovateľ“)
V zmysle čl. 12 bod 1. GDPR je povinnosťou prevádzkovateľa, t. j. subjektu spracúvajúceho osobného údaje dotknutej osoby na konkrétne účely, prijať vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 GDPR a všetky oznámenia podľa článkov 15 až 22 a článku 34 GDPR, ktoré sa týkajú spracúvania jej osobných údajov, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu a to písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami.
Vzhľadom na uvedené týmto prevádzkovateľ poskytuje dotknutej osobe nasledovné poučenie:
Dotknutá osoba je v zmysle nariadenia GDPR osobou, u ktorej dochádza k spracovaniu jej
osobných údajov (môže tak ísť napr. o členov prevádzkovateľa, osoby účastné na akciách
organizovaných prevádzkovateľom, jeho zamestnancov a pod.). Nariadenie GDPR
vymedzuje súbor práv dotknutej osoby, prostredníctvom ktorých sa zaručuje ochrana
spracúvaných osobných údajov a ktorých praktickú realizáciu musí prevádzkovateľ
dotknutej osobe umožniť a súčasne byť pri ich uplatňovaný súčinný.
Medzi tieto práva patrí:
– právo na informácie a prístup k osobným údajom, ktoré znamená, že dotknutej
osobe musí byť pri získavaní osobných údajov vždy poskytnutý určitý okruh
informácií a údajov a taktiež jej musí byť poskytnutá možnosť na prístup k osobným
údajom na základe stanovených podmienok;
– dotknutá osoba má taktiež právo získať od prevádzkovateľa potvrdenie o tom, či
sa spracúvajú jej osobné údaje a s tým súvisiace informácie;
– právo na opravu a vymazanie, ktoré znamená, že dotknutá osoba má právo
požadovať opravu nesprávne uvedených osobných údajov a doplnenie neúplných
údajov a taktiež právo na vymazanie („na zabudnutie“), na základe ktorého sa
u prevádzkovateľa, za súčasného splnenia vymedzených podmienok (napr. odpadol
účel spracúvania, dôjde k odvolaniu súhlasu so spracúvaním), môže dožadovať
vymazania osobných údajov, ktoré sa jej týkajú;
– dotknutá osoba má rovnako právo za stanovených podmienok požadovať
obmedzenie spracúvania svojich osobných údajov;
– v súvislosti s opravou, vymazaním a obmedzením spracúvania osobných údajov má
dotknutá osoba právo na to, aby bola táto skutočnosť oznámená každému
príjemcovi, ktorému boli tieto údaje poskytnuté;
– dotknutá osoba má právo na prenosnosť osobných údajov, spočívajúce v tom, že
ak je to zo strany prevádzkovateľa možné, musia jej byť údaje poskytnuté
spôsobom umožňujúcim ich prenesenie inému prevádzkovateľovi (v štruktúrovanom,
bežne používanom a strojovo čitateľnom formáte), prípadne ak je to technicky
možné, má právo na to, aby takýto prenos uskutočnil sám prevádzkovateľ;
– dotknutá osoba má právo v prípadoch upravených čl. 6 ods. 1 písm. e) alebo f)
GDPR (t. j. v prípade spracúvania osobných údajov na úlohy plnené vo verejnom
záujme a pri výkone verejnej moci a na účely plnenia oprávnených záujmov, ktoré
sleduje prevádzkovateľ alebo tretia strana) kedykoľvek namietať voči spracúvaniu
osobných údajov;
– dotknutá osoba má právo namietať automatizované individuálne rozhodovanie,
vrátane profilovania (za predpokladu, ak takémuto rozhodovaniu dochádza),
ktoré spočíva v tom, že o záležitostiach dotknutej osoby je na základe poskytnutých
osobných údajov rozhodované automatizovane bez zásahu človeka;
– dotknutá osoba má právo namietať voči spracúvaniu údajov na účely priameho
marketingu;
– dotknutá osoba má tiež právo na to, aby bola v prípade porušenia ochrany
osobných údajov vedúcej k vysokému riziku pre jej práva, prevádzkovateľom
bez zbytočného odkladu o takomto porušení oboznámená, a to jasne a
jednoducho.
Vzhľadom na to, že vyššie uvedené vymedzenie je len stručným vymedzením práv
dotknutej osoby, prevádzkovateľ pre potreby dotknutej osoby nižšie v celosti uvádza GDPR
stanovený rozsah práv dotknutej osoby podľa článkov 15 až 22 a článku 34 GDPR.
Informácie a prístup k osobným údajom
- Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej
osoby
- Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú,
prevádzkovateľ jej pri ich získavaní poskytne všetky nasledujúce informácie:
- a) totožnosť, kontaktné údaje,
- b) kontaktné údaje zodpovednej osoby, v prípade ak je ustanovená,
- c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ
spracúvania,
- d) ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy,
ktoré sleduje prevádzkovateľ alebo tretia strana,
- e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
- f) v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť
osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o
existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade
prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku
GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie,
alebo kde boli poskytnuté.
- Okrem informácií uvedených v bode 1., prevádzkovateľ poskytne dotknutej osobe
pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie
spravodlivého a transparentného spracúvania:
- a) doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej
určenie,
- b) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom
týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo
obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na
prenosnosť údajov,
- c) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods.
2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to
malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho
odvolaním,
- d) právo podať sťažnosť dozornému orgánu,
- e) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou
požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je
dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky
neposkytnutia takýchto údajov,
- f) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku
22 ods. 1 a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom
postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre
dotknutú osobu.
- Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten,
na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním
informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.
- Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané
informácie.
- Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej
osoby.
- V prípade, ak neboli informácie získané priamo od dotknutej osoby prevádzkovateľ
poskytne dotknutej osobe tieto informácie:
- a) totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu
prevádzkovateľa,
- b) kontaktné údaje prípadnej zodpovednej osoby,
- c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ
spracúvania,
- d) kategórie dotknutých osobných údajov,
- e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
- f) v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné
údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o
existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade
prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku
GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie,
alebo kde boli poskytnuté.
- Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe
tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného
spracúvania so zreteľom na dotknutú osobu:
- a) doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej
určenie,
- b) ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy,
ktoré sleduje prevádzkovateľ alebo tretia strana,
- c) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom
týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo
obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na
prenosnosť údajov,
- d) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods.
2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to
malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho
odvolaním,
- e) právo podať sťažnosť dozornému orgánu,
- f) z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje
pochádzajú z verejne prístupných zdrojov,
- g) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku
22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom
postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre
dotknutú osobu.
- Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:
- a) v primeranej lehote po získaní osobných údajov, najneskôr však do jedného
mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje
spracúvajú,
- b) ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v
čase prvej komunikácie s touto dotknutou osobou; alebo
- c) ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr
vtedy, keď sa osobné údaje prvýkrát poskytnú.
- Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten,
na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším
spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie
uvedené v odseku 2.
- Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:
- a) dotknutá osoba má už dané informácie
- b) sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo
neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom
záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na
ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1 GDPR, alebo pokiaľ je
pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo
závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých
prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a
oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií
verejnosti
- c) sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve
členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú
primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo,
- d) v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti
zachovávania profesijného tajomstva upravenej právom Únie alebo právom
členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.
III. Právo dotknutej osoby na prístup k údajom
- Dotknutá osoba má právo na prístup k osobným údajom a získať od prevádzkovateľa
potvrdenie o tom, či sa spracúvajú jej osobné údaje ktoré sa jej týkajú, a ak tomu tak je,
má právo získať prístup k týmto osobným údajom a tieto informácie:
- a) účely spracúvania,
- b) kategórie dotknutých osobných údajov,
- c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje
poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,
- d) ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie
je možné, kritériá na jej určenie,
- e) existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich
sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva
namietať proti takémuto spracúvaniu,
- f) právo podať sťažnosť dozornému orgánu,
- g) ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie,
pokiaľ ide o ich zdroj,
- h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku
22 ods. 1 a 4 GDPR a v týchto prípadoch aspoň zmysluplné informácie o použitom
postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre
dotknutú osobu.
- Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii,
dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46
týkajúcich sa prenosu.
- Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek
ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný
poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť
elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej
podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
- Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a
slobody iných.
Oprava a vymazanie
- Právo na opravu
- Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil
nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má
dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom
poskytnutia doplnkového vyhlásenia.
- Právo na vymazanie (právo „na zabudnutie“)
- Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu
vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez
zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
- a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak
spracúvali,
- b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak
neexistuje iný právny základ pre spracúvanie,
- c) dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 1 GDPR a neprevažujú
žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči
spracúvaniu podľa čl. 21 ods. 2 GDPR,
- d) osobné údaje sa spracúvali nezákonne,
- e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva
Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha,
- f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti
adresovanou dieťaťu podľa čl. 8 ods. 1 GDPR.
- Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať
osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení
podnikne primerané opatrenia vrátane technických opatrení, aby informoval
prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich
žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.
- Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:
- a) na uplatnenie práva na slobodu prejavu a na informácie
- b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie
alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie
úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej
prevádzkovateľovi
- c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2
písm. h) a i) GDPR, ako aj článkom 9 ods. 3 GDPR
- d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického
výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR, pokiaľ je
pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom
sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
- e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
- Právo na obmedzenie spracúvania
- Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných
údajov, pokiaľ ide o jeden z týchto prípadov:
- a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia
umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov
- b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných
údajov a žiada namiesto toho obmedzenie ich použitia
- c) prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje
ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych
nárokov
- d) dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1 GDPR, a to až do
overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad
oprávnenými dôvodmi dotknutej osoby
- Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou
uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie,
uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej
alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo
členského štátu.
- Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1,
prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.
VII. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov
alebo obmedzením spracúvania
- Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté,
každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania
uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18 GDPR, pokiaľ sa to neukáže ako
nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch
informuje dotknutú osobu, ak to dotknutá osoba požaduje.
VIII. Právo na prenosnosť údajov
- Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla
prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a
má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej
prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:
- a) sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) GDPR alebo článku
9 ods. 2 písm. a) GDPR, alebo na zmluve podľa článku 6 ods. 1 písm. b) GDPR, a
- b) ak sa spracúvanie vykonáva automatizovanými prostriedkami
- Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku
1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému
prevádzkovateľovi, pokiaľ je to technicky možné.
- Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17
GDR. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy
realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej
prevádzkovateľovi.
- Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody
iných.
Právo namietať a automatizované individuálne rozhodovanie
- Právo namietať
- Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej
konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je
vykonávané na základe článku 6 ods. 1 písm. e) alebo f) GDPR vrátane namietania proti
profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej
spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie,
ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na
preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
- Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má
právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely
takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym
marketingom.
- Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné
údaje sa už na také účely nesmú spracúvať.
- Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr
pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od
akýchkoľvek iných informácií.
- V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu
2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými
prostriedkami s použitím technických špecifikácií.
- Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na
štatistické účely podľa článku 89 ods. 1 GDPR, dotknutá osoba má právo namietať z
dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa
jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov
verejného záujmu.
- Automatizované individuálne rozhodovanie vrátane profilovania
- Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je
založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne
účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
- Odsek 1 sa neuplatňuje, ak je rozhodnutie:
- a) nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou
a prevádzkovateľom
- b) povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ
podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu
práv a slobôd a oprávnených záujmov dotknutej osoby, alebo
- c) založené na výslovnom súhlase dotknutej osoby.
- V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné
opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň
práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva
napadnúť rozhodnutie.
- Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných
údajov uvedených v článku 9 ods. 1 GDPR, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a)
alebo g) GDPR a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a
oprávnených záujmov dotknutej osoby.
- Oznámenie porušenia ochrany osobných údajov dotknutej osobe
- V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k
vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného
odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.
- Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a
jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň
informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d) GDPR.
- Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená
ktorákoľvek z týchto podmienok:
- a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto
opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov
týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre
všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie,
- b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko
pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude
mať dôsledky,
- c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k
informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že
dotknuté osoby budú informované rovnako efektívnym spôsobom.
- Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej
osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných
údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že
je splnená niektorá z podmienok uvedených v odseku 3.
XII. Osobitné ustanovenia
- Prevádzkovateľ uľahčuje výkon práv dotknutej osoby. V prípadoch ak
prevádzkovateľ nie je schopný identifikovať dotknutú osobu v prípadoch uvedených v
článku 11 ods. 2 GDPR, nemôže prevádzkovateľ odmietnuť konať na základe žiadosti
dotknutej osoby pri výkone jej práv, pokiaľ nepreukáže, že dotknutú osobu nie je schopný
identifikovať.
- Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali
na základe jej žiadosti, bez zbytočného odkladu a v každom prípade do jedného mesiaca
od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva
mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ
informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia
žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť
elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými
prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
- Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby,
bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú
osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť
súdny prostriedok nápravy.
- Informácie poskytnuté dotknutej osobe a všetky oznámenia a všetky prijaté
opatrenia sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené
alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:
- a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie
informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia,
- b) alebo odmietnuť konať na základe žiadosti.
- Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej
osoby, ktorá podáva žiadosť, môže požiadať o poskytnutie dodatočných informácií
potrebných na potvrdenie totožnosti dotknutej osoby