V zmysle čl. 12 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej ako „GDPR“) poskytnuté dotknutej osobe prevádzkovateľom: ALFYGEO Plus s.r.o., so sídlom: Senný trh 13, Komárno 945 01, Slovenská republika, IČO: 36554758 (ďalej len „prevádzkovateľ“)

V zmysle čl. 12 bod 1. GDPR je povinnosťou prevádzkovateľa, t. j. subjektu spracúvajúceho osobného údaje dotknutej osoby na konkrétne účely, prijať vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 GDPR a všetky oznámenia podľa článkov 15 až 22 a článku 34 GDPR, ktoré sa týkajú spracúvania jej osobných údajov, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu a to písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami.

Vzhľadom na uvedené týmto prevádzkovateľ poskytuje dotknutej osobe nasledovné poučenie:

Dotknutá osoba je v zmysle nariadenia GDPR osobou, u ktorej dochádza k spracovaniu jej

osobných údajov (môže tak ísť napr. o členov prevádzkovateľa, osoby účastné na akciách

organizovaných prevádzkovateľom, jeho zamestnancov a pod.). Nariadenie GDPR

vymedzuje súbor práv dotknutej osoby, prostredníctvom ktorých sa zaručuje ochrana

spracúvaných osobných údajov a ktorých praktickú realizáciu musí prevádzkovateľ

dotknutej osobe umožniť a súčasne byť pri ich uplatňovaný súčinný.

Medzi tieto práva patrí:

– právo na informácie a prístup k osobným údajom, ktoré znamená, že dotknutej

osobe musí byť pri získavaní osobných údajov vždy poskytnutý určitý okruh

informácií a údajov a taktiež jej musí byť poskytnutá možnosť na prístup k osobným

údajom na základe stanovených podmienok;

– dotknutá osoba má taktiež právo získať od prevádzkovateľa potvrdenie o tom, či

sa spracúvajú jej osobné údaje a s tým súvisiace informácie;

– právo na opravu a vymazanie, ktoré znamená, že dotknutá osoba má právo

požadovať opravu nesprávne uvedených osobných údajov a doplnenie neúplných

údajov a taktiež právo na vymazanie („na zabudnutie“), na základe ktorého sa

u prevádzkovateľa, za súčasného splnenia vymedzených podmienok (napr. odpadol

účel spracúvania, dôjde k odvolaniu súhlasu so spracúvaním), môže dožadovať

vymazania osobných údajov, ktoré sa jej týkajú;

– dotknutá osoba má rovnako právo za stanovených podmienok požadovať

obmedzenie spracúvania svojich osobných údajov;

– v súvislosti s opravou, vymazaním a obmedzením spracúvania osobných údajov má

dotknutá osoba právo na to, aby bola táto skutočnosť oznámená každému

príjemcovi, ktorému boli tieto údaje poskytnuté;

– dotknutá osoba má právo na prenosnosť osobných údajov, spočívajúce v tom, že

ak je to zo strany prevádzkovateľa možné, musia jej byť údaje poskytnuté

spôsobom umožňujúcim ich prenesenie inému prevádzkovateľovi (v štruktúrovanom,

bežne používanom a strojovo čitateľnom formáte), prípadne ak je to technicky

možné, má právo na to, aby takýto prenos uskutočnil sám prevádzkovateľ;

– dotknutá osoba má právo v prípadoch upravených čl. 6 ods. 1 písm. e) alebo f)

GDPR (t. j. v prípade spracúvania osobných údajov na úlohy plnené vo verejnom

záujme a pri výkone verejnej moci a na účely plnenia oprávnených záujmov, ktoré

sleduje prevádzkovateľ alebo tretia strana) kedykoľvek namietať voči spracúvaniu

osobných údajov;

– dotknutá osoba má právo namietať automatizované individuálne rozhodovanie,

vrátane profilovania (za predpokladu, ak takémuto rozhodovaniu dochádza),

ktoré spočíva v tom, že o záležitostiach dotknutej osoby je na základe poskytnutých

osobných údajov rozhodované automatizovane bez zásahu človeka;

– dotknutá osoba má právo namietať voči spracúvaniu údajov na účely priameho

marketingu;

– dotknutá osoba má tiež právo na to, aby bola v prípade porušenia ochrany

osobných údajov vedúcej k vysokému riziku pre jej práva, prevádzkovateľom

bez zbytočného odkladu o takomto porušení oboznámená, a to jasne a

jednoducho.

Vzhľadom na to, že vyššie uvedené vymedzenie je len stručným vymedzením práv

dotknutej osoby, prevádzkovateľ pre potreby dotknutej osoby nižšie v celosti uvádza GDPR

stanovený rozsah práv dotknutej osoby podľa článkov 15 až 22 a článku 34 GDPR.

Informácie a prístup k osobným údajom

1. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej

osoby

1. Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú,

prevádzkovateľ jej pri ich získavaní poskytne všetky nasledujúce informácie:

1. a) totožnosť, kontaktné údaje,
2. b) kontaktné údaje zodpovednej osoby, v prípade ak je ustanovená,
3. c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ

spracúvania,

1. d) ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy,

ktoré sleduje prevádzkovateľ alebo tretia strana,

1. e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
2. f) v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť

osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o

existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade

prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku

GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie,

alebo kde boli poskytnuté.

2. Okrem informácií uvedených v bode 1., prevádzkovateľ poskytne dotknutej osobe

pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie

spravodlivého a transparentného spracúvania:

1. a) doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej

určenie,

1. b) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom

týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo

obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na

prenosnosť údajov,

1. c) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods.

2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to

malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho

odvolaním,

1. d) právo podať sťažnosť dozornému orgánu,
2. e) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou

požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je

dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky

neposkytnutia takýchto údajov,

1. f) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku

22 ods. 1 a 4 GDPR a aspoň v týchto prípadoch zmysluplné informácie o použitom

postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre

dotknutú osobu.

3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten,

na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním

informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.

4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané

informácie.

1. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej

osoby.

1. V prípade, ak neboli informácie získané priamo od dotknutej osoby prevádzkovateľ

poskytne dotknutej osobe tieto informácie:

1. a) totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu

prevádzkovateľa,

1. b) kontaktné údaje prípadnej zodpovednej osoby,
2. c) účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ

spracúvania,

1. d) kategórie dotknutých osobných údajov,
2. e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
3. f) v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné

údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o

existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade

prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku

GDPR odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie,

alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe

tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného

spracúvania so zreteľom na dotknutú osobu:

1. a) doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej

určenie,

1. b) ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) GDPR, oprávnené záujmy,

ktoré sleduje prevádzkovateľ alebo tretia strana,

1. c) existencia práva požadovať od prevádzkovateľa prístup k osobným údajom

týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo

obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na

prenosnosť údajov,

1. d) ak je spracúvanie založené na článku 6 ods. 1 písm. a) GDPR alebo na článku 9 ods.

2 písm. a) GDPR, existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to

malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho

odvolaním,

1. e) právo podať sťažnosť dozornému orgánu,
2. f) z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje

pochádzajú z verejne prístupných zdrojov,

1. g) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku

22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom

postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre

dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:
4. a) v primeranej lehote po získaní osobných údajov, najneskôr však do jedného

mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje

spracúvajú,

1. b) ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v

čase prvej komunikácie s touto dotknutou osobou; alebo

1. c) ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr

vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten,

na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším

spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie

uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:
6. a) dotknutá osoba má už dané informácie
7. b) sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo

neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom

záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na

ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1 GDPR, alebo pokiaľ je

pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo

závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých

prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a

oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií

verejnosti

1. c) sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve

členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú

primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo,

1. d) v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti

zachovávania profesijného tajomstva upravenej právom Únie alebo právom

členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

III. Právo dotknutej osoby na prístup k údajom

1. Dotknutá osoba má právo na prístup k osobným údajom a získať od prevádzkovateľa

potvrdenie o tom, či sa spracúvajú jej osobné údaje ktoré sa jej týkajú, a ak tomu tak je,

má právo získať prístup k týmto osobným údajom a tieto informácie:

1. a) účely spracúvania,
2. b) kategórie dotknutých osobných údajov,
3. c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje

poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,

1. d) ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie

je možné, kritériá na jej určenie,

1. e) existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich

sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva

namietať proti takémuto spracúvaniu,

1. f) právo podať sťažnosť dozornému orgánu,
2. g) ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie,

pokiaľ ide o ich zdroj,

1. h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku

22 ods. 1 a 4 GDPR a v týchto prípadoch aspoň zmysluplné informácie o použitom

postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre

dotknutú osobu.

2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii,

dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46

týkajúcich sa prenosu.

3. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek

ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný

poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť

elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej

podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a

slobody iných.

Oprava a vymazanie

1. Právo na opravu
2. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil

nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má

dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom

poskytnutia doplnkového vyhlásenia.

1. Právo na vymazanie (právo „na zabudnutie“)

1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu

vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez

zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

1. a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak

spracúvali,

1. b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak

neexistuje iný právny základ pre spracúvanie,

1. c) dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 1 GDPR a neprevažujú

žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči

spracúvaniu podľa čl. 21 ods. 2 GDPR,

1. d) osobné údaje sa spracúvali nezákonne,
2. e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva

Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha,

1. f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti

adresovanou dieťaťu podľa čl. 8 ods. 1 GDPR.

2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať

osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení

podnikne primerané opatrenia vrátane technických opatrení, aby informoval

prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich

žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

1. a) na uplatnenie práva na slobodu prejavu a na informácie
2. b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie

alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie

úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej

prevádzkovateľovi

1. c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2

písm. h) a i) GDPR, ako aj článkom 9 ods. 3 GDPR

1. d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického

výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR, pokiaľ je

pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom

sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

1. e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

1. Právo na obmedzenie spracúvania

1. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných

údajov, pokiaľ ide o jeden z týchto prípadov:

1. a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia

umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov

1. b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných

údajov a žiada namiesto toho obmedzenie ich použitia

1. c) prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje

ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych

nárokov

1. d) dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1 GDPR, a to až do

overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad

oprávnenými dôvodmi dotknutej osoby

2. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou

uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie,

uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej

alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo

členského štátu.

3. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1,

prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

VII. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov

alebo obmedzením spracúvania

1. Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté,

každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania

uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18 GDPR, pokiaľ sa to neukáže ako

nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch

informuje dotknutú osobu, ak to dotknutá osoba požaduje.

VIII. Právo na prenosnosť údajov

1. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla

prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a

má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej

prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

1. a) sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) GDPR alebo článku

9 ods. 2 písm. a) GDPR, alebo na zmluve podľa článku 6 ods. 1 písm. b) GDPR, a

1. b) ak sa spracúvanie vykonáva automatizovanými prostriedkami

2. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku

1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému

prevádzkovateľovi, pokiaľ je to technicky možné.

3. Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17

GDR. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy

realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej

prevádzkovateľovi.

4. Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody

iných.

Právo namietať a automatizované individuálne rozhodovanie

1. Právo namietať
2. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej

konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je

vykonávané na základe článku 6 ods. 1 písm. e) alebo f) GDPR vrátane namietania proti

profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej

spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie,

ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na

preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má

právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely

takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym

marketingom.

3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné

údaje sa už na také účely nesmú spracúvať.

4. Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr

pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od

akýchkoľvek iných informácií.

5. V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu

2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými

prostriedkami s použitím technických špecifikácií.

6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na

štatistické účely podľa článku 89 ods. 1 GDPR, dotknutá osoba má právo namietať z

dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa

jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov

verejného záujmu.

1. Automatizované individuálne rozhodovanie vrátane profilovania

1. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je

založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne

účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:
3. a) nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou

a prevádzkovateľom

1. b) povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ

podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu

práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

1. c) založené na výslovnom súhlase dotknutej osoby.

3. V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné

opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň

práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva

napadnúť rozhodnutie.

4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných

údajov uvedených v článku 9 ods. 1 GDPR, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a)

alebo g) GDPR a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a

oprávnených záujmov dotknutej osoby.

1. Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k

vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného

odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2. Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a

jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň

informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d) GDPR.

3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená

ktorákoľvek z týchto podmienok:

1. a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto

opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov

týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre

všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie,

1. b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko

pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude

mať dôsledky,

1. c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k

informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že

dotknuté osoby budú informované rovnako efektívnym spôsobom.

4. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej

osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných

údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že

je splnená niektorá z podmienok uvedených v odseku 3.

XII. Osobitné ustanovenia

1. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby. V prípadoch ak

prevádzkovateľ nie je schopný identifikovať dotknutú osobu v prípadoch uvedených v

článku 11 ods. 2 GDPR, nemôže prevádzkovateľ odmietnuť konať na základe žiadosti

dotknutej osoby pri výkone jej práv, pokiaľ nepreukáže, že dotknutú osobu nie je schopný

identifikovať.

2. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali

na základe jej žiadosti, bez zbytočného odkladu a v každom prípade do jedného mesiaca

od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva

mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ

informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia

žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť

elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými

prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

3. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby,

bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú

osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť

súdny prostriedok nápravy.

4. Informácie poskytnuté dotknutej osobe a všetky oznámenia a všetky prijaté

opatrenia sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené

alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

1. a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie

informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia,

1. b) alebo odmietnuť konať na základe žiadosti.

5. Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej

osoby, ktorá podáva žiadosť, môže požiadať o poskytnutie dodatočných informácií

potrebných na potvrdenie totožnosti dotknutej osoby