GDPR

METALSKOBA, s.r.o., so sídlom Kamenná 91, 010 01 Žilina, IČO: 52 120 490, DIČ: 2120919449, zapísaný v Obchodnom registri Okresného súdu Žilina, Oddiel Sro. Vložka 71529/L (ďalej len „Spoločnosť“)

Spoločnosť podľa Nariadenia Európskeho Parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR") a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon o OÚ") zastáva pozíciu samostatného prevádzkovateľa osobných údajov.

Samostatné určovanie účelov spracúvania: 

Spoločnosť nezávisle stanovuje ciele, pre ktoré osobné údaje získava, definuje metódy ich spracovania a nesie plnú zodpovednosť za ich správne uplatňovanie v súlade s platnou legislatívou.

Implementované ochranné mechanizmy: 

V súlade s článkom 24 GDPR a § 31 zákona o OÚ boli zavedené komplexné technické, organizačné, personálne a bezpečnostné opatrenia, ktoré reflektujú:

• Transparentnosť a zákonnosť - zabezpečenie prehľadného a legitímneho spracovania údajov;
• Účelové obmedzenie - spracúvanie len pre jasně definované a oprávnené účely;
• Údajovú minimalizáciu - získavanie len nevyhnutných informácií;
• Presnosť údajov - udržiavanie aktuálnych a správnych informácií;
• Časové obmedzenie - rešpektovanie princípov doby uchovávania;
• Bezpečnostné záruky - technická a organizačná ochrana proti neoprávnenému prístupu;
• Zodpovednosť - preukázateľné dodržiavanie všetkých požiadaviek GDPR.

Organizačné zabezpečenie zahŕňa:

• Vytvorenie systému okamžitej detekcie bezpečnostných porušení
• Ustanovenie postupov pre komunikáciu s dozornými orgánmi
• Školenie a autorizácia oprávnených osôb
• Mechanizmy pre realizáciu práv dotknutých osôb
• Protokoly pre nápravu nesprávnych údajov
• Hodnotenie a minimalizácia rizík
• Systémy zálohovania a obnovy dát

Sprostredkovateľské vzťahy: 

V určitých situáciách môže spoločnosť využívať služby externých sprostredkovateľov na spracovanie osobných údajov v súlade s článkom 28 GDPR. Takéto sprostredkovateľské vzťahy sú založené na písomných zmluvách zaručujúcich:

• Spracovanie len na základe pokynov prevádzkovateľa
• Dostatočné technické a organizačné zabezpečenie
• Zachovanie mlčanlivosti oprávnených osôb
• Pomoc pri realizácii práv dotknutých osôb
• Oznamovanie bezpečnostných incidentov

Kategórie využívaných sprostredkovateľov:

• Poskytovatelia IT služieb a cloudových riešení
• Spoločnosti zabezpečujúce technickú podporu systémov
• Archivačné a dokumentačné služby

Okruh príjemcov údajov: Oprávnené osoby spoločnosti, externí právni poradcovia, audítori, kontrolné a dozorné orgány verejnej správy podľa platných právnych predpisov.

 

B) Právne základy spracovania údajov

Spoločnosť realizuje spracovanie osobných údajov výhradne na základe platných právnych titulov stanovených v čl. 6 GDPR a § 13 zákona o OÚ:

1. Informovaný súhlas (čl. 6 ods. 1 písm. a) GDPR / § 13 ods. 1 písm. a) zákona o OÚ)

• Dobrovoľne poskytnutý, konkrétny, informovaný a jednoznačný súhlas
• Možnosť kedykoľvek odvolať bez ovplyvnenia zákonnosti predchádzajúceho spracovania

2. Zmluvná nevyhnutnosť (čl. 6 ods. 1 písm. b) GDPR / § 13 ods. 1 písm. b) zákona o OÚ)

• Spracovanie potrebné na uzatvorenie alebo plnenie zmluvy s dotknutou osobou
• Predzmluvné opatrenia na žiadosť dotknutej osoby

3. Právna povinnosť (čl. 6 ods. 1 písm. c) GDPR / § 13 ods. 1 písm. c) zákona o OÚ)

• Splnenie povinností vyplývajúcich z právnych predpisov SR a EÚ

Relevantné právne predpisy:

• Zákon č. 431/2002 Z.z. o účtovníctve v znení neskorších predpisov
• Zákon č. 595/2003 Z.z. o dani z príjmov v znení neskorších predpisov
• Zákon č. 222/2004 Z.z. o dani z pridanej hodnoty v znení neskorších predpisov
• Zákon č. 395/2002 Z.z. o archívoch a registratúrach v znení neskorších predpisov

4. Oprávnené záujmy (čl. 6 ods. 1 písm. f) GDPR / § 13 ods. 1 písm. f) zákona o OÚ)

• Test proporcionality medzi záujmami prevádzkovateľa a právami dotknutej osoby
• Možnosť námietky dotknutej osoby podľa § 21 zákona o OÚ

C) Dozorná autorita

V prípade porušenia práv v oblasti ochrany osobných údajov je možné sa obrátiť na národný dozorný orgán:

Úrad na ochranu osobných údajov Slovenskej republiky

Úradné sídlo:
Hraničná 12
820 07 Bratislava 27
Slovenská republika
IČO: 36 064 220

 

Pracovný čas podateľne:
Pondelok - Štvrtok: 8:00 - 15:00
Piatok: 8:00 - 14:00

 

Konzultačné hodiny:
Utorok a Štvrtok: 8:00 - 12:00
Telefón: +421 2 323 132 20

 

Administratívne kontakty:
Vedenie úradu: +421 2 323 132 11
Všeobecné informácie: +421 2 323 132 14
Fax: +421 2 323 132 34

 

Elektronická komunikácia:
Oficiálne podania: statny.dozor@pdp.gov.sk
Informačné žiadosti: info@pdp.gov.sk
Technická podpora: webmaster@pdp.gov.sk
Poradenstvo pre mladých: ochrana@pdp.gov.sk

 

Mediálne kontakty:
Hovorca úradu: 0910 985 794
Email: hovorca@pdp.gov.sk

 

D) Špecifikácia účelov spracovania

Spoločnosť realizuje spracovanie osobných údajov výlučne pre nasledovné legitimizované účely:

1. Personálna agenda - uchádzači o zamestnanie

• Právny titul: čl. 6 ods. 1 písm. a) GDPR (súhlas)
• Rozsah údajov: Identifikačné údaje, CV, kontaktné informácie, kvalifikačné doklady
• Retenčný plán: 36 mesiacov alebo do odvolania súhlasu
• Špecifiká: Možnosť kedykoľvek stiahnuť súhlas bez následkov

2. Zamestnanecké vzťahy

• Právny titul: čl. 6 ods. 1 písm. b) a c) GDPR (zmluva a právne povinnosti)
• Rozsah údajov: Osobné údaje pre pracovnoprávne, mzdové a daňové účely
• Retenčný plán: Podľa Zákonníka práce a daňových predpisov
• Špecifiká: Povinné uchovávanie pre sociálne zabezpečenie

3. Obchodné partnerstvá a klientela

• Právny titul: čl. 6 ods. 1 písm. b) GDPR (zmluvné plnenie) + čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem)
• Rozsah údajov: Kontaktné a fakturačné údaje, zmluvy, korešpondencia
• Retenčný plán: Do ukončenia obchodných vzťahov plus zákonné lehoty
• Špecifiká: Možnosť námietky pri oprávnenom záujme

4. Komunikačná agenda

• Právny titul: čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem)
• Rozsah údajov: Kontaktné údaje, obsah komunikácie
• Retenčný plán: Okamžite po vyriešení, ak neprejde do iného režimu
• Špecifiká: Právo námietky podľa § 21 zákona o OÚ

5. Regulačné povinnosti

• Právny titul: čl. 6 ods. 1 písm. c) GDPR (právne povinnosti)
• Rozsah údajov: Údaje požadované právnymi predpismi
• Retenčný plán: Podľa špecifických zákonných lehôt
• Špecifiká: Povinné uchovávanie bez možnosti predčasného výmazu

6. Dodávateľské siete

• Právny titul: § 78 ods. 3 zákona o OÚ + čl. 6 ods. 1 písm. f) GDPR
• Rozsah údajov: Kontaktné údaje zástupcov, funkčné pozície
• Retenčný plán: Po dobu obchodného vzťahu
• Špecifiká: Právo kedykoľvek namietať podľa § 21 zákona o OÚ

 

E) Katalóg práv dotknutých osôb

Legislatíva EÚ a SR zaručuje dotknutým osobám nasledovné práva:

Informačné práva:

• Právo na transparentné informácie (čl. 12 GDPR)
  Získanie jasných a zrozumiteľných informácií o spracúvaní údajov
• Právo na prístup k údajom (čl. 15 GDPR)
  Potvrdenie spracovania a poskytnutie kópie spracúvaných údajov

Kontrolné práva:

• Právo na úpravu údajov (čl. 16 GDPR)
  Oprava nesprávnych alebo doplnenie neúplných údajov
• Právo na odstránenie údajov (čl. 17 GDPR)
  Vymazanie údajov za splnenia zákonných podmienok
• Právo na obmedzenie spracovania (čl. 18 GDPR)
  Pozastavenie spracovania za špecifických okolností

Práva na kontrolu spracovania:

• Právo na prenosnosť údajov (čl. 20 GDPR)
  Získanie údajov v štruktúrovanom formáte a ich prenos k inému prevádzkovateľovi
• Právo na námietku (čl. 21 GDPR / § 21 zákona o OÚ)
  Námietka proti spracúvaniu z oprávnených záujmov a priameho marketingu
• Právo na ochranu pred automatizáciou (čl. 22 GDPR)
  Ochrana pred rozhodnutiami založenými výlučne na automatizovanom spracúvaní
•  

Právo na odvolanie súhlasu:

Ak spracúvame údaje na základe súhlasu, máte právo ho kedykoľvek stiahnuť bez ovplyvnenia zákonnosti predchádzajúceho spracovania.

Právo na sťažnosť:

• Návrh na konanie (§ 100 zákona o OÚ)
  Podanie návrhu na ÚOOÚ SR v prípade podozrenia na porušenie práv

F) Informačné povinnosti podľa § 19-20 zákona o OÚ

Priame získavanie údajov (§ 19): Pri získavaní údajov priamo od dotknutej osoby poskytujeme všetky potrebné informácie v momente získavania.

Nepriame získavanie údajov (§ 20): Pri získavaní údajov z iných zdrojov informujeme dotknutú osobu do jedného mesiaca, ak neplatia výnimky podľa § 20 ods. 5.

Výnimky z informovania:

 

• Dotknutá osoba už disponuje informáciami
• Informovanie by bolo nemožné alebo neprimerane náročné
• Informovanie je výslovne ustanovené zákonom
• Údaje sú chránené povinnosťou mlčanlivosti
•  

G) Retenčné politiky a výmaz údajov

Zásada minimalizácie: Údaje uchovávame len po dobu nevyhnutnú na dosiahnutie stanoveného účelu v súlade s čl. 5 ods. 1 písm. e) GDPR.

Špecifické lehoty:

• Súhlasy: 3 roky s možnosťou obnovenia
• Komunikačné záznamy: Okamžite po vyriešení
• Zákonné povinnosti: Podľa príslušných právnych predpisov
• Zmluvné vzťahy: Do ukončenia všetkých záväzkov

Podmienky výmazu: Údaje mažeme bez zbytočného odkladu po splnení jednej z podmienok:

• Ukončenie všetkých zmluvných vzťahov
• Zaniknutie všetkých záväzkov
• Vyriešenie všetkých reklamácií a žiadostí
• Naplnenie všetkých účelov spracovania
• Odvolanie súhlasu bez iného právneho základu
• Vyhovenie oprávnenej žiadosti o výmaz
•  

Náhodne získané údaje: Bezodkladne mažeme po prijatí opatrení na obnovenie kontroly dotknutej osoby.

 

H) Bezpečnostné opatrenia a incidenty

 

Technické zabezpečenie:

• Šifrovanie citlivých údajov
• Kontrola prístupu a autentifikácia
• Pravidelné bezpečnostné aktualizácie
• Zálohovanie a obnova dát

Organizačné opatrenia:

• Interné smernice a postupy
• Školenie zamestnancov
• Audit a monitoring
• Riadenie prístupu k údajom

Hlásenie incidentov: Bezpečnostné porušenia hlásime ÚOOÚ do 72 hodín podľa čl. 33 GDPR a § 34 zákona o OÚ. Pri vysokom riziku informujeme aj dotknuté osoby.

I) Cezhraničný prenos a automatizácia

Medzinárodné prenosy: Údaje neprenášame mimo EÚ/EHP. V prípade potreby používame len krajiny s rozhodnutím o primeranej ochrane alebo štandardné zmluvné doložky.

Automatizované rozhodovanie: Nepoužívame automatizované rozhodovanie s právnymi účinkami vrátane profilovania.

J) Povinnosti dotknutých osôb

• Poskytovanie presných a úplných údajov
• Aktualizácia údajov pri zmenách
• Rešpektovanie práv tretích osôb pri poskytovaní ich údajov
• Súčinnosť pri realizácii práv

Lehoty vybavenia žiadostí: 30 dní od doručenia žiadosti s možnosťou predĺženia o 60 dní pri zložitých prípadoch.

 

Účinnosť: 

Tento dokument je spracovaný v súlade so zákonom č. 18/2018 Z.z. v znení účinnom od 1.7.2024, ktorý vylučuje spracúvanie osobných údajov zosnulých osôb z pôsobnosti zákona (§ 3 ods. 5 písm. d) GDPR)