MALKIA s.r.o. Práva dotknutej osoby
Každá fyzická osoba (ďalej len „dotknutá osoba“), ktorej osobné údaje spracúva spoločnosť: MALKIA, s.r.o., Bratislavská 52/11, 900 21 Svätý Jur, Slovenská republika IČO: 50 200 984 (ďalej len „prevádzkovateľ“) má v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj „Nariadenie“) práva súvisiace s primeranou ochranou a legálnosťou spracúvania jej osobných údajov.
Dotknutá osoba má právo:
➢ na informácie o spracúvaní jej osobných údajov;
➢ získať prístup k osobným údajom, ktoré sa o nej spracúvajú a uchovávajú;
➢ požiadať o opravu svojich nesprávnych, nepresných alebo neúplných osobných údajov;
➢ požiadať o vymazanie svojich osobných údajov, keď už nie sú potrebné, alebo ak je spracúvanie nezákonné;
➢ namietať proti spracovaniu svojich osobných údajov na marketingové účely alebo na základe, ktorý súvisí s konkrétnou situáciou;
➢ požiadať o obmedzenie spracúvania svojich osobných údajov v osobitných prípadoch;
➢ dostať svoje osobné údaje v strojovo čitateľnom formáte a/alebo požiadať o ich prenos inému prevádzkovateľovi;
➢ kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním, ak takýto súhlas dotknutá osoba udelila;
➢ požiadať, aby rozhodnutia založené na automatizovanom spracúvaní, ktoré sa jej týkajú alebo ju výrazne ovplyvňujú, vychádzajúce z jej osobných údajov, vykonávali fyzické osoby a nie automatizovane technické prostriedky, ak sú osobné údaje takto prevádzkovateľom spracúvané. Dotknutá osoba má právo vysloviť svoj názor a namietať proti rozhodnutiu prevádzkovateľa;
➢ podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia a právo na účinný súdny prostriedok nápravy, ak sa domnieva, že je spracúvanie jej osobných údajov v rozpore právnymi predpismi. Dozorným orgánom na území Slovenskej republiky je Úrad na ochranu osobných údajov SR, Hraničná 12 Bratislava;
➢ podať žiadosť alebo sťažnosť prevádzkovateľovi v súvislosti s ochranou a spracúvaním jej osobných údajov. Každá dotknutá osoba, ktorá chce podať žiadosť alebo sťažnosť a uplatniť svoje si práva, môže tak vykonať:
– písomne na adrese: MALKIA, s.r.o., Bratislavská 52/11, 900 21 Svätý Jur, Slovenská republika.
– elektronicky na adrese: malkiapark@malkiapark.sk
– telefonicky: +421 918 610 645;
Podrobné informácie k právam dotknutých osôb
Transparentnosť oznámenia a postupy výkonu práv dotknutej osoby
1. Prevádzkovateľ poskytne dotknutej osobe všetky informácie a všetky oznámenia, ktoré sa týkajú spracúvania jej osobných údajov, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie môže prevádzkovateľ poskytnúť písomne alebo inými prostriedkami, prípadne elektronickými prostriedkami. Ak o to dotknutá osoba požiada, informácie môže prevádzkovateľ poskytnúť ústne za predpokladu, že totožnosť dotknutej osoby bola preukázaná relevantným spôsobom.
2. Prevádzkovateľ uľahčí výkon práv dotknutej osoby. V prípade, ak si účely, na ktoré prevádzkovateľ spracúva osobné údaje, nevyžadujú alebo prestali vyžadovať od prevádzkovateľa, aby dotknutú osobu identifikoval a prevádzkovateľ už neuchováva, nezískava a nespracúva dodatočné informácie na zistenie totožnosti dotknutej osoby, prevádzkovateľ neodmietne konať na základe žiadosti dotknutej osoby pri výkone jej práva, pokiaľ nie je preukázané, že dotknutú osobu nie je schopný identifikovať.
3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré prijal na základe jej žiadosti do jedného mesiaca od doručenia jej žiadosti. Uvedenú lehotu môže prevádzkovateľ v nevyhnutných prípadoch predĺžiť o ďalšie dva mesiace, pričom zohľadňuje komplexnosť a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie podľa možnosti prevádzkovateľ poskytne elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiada o iný spôsob.
4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia jej žiadosti, informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy. Dozorným orgánom na území Slovenskej republiky je Úrad na ochranu osobných údajov SR, Hraničná 12 Bratislava.
5. Poskytovanie informácií, oznámení a oznámenia o prijatí opatrení na žiadosť dotknutej osoby vykonáva prevádzkovateľ bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, je prevádzkovateľ oprávnený:
– požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo
– odmietnuť konať na základe žiadosti.
Prevádzkovateľ znáša bremeno preukázania neopodstatnenosti alebo neprimeranosti žiadosti.
6. Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť v rozsahu vyššie uvedených bodov, môže prevádzkovateľ požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.
7. Informácie, ktoré prevádzkovateľ poskytuje dotknutým osobám, môže podať v kombinácii so strojovo čitateľnými štandardizovanými ikonami s cieľom poskytnúť viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania.
Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby
1. V prípade, ak sa od dotknutej osoby získavajú jej osobné údaje, je prevádzkovateľ povinný pri získavaní osobných údajov dotknutej osobe poskytnúť nasledovné informácie:
– totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa, ak je určený,
– kontaktné údaje zodpovednej osoby, ak je určená,
– účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
– ak sa spracúvanie zakladá na oprávnených záujmoch prevádzkovateľa alebo tretej strany, uviesť tieto oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana,
– príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
– v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade príslušných prenosov odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.
2. Okrem informácií, ktoré sa uvádzajú v odseku 1, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri získavaní osobných údajov informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:
– doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
– existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť osobných údajov,
– ak je spracúvanie založené na súhlase dotknutej osoby, existenciu práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
– právo podať sťažnosť dozornému orgánu,
– informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto osobných údajov,
– existencia automatizovaného rozhodovania vrátane profilovania a informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, je povinný dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.
4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.
Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získane od dotknutej osoby
1. Ak osobné údaje neboli získané od dotknutej osoby, je prevádzkovateľ povinný poskytnúť dotknutej osobe nasledovné informácie:
– totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa, ak je určený,
– kontaktné údaje zodpovednej osoby, ak je určená,
– účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
– kategórie dotknutých osobných údajov,
– príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
– v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade príslušných prenosov odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.
2. Okrem informácií uvedených v odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:
– doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
– ak sa spracúvanie zakladá na oprávnených záujmoch prevádzkovateľa alebo tretej strany, uviesť tieto oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana,
– existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť osobných údajov,
– ak je spracúvanie založené na súhlase dotknutej osoby, existenciu práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
– právo podať sťažnosť dozornému orgánu,
– z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či osobné údaje pochádzajú z verejne prístupných zdrojov,
– existencia automatizovaného rozhodovania vrátane profilovania a informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
3. Prevádzkovateľ je povinný poskytnúť informácie uvedené v odsekoch 1 a 2:
– v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom je potrebné zohľadniť konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
– ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou, alebo
– ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.
4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, je prevádzkovateľ povinný poskytnúť dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.
5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:
– dotknutá osoba má už dané informácie,
– sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch je prevádzkovateľ povinný prijať vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
– sa získanie alebo poskytnutie výslovne stanovuje v práve EÚ alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby, alebo
– v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom EÚ alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.
Právo dotknutej osoby na prístup k osobným údajom
1. Ak o to dotknutá osoba požiada, má právo získať od prevádzkovateľa potvrdenie o tom, či spracúva osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a nasledovné informácie:
– účely spracúvania,
– kategórie dotknutých osobných údajov,
– príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,
– ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
– existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu,
– právo podať sťažnosť dozornému orgánu,
– ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj,
– existencia automatizovaného rozhodovania vrátane profilovania a v týchto prípadoch informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť prevádzkovateľom informovaná o primeraných zárukách týkajúcich sa prenosu.
3. Prevádzkovateľ je povinný poskytnúť kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, je prevádzkovateľ oprávnený účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie prevádzkovateľ poskytne v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Právo získať kópiu nesmie mať nepriaznivé dôsledky na práva a slobody iných osôb.
Právo na opravu
1. Ak o to dotknutá osoba požiada má právo, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
Právo na vymazanie (právo „na zabudnutie“)
1. Ak o to dotknutá osoba požiada, má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
– osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali,
– dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva a ak neexistuje iný právny základ pre ich spracúvanie,
– dotknutá osoba namieta voči spracúvaniu, ktoré sa jej týka, ktoré je vykonávané na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, vrátane namietania proti profilovaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie,
– dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu,
– osobné údaje sa spracúvali nezákonne,
– osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva EÚ alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo
– osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti adresovanej priamo dieťaťu.
2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný ich vymazať, je povinný so zreteľom na dostupnú technológiu a náklady vykonať primerané opatrenia vrátane technických opatrení, aby informoval ďalších prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu a repliky.
3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:
– na uplatnenie práva na slobodu prejavu a práva na informácie,
– na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva EÚ alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
– z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s Nariadením,
– na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
– na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Právo na obmedzenie spracúvania
1. Ak o to dotknutá osoba požiada má právo, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:
– dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť ich správnosť,
– spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia,
– prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov,
– dotknutá osoba namietala voči spracúvaniu ktoré sa jej týka, ktoré je vykonávané na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, vrátane namietania proti profilovaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
2. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu EÚ alebo členského štátu.
3. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania zrušené.
Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením ich spracúvania
1. Prevádzkovateľ je povinný oznámiť každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania, pokiaľ je to možné alebo ak si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak o to dotknutá osoba požiada.
Právo na prenosnosť osobných údajov
1. Dotknutá osoba má na základe žiadosti právo od prevádzkovateľa získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo požiadať prevádzkovateľa o prenos týchto osobných údajov ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:
– sa spracúvanie zakladá na súhlase, alebo v prípade ak sa spracúvanie vykonáva v rámci zmluvného vzťahu s dotknutou osobou, a
– ak sa spracúvanie vykonáva automatizovanými prostriedkami.
2. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť osobných údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.
3. Uplatňovaním práva uvedeného v odseku 1 nie je dotknuté právo na vymazanie osobných údajov dotknutej osoby. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
4. Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných osôb.
Právo namietať
1. Ak o to dotknutá osoba požiada má právo u prevádzkovateľa namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, vrátane namietania proti profilovaniu. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, má dotknutá osoba u prevádzkovateľa právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.
3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.
4. Dotknutú osobu je prevádzkovateľ výslovne upozorniť na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom je povinný toto právo prezentovať jasne a oddelene od iných informácií.
5. V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.
6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.
Automatizovane individuálne rozhodovanie vrátane profilovania
1. Ak o to dotknutá osoba požiada má právo, aby sa na ňu nevzťahovalo rozhodnutie prevádzkovateľa, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:
– nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
– povolené právom EÚ alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo
– založené na výslovnom súhlase dotknutej osoby.
3. V prípadoch, ak je rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo je založené na výslovnom súhlase dotknutej osoby, prevádzkovateľ vykoná opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov, pokiaľ sa neuplatňujú výnimky v zákaze ich spracúvania t.j.:
– dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve EÚ alebo v práve členského štátu stanovuje, že zákaz nemôže dotknutá osoba zrušiť a
– spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva EÚ alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a stanovujú konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby
a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.
Obmedzenia
1. V práve EÚ alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv dotknutých osôb, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanovených v Nariadení, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením s cieľom zaistiť:
– národnú bezpečnosť, obranu a verejnú bezpečnosť, predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie,
– iné dôležité ciele všeobecného verejného záujmu EÚ alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu EÚ alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia,
– ochranu nezávislosti súdnictva a súdnych konaní,
– predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie,
– monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci,
– ochranu dotknutej osoby alebo práv a slobôd iných osôb,
– vymáhanie občianskoprávnych nárokov.
2. Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípadov upravujú aspoň:
– účely spracúvania alebo kategórie spracúvania a kategórie osobných údajov, doby uchovávania osobných údajov a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania,
– rozsah zavedených obmedzení a záruky zabraňujúce zneužitiu osobných údajov alebo nezákonnému prístupu či prenosu,
– určenie prevádzkovateľa alebo kategórií prevádzkovateľov,
– riziká pre práva a slobody dotknutých osôb a práva dotknutých osôb na informovanie o obmedzení, pokiaľ tým nie je ohrozený účel obmedzenia.
Právo podať sťažnosť dozornemu orgánu
1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s platnými právnymi predpismi.
Právo na účinný súdny prostriedok nápravy vočI prevádzkovateľovi alebo sprostredkovateľovi
1. Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s platnými právnymi predpismi došlo k porušeniu jej práv.
Zastupovanie dotknutých osôb
1. Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 všeobecného nariadenia o ochrane údajov a aby v jej mene uplatnili právo na náhradu škody podľa článku 82 nariadenia, ak to umožňuje právo členského štátu.
Právo na náhradu škody a zodpovednosť
1. Každá osoba (nielen dotknutá osoba), ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia všeobecného nariadenia o ochrane údajov, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
2. Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore so všeobecným nariadením o ochrane údajov. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa všeobecným nariadením o ochrane údajov ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.
4. Ak sa na tom istom spracúvaní zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním, každý z nich zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada.