GDPR Pravidlá Aplikácie APPkA
článok I
DEFINÍCIE A VÝKLAD
1.1Definície
1.1.1Pokiaľ nie je v tomto dokumente vyslovene uvedené inak, výrazy s veľkým počiatočným písmenom majú nižšie uvedený význam:
a)„Aplikácia APPkA“ znamená aplikácia, na základe ktorej bude vyhodnocovaná pohybová aktivita dotknutej osoby, na základe čoho bude následne určený príspevok na projekty realizované APPA v závislosti od realizovanej pohybovej aktivity;
b)„APPA“ znamená Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava, IČO: 42 173 809, Registrácia: Ministerstvo vnútra Slovenskej republiky, číslo spisu: VVS/1-900/90-33847-1;
c) „Dotknutá osoba” znamená fyzická osoba, ktorej Osobné údaje sa spracúvajú;
d) „GDPR” znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – Ú. v. EÚ L 119, 4. 5. 2016;
e) „Osobné údaje” znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 bod 1 GDPR a/alebo údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu v zmysle § 2 Zákona;
f) „Príjemca” znamená fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa Osobné údaje poskytujú bez ohľadu na to, či je treťou stranou;
g) „Zákon“ znamená zákon 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
ČLÁNOK II
SPRACÚVANIE OSOBNÝCH ÚDAJOV
2.1 Okamih začatia spracúvania Osobných údajov a doba ich spracúvania
2.1.1 APPA je oprávnená začať spracúvať Osobné údaje Dotknutých osôb ako Prevádzkovateľ momentom, ako Dotknutá osoba vysloví prostredníctvom webstránky appka.app alebo aplikácie APPkA na to súhlas.
2.1.2 APPA je povinná spracúvať Osobné údaje počas obdobia, po ktoré bude prevádzkovať Aplikáciu APPkA a po ukončení jej prevádzkovania až do uplynutia premlčacej doby na uplatnenie práva, a to všetko až do momentu, pokiaľ nebude súhlas spracúvať Osobné údaje odvolaný Dotknutou osobou. Dobu uchovávania Osobných údajov stanoví APPA tak, aby doba bola v súlade s GDPR a Zákonom. Osobné údaje sa archivujú v súlade so zákonom o archívnictve a inými všeobecne záväznými právnymi predpismi. Spracovávanie osobných údajov v prípade udelenia súhlasu na určitú dobu je možné najdlhšie do uplynutia doby, na ktorú bol súhlas udelený.
2.2 Účel spracúvania Osobných údajov
2.2.1 APPA spracúva Osobné údaje Dotknutých osôb za účelom prevádzkovania Aplikácie APPkA.
2.2.2 Právnym základom spracúvania Osobných údajov je súhlas Dotknutej osoby.
2.2.3 Poskytovanie Osobných údajov je požiadavkou potrebnou na využívanie Aplikácie APPkA Dotknutou osobou a Dotknutá osoba nie je povinná poskytnúť Osobné údaje.
2.3 Povaha a prostriedky spracúvania Osobných údajov
2.3.1 Spracúvanie Osobných údajov sa bude vykonávať úplne automatizovanými prostriedkami, pričom prostriedkami spracúvania Osobných údajov sú výpočtová technika a iná technika ako osobné počítače, notebooky, server a sieťové komponenty, mobilné zariadenia, ako aj inými než automatizovanými prostriedkami.
2.4 Kategórie (typy) Osobných údajov
2.4.1 APPA spracúva bežné Osobné údaje Dotknutých osôb, najmä:
a)meno, priezvisko, titul;
b)adresa, bydlisko;
c)dátum narodenia;
d)e-mailový kontakt;
e)údaje o pohybovej aktivite Dotknutej osoby
f)fyziologické údaje.
2.5 Kategórie Dotknutých osôb
2.5.1 APPA spracúva bežné Osobné údaje nasledovných kategórií Dotknutých osôb:
a)osoby využívajúce Aplikáciu APPkA.
2.6 Kategórie Príjemcov
2.6.1 APPA môže poskytovať Osobné údaje nasledovným kategóriám Príjemcov:
a) zamestnanci APPA;
b) externí spolupracovníci APPA;
c) sponzori APPA;
d) partneri APPA;
e) audítor APPA;
f) právnik APPA;
g) účtovník APPA;
h) spolupracujúce médiá;
i) skupina Google;
j) orgánom činných v trestnom konaní a iných orgánov, ktorým sa poskytujú osobné údaje podľa všeobecne záväzných právnych predpisov (napr. kontrolné orgány).
2.7 Spracovateľské operácie
2.7.1 APPA je oprávnená spracúvať Osobné údaje Dotknutých osôb v rámci všetkých a akýchkoľvek spracovateľských operácií, ktoré sú nevyhnutné na splnenie účelu spracúvania Osobných údajov.
2.7.2 APPA spracúva Osobné údaje Dotknutých najmä nasledovne: (i) zaznamenáva ich do informačného systému okamžite po ich získaní, (ii) ďalej ich usporadúvať, (iii) vyhodnocovať; (iv) uchovávať po celý čas ich spracúvania a používania, ako aj následne v dobe, počas ktorej by sa Osobné údaje mali archivovať, (v) prípadne, ak dôjde k zmene Osobných údajov, tak údaje zmení, (vi) osobné údaje v prípade potreby vyhľadávať, (vii) prípadne prehliadať, ako aj (viii) ďalej využívať, (ix) preskupovať (x) alebo kombinovať a (xi) ak to vyplýva z GDPR a/alebo Zákona, tak aj obmedziť, či vymazať.
2.8 Prenos Osobných údajov
2.8.1 APPA neprenáša Osobné údaje mimo Európskej únie do tretích krajín a/alebo medzinárodných organizácií.
2.9 Lehoty na vymazanie alebo vrátenie Osobných údajov
2.9.1 APPA vymaže Osobné údaje v prípadoch uvedených v článku 17 GDPR a v Zákone (najmä § 23).
ČLÁNOK III
Technické a organizačné opatrenia
3.1 Technické a organizačné opatrenia
3.1.1 APPA týmto potvrdzuje, že prijala primerané technické a organizačné opatrenia tak, aby spracúvanie Osobných údajov spĺňalo požiadavky GDPR a Zákona, a aby sa zabezpečila ochrana práv Dotknutej osoby a zaväzuje sa ich používať pri spracúvaní Osobných údajov od okamihu prijatia týchto Osobných údajov až do ukončenia ich spracúvania, pokiaľ nedostane iné usmernenia od príslušných orgánov verejnej moci, a to najmä:
A/Organizačné opatrenia
Riziko Opatrenia
1.
Nesprávne plnenie povinností zo strany Prevádzkovateľa Vypracovanie a prijatie internej dokumentácie o ochrane osobných údajov.
Poverenie osôb, ak spracúvajú osobné údaje.
Pravidelný monitoring právnych predpisov v oblasti ochrany osobných údajov.
Pravidelné preškoľovanie osôb, ktoré spracúvajú osobné údaje v oblasti ochrany osobných údajov.
Vyhotovenie záznamu o spracovateľských činnostiach.
2.
Neoprávnený prístup k informačnému systému
Uzamknutie vstupných dverí do budovy, v ktorých sa nachádzajú priestory APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby.
Uzamknutie vstupných dverí do priestorov APPA, ktoré sú priestorovo oddelené od ostatných priestorov v budove, pričom kľúčmi disponujú iba vybrané oprávnené osoby APPA.
Uzamknutie jednotlivých miestností, v ktorých sa nachádzajú informačné systémy APPA alebo prostriedky spracúvania osobných údajov, pričom kľúčmi od týchto miestností disponujú iba oprávnené osoby APPA.
3.
Narušenie integrity informačného systému
Zavedenie postupov pri odchode z pracoviska a z priestorov APPA.
Zabezpečenie uskladňovania dokumentácie a iných hmotných nosičov obsahujúcich osobné údaje v spisoch v skriniach alebo kontajneroch v uzamykateľných priestoroch a skriniach APPA.
Bezpečné umiestnenie zobrazovacej jednotky alebo monitoru, z ktorých by bolo možné odpozorovaním získať osobné údaje.
Zákaz poskytovať vybrané osobné údaje v telefonickom styku.
4.
Nesprávna likvidácia osobných údajov Likvidácia dokumentov v tlačenej forme pomocou zariadenia na skartovanie listín v pravidelných intervaloch takým spôsobom, že zlikvidované dokumenty a zložky nie je možné zrekonštruovať na opätovné použitie akýmkoľvek spôsobom.
Likvidácia dokumentov, ktoré sú evidované v archíve APPA podľa príslušných všeobecne záväzných právnych predpisov.
5.
Nedodržanie minimalizácie doby uchovávania a dostupnosti osobných údajov
Pravidelné prehodnocovanie trvania účelov spracúvania osobných údajov.
6.
Nezabezpečenie spracúvania osobných údajov osobami poskytujúcimi dostatočné záruky
Uzatváranie zmlúv o spracúvaní osobných údajov s inými sprostredkovateľmi v znení, ktoré je v súlade s GDPR a Zákonom.
APPA si pred uzavretím zmluvy s iným sprostredkovateľom vždy overí skúseností, povesť, špecializáciu a sídlo poskytovateľa, solventnosť, spoľahlivosť, vlastníctvo a kapitálovú primeranosť poskytovateľa, potenciálny konflikt záujmov, riziko zneužitia uchovávaných informácií, presné miesto, kde sa nachádzajú servery, fyzickú a elektronickú bezpečnosť serverov a dátového centra.
B/ Technické opatrenia
Riziko Opatrenia
1.
Neoprávnený prístup k informačným systémom
Obmedzenie prístupu do operačných systémov osobných počítačov a notebookov, mobilných a iných zariadení, a používanie dostatočných hesiel, iných obmedzení prístupu a autentifikačných protokolov, vrátane prípadného použitia šifrovania údajov (ochrana pred únikom, zachytením alebo odpočúvaním komunikácie). Rozsah prístupu a spôsob prideľovania hesiel, pravidelných zmien a aktualizácií hesiel je stanovený APPA. Najdôležitejšie dokumenty, resp. súbory, ktoré sa nachádzajú v informačných systémoch sú taktiež zaheslované heslom, ktoré vytvoril a ktorým disponuje len autor dokumentu, prípadne iné oprávnené osoby, najmä osoby, ktorým je dokument určený.
2.
Narušenie integrity informačného systému Využívanie služieb odborne vzdelaného IT technika.
APPA využíva cloudové softvérové riešenie „cloud computing“, pričom dáta sa ukladajú na softvér, ktorý sa nachádza v dátovom centre v Európskej únii, ktorý je prevádzkovaný súkromným poskytovateľom cloudových služieb, pričom APPA má s týmto poskytovateľom uzavretú zmluvu, v rámci ktorej sú upravené základné práva a povinnosti poskytovateľa.
Osobné počítače a notebooky, v ktorých sa nachádzajú elektronické dáta informačného systému sú vybavené výlučne legálnymi a Sprostredkovateľom schválenými softvérmi, ktoré zabezpečujú ochranu pred vírusmi a spyware, resp. inými prípadnými útokmi počítačových hackerov.
Monitorovanie integrity údajov, ktoré sa získajú a s ktorými sa pracuje, napr. prostredníctvom elektronického podpisu.
3.
Neoprávnená strata osobných údajov Pravidelné zálohovanie súborov a záznamov – záložné súbory uložiť do bezpečnostného súboru. APPA vykonáva zálohovanie spracovávaných osobných údajov v elektronickej podobe tak, že osobné údaje obsiahnuté v elektronických informačných systémoch sú v pravidelných mesačných intervaloch (vždy na konci príslušného kalendárneho mesiaca), resp. v iných intervaloch určených APPA podľa potreby, uložené a archivované na DVD nosiči informácií, resp. na inom zariadení schopnom uchovávať elektronické informácie.
4.
Spoľahlivé zlikvidovanie údajov Fyzické zničenie média, na ktorom sú osobné údaje, prípadne využitie softvéru na bezpečné zmazanie súborov alebo využitie iného spôsobu likvidácie osobných údajov, ktoré zabezpečí trvalo a nenávratne odstránenie z hard disku serverového počítača
ČLÁNOK IV
ZÁSADY na spracúvanie Osobných údajov
4.1 Základné zásady
4.1.1 Osobné údaje možno spracúvať len zákonným spôsobom podľa pokynov APPA a tak, aby nedošlo k porušeniu základných práv Dotknutej osoby. APPA udeľuje konkrétnym osobám jasné a stručné pokyny, ktoré sú v súlade so Zákonom a s GDPR.
4.1.2 Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel, ktorý stanoví APPA, ktorý nesmie byť nelegitímny a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Účel musí byť APPA vymedzený dostatočne jasne a určito tak, aby z neho bolo zrejmé, aké spracovateľské operácie budú na jeho základe prebiehať alebo aké spracovateľské operácie môže Dotknutá osoba očakávať, že s jej Osobnými údajmi môžu prebiehať. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvania Osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných Osobných údajov.
4.1.3 Spracúvané Osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom stanoveným APPA, na ktorý sa spracúvajú.
4.1.4 Každé spracúvanie Osobných údajov musí byť založené na legálnom právnom základe stanoveným APPA, nesmie byť protiprávne. Pred každým spracúvaním Osobných údajov je APPA povinná posúdiť, na základne akého právneho základu budú Osobné údaje spracúvané a následne tomu prispôsobiť podmienky spracúvania Osobných údajov a rozsah Osobných údajov.
4.1.5 APPA vždy žiada Dotknutú osobu o udelenie súhlasu so spracúvaním Osobných údajov.
4.1.6 Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu Dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa Osobné údaje spracúvajú.
4.1.7 Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú úroveň bezpečnosti Osobných údajov vrátane ochrany pred neoprávneným spracúvaním Osobných údajov, nezákonným spracúvaním Osobných údajov, náhodnou stratou Osobných údajov, výmazom Osobných údajov alebo poškodením Osobných údajov. APPA je povinná pred spracúvaním Osobných údajov vždy vykonať posúdenie povahy, rozsahu, kontextu a účelu spracúvania Osobných údajov, ako aj pravdepodobnosť a závažnosť rizík pre práva a slobody fyzických osôb, vrátane najnovších poznatkov a nákladov na vykonanie opatrení, a to najmä v súlade s článkom 32 GDPR a Zákonom a v prípade, ak sú naplnené všetky predpoklady, tak aj posúdenie vplyvu na ochranu osobných údajov podľa článku 35 GDPR a Zákona.
4.1.8 APPA je povinná zabezpečiť povinnosti reagovať na žiadosti o výkon práv Dotknutej osoby ustanovených v kapitole III. GDPR, ako aj plnenie povinností najmä podľa článkov 32 až 36 GDPR a Zákona.
4.1.9 APPA je zodpovedná za dodržiavanie základných zásad spracúvania osobných údajov a za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.
4.1.10 APPA je povinná spracúvať Osobné údaje len na základe zdokumentovaných pokynov tak, aby bol zabezpečený súlad spracúvania Osobných údajov s GDPR a Zákonom, najmä s článkom 28 ods. 3 písm. a) GDPR.
4.1.11 APPA je povinná viesť záznamy o spracovateľských činnostiach.
4.2 Osobitné povinnosti
4.2.1 APPA sa zaväzuje:
a) spracúvať osobné údaje len na základe písomných pokynov, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona;
c) vykonať opatrenia podľa § 39 Zákona;
d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa Zákona;
e) po zohľadnení povahy spracúvania Osobných údajov v čo najväčšej miere zabezpečiť vhodné technické a organizačné opatrenia pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy Zákona;
f) zabezpečovať plnenie povinností podľa § 39 až 43 Zákona s prihliadnutím na povahu spracúvania Osobných údajov a informácie dostupné APPA;
g) vymazať Osobné údaje alebo vrátiť Osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania Osobných údajov a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto Osobných údajov;
h) po ukončení činností týkajúcich sa spracúvania Osobných údajov, osobné údaje vymazať alebo vrátiť a vymazať existujúce kópie, ktoré obsahujú Osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov;
i) poskytnúť informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly.
6.3 Súčinnosť
6.3.1 APPA sa zaväzuje:
a)pomáhať pri zisťovaní, posudzovaní, ohlasovaní bezpečnostného incidentu a pri príjmami opatrení;
b)umožniť kontrolu a audity.
6.4 Profilovanie
6.4.1 APPA nevykonáva profilovanie.
článok VII
PRÁvA DOTKNUTEJ OSOBY
7.1 Práva dotknutej osoby
7.1.1 Dotknutá osoba má najmä nasledovné práva:
a) právo požadovať od APPA prístup k svojim Osobným údajom;
b) právo na opravu Osobných údajov;
c) právo na vymazanie Osobných údajov;
d) právo na obmedzenie spracúvania Osobných údajov;
e) právo namietať spracúvanie Osobných údajov;
f) právo na prenos svojich osobných údajov;
g) právo odvolať súhlas (ak je súhlas právnym základom spracúvania);
h) právo podať sťažnosť a návrh na začatie konania dozornému orgánu t.j. Úradu na ochranu osobných údajov Slovenskej republiky.
7.1.2 Práva uvedené v odseku 7.1.1 toho článku sú podrobnejšie špecifikované v článkoch 15 až 21 Nariadenia a § 19 až § 30 Zákona. Uvedené práva si Dotknutá osoba môže uplatniť v súlade s Nariadením, Zákonom a inými právnymi predpismi. Voči APPA si Dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami komunikácie. V prípade, ak Dotknutá osoba požiadala ústne o poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že Dotknutá osoba preukázala svoju totožnosť.
7.2 Kontakt
7.2.1 Dotknutá osoba môže kontaktovať APPA najmä
a) e-mailom na adrese: info@appa.sk alebo
b) poštou na adrese: Asociácia pomoci postihnutým – APPA, občianske združenie, Na medzi 2/A, 831 06 Bratislava.
7.2.2 Podrobnosti sú zverejnené aj na stránke www.appa.sk.