ČLÁNOK I
DEFINÍCIE A VÝKLAD
Pokiaľ nie je v tomto dokumente vyslovene uvedené inak, výrazy s veľkým počiatočným písmenom majú nižšie uvedený význam:
ČLÁNOK II
SPRACÚVANIE OSOBNÝCH ÚDAJOV
2.1 Okamih začatia spracúvania Osobných údajov a doba ich spracúvania
2.1.1 Inštitút Zhiva a Zhiva ako spoločný prevádzkovatelia podľa článku 26 GDPR sú oprávnené začať spracúvať Osobné údaje Dotknutých osôb ako Prevádzkovateľ momentom, kedy
– Dotknutá osoba vysloví prostredníctvom webstránky receptdzravia.sk na to súhlas, alebo
– zakúpením programu Recept Zdravia.
2.1.2 Prevádzkovateľ spracúva Osobné údaje:
– počas obdobia, po ktoré bude poskytovaný program Receptu zdravia a po jeho skončení až do uplynutia piatich rokov od skončenia Receptu Zdravia, alebo
– až do momentu, pokiaľ nebude súhlas spracúvať Osobné údaje odvolaný Dotknutou osobou.
– máte možnosť sa kedykoľvek vyjadriť nesúhlas s posielaním marketingovej komunikácie pomocou odkazu v každom e-maile, ktorý vám pošleme alebo kliknutím TU.
2.2 Účel spracúvania Osobných údajov
2.2.1 Prevádzkovateľ spracúva Osobné údaje Dotknutých osôb
2.2.2 Právnym základom spracúvania Osobných údajov je
2.3 Povaha a prostriedky spracúvania Osobných údajov
2.3.1 Spracúvanie Osobných údajov sa bude vykonávať úplne automatizovanými prostriedkami, pričom prostriedkami spracúvania Osobných údajov sú výpočtová technika a iná technika ako osobné počítače, notebooky, server a sieťové komponenty, mobilné zariadenia, ako aj inými než automatizovanými prostriedkami.
2.4 Kategórie (typy) Osobných údajov
2.5 Kategórie Dotknutých osôb
2.5.1 Prevádzkovateľ spracúva Osobné údaje nasledovných kategórií Dotknutých osôb:
2.6 Kategórie Príjemcov
2.6.1 Prevádzkovateľ môže poskytovať Osobné údaje nasledovným kategóriám Príjemcov:
2.7 Spracovateľské operácie
2.7.1 Prevádzkovateľ je oprávnená spracúvať Osobné údaje Dotknutých osôb v rámci všetkých a akýchkoľvek spracovateľských operácií, ktoré sú nevyhnutné na splnenie účelu spracúvania Osobných údajov.
2.7.2 Prevádzkovateľ spracúva Osobné údaje Dotknutých najmä nasledovne: (i) zaznamenáva ich do informačného systému okamžite po ich získaní, (ii) ďalej ich usporadúva, (iii) uchováva po celý čas ich spracúvania a používania, ako aj následne v dobe, počas ktorej by sa Osobné údaje mali archivovať, (iv) prípadne, ak dôjde k zmene Osobných údajov, tak údaje zmení, (v) osobné údaje v prípade potreby vyhľadáva, (vi) prípadne prehliada, ako aj (vii) ďalej využíva, (viii) preskupuje (ix) alebo kombinuje a (x) ak to vyplýva z GDPR a/alebo Zákona, tak aj obmedzí, či vymaže.
2.8 Prenos Osobných údajov
2.8.1 Prevádzkovateľ neprenáša Osobné údaje mimo Európskej únie do tretích krajín a/alebo medzinárodných organizácií.
2.9 Lehoty na vymazanie alebo vrátenie Osobných údajov
2.9.1 Prevádzkovateľ vymaže Osobné údaje v prípadoch uvedených v článku 17 GDPR a v Zákone (najmä § 23), a to najmä pri ukončení doby spracovania či na základe žiadosti dotknutej osoby.
ČLÁNOK III
Technické a organizačné opatrenia
3.1 Technické a organizačné opatrenia
Prevádzkovateľ týmto potvrdzuje, že prijal primerané technické a organizačné opatrenia tak, aby spracúvanie Osobných údajov spĺňalo požiadavky GDPR a Zákona, a aby sa zabezpečila ochrana práv Dotknutej osoby a zaväzuje sa ich používať pri spracúvaní Osobných údajov od okamihu prijatia týchto Osobných údajov až do ukončenia ich spracúvania, pokiaľ nedostane iné usmernenia od príslušných orgánov verejnej moci.
ČLÁNOK IV
ZÁSADY NA SPRACÚVANIE OSOBNÝCH ÚDAJOV
4.1 Základné zásady
4.1.1 Osobné údaje možno spracúvať len zákonným spôsobom podľa pokynov a tak, aby nedošlo k porušeniu základných práv Dotknutej osoby. Prevádzkovateľ udeľuje konkrétnym osobám jasné a stručné pokyny, ktoré sú v súlade so Zákonom a s GDPR.
4.1.2 Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel, ktorý stanoví , ktorý nesmie byť nelegitímny a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Účel musí byť vymedzený dostatočne jasne a určito tak, aby z neho bolo zrejmé, aké spracovateľské operácie budú na jeho základe prebiehať alebo aké spracovateľské operácie môže Dotknutá osoba očakávať, že s jej Osobnými údajmi môžu prebiehať. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvania Osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných Osobných údajov.
4.1.3 Spracúvané Osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom stanoveným Prevádzkovateľom, na ktorý sa spracúvajú.
4.1.4 Každé spracúvanie Osobných údajov musí byť založené na legálnom právnom základe stanoveným Prevádzkovateľom, nesmie byť protiprávne. Pred každým spracúvaním Osobných údajov je Prevádzkovateľ povinný posúdiť, na základne akého právneho základu budú Osobné údaje spracúvané a následne tomu prispôsobiť podmienky spracúvania Osobných údajov a rozsah Osobných údajov.
4.1.6 Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu Dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa Osobné údaje spracúvajú.
4.1.7 Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú úroveň bezpečnosti Osobných údajov vrátane ochrany pred neoprávneným spracúvaním Osobných údajov, nezákonným spracúvaním Osobných údajov, náhodnou stratou Osobných údajov, výmazom Osobných údajov alebo poškodením Osobných údajov. Prevádzkovateľ je povinný pred spracúvaním Osobných údajov vždy vykonať posúdenie povahy, rozsahu, kontextu a účelu spracúvania Osobných údajov, ako aj pravdepodobnosť a závažnosť rizík pre práva a slobody fyzických osôb, vrátane najnovších poznatkov a nákladov na vykonanie opatrení, a to najmä v súlade s článkom 32 GDPR a Zákonom a v prípade, ak sú naplnené všetky predpoklady, tak aj posúdenie vplyvu na ochranu osobných údajov podľa článku 35 GDPR a Zákona.
4.1.8 Prevádzkovateľ je povinný zabezpečiť povinnosti reagovať na žiadosti o výkon práv Dotknutej osoby ustanovených v kapitole III. GDPR, ako aj plnenie povinností najmä podľa článkov 32 až 36 GDPR a Zákona.
4.1.9 Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov a za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.
4.1.10 Prevádzkovateľ je povinný spracúvať Osobné údaje len na základe zdokumentovaných pokynov tak, aby bol zabezpečený súlad spracúvania Osobných údajov s GDPR a Zákonom, najmä s článkom 28 ods. 3 písm. a) GDPR.
4.1.11 Prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach.
4.2. Profilovanie
4.2.1 Prevádzkovateľ nevykonáva profilovanie.
ČLÁNOK V
ROZDELENIE ZODPOVEDNOSTÍ MEDZI SPOLOČNÝMI PREVÁDZKOVATEĽMI:
5.1. Inštitút Zhiva najmä:
5.2. Zhiva najmä:
5.3. Spoločne sú Inštitút Zhiva a Zhiva ako Prevádzkovateľ:
ČLÁNOK VI
PRÁVA DOTKNUTEJ OSOBY
6.1 Práva dotknutej osoby
6.1.1 Dotknutá osoba má najmä nasledovné práva:
6.1.2 Práva uvedené v odseku 7.1.1 toho článku sú podrobnejšie špecifikované v článkoch 15 až 21 Nariadenia a § 19 až § 30 Zákona. Uvedené práva si Dotknutá osoba môže uplatniť v súlade s Nariadením, Zákonom a inými právnymi predpismi. Voči XXX si Dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami komunikácie. V prípade, ak Dotknutá osoba požiadala ústne o poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že Dotknutá osoba preukázala svoju totožnosť.
ČLÁNOK VII
Kontakt
7.1. Dotknutá osoba môže kontaktovať Poskytovateľa: