Ochrana
osobných údajov
Cieľom tohto Informačného memoranda ochrany osobných údajov je poskytnutie informácií týkajúcich sa spracúvania osobných údajov v súlade s ustanoveniami Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.
V tomto Informačnom memorande ochrany osobných údajov nájdete informácie o spracúvaní osobných údajov, informácie o právach dotknutých osôb a tiež kontaktné informácie na osobu poverenú dohľadom nad spracúvaním osobných údajov.
Vzhľadom na uvedené Vám odporúčame oboznámiť sa s informáciami obsiahnutými v tomto dokumente. Akékoľvek zmeny súvisiace so spracúvaním vašich osobných údajov budú zabezpečené formou aktualizácie tohto dokumentu zverejneného na našej internetovej stránke.
1. Informácia o prevádzkovateľovi
Prevádzkovateľom je Nadácia Tatra banky, IČO: 30857571, so sídlom: Hodžovo námestie 3, 011 06 Bratislava-Staré Mesto, zakladateľ: Tatra banka, a. s., IČO: 00686930 (ďalej len „Nadácia TB“).
Zabezpečenie ochrany vašich osobných údajov je pre nás veľmi dôležité, a preto pri spracúvaní osobných údajov dôsledne dbáme na súlad s platnými právnymi predpismi, predovšetkým s princípmi a požiadavkami vyplývajúcimi z GDPR. Máme nastavené príslušné technické a organizačné opatrenia, ktoré prispievajú k zabezpečeniu ochrany spracúvaných osobných údajov dotknutých osôb.
V prípade akýchkoľvek otázok súvisiacich so spracúvaním vašich osobných údajov kontaktujte, prosím, nášho DPO (Data Protection Officer), ktorý je poverený dohľadom nad spracúvaním osobných údajov v našej spoločnosti. DPO môžete kontaktovať e-mailom na dpo@tatrabanka.sk alebo písomne na adrese: DPO, Nadácia Tatra banky, Hodžovo námestie 3, 811 06 Bratislava-Staré Mesto.
2. Základné pojmy
GDPR
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.
Osobné údaje
Akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Dotknutá osoba
Fyzická osoba, ktorej osobné údaje sú spracúvané. Je to osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Spracúvanie
Operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
Prevádzkovateľ
Každý, kto sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene. Pre účely tohto dokumentu sa Prevádzkovateľom myslí Nadácia TB.
Sprostredkovateľ
Každý, kto spracúva osobné údaje v mene Prevádzkovateľa na základe poverenia v súlade s článkom 28 GDPR.
3. Účel a právny základ spracúvania osobných údajov
Nadácia TB spracúva osobné údaje vždy len na vopred vymedzený a legitímny účel spracúvania, pričom vždy musí existovať príslušný právny základ na takéto spracúvanie. Nadácia TB si Vás dovoľuje ubezpečiť, že osobné údaje nie sú ďalej spracúvané na účely
nezlučiteľné s pôvodne stanovenými účelmi spracúvania. Nadácia TB spracúva osobné údaje dotknutých osôb v rámci nasledovných účelov spracúvania:
3.1 verejnoprospešný účel
Tento účel zahŕňa predovšetkým nasledovné činnosti:
- ochrana a podpora zdravia; prevencia, liečba, resocializácia drogovo závislých v oblasti zdravotníctva a sociálnych služieb
- podpora a rozvoj športu
- poskytovanie sociálnej pomoci, individuálne určenej humanitnej pomoci pre jednotlivca alebo skupinu osôb, ktoré sa ocitli v ohrození života alebo potrebujú naliehavú pomoc pri postihnutíživelnou pohromou
- zachovanie kultúrnych hodnôt, aj prostredníctvom podpory umenia a dizajnu
- rozvoj a ochrana duchovných a kultúrnych hodnôt
- podpora a rozvoj vzdelávania
- ochrana ľudských práv alebo iných humanitných cieľov, vrátane ochrany práv detí a mládeže
- ochrana a tvorba životného prostredia
- zachovanie prírodných hodnôt
- veda a výskum
- organizovanie a sprostredkovanie dobrovoľníckej činnosti a filantropickej činnosti
- grantové programy Nadácie TB.
Právnym základom spracúvania v rámci verejnoprospešného účelu je predovšetkým:
- Článok 6 ods. 1 písm. b) GDPR, a teda spracúvanie je nevyhnutné na plnenie zmluvy (napr. pri poskytnutí grantu, e-grantu, podpora partnerských programov), ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy (napr. rokovanie o poskytnutí grantu).
- Článok 6 ods. 1 písm. e) GDPR, a teda spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme (napr. organizovanie dobrovoľníckej činnosti ale aj mnohé iné aktivity v rámci verejnoprospešného účelu, pokiaľ nejde o spracúvanie na právnom základe v zmysle článku 6 ods. 1 písm. b) GDPR.
Okrem uvedených právnych základov môže v rámci verejnoprospešného účelu dochádzať aj k spracúvaniu na právnom základe:
- Článok 6 ods. 1 písm. a) GDPR, a teda dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na takýto účel a neexistuje iný právny základ na takéto spracúvanie
- Článok 6 ods. 1 písm. c) GDPR, a teda spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa. V tomto prípade ide najmä o prípady, kedy všeobecne záväzný právny predpis ukladá Nadácii TB poskytnúť súčinnosť (napr. orgánom činným v trestnom konaní, súdu a pod.)
V rámci verejnoprospešného účelu môže tiež dochádzať k spracúvaniu osobitných kategórií osobných údajov, najmä v prípade činností, ktorými sú:
- ochrana a podpora zdravia; prevencia, liečba, resocializácia drogovo závislých v oblasti zdravotníctva a sociálnych služieb,
- poskytovanie sociálnej pomoci, individuálne určenej humanitnej pomoci pre jednotlivca alebo skupinu osôb, ktoré sa ocitli v ohrození života alebo potrebujú naliehavú pomoc pri postihnutí živelnou pohromou,
- organizovanie a sprostredkovanie dobrovoľníckej činnosti a filantropickej činnosti,
- grantové programy Nadácie TB.
Právnym základom spracúvania je v takomto prípade predovšetkým článok 9 ods. 2 písm. d) GDPR, v osobitných prípadoch článok 9 ods. 2 písm. a) alebo písm. f) GDPR.
3.2 Administratívny účel
Tento účel zahŕňa predovšetkým nasledovné činnosti:
- administratíva súvisiaca s vnútornou prevádzkou Nadácie TB (napr. napr. vyhotovovanie zápisníc súvisiacich s rokovaním orgánov Nadácie TB alebo iné povinnosti vyplývajúce zo zákona o nadáciách ako aj iných právnych predpisov, personálne záležitosti atď.)
- administratíva súvisiaca so všeobecnou činnosťou nadácie (napr. povinnosť vypracúvať a zverejňovať výročné správy)
- účtovníctvo
- plnenie daňových povinností
- registratúrne činnosti
- štatistické účely 4
- ochrana práv a právom chránených záujmov prevádzkovateľa
Právnym základom spracúvania v rámci administratívneho účelu je predovšetkým:
- Článok 6 ods. 1 písm. c) GDPR, a teda spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa. V tomto prípade ide najmä o prípady, kedy všeobecne záväzný právny predpis ukladá Nadácii TB určité povinnosti (napr. v oblasti daní, účtovníctva a pod.)
- Článok 6 ods. 1 písm. b) GDPR, a teda spracúvanie je nevyhnutné na plnenie zmluvy (napr. pri zabezpečovaní personálnych a iných prevádzkových otázok)
- Článok 6 ods. 1 písm. f) GDPR, a teda spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ (napr. ochrana práv a právom chránených záujmov, ochrana majetku, prevencia pred trestnou činnosťou alebo iným protiprávnym konaním, ktorým môže byť spôsobená škoda alebo ohrozená reputácie prevádzkovateľa).
- Článok 6 ods. 1 písm. j) GDPR, a teda spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 GDPR.
V rámci administratívneho účelu môže tiež dochádzať k spracúvaniu osobitných kategórií osobných údajov. Právnym základom spracúvania je v takomto prípade predovšetkým článok 9 ods. 2 písm. d) GDPR.
3.3 Dokumentácia, podpora a propagácia verejnoprospešných činností Nadácie TB a Tatra banky a informovanie verejnosti o týchto aktivitách
V rámci účelu, ktorým je dokumentácia, podpora a propagácia verejnoprospešných činností Nadácie TB a Tatra banky a informovanie verejnosti o týchto aktivitách dochádza k spracúvaniu osobných údajov spolu so spoločným prevádzkovateľom, ktorým je Tatra banka, a.s., IČO: 00 686 930, so sídlo: Hodžovo námestie 3, 811 06 Bratislava 1, zapísaná v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sa, vložka číslo: 71/B (ďalej len „Tatra banka“).
Právnym základom spracúvania v rámci tohto účelu je predovšetkým článok 6 ods. 1 písm. f) GDPR, a teda spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sledujú títo spoloční prevádzkovatelia.
Títo spoloční prevádzkovatelia majú oprávnený záujem na zdokumentovaní, uchovaní a informovaní verejnosti o aktivitách a činnostiach Nadácie Tatra banky a Tatra banky, ktoré slúžia na podporu verejnoprospešného účelu. V rámci účelu spracúvania môže dochádzať k vyhotovovaniu záznamov v podobe umožňujúcej individuálnu identifikáciu dotknutej osoby a môže dochádzať aj k zverejneniu osobných údajov (napr. fotografií, videí a pod.).
Informácie obsiahnuté v tomto informačnom memorande, predovšetkým informácie o právach dotknutej osoby ako aj kontaktných údajoch na prevádzkovateľa, sa primerane aplikujú aj na spracúvanie osobných údajov spoločnými prevádzkovateľmi.
4. Kategórie osobných údajov, ktoré môže Nadácia TB spracúvať
Nadácia TB vždy spracúva len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie príslušného účelu spracúvania. Ide o spracúvanie rôznych kategórií osobných údajov, ktoré sa líšia v závislosti od konkrétneho účelu spracúvania a povahy spracovateľskej činnosti. Takýmito kategóriami osobných údajov sú predovšetkým:
- Identifikačné údaje (napríklad meno, priezvisko, dátum narodenia, miesto narodenia, rodné číslo, údaje z dokladu totožnosti, štátna príslušnosť, fotografia, identifikačné údaje rodinných príslušníkov),
- Video a audio záznamy, fotografie, 5
- Kontaktné údaje (napríklad adresa trvalého/prechodného pobytu, emailová adresa, telefónne číslo),
- Zdravotné údaje (údaje o zdravotných obmedzeniach, údaje o poskytovanej lekárskej starostlivosti a pod.),
- Socio-demografické údaje (napríklad vek, pohlavie, rodinný stav, vzdelanie, predchádzajúce zamestnania, údaje zo životopisu)
- Údaje súvisiace s odmeňovaním a sociálnym zabezpečením, údaje súvisiace s monitorovaním bezpečnosti u prevádzkovateľa,
- Údaje o poskytnutých grantoch.
5. Komu môžeme vaše osobné údaje poskytnúť?
Osobné údaje Nadácia TB neposkytuje iným subjektom okrem prípadov, ak ste na takéto poskytnutie udelili Nadácií TB súhlas, písomný pokyn, alebo ak existuje iný právny základ na poskytnutie vašich osobných údajov inému subjektu, napríklad v prípade, ak ide o plnenie zákonnej povinnosti Nadácie TB ako prevádzkovateľa.
Medzi subjekty, ktorým je Nadácia TB osobné údaje povinná poskytnúť, patria najmä:
- Orgány verejnej moci v oblasti správy daní,
- Orgány činné v trestnom konaní,
- Súdy,
- Úrad na ochranu osobných údajov Slovenskej republiky,
- Ďalšie orgány, ktorým je údaje prevádzkovateľ povinný poskytnúť v zmysle platných právnych predpisov.
Sprostredkovatelia
Nadácia TB môže v určitých prípadoch spracúvať vaše osobné údaje aj prostredníctvom sprostredkovateľov. Sprostredkovateľ je subjekt, ktorého Nadácia TB poverila spracúvaním osobných údajov v súlade s článkom 28 GDPR. Na poverenie spracúvaním vašich údajov prostredníctvom sprostredkovateľa sa nevyžaduje váš súhlas, prípadne iný právny základ, ako je to v prípade poskytovania údajov iným prevádzkovateľom. Sprostredkovateľ v takomto prípade spracúva vaše osobné údaje v mene Nadácia TB ako prevádzkovateľa. Spracúvanie osobných údajov prostredníctvom sprostredkovateľa nemá negatívny vplyv na výkon a uplatňovanie si vašich práv ako dotknutej osoby ustanovených v kapitole III GDPR, pričom príslušné práva si klient môže uplatniť u Nadácia TB ako prevádzkovateľa alebo tiež priamo u konkrétneho sprostredkovateľa, prostredníctvom ktorého sú vaše údaje spracúvané.
Nadácia TB pri spracúvaní vašich osobných údajov využíva nasledujúce kategórie sprostredkovateľov:
- spoločnosti vykonávajúce správu a administratívnu podporu Nadácie TB,
- spoločnosti poskytujúce účtovné služby,
- spoločnosti zabezpečujúce marketingové aktivity,
- spoločnosti poskytujúce bežné softvérové vybavenie alebo podporu.
Spoloční prevádzkovatelia
Tak ako je špecifikované bližšie v bode 3.3, Nadácia TB spracúva osobné údaje aj na účel, ktorým je dokumentácia, podpora a propagácia verejnoprospešných činností Nadácie TB a Tatra banky a informovanie verejnosti o týchto aktivitách, spolu so spoločným prevádzkovateľom Tatra banka, pričom obaja vystupujú v pozícii prevádzkovateľov, ktorí sú spoločne oprávnení oboznamovať sa s príslušnými osobnými údajmi v rámci konkrétneho účelu spracúvania.
Tatra banka a Nadácia TB uzatvorili dohodu spoločných prevádzkovateľov podľa čl. 26 GDPR o spoločnom spracúvaní osobných údajov na účel dokumentácia, podpora a propagácia 6 verejnoprospešných činností Nadácie TB a Tatra banky. V tejto dohode spoloční prevádzkovatelia upravili tieto základné časti nasledovne:
- informačné povinnosti si Tatra banka a Nadácia TB splnia prostredníctvom Informačných memoránd ochrany osobných údajov,
- Nadácia TB vybavuje všetky žiadosti dotknutých osôb podľa GDPR, pričom túto povinnosť môže presunúť na skupinovú zodpovednú osobu,
- Nadácia TB prijala internú dokumentáciu a opatrenia na zabezpečenie súladu s GDPR.
6. Prenos údajov do tretích krajín
Pri spracúvaní osobných údajov dochádza k prenosu osobných údajov do tretích krajín výlučne v prípadoch keď zaručujú primeranú úroveň ochrany alebo boli prijaté primerané záruky v zmysle GDPR s výnimkou prípadov špecifikovaných platnými právnymi predpismi.
7. Spracúvanie osobných údajov prostredníctvom cloudových riešení
Pri spracúvaní osobných údajov môže tiež dochádzať k využitiu cloudových riešení, resp. služieb podobného technického charakteru. Využitie takýchto riešení je napríklad v mnohých prípadoch nevyhnutné ako súčasť implementácie najmodernejších softwareových nástrojov, resp. ich využitie prispieva k efektivite a hospodárnosti. V neposlednom rade takéto riešenia tiež prispievajú k zachovaniu integrity spracúvaných dát a prispievajú k bezpečnosti spracúvania.
Pri takomto spracúvaní vystupujú poskytovatelia cloudových, resp. podobných služieb v závislosti od typu spracovateľskej činnosti predovšetkým v pozícii sprostredkovateľov v súlade s článkom 28 GDPR, pričom prevádzkovateľ pri výbere príslušného partnera ako aj v priebehu spracúvania dôsledne dbá, aby pri spracúvaní osobných údajov nedošlo k zvýšeniu rizika porušenia bezpečnosti údajov alebo negatívneho dopadu na práva dotknutých osôb. Prevádzkovateľ tiež dôsledná dbá na to, aby príslušný partner mal preukázateľne prijaté primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti v zmysle článku 28 ods. 3 písm. c) a článku 32 GDPR tak, aby spracúvanie spĺňalo požiadavky platných právnych predpisov, najmä GDPR a aby sa zabezpečila ochrana práv dotknutých osôb.
Pri takomto spracúvaní nedochádza k prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany v zmysle GDPR.
8. Ako dlho uchovávame vaše osobné údaje?
Vaše údaje vo forme, ktorá umožňuje vašu identifikáciu, Nadácia TB uchováva najviac po dobu, ktorá je nevyhnutná na dosiahnutie účelu, na ktorý sa osobné údaje spracúvajú.
Pokiaľ sú vaše osobné údaje spracúvané na základe vášho súhlasu, Nadácia TB bude po odvolaní súhlasu alebo po uplynutí doby platnosti súhlasu osobné údaje uchovávať len po takú dobu, aká bude nevyhnutná na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov prevádzkovateľa. Rovnako to platí aj v prípade spracúvania na základe zmluvy.
Pokiaľ sú vaše osobné údaje spracúvané v rámci plnenia zákonnej povinnosti, príslušné právne predpisy bližšie určujú dobu, počas ktorej je Nadácia TB povinná vaše osobné údaje a súvisiacu dokumentáciu uchovávať.
9. Aké sú vaše práva v súvislosti so spracúvaním osobných údajov?
V súvislosti so spracúvaním osobných údajov máte právo podať sťažnosť Úradu na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava, Slovenská republika.
Máte právo na opravu nesprávnych osobných údajov, ktoré sa Vás týkajú alebo na doplnenie neúplných osobných údajov. Ak zistíte, že o Vás spracúvame nesprávne alebo neúplne údaje, neváhajte nás prosím kontaktovať.
Ak sú vaše osobné údaje spracúvané na základe súhlasu v zmysle článku 6 ods. 1 GDPR alebo v zmysle článku 9 ods. 2 GDPR, máte právo tento súhlas kedykoľvek odvolať. Odvolanie súhlasu však nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.
Právo namietať voči spracúvaniu vašich osobných údajov
Ako dotknutá osoba, máte právo namietať voči spracúvaniu vašich osobných údajov v prípade, že k spracúvaniu dochádza na právnom základe oprávnených záujmov vrátane namietania proti prípadnému profilovaniu založenému na oprávnených záujmoch. Nadácia TB môže ďalej spracúvať vaše osobné údaje na oprávnených záujmoch len v prípade, že preukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad vašimi záujmami, právami a slobodami alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Ako dotknutá osoba máte právo na prístup k osobným údajom. V prípade naplnenia podmienok definovaných GDPR nás môžete požiadať o výpis osobných údajov, ktoré o vás spracúvame. Za určitých okolností môžete požiadať o obmedzenie spracúvania, o prenos osobných údajov a taktiež máte právo dosiahnuť vymazanie osobných údajov.
Svoje práva si môžete uplatniť písomne na adrese: DPO, Nadácia TB, Hodžovo námestie 3, 811 06 Bratislava 1, telefonicky, e-mailom na dpo@tatrabanka.sk alebo osobne na danej adrese prostredníctvom podateľne. Prevádzkovateľ Vás môže požiadať o poskytnutie dodatočných informácií potrebných pre potvrdenie vašej totožnosti.