ČLÁNOK I
DEFINÍCIE A VÝKLAD
1.1 Definície
Pokiaľ nie je v tomto dokumente vyslovene uvedené inak, výrazy s veľkým počiatočným písmenom majú nižšie uvedený význam:
„Recept Zdravia“ znamená program ucelenej intervencie zameranej na zlepšenie životného štýlu pomocou behaviorálnej zmeny (a to najmä zlepšenie miery pohybovej aktivity, stravovacích návykov, spánku, miery stresu a mentálnej pohody), ktorú absolvuje účastník na základe objednávky.
„Inštitút Zhiva“ znamená – Inštitút Zhiva – občianske združenie, Sídlo: Koperníkova 3815/47, 821 04 Bratislava-Ružinov, IČO: 54778841, Registrovaný v registri MV SR, reg. číslo VVS/1-900/90-64354
„Zhiva,“ znamená Zhiva, j. s. a. Robotnícka 11591/1J, Martin 036 01, IČO: 53 766 148, zapísaná v OR Okresného súdu Žilina, odd.: Sja, vložka č. 18/L
„Dotknutá osoba” znamená fyzická osoba, ktorej Osobné údaje sa spracúvajú;
„GDPR” znamenáNariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – Ú. v. EÚ L 119, 4. 5. 2016;
„Osobné údaje” znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle článku 4 bod 1 GDPR a/alebo údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu;
„Príjemca” znamená fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa Osobné údaje poskytujú bez ohľadu na to, či je treťou stranou;
„Zákon“ znamená zákon 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
„Prevádzkovateľ“ znamená spoločný prevádzkovatelia podľa článku 26 GDPR, ktorými sú Inštitút Zhiva a Zhiva.
ČLÁNOK II
SPRACÚVANIE OSOBNÝCH ÚDAJOV
2.1 Okamih začatia spracúvania Osobných údajov a doba ich spracúvania
2.1.1 Inštitút Zhiva a Zhiva ako spoločný prevádzkovatelia podľa článku 26 GDPR sú oprávnené začať spracúvať Osobné údaje Dotknutých osôb ako Prevádzkovateľ momentom, kedy
– Dotknutá osoba vysloví prostredníctvom webstránky receptdzravia.sk na to súhlas, alebo
– zakúpením programu Recept Zdravia.
2.1.2 Prevádzkovateľ spracúva Osobné údaje:
– počas obdobia, po ktoré bude poskytovaný program Receptu zdravia a po jeho skončení až do uplynutia piatich rokov od skončenia Receptu Zdravia, alebo
– až do momentu, pokiaľ nebude súhlas spracúvať Osobné údaje odvolaný Dotknutou osobou.
– máte možnosť sa kedykoľvek vyjadriť nesúhlas s posielaním marketingovej komunikácie pomocou odkazu v každom e-maile, ktorý vám pošleme alebo kliknutím TU.
2.2 Účel spracúvania Osobných údajov
2.2.1 Prevádzkovateľ spracúva Osobné údaje Dotknutých osôb
a) za účelom poskytovania služieb Receptu zdravia na základe riadne uzatvorenej zmluvy
b) za účelom poskytnutia bližších informácii o Recepte zdravia
c) na propagáciu a udržiavanie kontaktu s existujúcimi alebo potencionálnymi zákazníkmi (najmä informovanie o aktivitách Inštitútu Zhiva a Zhiva, zasielanie ponúk, prezentácií a komerčných oznámení).
2.2.2 Právnym základom spracúvania Osobných údajov je
a) zmluva na základe ktorej sa poskytuje Recept zdravia, alebo
b) súhlas Dotknutej osoby (v prípade, že prejavila záujem o bližšie informácie o Recepte zdravia), alebo
c) oprávnený záujem v prípade marketingových aktivít, alebo
d) povinnosť vyplývajúca zo zákona v prípade nutnosti súčinnosti Prevádzkovateľa s trestnými a ďalšími štátnymi orgánmi.
2.3 Povaha a prostriedky spracúvania Osobných údajov
2.3.1 Spracúvanie Osobných údajov sa bude vykonávať úplne automatizovanými prostriedkami, pričom prostriedkami spracúvania Osobných údajov sú výpočtová technika a iná technika ako osobné počítače, notebooky, server a sieťové komponenty, mobilné zariadenia, ako aj inými než automatizovanými prostriedkami.
2.4 Kategórie (typy) Osobných údajov
Prevádzkovateľ spracúva údaje Dotknutých osôb v nasledujúcom rozsahu:
– Ad 2.2.2. a) Kontaktné údaje: meno, priezvisko, adresa, bydlisko, e-mailová adresa, telefónne číslo a ďalšie údaje týkajúce sa napr. motivácie účastníka, pohlavie, a pod, ktoré pomáhajú coachovi pri vedení koučingu zdravia v rámci Receptu zdravia
– Ad 2.2.2. b) Kontaktné údaje: e-mailová adresa.
– Ad 2.2.2. c) Kontaktné údaje: e-mailová adresa.
2.5 Kategórie Dotknutých osôb
2.5.1 Prevádzkovateľ spracúva Osobné údaje nasledovných kategórií Dotknutých osôb:
– Potencionálny účastníci (ktorí zanechali e-mail na webovom sídle www.receptzdravia.sk keď prejavili záujem o viac informácii o Recepte zdravia),
– Zákazníci, ktorí si zakúpili program Recept zdravia
2.6 Kategórie Príjemcov
2.6.1 Prevádzkovateľ môže poskytovať Osobné údaje nasledovným kategóriám Príjemcov:
– zamestnanci Prevádzkovateľa;
– externí spolupracovníci Prevádzkovateľa, a to najmä kouči zdravia;
– partneri Prevádzkovateľa, ktorí zabezpečujú niektoré činnosti nutné pre správne fungovanie koučing zdravia (napr. aplikácie tretích strán, prevádzkovatelia e-mailových služieb, vlastníci domén, doručovacie služby a pod);
– audítor, právnik či účtovník Zhiva Inštitút;
– orgánoy činných v trestnom konaní a iné orgány, ktorým sa poskytujú osobné údaje podľa všeobecne záväzných právnych predpisov (napr. kontrolné orgány).
2.7 Spracovateľské operácie
2.7.1 Prevádzkovateľ je oprávnená spracúvať Osobné údaje Dotknutých osôb v rámci všetkých a akýchkoľvek spracovateľských operácií, ktoré sú nevyhnutné na splnenie účelu spracúvania Osobných údajov.
2.7.2 Prevádzkovateľ spracúva Osobné údaje Dotknutých najmä nasledovne: (i) zaznamenáva ich do informačného systému okamžite po ich získaní, (ii) ďalej ich usporadúva, (iii) uchováva po celý čas ich spracúvania a používania, ako aj následne v dobe, počas ktorej by sa Osobné údaje mali archivovať, (iv) prípadne, ak dôjde k zmene Osobných údajov, tak údaje zmení, (v) osobné údaje v prípade potreby vyhľadáva, (vi) prípadne prehliada, ako aj (vii) ďalej využíva, (viii) preskupuje (ix) alebo kombinuje a (x) ak to vyplýva z GDPR a/alebo Zákona, tak aj obmedzí, či vymaže.
2.8 Prenos Osobných údajov
2.8.1 Prevádzkovateľ neprenáša Osobné údaje mimo Európskej únie do tretích krajín a/alebo medzinárodných organizácií.
2.9 Lehoty na vymazanie alebo vrátenie Osobných údajov
2.9.1 Prevádzkovateľ vymaže Osobné údaje v prípadoch uvedených v článku 17 GDPR a v Zákone (najmä § 23), a to najmä pri ukončení doby spracovania či na základe žiadosti dotknutej osoby.
ČLÁNOK III
Technické a organizačné opatrenia
3.1 Technické a organizačné opatrenia
Prevádzkovateľ týmto potvrdzuje, že prijal primerané technické a organizačné opatrenia tak, aby spracúvanie Osobných údajov spĺňalo požiadavky GDPR a Zákona, a aby sa zabezpečila ochrana práv Dotknutej osoby a zaväzuje sa ich používať pri spracúvaní Osobných údajov od okamihu prijatia týchto Osobných údajov až do ukončenia ich spracúvania, pokiaľ nedostane iné usmernenia od príslušných orgánov verejnej moci.
ČLÁNOK IV
ZÁSADY NA SPRACÚVANIE OSOBNÝCH ÚDAJOV
4.1 Základné zásady
4.1.1 Osobné údaje možno spracúvať len zákonným spôsobom podľa pokynov a tak, aby nedošlo k porušeniu základných práv Dotknutej osoby. Prevádzkovateľ udeľuje konkrétnym osobám jasné a stručné pokyny, ktoré sú v súlade so Zákonom a s GDPR.
4.1.2 Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel, ktorý stanoví , ktorý nesmie byť nelegitímny a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Účel musí byť vymedzený dostatočne jasne a určito tak, aby z neho bolo zrejmé, aké spracovateľské operácie budú na jeho základe prebiehať alebo aké spracovateľské operácie môže Dotknutá osoba očakávať, že s jej Osobnými údajmi môžu prebiehať. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvania Osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných Osobných údajov.
4.1.3 Spracúvané Osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom stanoveným Prevádzkovateľom, na ktorý sa spracúvajú.
4.1.4 Každé spracúvanie Osobných údajov musí byť založené na legálnom právnom základe stanoveným Prevádzkovateľom, nesmie byť protiprávne. Pred každým spracúvaním Osobných údajov je Prevádzkovateľ povinný posúdiť, na základne akého právneho základu budú Osobné údaje spracúvané a následne tomu prispôsobiť podmienky spracúvania Osobných údajov a rozsah Osobných údajov.
4.1.6 Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu Dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa Osobné údaje spracúvajú.
4.1.7 Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú úroveň bezpečnosti Osobných údajov vrátane ochrany pred neoprávneným spracúvaním Osobných údajov, nezákonným spracúvaním Osobných údajov, náhodnou stratou Osobných údajov, výmazom Osobných údajov alebo poškodením Osobných údajov. Prevádzkovateľ je povinný pred spracúvaním Osobných údajov vždy vykonať posúdenie povahy, rozsahu, kontextu a účelu spracúvania Osobných údajov, ako aj pravdepodobnosť a závažnosť rizík pre práva a slobody fyzických osôb, vrátane najnovších poznatkov a nákladov na vykonanie opatrení, a to najmä v súlade s článkom 32 GDPR a Zákonom a v prípade, ak sú naplnené všetky predpoklady, tak aj posúdenie vplyvu na ochranu osobných údajov podľa článku 35 GDPR a Zákona.
4.1.8 Prevádzkovateľ je povinný zabezpečiť povinnosti reagovať na žiadosti o výkon práv Dotknutej osoby ustanovených v kapitole III. GDPR, ako aj plnenie povinností najmä podľa článkov 32 až 36 GDPR a Zákona.
4.1.9 Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov a za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov.
4.1.10 Prevádzkovateľ je povinný spracúvať Osobné údaje len na základe zdokumentovaných pokynov tak, aby bol zabezpečený súlad spracúvania Osobných údajov s GDPR a Zákonom, najmä s článkom 28 ods. 3 písm. a) GDPR.
4.1.11 Prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach.
4.2 Profilovanie
4.2.1 Prevádzkovateľ nevykonáva profilovanie.
ČLÁNOK V
ROZDELENIE ZODPOVEDNOSTÍ MEDZI SPOLOČNÝMI PREVÁDZKOVATEĽMI
5.1 Inštitút Zhiva najmä:
a) zabezpečuje priamy kontakt so zákazníkmi v rámci koučingu zdravia,
b) je zodpovedný za komunikáciu so všetkými Dotknutými osobami,
c) spracúva osobné údaje súvisiace s poskytovaním Receptu zdravia,
d) zodpovedá za získavanie súhlasov a plnenie informačných povinností voči Dotknutým osobám,
e) rieši žiadosti Dotknutých osôb týkajúce sa ich práv v oblasti ochrany osobných údajov.
5.2 Zhiva najmä:
a) poskytuje technické zabezpečenie a softvérové riešenia pre Recept zdravia a spracovateľské operácie v tomto riešení,
b) zodpovedá za bezpečnosť a ochranu osobných údajov v používaných systémoch,
c) vyvíja a aktualizuje metodiku pre Recept zdravia,
d) zabezpečuje technickú podporu pre spracúvanie osobných údajov,
e) implementuje technické a organizačné opatrenia na ochranu osobných údajov.
5.3 Spoločne sú Inštitút Zhiva a Zhiva ako Prevádzkovateľ:
a) určujú účely a prostriedky spracúvania osobných údajov,
b) spolupracujú pri aktualizácii zásad ochrany osobných údajov a ich dodržiavaní ako aj dodržiavaní GDPR a Zákona,
c) v prípade incidentov v oblasti ochrany osobných údajov spolupracujú na jeho riešení a oznamovaní.
ČLÁNOK VI
PRÁVA DOTKNUTEJ OSOBY
6.1 Práva dotknutej osoby
6.1.1 Dotknutá osoba má najmä nasledovné práva:
a) právo požadovať od Prevádzkovateľa prístup k svojim Osobným údajom;
b) právo na opravu Osobných údajov;
c) právo na vymazanie Osobných údajov;
d) právo na obmedzenie spracúvania Osobných údajov;
e) právo namietať spracúvanie Osobných údajov;
f) právo na prenos svojich osobných údajov;
g) právo odvolať súhlas (ak je súhlas právnym základom spracúvania);
h) právo podať sťažnosť a návrh na začatie konania dozornému orgánu t.j. Úradu na ochranu osobných údajov Slovenskej republiky so sídlom Hraničná 4826/12, 820 07 Bratislava – Ružinov tel. číslo: +421 /2/ 3231 3214; mail: statny.dozor@pdp.gov.sk, https://dataprotection.gov.sk, pokiaľ sa domnieva, že boli porušené jej práva v oblasti ochrany osobných údajov.
6.1.2 Práva uvedené v odseku 6.1.1 toho článku sú podrobnejšie špecifikované v článkoch 15 až 21 Nariadenia a § 19 až § 30 Zákona. Uvedené práva si Dotknutá osoba môže uplatniť v súlade s Nariadením, Zákonom a inými právnymi predpismi. Voči Prevádzkovateľovi si Dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami komunikácie. V prípade, ak Dotknutá osoba požiadala ústne o poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že Dotknutá osoba preukázala svoju totožnosť.
ČLÁNOK VII
COOKIES
7.1 Čo sú cookies?
7.1.1 Cookies sú malé textové súbory uložené vo vašom zariadení. Môžu obsahovať základné informácie o vás, vašom zariadení alebo používaní webu. Súbory cookie poskytujú napríklad rozpoznanie používateľa, personalizáciu a uľahčenie používania.
7.2 Typy súborov cookie:
7.3 Súhlas so spracovaním cookies
7.3. 1 Na používanie základných cookies nepotrebujeme váš súhlas, pretože sú nevyhnutne potrebné na prevádzku webovej stránky. V prípade ostatných typov cookies váš súhlas potrebujeme, preto ste pri návšteve webu v spodnej časti prehliadača vyzvaní, aby ste používanie cookies schválili.
7.3.2 Váš súhlas je dobrovoľný. Ak sa rozhodnete zablokovať aj základné cookies, web nemusí fungovať správne.
ČLÁNOK VII
KONTAKT
8.1. Dotknutá osoba môže kontaktovať Poskytovateľa:
a) Inštitút Zhiva e-mailom na adrese: program@receptzdravia.sk alebo
b) Zhiva e-mailom na adrese info@zhiva.sk
c) poštou na Inštitút Zhiva, Koperníkova 3815/47, 821 04 Bratislava-Ružinov