Pravidlá ochrany súkromia

Zákazníci využívajúci systém Paysy (športový klub, alebo iná organizácia, ktorá využíva paysy na správu poplatkov a/alebo členov) pri ukladaní osobných údajov do systému Paysy konajú v zmysle nariadení GDPR ako prevádzkovatelia.

Prevádzkovateľ určuje účel a spôsob spracovania osobných údajov, sprostredkovateľ spracováva údaje v mene prevádzkovateľa. Paysy s.r.o je sprostredkovateľ a spracováva osobné údaje v mene prevádzkovateľa, keď tento používa cloudovú platformu Paysy.

Prevádzkovatelia sú zodpovední za implementáciu vhodných technických a organizačných opatrení na zabezpečenie a preukázanie toho, že akékoľvek spracovanie údajov sa vykonáva v súlade s GDPR. Jednou z požiadaviek GDPR na prevádzkovateľa, je uzavretie zmluvy so sprostredkovateľmi o spracúvaní osobných údajov.

Spoločnosť Paysy s.r.o. ako tvorca softvéru má s každým zákazníkom podpísanú zmluvu, ktorá reguluje aj oblasť spracúvania osobných údajov nasledovne.

Ochrana osobných údajov

  1. Pri používaní programu Paysy dochádza k spracovaniu osobných údajov v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“) a podľa zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Pri spracúvaní osobných údajov vystupuje objednávateľ ako prevádzkovateľ v zmysle čl. 4 ods. 7 GDPR (na účely tohto článku ďalej len „prevádzkovateľ“) a poskytovateľ vystupuje ako sprostredkovateľ v zmysle čl. 4 ods. 8 GDPR (na účely tohto článku ďalej len „sprostredkovateľ“).
  2. Prevádzkovateľ zmluvou poveruje sprostredkovateľa spracúvaním osobných údajov v jeho mene. Účelom spracúvania osobných údajov je poskytovanie služieb sprostredkovateľa prevádzkovateľovi v zmysle tejto zmluvy, t.j. využívanie programu Paysy a všetkých služieb, ktoré ponúka. Sprostredkovateľ bude spracúvať osobné údaje v súlade s touto zmluvou, GDPR a pokynmi prevádzkovateľa.
  3. Povaha spracúvania osobných údajov vyplýva z charakteru vzťahu medzi prevádzkovateľom a sprostredkovateľom a prevádzkovateľom a tretími osobami, s ktorými má prevádzkovateľ uzatvorený záväzkový alebo iný právny vzťah, ktorých osobné údaje sú spracúvané používaním programu Paysy. Predmetom spracúvania je elektronické spracúvanie osobných údajov v rámci funkcionalít programu Paysy v rozsahu určenom prevádzkovateľom. Sprostredkovateľ bude s osobnými údajmi vykonávať len také spracovateľské operácie, ktoré sú nevyhnutné na zabezpečenie funkčnosti a prevádzkyschopnosti programu Paysy.
  4. Doba spracúvania je stanovená počas trvania zmluvy alebo do vydania pokynu prevádzkovateľa adresovanému sprostredkovateľovi o ukončení spracúvania osobných údajov k určitému dňu.
  5. Sprostredkovateľ bude spracúvať primárne bežné osobné údaje, najmä meno, priezvisko, email, číslo bankového účtu. Program Paysy umožňuje nastaviť spracúvanie aj iných osobných údajov, vrátane osobitnej kategórie osobných údajov podľa čl. 9 GDPR. Prevádzkovateľ je v plnom rozsahu zodpovedný za to, že disponuje právnym základom pre spracúvanie osobných údajov a že splnil ďalšie povinnosti vyžadované v zmysle GDPR.
  6. Dotknutými osobami sú tretie osoby, s ktorými má prevádzkovateľ uzatvorený záväzkový alebo iný právny vzťah (najmä jeho klienti) a ktorí z titulu tohto vzťahu poukazujú prevádzkovateľovi platby. Dotknutými osobami môžu byť aj deti klientov.
  7. Sprostredkovateľ je povinný prijať a udržiavať primerané bezpečnostné opatrenia podľa čl. 32 GDPR. Prevádzkovateľ pred začatím spolupráce preveril Sprostredkovateľa zo záverom, že poskytuje dostatočné záruky za to, že spracúvanie osobných údajov spĺňa požiadavky GDPR a za to, že sa zabezpečí ochrana práv dotknutej osoby.
  8. Sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch získaných od alebo v mene prevádzkovateľa a zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje (napr. jeho zamestnanci alebo ďalší sprostredkovatelia) zaviazali, že zachovajú dôvernosť / mlčanlivosť o spracúvaných osobných údajoch prevádzkovateľa.
  9. Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu.
  10. Sprostredkovateľ je povinný pomáhať prevádzkovateľovi pri plnení povinnosti prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej osoby a ďalších povinností prevádzkovateľa podľa čl. 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi, na náklady prevádzkovateľa. V prípade doručenia žiadosti dotknutej osoby sprostredkovateľovi týkajúcej sa spracúvania jej osobných údajov (vrátane žiadostí predmetom ktorých je uplatnenie niektorého z práv dotknutej osoby podľa čl. 15 a nasl. GDPR), sprostredkovateľ bezodkladne takúto žiadosť zašle prevádzkovateľovi.
  11. Po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa sprostredkovateľ všetky osobné údaje buď vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov.
  12. Sprostredkovateľ je povinný bezodkladne oznámiť prevádzkovateľovi každé podozrenie, že došlo k porušeniu ochrany osobných údajov.
  13. Sprostredkovateľ poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností v čl. 28 GDPR a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim. Prevádzkovateľ znáša všetky náklady sprostredkovateľa podľa predchádzajúcej vety, vrátane administratívnych nákladov a nákladov sprostredkovateľa na právne poradenstvo.
  14. Sprostredkovateľ je povinný dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa čl. 28 ods. 2 a 4 GDPR. Prevádzkovateľ týmto udeľuje sprostredkovateľovi všeobecné povolenie na zapojenie ďalšieho sprostredkovateľa za dodržania podmienok uvedených vo vyššie čl. 28 ods. 2 a 4 GDPR. Sprostredkovateľ je povinný primeraným spôsobom a preukázateľne informovať prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov.