Pravidlá ochrany súkromia
Zákazníci využívajúci systém Paysy (športový klub, alebo iná organizácia, ktorá
využíva paysy na správu poplatkov a/alebo členov) pri ukladaní osobných údajov
do systému Paysy konajú v zmysle nariadení GDPR ako prevádzkovatelia.
Prevádzkovateľ určuje účel a spôsob spracovania osobných údajov,
sprostredkovateľ spracováva údaje v mene prevádzkovateľa. Paysy s.r.o je
sprostredkovateľ a spracováva osobné údaje v mene prevádzkovateľa, keď tento
používa cloudovú platformu Paysy.
Prevádzkovatelia sú zodpovední za implementáciu vhodných technických a
organizačných opatrení na zabezpečenie a preukázanie toho, že akékoľvek
spracovanie údajov sa vykonáva v súlade s GDPR. Jednou z požiadaviek GDPR na
prevádzkovateľa, je uzavretie zmluvy so sprostredkovateľmi o spracúvaní
osobných údajov.
Spoločnosť Paysy s.r.o. ako tvorca softvéru má s každým zákazníkom podpísanú
zmluvu, ktorá reguluje aj oblasť spracúvania osobných údajov nasledovne.
Ochrana osobných údajov
- Pri používaní programu Paysy dochádza k spracovaniu osobných údajov
v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.
apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov
a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane
údajov) (ďalej len „GDPR“) a podľa zákona č. 18/2018 Z. z. o ochrane
osobných údajov a o zmene a doplnení niektorých zákonov. Pri spracúvaní
osobných údajov vystupuje objednávateľ ako prevádzkovateľ v zmysle čl.
4 ods. 7 GDPR (na účely tohto článku ďalej len „prevádzkovateľ“)
a poskytovateľ vystupuje ako sprostredkovateľ v zmysle čl. 4 ods. 8 GDPR
(na účely tohto článku ďalej len „sprostredkovateľ“).
-
Prevádzkovateľ zmluvou poveruje sprostredkovateľa spracúvaním
osobných údajov v jeho mene. Účelom spracúvania osobných údajov je
poskytovanie služieb sprostredkovateľa prevádzkovateľovi v zmysle tejto
zmluvy, t.j. využívanie programu Paysy a všetkých služieb, ktoré ponúka.
Sprostredkovateľ bude spracúvať osobné údaje v súlade s touto zmluvou,
GDPR a pokynmi prevádzkovateľa.
-
Povaha spracúvania osobných údajov vyplýva z charakteru vzťahu medzi
prevádzkovateľom a sprostredkovateľom a prevádzkovateľom a tretími
osobami, s ktorými má prevádzkovateľ uzatvorený záväzkový alebo iný
právny vzťah, ktorých osobné údaje sú spracúvané používaním programu
Paysy. Predmetom spracúvania je elektronické spracúvanie osobných
údajov v rámci funkcionalít programu Paysy v rozsahu určenom
prevádzkovateľom. Sprostredkovateľ bude s osobnými údajmi vykonávať
len také spracovateľské operácie, ktoré sú nevyhnutné na zabezpečenie
funkčnosti a prevádzkyschopnosti programu Paysy.
-
Doba spracúvania je stanovená počas trvania zmluvy alebo do vydania
pokynu prevádzkovateľa adresovanému sprostredkovateľovi o ukončení
spracúvania osobných údajov k určitému dňu.
-
Sprostredkovateľ bude spracúvať primárne bežné osobné údaje, najmä
meno, priezvisko, email, číslo bankového účtu. Program Paysy umožňuje
nastaviť spracúvanie aj iných osobných údajov, vrátane osobitnej kategórie
osobných údajov podľa čl. 9 GDPR. Prevádzkovateľ je v plnom rozsahu
zodpovedný za to, že disponuje právnym základom pre spracúvanie
osobných údajov a že splnil ďalšie povinnosti vyžadované v zmysle GDPR.
-
Dotknutými osobami sú tretie osoby, s ktorými má prevádzkovateľ
uzatvorený záväzkový alebo iný právny vzťah (najmä jeho klienti) a ktorí
z titulu tohto vzťahu poukazujú prevádzkovateľovi platby. Dotknutými
osobami môžu byť aj deti klientov.
-
Sprostredkovateľ je povinný prijať a udržiavať primerané bezpečnostné
opatrenia podľa čl. 32 GDPR. Prevádzkovateľ pred začatím spolupráce
preveril Sprostredkovateľa zo záverom, že poskytuje dostatočné záruky za
to, že spracúvanie osobných údajov spĺňa požiadavky GDPR a za to, že sa
zabezpečí ochrana práv dotknutej osoby.
-
Sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch
získaných od alebo v mene prevádzkovateľa a zabezpečí, aby sa osoby
oprávnené spracúvať osobné údaje (napr. jeho zamestnanci alebo ďalší
sprostredkovatelia) zaviazali, že zachovajú dôvernosť / mlčanlivosť o
spracúvaných osobných údajoch prevádzkovateľa.
-
Sprostredkovateľ spracúva osobné údaje len na základe
zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos
osobných údajov do tretej krajiny alebo medzinárodnej organizácie, s
výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského
štátu, ktorému sprostredkovateľ podlieha; v takom prípade
sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred
spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo
závažných dôvodov verejného záujmu.
-
Sprostredkovateľ je povinný pomáhať prevádzkovateľovi pri plnení
povinnosti prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej
osoby a ďalších povinností prevádzkovateľa podľa čl. 32 až 36 s
prihliadnutím na povahu spracúvania a informácie dostupné
sprostredkovateľovi, na náklady prevádzkovateľa. V prípade doručenia
žiadosti dotknutej osoby sprostredkovateľovi týkajúcej sa spracúvania jej
osobných údajov (vrátane žiadostí predmetom ktorých je uplatnenie
niektorého z práv dotknutej osoby podľa čl. 15 a nasl. GDPR),
sprostredkovateľ bezodkladne takúto žiadosť zašle prevádzkovateľovi.
-
Po ukončení poskytovania služieb týkajúcich sa spracúvania na základe
rozhodnutia prevádzkovateľa sprostredkovateľ všetky osobné údaje buď
vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo
Únie alebo právo členského štátu nepožaduje uchovávanie týchto
osobných údajov.
-
Sprostredkovateľ je povinný bezodkladne oznámiť prevádzkovateľovi
každé podozrenie, že došlo k porušeniu ochrany osobných údajov.
-
Sprostredkovateľ poskytne prevádzkovateľovi všetky informácie potrebné
na preukázanie splnenia povinností v čl. 28 GDPR a umožní audity, ako aj
kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého
poveril prevádzkovateľ, a prispieva k nim. Prevádzkovateľ znáša všetky
náklady sprostredkovateľa podľa predchádzajúcej vety, vrátane
administratívnych nákladov a nákladov sprostredkovateľa na právne
poradenstvo.
-
Sprostredkovateľ je povinný dodržiavať podmienky zapojenia ďalšieho
sprostredkovateľa podľa čl. 28 ods. 2 a 4 GDPR. Prevádzkovateľ týmto
udeľuje sprostredkovateľovi všeobecné povolenie na zapojenie ďalšieho
sprostredkovateľa za dodržania podmienok uvedených vo vyššie čl. 28
ods. 2 a 4 GDPR. Sprostredkovateľ je povinný primeraným spôsobom
a preukázateľne informovať prevádzkovateľa o akýchkoľvek zamýšľaných
zmenách v súvislosti s pridaním alebo nahradením ďalších
sprostredkovateľov.