Informácie o spracúvaní osobných údajov

Zásady ochrany osobných údajov

Poskytovanie informácií prevádzkovateľom dotknutým osobám

Obchodná spoločnosť WILLYTOUR, s.r.o. so sídlom Krivá 23, 040 01 Košice  , Slovenská republika, zapísaná v Obchodnom registri/ Okresného súdu Košice I, oddiel Sro, vložka č.: 16358/V, IČO: 36 591 301, web: www.willytour.sk (ďalej ako „Prevádzkovateľ“) si týmto dovoľuje oznámiť nasledujúce informácie v súvislosti so spracúvaním osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľa, a to podľa §15 ods. 1 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
(ďalej len „Zákon“):

I. IDENTIFIKAČNÉ ÚDAJE PREVÁDZKOVATEĽA
Obchodný názov: WILLYTOUR, s.r.o.
Sídlo: Krivá 23, 040 01 Košice 
Registrácia: zápis v Obchodnom registri Okresného súdu Košice I, oddiel Sro, vložka č.:   16358/V , IČO: 36 591 301 
Štatutárny zástupca: Ján Fabišík , konateľ

II. ÚČEL SPRACÚVANIA OSOBNÝCH ÚDAJOV
Prevádzkovateľ je cestovná kancelária obstarávajúca a sprostredkujúca zájazdy a iné služby cestovného ruchu v súlade s ustanoveniami Zákona č. 281/2001 Z.z. v platnom znení a v súlade s príslušnými právnymi predpismi na základe cestovných zmlúv uzatvorených s klientmi, ktoré sa spravujú slovenským právom.
Účelom spracovania osobných údajov prevádzkovateľom je oprávnený záujem prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR) na riadnom zabezpečení fungovania jednotlivých agend v informačných systémoch prevádzkovateľa, ktorý môže spracúvať osobné údaje s cieľom:
• plnenia povinností cestovnej kancelárie vyplývajúcich z cestovnej zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo kde je dotknutá osoba konajúcou v mene Zmluvnej strany;
• plnenia povinností cestovnej kancelárie vyplývajúcich z poistnej zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo kde je dotknutá osoba konajúcou v mene Zmluvnej strany;
• výkonu marketingovej činnosti prostredníctvom pošty a e-mailu;
v zmysle bodu 47 preambuly GDPR, a
• plnenia povinností ustanovených osobitnými predpismi (napr. podľa Zákona č. 250/2007 Z.z., Zákona č.161/2011 Z.z. a pod.)
Pričom rozsah osobných údajov spracovávaných prevádzkovateľom neprekračuje nevyhnutný rozsah daný účelom v jednotlivých prípadoch. (§8 zák. č. 18/2018 Z.z.)

III. ZOZNAM OSOBNÝCH ÚDAJOV
Prostredníctvom oprávnených osôb, Prevádzkovateľ môže v závislosti od účelu a právneho základu, spracúvať nasledovné osobné údaje:
• meno, priezvisko, titul,
• dátum narodenia,
• štátna príslušnosť (ak je to nevyhnutné),
• trvalé bydlisko resp. prechodné bydlisko,
• e-mail,
• mobil,
• rodné číslo (v prípade poistnej zmluvy),
• číslo voucheru,
• pohlavie,
• online identifikátor,
• história prezeraného obsahu,
• história nákupov.

IV. DOPLŇUJÚCE INFORMÁCIE
A. OPRÁVNENÉ OSOBY PREVÁDZKOVATEĽA
Prevádzkovateľ získava osobné údaje dotknutých osôb prostredníctvom oprávnených osôb (ďalej len „Oprávnená osoba“). Oprávnená osoba je povinná postupovať pri spracúvaní osobných údajov dotknutých osôb v súlade so Zákonom, inými zákonmi, všeobecne záväznými právnymi predpismi, internými normami Prevádzkovateľa a rešpektovať príslušné povinnosti vyplývajúce z písomného poučenia a zavedených bezpečnostných opatrení. Oprávnená osoba má právo vykonávať povolené spracovateľské operácie s osobnými údajmi spracúvanými v informačných systémoch osobných údajov výlučne v súlade s právnym základom, od ktorého Prevádzkovateľ odvodzuje oprávnenie spracúvať osobné údaje, a to len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného alebo vymedzeného účelu spracúvania. Oznámenie totožnosti Oprávnenej osoby a sprostredkovateľa, ktorá získava osobné údaje dotknutej osoby v mene Prevádzkovateľa, ako aj všetky informácie o podmienkach spracúvania osobných údajov dotknutých osôb môže dotknutá osoba získať u prevádzkovateľa na základe písomnej žiadosti dotknutej osoby.
B. POUČENIE DOBROVOĽNOSTI ALEBO POVINNOSTI POSKYTNÚŤ OSOBNÉ ÚDAJE
Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení Zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby. Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby podľa § 10 Zákona o. i. aj vtedy, ak:
a) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby;
b) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby;
c) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby Prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov;
d) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené;
e) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany.
Ak sa na spracúvanie osobných údajov neuplatňuje § 10 Zákona, Prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby. Takto poskytnutý súhlas dotknutej osoby je dobrovoľný, Prevádzkovateľ si nesmie súhlas dotknutej osoby vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby alebo tovaru. Dotknutá osoba je povinná poskytnúť Prevádzkovateľovi všetky požadované osobné údaje a informácie, ktoré ustanovujú všeobecne záväzné právne predpisy. Medzi právne predpisy, ktoré ustanovujú povinnosť dotknutej osoby poskytnúť osobné údaje a ktoré upravujú spracúvanie osobných údajov patria najmä Zákon č. 122/2013 Z.z., Zákon č. 40/1964 Zb. a pod. Ustanovenia ostatných právnych predpisov upravujúcich povinnosť dotknutej osoby poskytnúť Prevádzkovateľovi osobné údaje týmto nie sú dotknuté. Odmietnutie poskytnúť osobné údaje, ak povinnosť poskytnúť osobné údaje ustanovuje zákon, môže mať za následok odmietnutie uzatvorenia zmluvného vzťahu zo strany Prevádzkovateľa.
C. ZOZNAM TRETÍCH STRÁN, KTORÝM BUDÚ OSOBNÉ ÚDAJE POSKYTNUTÉ
Prevádzkovateľ poskytuje osobné údaje dotknutých osôb tretím stranám, ak povinnosť poskytnúť osobné údaje ukladá Prevádzkovateľovi všeobecne záväzný predpis, ak je poskytnutie osobných údajov dohodnuté medzi Prevádzkovateľom a dotknutou osobou alebo tretím stranám príp. okruhu tretích strán, s ktorými má Prevádzkovateľ uzatvorenú obchodnú zmluvu, najmä však:
• UNION – poisťovňa
• Darkmay s.r.o. - organizačná zložka Slovensko, Štefánikova 698/7, 90501 Senica, Slovenská republika Mailgun
• Google Adwords a Analytics
• Facebook ads
ďalej subjektom, s ktorými má Prevádzkovateľ uzatvorené zmluvy o spolupráci, zmluvy o obchodnom zastúpení, zmluvy o poskytovaní právnych služieb, zmluvy o doprave, ako aj zmluvy s dodávateľmi rezervačného a iného informačného systému v súvislosti s ich prevádzkou a vývojom.
D. OKRUH PRÍJEMCOV, KTORÝM BUDÚ OSOBNÉ ÚDAJE SPRÍSTUPNENÉ
Prevádzkovateľ sprístupňuje osobné údaje dotknutých osôb príjemcom, ak povinnosť sprístupniť osobné údaje ukladá Prevádzkovateľovi všeobecne záväzný predpis, ak je sprístupnenie osobných údajov dohodnuté medzi Prevádzkovateľom a dotknutou osobou alebo príjemcom, s ktorými má Prevádzkovateľ uzatvorenú obchodnú zmluvu, najmä však letecké spoločnosti, ďalej subjektom, s ktorými má Prevádzkovateľ uzatvorené zmluvy o spolupráci, zmluvy o obchodnom zastúpení, zmluvy o preprave.
Prevádzkovateľ týmto prehlasuje, že pri výbere Sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť.
E. ZVEREJNENIE OSOBNÝCH ÚDAJOV
Prevádzkovateľ poskytnuté osobné údaje nezverejňuje.
F. TRETIE KRAJINY, DO KTORÝCH SA PREDPOKLADÁ PRENOS OSOBNÝCH ÚDAJOV
Prevádzkovateľ vykonáva prenos osobných údajov do tretích krajín, s ktorými má upravené zmluvné vzťahy v zmysle povinnosti Prevádzkovateľa vyplývajúcich z ustanovení §31 a nasl. týkajúcich sa cezhraničného prenosu osobných údajov, najmä však do krajín, ktoré podľa rozhodnutia Európskej komisie1 zaručujú primeranú úroveň ochrany osobných údajov, a to do:
• Bulharskej republiky,
• Gréckej republiky,
• Chorvátskej republiky,
• Maďarska
• Írska
• Belgicka
• EU
• USA
a do krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, a to do:
• Tureckej republiky.
• Africké štáty
Prevádzkovateľ prijal primerané záruky ochrany súkromia a základných práv a slobôd dotknutých osôb, ktoré vyplývajú zo štandardných zmluvných doložiek podľa osobitného predpisu.
G. POUČENIE O PRÁVACH DOTKNUTEJ OSOBY PODĽA §28 ZÁKONA
Dotknutá osoba má právo na základe písomnej žiadosti od Prevádzkovateľa vyžadovať:
a) potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
b) vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa § 15 ods. 1 písm. a) až e) Zákona druhý až šiesty bod; pri vydaní rozhodnutia podľa odseku 5 Zákona je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
c) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
d) vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania,
e) opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
f) likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
g) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona,
h) blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak Prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.
Právo dotknutej osoby podľa písm. e) a f) možno obmedziť, len ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
Dotknutá osoba na základe písomnej žiadosti má právo u Prevádzkovateľa namietať voči:
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu, a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 10 ods. 3 písm. d) Zákona na účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 10 ods. 3 písm. d) Zákona na účely priameho marketingu.
Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, má právo u Prevádzkovateľa kedykoľvek namietať voči spracúvaniu osobných údajov v prípadoch podľa § 10 ods. 3 písm. a), e), f) alebo g) Zákona vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, Prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia. Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej má právo u Prevádzkovateľa kedykoľvek namietať a nepodrobiť sa rozhodnutiu Prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa také rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať Prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom Prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia Prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3 Zákona. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom sú upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov Prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak Prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať úradu návrh na začatie konania o ochrane osobných údajov. Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, jej práva môže uplatniť zákonný zástupca. Ak dotknutá osoba nežije, jej práva, ktoré mala podľa Zákona, môže uplatniť blízka osoba.

1 napr. rozhodnutie Komisie z 26/07/2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú.v. EÚ, kap. 16/zv.1; Ú.v. ES L 215, 25.8.2000)
.
2 napr. rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú.v. EÚ L 39, 12.2.2010), rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 26; Ú.v. ES L 181, 4.7.2001.



Nariadenie sa začne uplatňovať od 25. 5. 2018.