Zásady spracúvania osobných údajov

1. ÚVODNÉ USTANOVENIA

1.1. Tieto Zásady spracúvania osobných údajov (ďalej len „Zásady“) upravujú spôsob, rozsah, účely, právne základy a zásady spracúvania osobných údajov fyzických osôb (ďalej len „dotknuté osoby“), ako aj poučenie o právach dotknutých osôb a spôsobe ich uplatňovania.

1.2. Prevádzkovateľom osobných údajov je:

Bc. Eva Gromová Ostrožovičová
Miesto podnikania: Sekvojová ulica 2013/7, 900 42 Miloslavov
Sídlo pre korešpondenciu: Sekvojová ulica 2013/7, 900 42 Miloslavov
IČO: 31295011
Zapísaná v: živnostenskom registri Okresného úradu Senec, číslo živnostenského  

registra 140-30489

E-mail: info@evyea.sk
Telefón: + 421 904 169 521
Web: www.evyea.sk
(ďalej len „prevádzkovateľ“)

1.3. Prevádzkovateľ spracúva osobné údaje v súlade s:

• Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“),
• zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov,
• a ďalšími všeobecne záväznými právnymi predpismi Slovenskej republiky upravujúcimi ochranu osobných údajov.

1.4. Účelom týchto Zásad je zabezpečiť, aby všetky spracovateľské operácie vykonávané prevádzkovateľom boli zákonné, spravodlivé, transparentné, primerané a obmedzené len na nevyhnutný rozsah.

1.5. Prevádzkovateľ zodpovedá za dodržiavanie princípov spracúvania osobných údajov podľa článku 5 GDPR a je schopný ich preukázať („zásada zodpovednosti“).

1.6. Tieto Zásady sa vzťahujú na všetky prípady, keď prevádzkovateľ získava a spracúva osobné údaje dotknutých osôb prostredníctvom:

1. webovej stránky www.evyea.sk, 
2. kontaktného alebo rezervačného formulára,
3. priamej e-mailovej alebo telefonickej komunikácie,
4. osobného stretnutia alebo poskytovania koučingových, rozvojových a vzdelávacích služieb.

2. ROZSAH A ÚČELY SPRACÚVANIA OSOBNÝCH ÚDAJOV

2.1. Prevádzkovateľ spracúva osobné údaje výhradne v rozsahu nevyhnutnom na dosiahnutie konkrétnych, vopred určených a legitímnych účelov.

Spracúvanie sa uskutočňuje v súlade so zásadou minimalizácie údajov a zákonnosti podľa článkov 5 a 6 GDPR.

2.2. Konkrétne účely, právne základy, kategórie spracúvaných osobných údajov a doby ich uchovávania sú uvedené v nasledujúcej tabuľke:

Účel spracúvania	Právny základ	Kategórie údajov	Doba uchovávania
Rezervácia stretnutia prostredníctvom online kalendára (Google Calendar)	Čl. 6 ods. 1 písm. b) GDPR – spracúvanie je nevyhnutné na plnenie zmluvy alebo vykonanie opatrenia pred jej uzavretím	Meno, priezvisko, e-mail, telefón, termín stretnutia	12 mesiacov od uskutočnenia stretnutia
Odoslanie správy prostredníctvom kontaktného formulára	Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem prevádzkovateľa na odpovedi a komunikácii s dotknutou osobou	Meno, e-mail, text správy	6 mesiacov od vybavenia dopytu
Poskytovanie koučingových a rozvojových služieb	Čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy o poskytnutí služby	Identifikačné a kontaktné údaje, poznámky zo stretnutí	5 rokov od ukončenia služby
Fakturácia a účtovníctvo	Čl. 6 ods. 1 písm. c) GDPR – spracúvanie je nevyhnutné na splnenie zákonnej povinnosti podľa zákona o účtovníctve	Fakturačné údaje, IČO, DIČ, bankové údaje	10 rokov podľa zákona o účtovníctve
Marketingová komunikácia (newsletter cez KIT, pozvánky)	Čl. 6 ods. 1 písm. a) GDPR – súhlas dotknutej osoby	Meno, e-mail	Do odvolania súhlasu
Analýza návštevnosti webu a cookies	Čl. 6 ods. 1 písm. f) GDPR – oprávnený záujem prevádzkovateľa na správe a zlepšovaní webu	IP adresa, cookies, údaje o správaní návštevníka	Podľa nastavení cookies alebo do odvolania súhlasu
Evidencia účasti na finančných školeniach (prezenčné listiny) a vystavovanie certifikátov	Čl. 6 ods. 1 písm. b) GDPR – plnenie zmluvy; čl. 6 ods. 1 písm. f) – preukázanie poskytnutia služby	Meno, priezvisko, e-mail, podpis, dátum účasti	5 rokov
Predkladanie potvrdení o absolvovanej praxi (napr. ICF, mentoring, koučingové hodiny)	Čl. 6 ods. 1 písm. a) GDPR – súhlas dotknutej osoby	Meno, priezvisko, rozsah praxe, dátumy, typ absolvovaných hodín	Do odvolania súhlasu

 

2.3. Prevádzkovateľ nespracúva osobné údaje nad rámec uvedených účelov, nevykonáva profilovanie ani automatizované individuálne rozhodovanie, ktoré by malo právne účinky voči dotknutým osobám v zmysle článku 22 GDPR.

3. Získavanie a pôvod osobných údajov

3.1. Prevádzkovateľ získava osobné údaje výhradne zákonným a transparentným spôsobom, a to len v rozsahu nevyhnutnom na naplnenie konkrétnych účelov uvedených v týchto Zásadách.

3.2. Osobné údaje pochádzajú z týchto zdrojov:

1. Priamy zdroj – dotknutá osoba:
   1. údaje poskytnuté priamo dotknutou osobou prostredníctvom kontaktného formulára, e-mailovej komunikácie, telefonicky alebo pri osobnom stretnutí,
   2. údaje uvedené pri rezervácii termínu prostredníctvom online kalendára (napr. Google Calendar),
   3. údaje uvedené pri uzatváraní zmluvy, objednávke alebo počas poskytovania služby.

 

1. Nepriamy zdroj – technické a analytické nástroje:
   1. údaje získané prostredníctvom analytických a prevádzkových nástrojov, ktoré zabezpečujú fungovanie webovej stránky (napr. Google Analytics, Google Tag Manager, nástroje na meranie návštevnosti, cookies a logy servera),
   2. tieto údaje slúžia výlučne na technické, štatistické a bezpečnostné účely a neumožňujú individuálnu identifikáciu dotknutej osoby bez ďalších informácií.

3.3. Prevádzkovateľ nezískava osobné údaje z verejne dostupných zdrojov, sociálnych sietí ani od tretích strán na účely priameho marketingu bez predchádzajúceho informovaného súhlasu dotknutej osoby.

3.4. V prípade, že osobné údaje boli výnimočne získané od iného subjektu (napr. odporúčanie partnera, sprostredkovateľa alebo darčekový poukaz), prevádzkovateľ dotknutú osobu informuje o zdroji a účele spracúvania v súlade s článkom 14 GDPR, najneskôr do 30 dní od ich získania.

4. PRÍJEMCOVIA A SPROSTREDKOVATELIA

4.1. Prevádzkovateľ spracúva osobné údaje dôverne a sprístupňuje ich len v nevyhnutnom rozsahu osobám, ktoré pre neho zabezpečujú odbornú, technickú alebo administratívnu podporu, alebo subjektom, ktorým je povinný údaje poskytnúť na základe právneho predpisu.

 

4.2. Osobné údaje môžu byť poskytované nasledujúcim kategóriám príjemcov:

 

1. poskytovatelia IT, webhostingu a cloudových služieb – Google Ireland Ltd. (Google Workspace, Google Calendar), WebSupport s.r.o. (webhosting a technická prevádzka webu), 
2. poskytovatelia e-mailového marketingu – platforma KIT, ktorá zabezpečuje technickú prevádzku newsletterov na základe výslovného súhlasu dotknutej osoby,
3. účtovná kancelária a daňový poradca, ktorí zabezpečujú spracovanie účtovnej a daňovej agendy prevádzkovateľa,
4. marketingoví a komunikační partneri, ktorí spracúvajú osobné údaje na základe výslovného súhlasu dotknutej osoby,
5. orgány verejnej moci a iné subjekty oprávnené podľa zákona, ak je poskytnutie údajov ich zákonnou požiadavkou (napr. polícia, súd, daňový úrad).

4.3. Každý subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa, koná ako sprostredkovateľ v zmysle článku 28 GDPR. So všetkými sprostredkovateľmi má prevádzkovateľ uzatvorenú písomnú zmluvu o spracúvaní osobných údajov, ktorá upravuje predmet a trvanie spracúvania, druh a účel spracúvania, kategórie dotknutých osôb, a povinnosti a práva prevádzkovateľa a sprostredkovateľa.

4.4. Sprostredkovatelia sú povinní zachovávať mlčanlivosť, prijímať primerané technické a organizačné opatrenia a spracúvať osobné údaje výlučne podľa pokynov prevádzkovateľa.

4.5. Prevádzkovateľ neposkytuje, nepredáva ani iným spôsobom nesprístupňuje osobné údaje tretím stranám na účely priameho marketingu, ak k tomu nebol udelený výslovný informovaný súhlas dotknutej osoby.

 

5. PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN

 

5.1. Prenos osobných údajov mimo územia členských štátov Európskej únie (EÚ) a Európskeho hospodárskeho priestoru (EHP) sa uskutočňuje výlučne v prípadoch, keď sú splnené podmienky ustanovené v kapitole V Nariadenia (EÚ) 2016/679 (GDPR), a to najmä:

1. ak Európska komisia rozhodla o primeranej úrovni ochrany podľa článku 45 GDPR (napr. USA – Data Privacy Framework), alebo vhodné záruky ochrany osobných údajov
2. ak prevádzkovateľ zabezpečil podľa článku 46 GDPR, napríklad prostredníctvom štandardných zmluvných doložiek, záväzných vnútropodnikových pravidiel alebo certifikačných mechanizmov, ktoré poskytujú právne záväzné a vykonateľné práva dotknutých osôb.

5.2. V prípade využívania služieb a nástrojov ako Google Workspace, Google Calendar alebo Google Analytics môže dochádzať k prenosu osobných údajov do Spojených štátov amerických (USA). Tento prenos sa uskutočňuje v súlade s rozhodnutím Európskej komisie o primeranosti ochrany z 10. júla 2023, ktorým sa zavádza rámec EU–U.S. Data Privacy Framework (DPF).
Subjekty zapojené do tohto rámca poskytujú primeranú úroveň ochrany osobných údajov v súlade s článkom 45 GDPR.

5.3. Ak by prenos údajov smeroval do krajiny, pre ktorú neexistuje rozhodnutie o primeranosti, alebo ak by nebolo možné uplatniť vhodné záruky podľa článku 46 GDPR, prevádzkovateľ zabezpečí, aby bol takýto prenos uskutočnený len:

1. na základe výslovného súhlasu dotknutej osoby po poskytnutí všetkých informácií o možných rizikách, alebo
2. ak je prenos nevyhnutný na plnenie zmluvy, uplatnenie právnych nárokov alebo ochranu životne dôležitých záujmov dotknutej osoby podľa článku 49 GDPR.

5.4. Prevádzkovateľ neprenáša osobné údaje do tretích krajín alebo medzinárodných organizácií na účely priameho marketingu, profilovania alebo automatizovaného rozhodovania.

6. PRÁVA DOTKNUTÝCH OSÔB

 

6.1. Dotknutá osoba má v súlade s kapitolou III Nariadenia (EÚ) 2016/679 (GDPR) a § 19 až 29 zákona č. 18/2018 Z. z. právo požadovať od prevádzkovateľa výkon nasledujúcich práv:

1. Právo na prístup k osobným údajom – dotknutá osoba má právo získať potvrdenie, či prevádzkovateľ spracúva jej osobné údaje, a ak áno, má právo získať prístup k týmto údajom a k informáciám podľa článku 15 GDPR.
2. Právo na opravu alebo doplnenie osobných údajov – dotknutá osoba má právo na opravu nepresných alebo doplnenie neúplných údajov bez zbytočného odkladu (čl. 16 GDPR).
3. Právo na výmaz („právo na zabudnutie“) osobných údajov – dotknutá osoba má právo na výmaz údajov, ak sa uplatní niektorý z dôvodov podľa článku 17 GDPR, najmä ak osobné údaje už nie sú potrebné na účely, na ktoré boli získané, alebo ak bol odvolaný súhlas so spracúvaním.
4. Právo na obmedzenie spracúvania – dotknutá osoba má právo, aby prevádzkovateľ obmedzil spracúvanie v prípadoch podľa článku 18 GDPR, napríklad počas preverovania námietky alebo opravy údajov.
5. Právo namietať proti spracúvaniu – dotknutá osoba má právo namietať proti spracúvaniu osobných údajov vykonávanému na základe oprávneného záujmu prevádzkovateľa alebo na účely priameho marketingu (čl. 21 GDPR).
6. Právo na prenosnosť údajov – dotknutá osoba má právo získať osobné údaje, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo preniesť tieto údaje k inému prevádzkovateľovi (čl. 20 GDPR).
7. Právo na odvolanie súhlasu – ak sa osobné údaje spracúvajú na základe súhlasu, dotknutá osoba má právo kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania pred jeho odvolaním (čl. 7 ods. 3 GDPR).
8. Právo nepodliehať automatizovanému individuálnemu rozhodovaniu – dotknutá osoba má právo, aby nebola predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré by malo voči nej právne účinky (čl. 22 GDPR).

6.2. Dotknutá osoba môže svoje práva uplatniť písomne alebo e-mailom na: e.gromova@evyea.sk 

6.3. Prevádzkovateľ je povinný poskytnúť informácie o opatreniach prijatých na základe žiadosti bez zbytočného odkladu, najneskôr však do 30 dní od doručenia žiadosti. V odôvodnených prípadoch možno lehotu predĺžiť o ďalších 60 dní, o čom bude dotknutá osoba vopred informovaná spolu s uvedením dôvodov predĺženia.

6.4. Informácie a oznámenia o uplatnení práv dotknutej osoby sa poskytujú bezplatne. Ak by však žiadosť bola zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže účtovať primeraný poplatok zohľadňujúci administratívne náklady alebo odmietnuť konať.

6.5. Prevádzkovateľ má právo primerane overiť totožnosť osoby, ktorá si uplatňuje svoje práva, aby zabránil neoprávnenému prístupu k údajom.

7. PODÁVANIE SŤAŽNOSTÍ

7.1. Ak sa dotknutá osoba domnieva, že pri spracúvaní jej osobných údajov došlo k porušeniu práv alebo povinností ustanovených Nariadením (EÚ) 2016/679 (GDPR) alebo zákonom č. 18/2018 Z. z. o ochrane osobných údajov, má právo podať sťažnosť:

1. priamo prevádzkovateľovi – prostredníctvom kontaktných údajov uvedených v týchto Zásadách, alebo
2. dozornému orgánu, ktorým je:

Úrad na ochranu osobných údajov Slovenskej republiky
Sídlo: Hraničná 12, 820 07 Bratislava 27
Webová stránka: www.dataprotection.gov.sk
E-mail: statny.dozor@pdp.gov.sk
Telefón: +421 2 3231 3214

7.2. Dotknutá osoba má zároveň právo podať návrh na začatie konania podľa § 100 a nasl. zákona č. 18/2018 Z. z., ak má za to, že boli porušené jej práva pri spracúvaní osobných údajov.

7.3. Podanie sťažnosti nemá vplyv na právo dotknutej osoby domáhať sa nápravy aj inými právnymi prostriedkami, najmä uplatnením práva na náhradu škody podľa článku 82 GDPR.

 

8. COOKIES A ONLINE TECHNOLÓGIE

 

8.1. Webová stránka prevádzkovateľa používa súbory cookies a ďalšie podobné technológie, ktoré umožňujú správne fungovanie webu, jeho bezpečnosť, analýzu návštevnosti a zlepšovanie používateľskej skúsenosti.

8.2. Cookies predstavujú malé textové súbory, ktoré sa ukladajú do zariadenia používateľa pri návšteve webovej stránky. Niektoré cookies sú nevyhnutné pre technické fungovanie webu (napr. zapamätanie si nastavení, zabezpečenie prístupu), iné sú analytické alebo funkčné a pomáhajú prevádzkovateľovi lepšie pochopiť správanie návštevníkov a optimalizovať obsah.

8.3. Web používa nasledovné kategórie cookies:

1. Nevyhnutné (technické) cookies – zabezpečujú základnú prevádzku a bezpečnosť webovej stránky, ich používanie nevyžaduje súhlas používateľa.
2. Analytické a štatistické cookies – umožňujú meranie návštevnosti a výkonu webu; spracúvajú sa na základe súhlasu používateľa.
3. Funkčné cookies – umožňujú prispôsobenie obsahu a používateľského prostredia; ich spracúvanie si vyžaduje súhlas používateľa.

8.4. Pri prvej návšteve webovej stránky je používateľovi zobrazená cookie lišta, ktorá ho jasne a zrozumiteľne informuje o použití cookies. Používateľ má možnosť:

• udeliť súhlas pre všetky alebo len vybrané kategórie cookies,
• odmietnuť nepovinné cookies,
• alebo zmeniť svoje nastavenia kedykoľvek prostredníctvom odkazu „Nastavenia cookies“ na webovej stránke.

8.5. Udeľovanie a odvolanie súhlasu sa riadi podľa článku 6 ods. 1 písm. a) GDPR v spojení s § 109 ods. 8 zákona č. 452/2021 Z. z. o elektronických komunikáciách.

8.6. Podrobnosti o spracúvaní údajov prostredníctvom cookies, ich typoch, trvaní a správe sú uvedené v samostatnom dokumente „Zásady používania cookies“, ktorý je trvalo prístupný na webovej stránke prevádzkovateľa.

9. BEZPEČNOSŤ SPRACÚVANIA

 

9.1. Prevádzkovateľ prijal a priebežne uplatňuje primerané technické a organizačné opatrenia s cieľom zabezpečiť úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracúvanie osobných údajov, najmä s ohľadom na:

• povahu, rozsah, kontext a účely spracúvania,
• pravdepodobnosť a závažnosť rizika pre práva a slobody fyzických osôb.

9.2. Opatrenia prijaté prevádzkovateľom zahŕňajú najmä:

1. používanie šifrovanej komunikácie (SSL/TLS certifikát) pri prenose údajov prostredníctvom webovej stránky,
2. obmedzený prístup k osobným údajom len pre oprávnené osoby na základe poverenia,
3. pravidelné aktualizácie softvéru a bezpečnostných systémov s cieľom predchádzať neoprávnenému prístupu alebo zneužitiu údajov,
4. kontrolu a správu prístupových oprávnení k účtom a zariadeniam,
5. zálohovanie a ochranu dát proti strate alebo poškodeniu,
6. využívanie dôveryhodných poskytovateľov IT a hostingových služieb, ktorí dodržiavajú štandardy bezpečnosti podľa článku 32 GDPR.

9.3. Prevádzkovateľ zabezpečuje, aby všetky osoby, ktoré prichádzajú do styku s osobnými údajmi, boli viazané povinnosťou mlčanlivosti a poučené o zásadách bezpečného nakladania s osobnými údajmi.

9.4. V prípade narušenia ochrany osobných údajov (tzv. bezpečnostný incident) postupuje prevádzkovateľ v súlade s článkami 33 a 34 GDPR, pričom:

• bezodkladne prijme opatrenia na odstránenie následkov a prevenciu ďalších incidentov,
• a ak to bude potrebné, oznámi incident Úradu na ochranu osobných údajov SR a dotknutým osobám

10. AKTUALIZÁCIA A ÚČINNOSŤ

 

10.1. Prevádzkovateľ si vyhradzuje právo tieto Zásady spracúvania osobných údajov kedykoľvek aktualizovať, meniť alebo dopĺňať, najmä v prípade:

• zmeny právnych predpisov týkajúcich sa ochrany osobných údajov,
• zmien v rozsahu, účeloch alebo spôsoboch spracúvania osobných údajov,
• zmien v interných procesoch prevádzkovateľa alebo využívaných technológiách a nástrojoch,
• požiadaviek dozorného orgánu alebo zavedenia nových bezpečnostných opatrení.

10.2. O zmenách týchto Zásad bude prevádzkovateľ primeraným spôsobom informovať, najmä zverejnením novej verzie dokumentu na webovej stránke www.evyea.sk. Ak by zmeny podstatným spôsobom ovplyvnili spracúvanie osobných údajov dotknutých osôb (napr. nový účel alebo právny základ), prevádzkovateľ vyžiada nový súhlas so spracúvaním osobných údajov, ak je potrebný.

10.3. Aktuálne znenie týchto Zásad je vždy verejne dostupné a nahrádza všetky predchádzajúce verzie.

10.4. Tieto Zásady nadobúdajú účinnosť dňa 01.11.2025