ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
v súlade s článkom 13 a 14 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR)
a zákonom č. 18/2018 Z. z. o ochrane osobných údajov
účinné od: 01.01.2026
ČLÁNOK I
ÚVODNÉ USTANOVENIA
1. Tieto Zásady spracúvania osobných údajov (ďalej len „Zásady“) upravujú spôsob, rozsah a podmienky spracúvania osobných údajov fyzických osôb (ďalej len „dotknutá osoba“) Prevádzkovateľom v súvislosti s:
a) prevádzkou internetovej stránky https://kurzy.digitalstory.sk,
b) uzatváraním zmlúv o poskytovaní digitálneho obsahu,
c) komunikáciou so zákazníkmi a používateľmi webovej stránky,
d) marketingovými aktivitami, ak boli realizované.
2. Tieto Zásady sú vypracované v súlade s:
a) Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR),
b) zákonom č. 18/2018 Z. z. o ochrane osobných údajov v platnom znení,
c) ostatnými všeobecne záväznými právnymi predpismi Slovenskej republiky.
3. Prevádzkovateľ spracúva osobné údaje výlučne zákonným spôsobom, v súlade so zásadami spracúvania osobných údajov podľa čl. 5 GDPR, najmä zásadou:
a) zákonnosti, spravodlivosti a transparentnosti,
b) obmedzenia účelu,
c) minimalizácie údajov,
d) správnosti,
e) obmedzenia uchovávania,
f) integrity a dôvernosti.
4. Tieto Zásady poskytujú dotknutým osobám informácie podľa čl. 13 a 14 GDPR, najmä o:
a) totožnosti Prevádzkovateľa,
b) účeloch a právnych základoch spracúvania,
c) príjemcoch osobných údajov,
d) dobe uchovávania,
e) právach dotknutej osoby.
ČLÁNOK II
IDENTIFIKÁCIA PREVÁDZKOVATEĽA
1. Prevádzkovateľom osobných údajov je:
Eddypark s.r.o.
so sídlom Bučina 1012, 029 57 Oravská Lesná, Slovenská republika
IČO: 51 749 637
zapísaná v Obchodnom registri Okresného súdu Žilina, oddiel: Sro, vložka č. 70198/L
e-mail: info@kurzy.digitalstory.sk
(ďalej len „Prevádzkovateľ“).
2. Prevádzkovateľ je právnickou osobou, ktorá samostatne určuje účely a prostriedky spracúvania osobných údajov v zmysle čl. 4 bod 7 GDPR.
3. Dotknutá osoba môže Prevádzkovateľa kontaktovať vo veciach týkajúcich sa spracúvania osobných údajov prostredníctvom e-mailovej adresy uvedenej v odseku 1.
4. Prevádzkovateľ neurčil zodpovednú osobu (Data Protection Officer – DPO), keďže mu takáto povinnosť nevyplýva z čl. 37 GDPR, najmä vzhľadom na povahu, rozsah a účel spracúvania osobných údajov.
ČLÁNOK III
ROZSAH A KATEGÓRIE SPRACÚVANÝCH OSOBNÝCH ÚDAJOV
1. Prevádzkovateľ spracúva osobné údaje dotknutých osôb výlučne v rozsahu nevyhnutnom na dosiahnutie účelov uvedených v týchto Zásadách, pričom ide najmä o nasledovné kategórie osobných údajov.
2. V rámci uzatvárania a plnenia zmluvy o poskytovaní digitálneho obsahu Prevádzkovateľ spracúva najmä identifikačné a fakturačné údaje, a to meno a priezvisko dotknutej osoby a údaje potrebné na riadne vystavenie daňového dokladu (napr. adresa bydliska alebo sídla, prípadne identifikačné číslo podnikateľa, ak ide o fyzickú osobu – podnikateľa).
3. Na účely komunikácie so zákazníkom a sprístupnenia digitálneho obsahu Prevádzkovateľ spracúva kontaktné údaje, najmä e-mailovú adresu a v prípade jej poskytnutia aj telefónne číslo.
4. V súvislosti so zmluvným vzťahom Prevádzkovateľ spracúva aj údaje o objednávke a realizovanej platbe, ako aj údaje o využívaní digitálneho obsahu, najmä informácie o prístupe do členskej sekcie alebo online platformy. Prevádzkovateľ nespracúva úplné údaje o platobných kartách; tieto údaje sú spracúvané priamo poskytovateľom platobnej služby.
5. Pri používaní webovej stránky dochádza aj k spracúvaniu technických údajov, ako je IP adresa, údaje získané prostredníctvom súborov cookies, údaje o zariadení, operačnom systéme, internetovom prehliadači a logy prístupov. Tieto údaje sú spracúvané najmä na účely zabezpečenia riadnej funkčnosti webovej stránky, ochrany bezpečnosti a prevencie zneužitia.
6. Osobné údaje sú získavané priamo od dotknutej osoby prostredníctvom objednávkového alebo kontaktného formulára, prípadne automatizovane pri používaní webovej stránky.
7. Prevádzkovateľ spracúva iba také osobné údaje, ktoré sú primerané, relevantné a obmedzené na rozsah nevyhnutný vzhľadom na účel ich spracúvania, v súlade so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) GDPR.
8. Poskytnutie identifikačných a kontaktných údajov potrebných na uzavretie zmluvy je zmluvnou požiadavkou. Bez ich poskytnutia nie je možné uzavrieť zmluvu o poskytovaní digitálneho obsahu ani zabezpečiť jeho sprístupnenie.
ČLÁNOK IV
ÚČELY A PRÁVNE ZÁKLADY SPRACÚVANIA
1. Uzavretie a plnenie zmluvy
Právny základ spracúvania: čl. 6 ods. 1 písm. b) GDPR – spracúvanie je nevyhnutné na plnenie zmluvy alebo na vykonanie opatrení pred jej uzavretím na žiadosť dotknutej osoby.
1.1. Prevádzkovateľ spracúva osobné údaje za účelom prijatia a spracovania objednávky, uzavretia zmluvy o poskytovaní digitálneho obsahu a jej riadneho plnenia.
1.2. Spracúvanie osobných údajov zahŕňa najmä evidenciu objednávky, sprístupnenie digitálneho obsahu prostredníctvom online platformy, vytvorenie používateľského prístupu a komunikáciu so zákazníkom v súvislosti so zmluvným vzťahom.
1.3. Poskytnutie osobných údajov na tento účel je zmluvnou požiadavkou. Bez ich poskytnutia nie je možné zmluvu uzavrieť ani zabezpečiť sprístupnenie digitálneho obsahu.
2. Plnenie zákonných povinností
Právny základ spracúvania: čl. 6 ods. 1 písm. c) GDPR – spracúvanie je nevyhnutné na splnenie zákonnej povinnosti Prevádzkovateľa.
2.1 Prevádzkovateľ spracúva osobné údaje na účely splnenia povinností vyplývajúcich z právnych predpisov Slovenskej republiky, najmä v oblasti účtovníctva, daní a vedenia zákonom predpísanej evidencie.
2.2 Ide najmä o povinnosti vyplývajúce zo zákona o účtovníctve, zákona o dani z pridanej hodnoty a ďalších daňových predpisov.
3. Oprávnený záujem Prevádzkovateľa
Právny základ spracúvania: čl. 6 ods. 1 písm. f) GDPR – spracúvanie je nevyhnutné na účely oprávnených záujmov Prevádzkovateľa, pokiaľ nad týmito záujmami neprevažujú práva alebo slobody dotknutej osoby.
3.1. Oprávnený záujem Prevádzkovateľa spočíva najmä v:
3.1.1. ochrane právnych nárokov a uplatňovaní alebo obhajobe právnych nárokov,
3.1.2. zabezpečení IT bezpečnosti a ochrane webovej stránky pred neoprávnenými zásahmi,
3.1.3. prevencii podvodného konania alebo zneužitia služby,
3.1.4. zasielaní obchodných oznámení existujúcim zákazníkom v súlade s platnou legislatívou.
3.2. Prevádzkovateľ posúdil primeranosť spracúvania na základe oprávneného záujmu a zabezpečil, aby práva a slobody dotknutých osôb neboli neprimerane dotknuté.
4. Marketing na základe súhlasu
Právny základ spracúvania: čl. 6 ods. 1 písm. a) GDPR – dotknutá osoba udelila súhlas so spracúvaním svojich osobných údajov na konkrétny účel.
4.1. Ak dotknutá osoba udelí súhlas so zasielaním marketingových oznámení, Prevádzkovateľ je oprávnený spracúvať jej osobné údaje na účely informovania o nových produktoch, službách alebo podujatiach.
4.2. Súhlas je dobrovoľný a dotknutá osoba ho môže kedykoľvek odvolať, a to rovnakým spôsobom, akým bol udelený, alebo kontaktovaním Prevádzkovateľa.
4.3. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vykonaného pred jeho odvolaním.
ČLÁNOK V
PRÍJEMCOVIA A SPRACOVATELIA OSOBNÝCH ÚDAJOV
1. Osobné údaje môžu byť sprístupnené alebo poskytnuté nasledovným kategóriám príjemcov, ak je to nevyhnutné na plnenie účelu spracúvania:
a) poskytovateľom webhostingu a technickej infraštruktúry,
b) poskytovateľom online platformy alebo členskej sekcie,
c) poskytovateľom platobných služieb alebo prevádzkovateľom platobnej brány,
d) účtovnej spoločnosti, daňovému poradcovi alebo audítorovi,
e) externému IT správcovi alebo technickým dodávateľom zabezpečujúcim údržbu systémov,
f) orgánom verejnej moci alebo iným subjektom, ak to vyplýva z osobitných právnych predpisov.
2. Ak je príjemca osobných údajov spracovateľom v zmysle čl. 4 bod 8 GDPR, spracúva osobné údaje výlučne na základe pokynov Prevádzkovateľa a v súlade so zmluvou o spracúvaní osobných údajov uzatvorenou podľa čl. 28 GDPR.
3. Prevádzkovateľ zabezpečuje, aby spracovatelia poskytovali primerané záruky prijatia vhodných technických a organizačných opatrení tak, aby spracúvanie spĺňalo požiadavky GDPR a zabezpečovalo ochranu práv dotknutých osôb.
ČLÁNOK VI
PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN
1. Prevádzkovateľ môže v rámci poskytovania svojich služieb využívať technické alebo cloudové riešenia, ktorých poskytovatelia môžu mať sídlo mimo Európskej únie alebo Európskeho hospodárskeho priestoru.
2. Ak dochádza k prenosu osobných údajov do tretích krajín, Prevádzkovateľ zabezpečí, aby takýto prenos prebiehal v súlade s kapitolou V GDPR, najmä na základe:
a) rozhodnutia Európskej komisie o primeranosti ochrany, alebo
b) štandardných zmluvných doložiek podľa čl. 46 GDPR, alebo
c) iných primeraných záruk podľa GDPR.
3. Informácie o konkrétnych prenosoch do tretích krajín poskytne Prevádzkovateľ na požiadanie dotknutej osoby.
ČLÁNOK VII
DOBA UCHOVÁVANIA OSOBNÝCH ÚDAJOV
1. Prevádzkovateľ uchováva osobné údaje len po dobu nevyhnutnú na dosiahnutie účelu, na ktorý boli získané, alebo po dobu vyplývajúcu z príslušných právnych predpisov.
2. Osobné údaje spracúvané na účely uzavretia a plnenia zmluvy o poskytovaní digitálneho obsahu sa uchovávajú počas trvania zmluvného vzťahu a následne po dobu potrebnú na ochranu práv Prevádzkovateľa alebo splnenie zákonných povinností.
3. Údaje súvisiace s fakturáciou a účtovníctvom sa uchovávajú po dobu 10 rokov odo dňa vystavenia príslušného účtovného dokladu, v súlade s právnymi predpismi upravujúcimi vedenie účtovníctva a daňové povinnosti.
4. Osobné údaje spracúvané na marketingové účely na základe súhlasu sa uchovávajú do odvolania súhlasu dotknutej osoby alebo do momentu, keď pominie účel ich spracúvania.
5. Technické údaje získané prostredníctvom súborov cookies sa uchovávajú po dobu stanovenú v nastavení jednotlivých cookies, pričom konkrétna doba uchovávania je uvedená v samostatnom dokumente „Zásady používania cookies“.
6. Po uplynutí doby uchovávania Prevádzkovateľ zabezpečí vymazanie alebo anonymizáciu osobných údajov, pokiaľ neexistuje ďalší zákonný dôvod na ich spracúvanie.
ČLÁNOK VIII
PRÁVA DOTKNUTEJ OSOBY
1. Dotknutá osoba má v súvislosti so spracúvaním svojich osobných údajov práva vyplývajúce z Nariadenia (EÚ) 2016/679 (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov.
2. Dotknutá osoba má právo získať od Prevádzkovateľa potvrdenie o tom, či sa jej osobné údaje spracúvajú, a ak áno, má právo na prístup k týmto údajom a na poskytnutie informácií najmä o účeloch spracúvania, kategóriách dotknutých osobných údajov, príjemcoch alebo kategóriách príjemcov, dobe uchovávania, existencii práva požadovať opravu, vymazanie alebo obmedzenie spracúvania, práve podať sťažnosť dozornému orgánu a o zdroji údajov, ak neboli získané priamo od dotknutej osoby. Prevádzkovateľ poskytne jednu kópiu osobných údajov bezplatne.
3. Dotknutá osoba má právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, ako aj právo na doplnenie neúplných osobných údajov.
4. Dotknutá osoba má právo na vymazanie osobných údajov, ak už nie sú potrebné na účel, na ktorý boli získané, ak odvolala súhlas a neexistuje iný právny základ spracúvania, ak namieta spracúvanie a neexistujú prevažujúce oprávnené dôvody, alebo ak boli osobné údaje spracúvané nezákonne. Právo na vymazanie sa neuplatní, ak je spracúvanie nevyhnutné na splnenie zákonnej povinnosti alebo na uplatnenie či obhajobu právnych nárokov.
5. Dotknutá osoba má právo na obmedzenie spracúvania osobných údajov, ak napadne ich správnosť, ak je spracúvanie nezákonné a namieta vymazanie, ak Prevádzkovateľ údaje už nepotrebuje, ale dotknutá osoba ich potrebuje na uplatnenie právneho nároku, alebo ak dotknutá osoba namieta spracúvanie. Počas obdobia obmedzenia môže Prevádzkovateľ osobné údaje spracúvať len v obmedzenom rozsahu.
6. Ak sa spracúvanie vykonáva na základe súhlasu alebo zmluvy a automatizovanými prostriedkami, má dotknutá osoba právo na prenosnosť údajov, teda právo získať osobné údaje, ktoré poskytla Prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo preniesť tieto údaje inému prevádzkovateľovi, ak je to technicky možné.
7. Dotknutá osoba má právo kedykoľvek namietať spracúvanie osobných údajov, ktoré sa vykonáva na základe oprávneného záujmu Prevádzkovateľa. V prípade namietania spracúvania na účely priameho marketingu Prevádzkovateľ bezodkladne ukončí spracúvanie osobných údajov na tento účel.
8. Ak je spracúvanie založené na súhlase, dotknutá osoba má právo svoj súhlas kedykoľvek odvolať, pričom odvolanie nemá vplyv na zákonnosť spracúvania uskutočneného pred jeho odvolaním.
9. Dotknutá osoba má právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré má právne účinky alebo sa jej obdobne významne dotýka. Prevádzkovateľ takéto automatizované rozhodovanie nevykonáva.
10. Dotknutá osoba môže svoje práva uplatniť písomne alebo elektronicky prostredníctvom kontaktných údajov Prevádzkovateľa. Prevádzkovateľ poskytne odpoveď bez zbytočného odkladu, najneskôr do jedného mesiaca od doručenia žiadosti. V odôvodnených prípadoch môže byť lehota predĺžená o ďalšie dva mesiace.
11. Ak má Prevádzkovateľ dôvodné pochybnosti o totožnosti osoby uplatňujúcej svoje práva, je oprávnený požadovať poskytnutie dodatočných informácií potrebných na overenie jej identity.
12. Uplatnenie práv je bezplatné, pokiaľ žiadosť nie je zjavne neopodstatnená alebo neprimeraná.
13. Dotknutá osoba má právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie jej osobných údajov je v rozpore s GDPR alebo zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Dozorným orgánom v Slovenskej republike je:
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
Slovenská republika
ČLÁNOK IX
AUTOMATIZOVANÉ ROZHODOVANIE
1. Prevádzkovateľ nevykonáva automatizované individuálne rozhodovanie vrátane profilovania v zmysle čl. 22 GDPR, ktoré by malo právne účinky voči dotknutej osobe alebo sa jej obdobne významne dotýkalo.
2. Prevádzkovateľ nepoužíva systémy, ktoré by rozhodovali výlučne na základe automatizovaného spracúvania osobných údajov bez ľudského zásahu, najmä v súvislosti s uzatváraním zmlúv, poskytovaním digitálneho obsahu alebo posudzovaním práv dotknutých osôb.
3. Ak by v budúcnosti došlo k zmene rozsahu spracúvania osobných údajov a Prevádzkovateľ by zaviedol automatizované rozhodovanie alebo profilovanie v zmysle čl. 22 GDPR, dotknuté osoby budú o tejto skutočnosti vopred informované v súlade s GDPR.
ČLÁNOK X
POVINNOSŤ POSKYTNUTIA OSOBNÝCH ÚDAJOV
1. Poskytnutie osobných údajov zo strany dotknutej osoby môže byť:
a) zmluvnou požiadavkou, ak ide o údaje nevyhnutné na uzavretie a plnenie zmluvy o poskytovaní digitálneho obsahu,
b) zákonnou požiadavkou, ak ide o údaje potrebné na splnenie povinností Prevádzkovateľa vyplývajúcich z právnych predpisov, najmä v oblasti účtovníctva a daní.
2. Ak dotknutá osoba neposkytne osobné údaje, ktoré sú nevyhnutné na uzavretie a plnenie zmluvy, nie je možné uzavrieť zmluvu o poskytovaní digitálneho obsahu ani zabezpečiť jeho sprístupnenie.
3. Neposkytnutie osobných údajov, ktoré sú potrebné na splnenie zákonných povinností Prevádzkovateľa, môže mať za následok nemožnosť vystavenia daňového dokladu alebo splnenia iných zákonných povinností.
4. Poskytnutie osobných údajov na marketingové účely je dobrovoľné. Neposkytnutie týchto údajov alebo neudelenie súhlasu nemá vplyv na možnosť uzavretia zmluvy o poskytovaní digitálneho obsahu.
ČLÁNOK XI
SÚBORY COOKIES
1. Webová stránka Prevádzkovateľa používa súbory cookies a obdobné technológie na zabezpečenie riadnej funkčnosti webovej stránky, analýzu návštevnosti, zlepšovanie používateľského prostredia a prípadne na marketingové účely.
2. Súbory cookies môžu zahŕňať najmä:
a) nevyhnutné (technické) cookies, ktoré sú potrebné na riadne fungovanie webovej stránky,
b) analytické cookies slúžiace na štatistické vyhodnocovanie návštevnosti,
c) marketingové cookies používané na personalizáciu obsahu alebo reklamy.
3. Používanie cookies, ktoré nie sú nevyhnutné na fungovanie webovej stránky, je podmienené predchádzajúcim súhlasom návštevníka webovej stránky udeleným prostredníctvom cookie lišty alebo správy nastavení cookies.
4. Dotknutá osoba má možnosť kedykoľvek zmeniť alebo odvolať svoj súhlas s používaním cookies prostredníctvom nastavení cookies na webovej stránke alebo prostredníctvom nastavení svojho internetového prehliadača.
5. Podrobné informácie o jednotlivých druhoch cookies, ich účele, dobe uchovávania a možnostiach ich správy sú uvedené v samostatnom dokumente „Zásady používania cookies“, ktorý je zverejnený na webovej stránke Prevádzkovateľa.
ČLÁNOK XII
BEZPEČNOSŤ SPRACÚVANIA
1. Prevádzkovateľ prijal primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov v súlade s čl. 32 GDPR.
2. Tieto opatrenia zahŕňajú najmä:
a) zabezpečenie prístupu k údajom len oprávneným osobám,
b) ochranu systémov heslami a viacúrovňovou autentifikáciou,
c) šifrovanie alebo zabezpečený prenos údajov,
d) pravidelnú aktualizáciu softvérových riešení,
e) ochranu pred neoprávneným prístupom, stratou alebo zneužitím údajov.
3. Prevádzkovateľ zabezpečuje, aby osoby oprávnené spracúvať osobné údaje boli viazané povinnosťou mlčanlivosti.
ČLÁNOK XIII
ZÁVEREČNÉ USTANOVENIA
1. Tieto Zásady spracúvania osobných údajov nadobúdajú účinnosť dňom uvedeným v ich záhlaví.
2. Prevádzkovateľ je oprávnený tieto Zásady primerane meniť alebo dopĺňať, najmä v prípade zmeny právnych predpisov, rozsahu spracúvania osobných údajov alebo technických riešení používaných pri spracúvaní osobných údajov.
3. Aktuálne znenie Zásad je vždy zverejnené na webovej stránke Prevádzkovateľa. Dňom zverejnenia nového znenia sa toto stáva účinným, pokiaľ nie je uvedené inak.
4. Právne vzťahy výslovne neupravené týmito Zásadami sa riadia príslušnými ustanoveniami GDPR, zákona č. 18/2018 Z. z. o ochrane osobných údajov a ďalšími všeobecne záväznými právnymi predpismi Slovenskej republiky.
5. Tieto Zásady sú vyhotovené v slovenskom jazyku. V prípade ich prekladu do iného jazyka je rozhodujúce slovenské znenie.