Privacy Policy

Informačná povinnosť spoločnosti vypracovaná v zmysle zákona o ochrane osobných údajov

Identifikačné údaje prevádzkovateľa:

Spoločnosť Miroslav Chňapek, IČO: 52511375, Hájska 1182/115 95131 Močenok (ďalej len „spoločnosť") vystupuje pri spracúvaní osobných údajov svojich zamestnancov, klientov, zákazníkov alebo obchodných partnerov (ďalej len „dotknutá osoba") ako prevádzkovateľ informačných systémov (ďalej len „IS").

Právny základ spracúvania osobných údajov dotknutých osôb:

Pri spracúvaní osobných údajov spoločnosť postupuje v súlade so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých predpisov (ďalej len „zákon o ochrane osobných údajov"). Právnym základom spracúvania osobných údajov je zákon o ochrane osobných údajov, osobitné právny predpisy a súhlas so spracúvaním osobných údajov, a to v závislosti od účelu spracúvania osobných údajov.

V prípade, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje priamo vykonateľný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, zákon o ochrane osobných údajov alebo osobitný zákon je spoločnosť v zmysle zákona o ochrane osobných údajov oprávnená spracúvať osobné údaje bez súhlasu dotknutej osoby.

Spoločnosť spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, spoločnosť môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní základných povinností podľa zákona o ochrane osobných údajov.

Spoločnosť ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon a to len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak zákon o ochrane osobných údajov neustanovuje inak.

Spoločnosť spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak:

• spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
• spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,
• predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov,
• sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,
• spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, pričom to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.

Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou je Slovenská republika viazaná, v zákone o ochrane osobných údajov a osobitnom zákone nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných údajov možno nahradiť rozsahom osobných údajov.

Spoločnosť je povinná pri takomto spracúvaní osobných údajov postupovať podľa zákona o ochrane osobných údajov okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním.

V prípade, ak sa na spracúvanie osobných údajov neuplatňuje zákon o ochrane osobných údajov, je spoločnosť ako prevádzkovateľ oprávnená spracúvať osobné údaje len so súhlasom dotknutej osoby.

Spoločnosť získava súhlas dotknutej osoby bez nátlaku a vynucovania, ako aj bez podmieňovania hrozbou odmietnutia zmluvného vzťahu, poskytovaných služieb alebo povinností vyplývajúcich pre prevádzkovateľa z právne záväzných aktov Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona.

V prípade odmietnutia poskytnutia osobných údajov spoločnosti na účely potrebné pre poskytovanie služieb alebo napĺňanie zákonných povinností je spoločnosť oprávnená upozorniť dotknutú osobu s možnými následkami neposkytnutia osobných údajov.

Dotknuté osoby súhlasia s tým aby spoločnosť pri spracúvaní osobných údajov poverila takýmto spracúvaním sprostredkovateľa, ktorý spracúva osobné údaje v mene spoločnosti. Po skončení účelu spracúvania osobných údajov spoločnosť tieto zákonne získané osobné údaje dotknutých osôb zlikviduje v lehote stanovenej platnými právnymi predpismi a v súlade s interným predpisom spoločnosti.

Účel spracúvania osobných údajov dotknutých osôb:

Spoločnosť rešpektuje Vaše súkromie a poskytnuté osobné údaje považuje za dôverné.

Spoločnosť potrebuje pre kvalitné poskytovanie svojich služieb poznať niektoré osobné údaje dotknutých osôb a potrebuje ich poskytovať ďalším príjemcom za účelom plnenia si zákonných povinností a zabezpečovanie služieb najvyššej kvality.

Spoločnosť spracúva poskytnuté osobné údaje za viacerými účelmi.

Jednak ide o osobné údaje uchádzačov o zamestnanie a osobné údaje svojich zamestnancov na účely personálnej a mzdovej agendy, a s tým súvisiacich zákonných povinností vyplývajúcich z osobitných právnych predpisov.

Spoločnosť ďalej spracúva aj osobné údaje svojich klientov, zákazníkov a obchodných partnerov za účelom zabezpečovania svojej podnikateľskej činnosti s prihliadnutím na záujmy svojich klientov, zákazníkov a obchodných partnerov.

K spracúvaniu osobných údajov za iným účelom v spoločnosti nedochádza, čo znamená, že spoločnosť zhromažďuje, uchováva a spracúva len osobné údaje dotknutých osôb, ktoré potrebuje za účelom naplnenia svojich poskytovaných služieb. Poskytnuté osobné údaje sú prísne chránené proti zneužitiu zo strany tretích neoprávnených subjektov, a to prostriedkami zadokumentovanými v prijatom bezpečnostnom projekte a bezpečnostnej smernici v zmysle zákona o ochrane osobných údajov.

Pri spracúvaní osobných údajov dotknutých osôb spoločnosť dodržiava základné povinnosti prevádzkovateľa vyplývajúce z zákona o ochrane osobných údajov medzi ktoré patria aj nasledovné povinnosti.

Spoločnosť poskytnuté osobné údaje využíva vždy na vopred stanovený účel spracúvania, ktorý je jasný, vymedzený jednoznačne a konkrétne, pričom je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Spoločnosť vždy vymedzuje podmienky spracúvania osobných údajov tak, aby nedošlo k obmedzeniu práv dotknutej osoby ustanovených zákonom.

Spoločnosť získava len také osobné údaje dotknutých osôb, ktoré svojím rozsahom a obsahom zodpovedajú účelu spracúvania a sú nevyhnutné na jeho dosiahnutie.

Spoločnosť zabezpečuje, aby sa osobné údaje dotknutých osôb spracúvali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli vopred zhromaždené.

Spoločnosť ako prevádzkovateľ je povinná spracúvať len správne, úplne a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania. Nesprávne a neúplne osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť, ak ich nemožno opraviť alebo doplniť tak, aby boli správne, spoločnosť tieto osobné údaje zreteľne označí a bez zbytočného odkladu zlikviduje.

Spoločnosť zabezpečuje, aby osobné údaje dotknutých osôb boli spracúvané vo forme umožňujúcej identifikáciu jednotlivých dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania.

Spoločnosť predpísaným spôsobom zlikviduje tie osobné údaje, ktorých účel spracúvania sa skončil. Po skončení vymedzeného účelu je spoločnosť oprávnená spracúvať osobné údaje v nevyhnutnom rozsahu a to na výskum alebo na účely štatistiky v ich anonymizovanej podobe. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe na obmedzenie jej základných práv a slobôd.

Sprostredkovatelia:

Spoločnosť neposkytuje Vaše osobné údaje tretím osobám v rozpore so zákonom o ochrane osobných údajov a za účelom ich zhromažďovania, v rozpore s Vašimi záujmami alebo pokynmi, a tretej osobe sú poskytované len v rámci uvedeného vyššie uvedeného účelu.

Spoločnosť pri svojich podnikateľských aktivitách spolupracuje s viacerými sprostredkovateľmi, ktorých cieľom je poskytovanie kvalitných služieb, pričom tieto subjekty pri výkone svojej zmluvnej činnosti pre spoločnosť spracúvajú osobné údaje dotknutých osôb.

Spoločnosť čestne vyhlasuje, že pri výbere jednotlivých sprostredkovateľov dbala na ich odbornú, technickú, organizačnú a personálnu spôsobilosť a ich schopnosť zaručiť bezpečnosť spracúvaných osobných údajov prijatými bezpečnostnými opatreniami v zmysle zákona o ochrane osobných údajov.

Spoločnosť zároveň pri výbere vhodného sprostredkovateľa postupovala tak, aby nedošlo k ohrozeniu práv a právom chránených záujmov dotknutých osôb.

Spoločnosť ako prevádzkovateľ uzatvorila so sprostredkovateľmi v zmysle zákona o ochrane osobných údajov písomné zmluvy o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľmi, ktorých poverila spracúvaním osobných údajov dotknutých osôb len v rozsahu, za podmienok a na účel dojednaný v zmluve a spôsobom podľa zákona o ochrane osobných údajov.

Rozsah a zoznam spracúvaných osobných údajov:

Spoločnosť spracúva vo svojich informačných systémoch osobné údaje dotknutých osôb v rozsahu potrebnom na dosiahnutie stanoveného účelu. Ide o rozsah osobných údajov stanovených osobitnými právnymi predpismi alebo v rozsahu súhlasu dotknutej osoby na spracúvanie jej osobných údajov.

Spoločnosť spracúva iba osobné údaje, ktoré jej boli poskytnuté dobrovoľne a v nevyhnutnej miere samotnou dotknutou osobou. Poskytnutie osobných údajov spoločnosti nad rámec osobitných zákonov je pritom dobrovoľné.

Podmienky a spôsob spracúvania osobných údajov dotknutých osôb:

Spoločnosť spracúva vo svojich informačných systémoch osobné údaje dotknutých osôb automatizovanými i neautomatizovanými prostriedkami spracúvania.

Spoločnosť spracúvané osobné údaje nezverejňuje, okrem prípadov, ak si to vyžaduje osobitný právny predpis alebo rozhodnutie súdu alebo iného štátneho orgánu.

Spoločnosť nebude spracúvať Vaše osobné údaje bez Vášho výslovného súhlasu alebo iného zákonného právneho základu za iným účelom, ani vo väčšom rozsahu ako je uvedené v tejto informácii a evidenčných listoch jednotlivých informačných systémoch prevádzkovateľa.

Práva dotknutej osoby spojené so spracúvaním jej osobných údajov:

Dotknutá osoba má právo na základe písomnej žiadosti od spoločnosti vyžadovať:

• potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
• vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa zákona o ochrane osobných údajov; pri vydaní rozhodnutia podľa zákona o ochrane osobných údajov je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
• vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
• vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania,
• opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
• likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
• likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona,
• blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak spoločnosť spracúva osobné údaje na základe súhlasu dotknutej osoby.

Vyššie uvedené práva dotknutej osoby podľa písmena e) a f) možno obmedziť, len ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.

Podľa zákona o ochrane osobných údajov má dotknutá osoba na základe písomnej žiadosti adresovanej spoločnosti právo namietať voči:

• spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu, a žiadať ich likvidáciu,
• využívaniu osobných údajov uvedených v zákona o ochrane osobných údajov na účely priameho marketingu v poštovom styku, alebo
• poskytovaniu osobných údajov uvedených v zákona o ochrane osobných údajov na účely priameho marketingu.

Podľa zákona o ochrane osobných údajov má dotknutá osoba na základe písomnej žiadosti adresovanej spoločnosti alebo osobne, ak vec neznesie odklad, právo kedykoľvek namietať voči spracúvaniu osobných údajov v prípadoch podľa zákona o ochrane osobných údajov vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, spoločnosť je povinná osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia.

Podľa zákona o ochrane osobných údajov má dotknutá osoba na základe písomnej žiadosti adresovanej spoločnosti alebo osobne, ak vec neznesie odklad, právo kedykoľvek namietať a nepodrobiť sa rozhodnutiu spoločnosti, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa také rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má ďalej právo žiadať spoločnosť o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom spoločnosť je povinná žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa zákona o ochrane osobných údajov. Dotknutá osoba nemá toto právo len v prípade, ak to ustanovuje osobitný zákon, v ktorom sú upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.

Ak dotknutá osoba uplatní svoje právo:

• písomne a z obsahu jej žiadosti vyplýva, že uplatňuje svoje právo, žiadosť sa považuje za podanú podľa zákona o ochrane osobných údajov; žiadosť podanú elektronickou poštou alebo faxom dotknutá osoba doručí písomne najneskôr do troch dní odo dňa jej odoslania,
• osobne ústnou formou do zápisnice, z ktorej musí byť zrejmé, kto právo uplatnil, čoho sa domáha a kedy a kto vyhotovil zápisnicu, jeho podpis a podpis dotknutej osoby; kópiu zápisnice je spoločnosť povinná odovzdať dotknutej osobe,
• u sprostredkovateľa podľa písmena a) alebo písmena b), je ten povinný túto žiadosť alebo zápisnicu odovzdať spoločnosti bez zbytočného odkladu.

Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať návrh na začatie konania o ochrane osobných údajov na Úrad na ochranu osobných údajov Slovenskej republiky, so sídlom Hraničná 12, 820 07 Bratislava 27, Slovenská republika alebo kontaktovať úrad prostredníctvom jeho webového sídla http://www.dataprotection.gov.sk.

Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, jej práva môže uplatniť zákonný zástupca.

Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.

Žiadosť dotknutej osoby podľa zákona o ochrane osobných údajov vybaví spoločnosť bezplatne.

Žiadosť dotknutej osoby podľa zákona o ochrane osobných údajov vybaví spoločnosť bezplatne, okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.

Spoločnosť je povinná písomne vybaviť žiadosť dotknutej osoby podľa zákona o ochrane osobných údajov najneskôr do 30 dní odo dňa doručenia žiadosti.

Obmedzenie práv dotknutej osoby podľa zákona o ochrane osobných údajov spoločnosť bez zbytočného odkladu písomne oznámi dotknutej osobe a Úradu na ochranu osobných údajov Slovenskej republiky.

Spoločnosť Vás, ako dotknutú osobu týmto informovala o ochrane Vašich osobných údajov a poučila Vás o Vašich právach vo vzťahu k ochrane osobných údajov v rozsahu tejto písomnej informačnej povinnosti.

INTERNÁ SMERNICA

V zmysle Nariadenia Európskeho parlamentu a Rad (EÚ) č. 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov v platnom a účinnom znení s názvom Interná Smernica č. 1/2018 o politike a zásadách ochrany fyzických osôb v súvislosti so spracovaním osobných údajov prijatá a schválená obchodnom spoločnosťou Miroslav Chňapek, IČO: 52511375, Hájska 1182/115 95131 Močenok dňa 27.03.2026 v sídle spoločnosti (ďalej iba „interná smernica")

Článok 1 - Úvodné ustanovenie

Účelom vytvorenia politiky a zásad ochrany fyzických osôb v súvislosti so spracovaním osobných údajov v našej spoločnosti je vytvorenie legálneho vnútropodnikového rámca v jednom dokumente pre používanie postupov v súlade s vyššie uvedenými právne záväznými predpismi o ochrane osobných údajov fyzických osôb. Tento dokument bude takisto použitý pre prípad vykonávania kontroly z Úradu pre ochranu osobných údajov. Naša spoločnosť sa zaoberá prevažne kúpou a predajom tovaru a pri týchto činnostiach dochádza k spracovávaniu osobných údajov našich klientov a preto je v našom najlepšom záujme, aby všetky naše postupy a procesy v rámci spoločnosti boli v súlade s platnými a účinnými predpismi o ochrane údajov.

Článok 2 - Bezpečnostná a zodpovednostná politika v našej spoločnosti

1. Dosiahnutie najvyššej možnej ochrany osobných údajov našich klientov je pre našu spoločnosť vysokou prioritou a okrem existujúcich obchodných cieľov bude tejto oblasti zo strany vedenia spoločnosti a takisto aj zamestnancov venovaná zvýšená pozornosť. Opatrenia technickej a organizačnej povahy, ktoré budú použité v našej spoločnosti budú starostlivo vybrané vzhľadom na rozsah spracovania osobných údajov a na technické a personálne možnosti našej spoločnosti, ale vždy takým spôsobom, aby tieto prostriedky boli maximálne efektívne a aby bolo učinené zadosť platnej a účinnej právnej úprave v SR a EÚ.
2. Určenou oprávnenou osobou pre oblasť ochrany osobných údajov fyzických osôb v našej spoločnosti je štatutár Miroslav Chňapek. Tento je oprávnený a povinný zároveň kontrolovať úroveň ochrany v tejto oblasti vo vnútri spoločnosti v rámci jej vnútropodnikových procesov a takisto aj navonok voči tretím osobám a to najmä klientom, teda fyzickým osobám, ktorých údaje sa pri obchodnej činnosti spoločnosti spracúvajú. Konateľ je oprávnený ustanoviť za seba osobu, z radov zamestnancov pre tento účel.
3. Ako spoločnosť sa týmto výslovne zaväzujeme, že budeme aj do budúcna kontinuálne sledovať vývoj v oblasti právnych predpisov, judikatúry a technického aj iného rozvoja ochrany osobných údajov a poznatky takto získané budeme implementovať do našich vlastných procesov v záujme zlepšenia ochrany osobných údajov fyzických osôb v našej spoločnosti.
4. Ako spoločnosť sa zaväzujeme, že budeme vykonávať pravidelné školenia v počte 2 krát za kalendárny rok pre zamestnancov a vedenie spoločnosti zamerané na zopakovanie vedomostí a znalostí z oblasti ochrany osobných údajov, ich prehĺbenie ako aj získavanie nových poznatkov. Tieto činnosti budú určené takisto aj k senzibilizácii zamestnancov a vedenia spoločnosti a k zvýšeniu pocitu zodpovednosti všetkých zúčastnených osôb vzhľadom na dôležitosť a citlivosť oblasti ochrany osobných údajov fyzických osôb.

Článok 3 - Právny rámec ochrany osobných údajov

1. Ako základný právny rámec nastavenia ochrany osobných údajov v našej spoločnosti bude použité platné a účinné znenie Nariadenia EP a Rady č. 2016/679 ako aj znenie zákona č. 18/2018 Z. z. o ochrane osobných údajov. Okrem týchto predpisov budú pre tento účel rané na vedomie aj úpravy noriem ISO 27001, ISO 27000, ISO 31000 a prípadne ďalšie normy.
2. V prípade potreby naša spoločnosť využije aj služby externých spoločností na vykonávanie školení a vytváranie dokumentácie pre účel zabezpečenia súladu s právnymi predpismi o ochrane osobných údajov a to najmä advokátske kancelárie alebo osoby, ktoré majú preukázateľné skúsenosti a hlboké vedomosti z oblasti ochrany osobných údajov.

Článok 4 - Dokumentácia a o ochrane osobných údajov

1. V prípade, ak naša spoločnosť ako prevádzkovateľ odovzdáva získané osobné údaje o fyzických osobách ďalšej osobe v postavení sprostredkovateľa, sme povinní pre tento prípad vyhotoviť osobitnú zmluvu medzi našou spoločnosťou a každou takouto ďalšou osobou v postavení sprostredkovateľa, alebo inkorporovať príslušné ustanovenia v zmysle zákona č. 18/2018 do rámcovej zmluvy, prípadne vyhotoviť dodatok k tejto zmluve.
2. Ďalšími dokumentmi, ktoré sa naša spoločnosť zaväzuje vyhotoviť pre potrebu ochrany osobných údajov a pre potreby preukázania zhody sú Interné Smernice, Záznamy o vykonaní školení, Záznamy o spracovaní osobných údajov, Formulár hlásenia bezpečnostnej udalosti Úradu pre ochranu osobných údajov, Formulár hlásenia bezpečnostnej udalosti dotknutej fyzickej osobe, prípadne ďalšie dokumenty podľa potreby.

Článok 5 - Existujúce a pripravované technické a organizačné opatrenia

Naša spoločnosť sa zaväzuje, že vykoná vhodné technické a organizačné opatrenia, ktoré budú implementované za účelom zlepšenia procesov ochrany osobných údajov fyzických osôb. Popis opatrení v súvislosti použitím štruktúry ako je uvedená v ISO norme 27002 a ISO norme 29151 zahŕňa nasledovné:

• Jednotný postup pri vybavovaní podnetov, námietok, sťažností dotknutých fyzických osôb
• Kontrola prístupov k zariadenia, kde sa nachádzajú osobné údaje klientov, či už v elektronickej podobe alebo v papierovej podobe
• Klasifikácia informácií a následné dôsledné triedenie a bezpečné uchovanie a zálohovanie
• Zvýšenie bezpečnosti fyzických priestorov ako aj samotného prostredia organizácie a to najmä výmenou zámkov za odolnejšie, zvýšenie frekvencie použitia zámkov a bezpečnostných skríň
• Zvýšenie používania šifrovania samotných dát a rovnako aj komunikácie pri prenosoch týchto dát elektronickou formou
• Zvýšenie používania heslovania prístupu k mobilným zariadenia, laptopom, stolovým počítačom a iným zariadeniam na ktorých prebieha spracovanie dát a to minimálne 14 miestnym heslom zloženým z písmen
• Zálohovanie osobných údajov s použitím dvojcestnej metódy a to s použitím iného média ako to na ktorom sú uložené pôvodné dáta
• Používanie antivírových a antimalvérových aplikácii v rámci organizácie
• Pravidelné preskúmavanie a hľadanie slabých miest v rámci vnútropodnikových procesov a ich následné odstraňovanie
• Nákup USB médií s možnosťou použitia kryptovania, alebo s možnosťou použitia biometrického údaju na autentifikáciu
• Použitie aplikácií na kryptovanie HDD a SSD diskov
• Zabezpečenie friendly prístupu a plnej odbornej aj organizačnej súčinnosti zamestnancov a vedenia spoločnosti pri kontrole z Úradu pre ochranu osobných údajov

Informationspflicht des Unternehmens gemäß Datenschutzgesetz

Identifikationsangaben des Verantwortlichen:

Das Unternehmen Miroslav Chňapek, Firmen-Nr.: 52511375, Hájska 1182/115 95131 Močenok (im Folgenden „Unternehmen" genannt) tritt bei der Verarbeitung personenbezogener Daten seiner Mitarbeiter, Klienten, Kunden oder Geschäftspartner (im Folgenden „betroffene Person" genannt) als Verantwortlicher für Informationssysteme (im Folgenden „IS" genannt) auf.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten betroffener Personen:

Bei der Verarbeitung personenbezogener Daten geht das Unternehmen in Übereinstimmung mit dem Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten und über die Änderung und Ergänzung einiger Vorschriften (im Folgenden „Datenschutzgesetz" genannt) vor. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist das Datenschutzgesetz, besondere Rechtsvorschriften und die Einwilligung zur Verarbeitung personenbezogener Daten, abhängig vom Zweck der Verarbeitung personenbezogener Daten.

Falls der Zweck der Verarbeitung personenbezogener Daten, der Kreis betroffener Personen und die Liste personenbezogener Daten direkt durch einen unmittelbar anwendbaren Rechtsakt der Europäischen Union, einen internationalen Vertrag, durch den die Slowakische Republik gebunden ist, das Datenschutzgesetz oder ein besonderes Gesetz festgelegt wird, ist das Unternehmen gemäß dem Datenschutzgesetz berechtigt, personenbezogene Daten ohne Einwilligung der betroffenen Person zu verarbeiten.

Das Unternehmen verarbeitet personenbezogene Daten ohne Einwilligung der betroffenen Person, wenn der Zweck der Verarbeitung personenbezogener Daten, der Kreis betroffener Personen und die Liste personenbezogener Daten oder deren Umfang durch einen unmittelbar anwendbaren rechtsverbindlichen Rechtsakt der Europäischen Union, einen internationalen Vertrag, durch den die Slowakische Republik gebunden ist, oder dieses Gesetz festgelegt wird. Wenn die Liste oder der Umfang personenbezogener Daten nicht festgelegt ist, darf das Unternehmen personenbezogene Daten nur in dem Umfang und auf die Weise verarbeiten, die zur Erreichung des festgelegten Verarbeitungszwecks erforderlich ist, unter Einhaltung der Grundpflichten gemäß dem Datenschutzgesetz.

Das Unternehmen verarbeitet personenbezogene Daten außerdem ohne Einwilligung der betroffenen Person, wenn der Zweck der Verarbeitung personenbezogener Daten, der Kreis betroffener Personen und die Liste personenbezogener Daten durch ein besonderes Gesetz festgelegt wird, und zwar nur in dem Umfang und auf die Weise, die das besondere Gesetz festlegt. Verarbeitete personenbezogene Daten können aus dem Informationssystem nur dann bereitgestellt, zugänglich gemacht oder veröffentlicht werden, wenn ein besonderes Gesetz den Zweck der Bereitstellung, Zugänglichmachung oder Veröffentlichung, die Liste der personenbezogenen Daten, die bereitgestellt, zugänglich gemacht oder veröffentlicht werden können, sowie die dritten Parteien, denen die personenbezogenen Daten bereitgestellt werden, bzw. den Empfängerkreis, dem die personenbezogenen Daten zugänglich gemacht werden, festlegt, sofern das Datenschutzgesetz nichts anderes bestimmt.

Das Unternehmen verarbeitet personenbezogene Daten ohne Einwilligung der betroffenen Person auch dann, wenn:

• die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags erforderlich ist, bei dem die betroffene Person als eine der Vertragsparteien auftritt, oder in vorvertraglichen Beziehungen mit der betroffenen Person oder bei Verhandlungen über eine Vertragsänderung, die auf Antrag der betroffenen Person erfolgen,
• die Verarbeitung personenbezogener Daten zum Schutz des Lebens, der Gesundheit oder des Eigentums der betroffenen Person erforderlich ist,
• Gegenstand der Verarbeitung ausschließlich Titel, Vorname, Nachname und Adresse der betroffenen Person sind, ohne dass weitere personenbezogene Daten zugeordnet werden können, und deren Nutzung ausschließlich für die Bedürfnisse des Verantwortlichen im Postverkehr mit der betroffenen Person und zur Evidenz dieser Daten bestimmt ist,
• personenbezogene Daten verarbeitet werden, die bereits gesetzeskonform veröffentlicht wurden und der Verantwortliche sie ordnungsgemäß als veröffentlicht gekennzeichnet hat; wer behauptet, veröffentlichte personenbezogene Daten zu verarbeiten, muss auf Anfrage dem Amt nachweisen, dass die verarbeiteten personenbezogenen Daten bereits rechtmäßig veröffentlicht wurden,
• die Verarbeitung personenbezogener Daten zum Schutz der Rechte und rechtlich geschützten Interessen des Verantwortlichen oder einer dritten Partei erforderlich ist, wobei dies nicht gilt, wenn bei einer solchen Verarbeitung personenbezogener Daten die Grundrechte und Freiheiten der betroffenen Person überwiegen, die gemäß diesem Gesetz geschützt sind.

Wenn im Hinblick auf den in einem unmittelbar anwendbaren rechtsverbindlichen Rechtsakt der Europäischen Union, einem internationalen Vertrag, durch den die Slowakische Republik gebunden ist, im Datenschutzgesetz und im besonderen Gesetz festgelegten Zweck der Verarbeitung personenbezogener Daten die einzelnen personenbezogenen Daten, die Gegenstand der Verarbeitung sein sollen, nicht im Voraus konkret bestimmt werden können, kann die Liste personenbezogener Daten durch den Umfang personenbezogener Daten ersetzt werden.

Das Unternehmen ist verpflichtet, bei einer solchen Verarbeitung personenbezogener Daten gemäß dem Datenschutzgesetz vorzugehen, mit Ausnahme jener Verantwortlicher, die personenbezogene Daten zum Zwecke gerichtlicher Verfahren und in Zusammenhang damit verarbeiten.

Falls das Datenschutzgesetz auf die Verarbeitung personenbezogener Daten nicht anwendbar ist, ist das Unternehmen als Verantwortlicher berechtigt, personenbezogene Daten nur mit Einwilligung der betroffenen Person zu verarbeiten.

Das Unternehmen holt die Einwilligung der betroffenen Person ohne Zwang und Nötigung sowie ohne Bedingung durch Androhung der Ablehnung eines Vertragsverhältnisses, erbrachter Dienstleistungen oder Pflichten ein, die sich für den Verantwortlichen aus rechtsverbindlichen Rechtsakten der Europäischen Union, einem internationalen Vertrag, durch den die Slowakische Republik gebunden ist, oder einem Gesetz ergeben.

Im Falle der Verweigerung der Bereitstellung personenbezogener Daten an das Unternehmen für Zwecke, die zur Erbringung von Dienstleistungen oder zur Erfüllung gesetzlicher Pflichten erforderlich sind, ist das Unternehmen berechtigt, die betroffene Person auf mögliche Folgen der Nichtbereitstellung personenbezogener Daten hinzuweisen.

Die betroffenen Personen stimmen zu, dass das Unternehmen bei der Verarbeitung personenbezogener Daten einen Auftragsverarbeiter mit dieser Verarbeitung beauftragt, der personenbezogene Daten im Namen des Unternehmens verarbeitet. Nach Beendigung des Zwecks der Verarbeitung personenbezogener Daten wird das Unternehmen diese rechtmäßig erworbenen personenbezogenen Daten der betroffenen Personen innerhalb der durch geltende Rechtsvorschriften festgelegten Frist und in Übereinstimmung mit der internen Vorschrift des Unternehmens vernichten.

Zweck der Verarbeitung personenbezogener Daten betroffener Personen:

Das Unternehmen respektiert Ihre Privatsphäre und betrachtet die bereitgestellten personenbezogenen Daten als vertraulich.

Das Unternehmen benötigt für die qualitative Erbringung seiner Dienstleistungen Kenntnis einiger personenbezogener Daten betroffener Personen und muss diese weiteren Empfängern zum Zwecke der Erfüllung gesetzlicher Pflichten und der Sicherstellung von Dienstleistungen höchster Qualität bereitstellen.

Das Unternehmen verarbeitet die bereitgestellten personenbezogenen Daten zu mehreren Zwecken.

Einerseits handelt es sich um personenbezogene Daten von Bewerbern und personenbezogene Daten seiner Mitarbeiter für Zwecke der Personal- und Lohnverwaltung sowie damit verbundener gesetzlicher Pflichten, die sich aus besonderen Rechtsvorschriften ergeben.

Das Unternehmen verarbeitet außerdem personenbezogene Daten seiner Klienten, Kunden und Geschäftspartner zum Zwecke der Sicherstellung seiner unternehmerischen Tätigkeit unter Berücksichtigung der Interessen seiner Klienten, Kunden und Geschäftspartner.

Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck findet im Unternehmen nicht statt, was bedeutet, dass das Unternehmen nur personenbezogene Daten betroffener Personen sammelt, aufbewahrt und verarbeitet, die es zum Zwecke der Erfüllung seiner erbrachten Dienstleistungen benötigt. Die bereitgestellten personenbezogenen Daten sind streng vor Missbrauch durch unbefugte Dritte geschützt, und zwar durch Mittel, die im angenommenen Sicherheitsprojekt und in der Sicherheitsrichtlinie gemäß dem Datenschutzgesetz dokumentiert sind.

Bei der Verarbeitung personenbezogener Daten betroffener Personen hält das Unternehmen die Grundpflichten des Verantwortlichen ein, die sich aus dem Datenschutzgesetz ergeben, zu denen auch die folgenden Pflichten gehören.

Das Unternehmen nutzt die bereitgestellten personenbezogenen Daten stets für einen im Voraus festgelegten Verarbeitungszweck, der klar, eindeutig und konkret definiert ist und in Übereinstimmung mit der Verfassung der Slowakischen Republik, Verfassungsgesetzen, Gesetzen und internationalen Verträgen steht, durch die die Slowakische Republik gebunden ist.

Das Unternehmen definiert die Bedingungen für die Verarbeitung personenbezogener Daten stets so, dass die durch das Gesetz festgelegten Rechte der betroffenen Person nicht eingeschränkt werden.

Das Unternehmen erhebt nur solche personenbezogenen Daten betroffener Personen, die in ihrem Umfang und Inhalt dem Verarbeitungszweck entsprechen und zu dessen Erreichung erforderlich sind.

Das Unternehmen stellt sicher, dass personenbezogene Daten betroffener Personen ausschließlich auf eine Weise verarbeitet werden, die dem Zweck entspricht, für den sie im Voraus gesammelt wurden.

Das Unternehmen als Verantwortlicher ist verpflichtet, nur korrekte, vollständige und bei Bedarf aktualisierte personenbezogene Daten in Bezug auf den Verarbeitungszweck zu verarbeiten. Falsche und unvollständige personenbezogene Daten muss der Verantwortliche sperren und unverzüglich korrigieren oder ergänzen; wenn sie nicht korrigiert oder ergänzt werden können, sodass sie korrekt sind, muss das Unternehmen diese personenbezogenen Daten deutlich kennzeichnen und unverzüglich vernichten.

Das Unternehmen stellt sicher, dass personenbezogene Daten betroffener Personen in einer Form verarbeitet werden, die die Identifizierung einzelner betroffener Personen nicht länger ermöglicht, als zur Erreichung des Verarbeitungszwecks erforderlich ist.

Das Unternehmen vernichtet auf vorgeschriebene Weise jene personenbezogenen Daten, deren Verarbeitungszweck beendet ist. Nach Beendigung des festgelegten Zwecks ist das Unternehmen berechtigt, personenbezogene Daten im erforderlichen Umfang für Forschung oder statistische Zwecke in anonymisierter Form zu verarbeiten. Solcherart verarbeitete personenbezogene Daten darf der Verantwortliche nicht zur Unterstützung von Maßnahmen oder Entscheidungen verwenden, die gegen die betroffene Person zur Einschränkung ihrer Grundrechte und Freiheiten getroffen wurden.

Auftragsverarbeiter:

Das Unternehmen stellt Ihre personenbezogenen Daten nicht dritten Personen unter Verstoß gegen das Datenschutzgesetz und zum Zwecke ihrer Sammlung bereit, nicht im Widerspruch zu Ihren Interessen oder Weisungen, und dritten Personen werden sie nur im Rahmen des oben genannten Zwecks bereitgestellt.

Das Unternehmen arbeitet bei seinen unternehmerischen Aktivitäten mit mehreren Auftragsverarbeitern zusammen, deren Ziel die Erbringung qualitativ hochwertiger Dienstleistungen ist, wobei diese Subjekte bei der Ausführung ihrer vertraglichen Tätigkeit für das Unternehmen personenbezogene Daten betroffener Personen verarbeiten.

Das Unternehmen erklärt ehrlich, dass es bei der Auswahl einzelner Auftragsverarbeiter auf deren fachliche, technische, organisatorische und personelle Eignung und ihre Fähigkeit geachtet hat, die Sicherheit verarbeiteter personenbezogener Daten durch angenommene Sicherheitsmaßnahmen gemäß dem Datenschutzgesetz zu gewährleisten.

Das Unternehmen ist bei der Auswahl eines geeigneten Auftragsverarbeiters gleichzeitig so vorgegangen, dass die Rechte und rechtlich geschützten Interessen betroffener Personen nicht gefährdet werden.

Das Unternehmen als Verantwortlicher hat mit Auftragsverarbeitern gemäß dem Datenschutzgesetz schriftliche Verträge zur Sicherstellung des Schutzes personenbezogener Daten geschlossen, die von Auftragsverarbeitern verarbeitet werden, die es mit der Verarbeitung personenbezogener Daten betroffener Personen nur im Umfang, unter den Bedingungen und für den im Vertrag vereinbarten Zweck und auf die Weise gemäß dem Datenschutzgesetz beauftragt hat.

Umfang und Liste verarbeiteter personenbezogener Daten:

Das Unternehmen verarbeitet in seinen Informationssystemen personenbezogene Daten betroffener Personen im Umfang, der zur Erreichung des festgelegten Zwecks erforderlich ist. Es handelt sich um den Umfang personenbezogener Daten, der durch besondere Rechtsvorschriften festgelegt ist, oder im Umfang der Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.

Das Unternehmen verarbeitet nur personenbezogene Daten, die ihm freiwillig und im erforderlichen Maße von der betroffenen Person selbst bereitgestellt wurden. Die Bereitstellung personenbezogener Daten an das Unternehmen über besondere Gesetze hinaus ist dabei freiwillig.

Bedingungen und Verfahren zur Verarbeitung personenbezogener Daten betroffener Personen:

Das Unternehmen verarbeitet in seinen Informationssystemen personenbezogene Daten betroffener Personen sowohl mit automatisierten als auch mit nicht automatisierten Verarbeitungsmitteln.

Das Unternehmen veröffentlicht verarbeitete personenbezogene Daten nicht, außer in Fällen, in denen dies durch eine besondere Rechtsvorschrift oder eine Entscheidung eines Gerichts oder einer anderen staatlichen Behörde erforderlich ist.

Das Unternehmen wird Ihre personenbezogenen Daten ohne Ihre ausdrückliche Einwilligung oder eine andere gesetzliche Rechtsgrundlage nicht zu einem anderen Zweck oder in größerem Umfang verarbeiten, als in dieser Information und in den Evidenzblättern einzelner Informationssysteme des Verantwortlichen angegeben ist.

Rechte der betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten:

Die betroffene Person hat das Recht, auf Grundlage eines schriftlichen Antrags vom Unternehmen zu verlangen:

• Bestätigung, ob personenbezogene Daten über sie verarbeitet werden oder nicht,
• Informationen in allgemein verständlicher Form über die Verarbeitung personenbezogener Daten im Informationssystem im Umfang gemäß dem Datenschutzgesetz; bei Erlass einer Entscheidung gemäß dem Datenschutzgesetz ist die betroffene Person berechtigt, sich mit dem Verarbeitungs- und Bewertungsverfahren vertraut zu machen,
• genaue Informationen in allgemein verständlicher Form über die Quelle, aus der ihre personenbezogenen Daten zur Verarbeitung erlangt wurden,
• eine Liste ihrer personenbezogenen Daten in allgemein verständlicher Form, die Gegenstand der Verarbeitung sind,
• Berichtigung oder Vernichtung ihrer falschen, unvollständigen oder veralteten personenbezogenen Daten, die Gegenstand der Verarbeitung sind,
• Vernichtung ihrer personenbezogenen Daten, deren Verarbeitungszweck beendet ist; wenn Gegenstand der Verarbeitung amtliche Dokumente sind, die personenbezogene Daten enthalten, kann sie deren Rückgabe verlangen,
• Vernichtung ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, wenn ein Verstoß gegen das Gesetz vorliegt,
• Sperrung ihrer personenbezogenen Daten aufgrund des Widerrufs der Einwilligung vor Ablauf ihrer Gültigkeit, wenn das Unternehmen personenbezogene Daten auf Grundlage der Einwilligung der betroffenen Person verarbeitet.

Die oben genannten Rechte der betroffenen Person gemäß Buchstaben e) und f) können nur eingeschränkt werden, wenn eine solche Einschränkung aus einem besonderen Gesetz folgt oder durch ihre Anwendung der Schutz der betroffenen Person verletzt würde oder die Rechte und Freiheiten anderer Personen verletzt würden.

Gemäß dem Datenschutzgesetz hat die betroffene Person auf Grundlage eines schriftlichen Antrags an das Unternehmen das Recht, Einspruch zu erheben gegen:

• die Verarbeitung ihrer personenbezogenen Daten, von denen sie annimmt, dass sie ohne ihre Einwilligung für Zwecke des Direktmarketings verarbeitet werden oder werden sollen, und deren Vernichtung zu verlangen,
• die Nutzung personenbezogener Daten gemäß dem Datenschutzgesetz für Zwecke des Direktmarketings im Postverkehr oder
• die Bereitstellung personenbezogener Daten gemäß dem Datenschutzgesetz für Zwecke des Direktmarketings.

Gemäß dem Datenschutzgesetz hat die betroffene Person auf Grundlage eines schriftlichen Antrags an das Unternehmen oder persönlich, wenn die Angelegenheit keinen Aufschub duldet, das Recht, jederzeit Einspruch gegen die Verarbeitung personenbezogener Daten in Fällen gemäß dem Datenschutzgesetz zu erheben, indem sie berechtigte Gründe vorbringt oder Beweise für einen unrechtmäßigen Eingriff in ihre Rechte und rechtlich geschützten Interessen vorlegt, die durch eine solche Verarbeitung personenbezogener Daten im konkreten Fall geschädigt sind oder werden können; wenn keine gesetzlichen Gründe dagegen sprechen und sich herausstellt, dass der Einspruch der betroffenen Person berechtigt ist, ist das Unternehmen verpflichtet, die personenbezogenen Daten, gegen deren Verarbeitung die betroffene Person Einspruch erhoben hat, unverzüglich zu sperren und zu vernichten, sobald es die Umstände erlauben.

Gemäß dem Datenschutzgesetz hat die betroffene Person auf Grundlage eines schriftlichen Antrags an das Unternehmen oder persönlich, wenn die Angelegenheit keinen Aufschub duldet, das Recht, jederzeit Einspruch zu erheben und sich keiner Entscheidung des Unternehmens zu unterwerfen, die für sie rechtliche Wirkungen oder erhebliche Auswirkungen hätte, wenn eine solche Entscheidung ausschließlich auf Grundlage automatisierter Verarbeitungsvorgänge ihrer personenbezogenen Daten ergeht. Die betroffene Person hat ferner das Recht, vom Unternehmen die Überprüfung der ergangenen Entscheidung mit einer von der automatisierten Verarbeitungsform abweichenden Methode zu verlangen, wobei das Unternehmen verpflichtet ist, dem Antrag der betroffenen Person stattzugeben, und zwar so, dass die maßgebliche Rolle bei der Überprüfung der Entscheidung eine befugte Person haben wird; über die Art der Überprüfung und das Ergebnis der Feststellung informiert der Verantwortliche die betroffene Person innerhalb der Frist gemäß dem Datenschutzgesetz. Die betroffene Person hat dieses Recht nur dann nicht, wenn dies durch ein besonderes Gesetz bestimmt ist, in dem Maßnahmen zur Sicherstellung der berechtigten Interessen der betroffenen Person geregelt sind, oder wenn der Verantwortliche im Rahmen vorvertraglicher Beziehungen oder während des Bestehens vertraglicher Beziehungen eine Entscheidung getroffen hat, mit der er dem Antrag der betroffenen Person stattgegeben hat, oder wenn der Verantwortliche auf Grundlage des Vertrags andere angemessene Maßnahmen zur Sicherstellung der berechtigten Interessen der betroffenen Person getroffen hat.

Wenn die betroffene Person ihr Recht geltend macht:

• schriftlich und aus dem Inhalt ihres Antrags hervorgeht, dass sie ihr Recht geltend macht, gilt der Antrag als gemäß dem Datenschutzgesetz eingereicht; einen per E-Mail oder Fax eingereichten Antrag muss die betroffene Person spätestens drei Tage nach dessen Absendung schriftlich zustellen,
• persönlich in mündlicher Form in ein Protokoll, aus dem hervorgehen muss, wer das Recht geltend gemacht hat, was er verlangt und wann und wer das Protokoll erstellt hat, seine Unterschrift und die Unterschrift der betroffenen Person; das Unternehmen ist verpflichtet, der betroffenen Person eine Kopie des Protokolls auszuhändigen,
• bei einem Auftragsverarbeiter gemäß Buchstabe a) oder Buchstabe b), ist dieser verpflichtet, diesen Antrag oder dieses Protokoll unverzüglich an das Unternehmen zu übergeben.

Wenn die betroffene Person den Verdacht hat, dass ihre personenbezogenen Daten unrechtmäßig verarbeitet werden, kann sie einen Antrag auf Einleitung eines Verfahrens zum Schutz personenbezogener Daten beim Amt für den Schutz personenbezogener Daten der Slowakischen Republik mit Sitz Hraničná 12, 820 07 Bratislava 27, Slowakische Republik stellen oder das Amt über seine Website http://www.dataprotection.gov.sk kontaktieren.

Wenn die betroffene Person nicht in vollem Umfang geschäftsfähig ist, kann ihr gesetzlicher Vertreter ihre Rechte geltend machen.

Wenn die betroffene Person nicht mehr lebt, kann eine nahestehende Person ihre Rechte, die sie nach diesem Gesetz hatte, geltend machen.

Das Unternehmen bearbeitet den Antrag der betroffenen Person gemäß dem Datenschutzgesetz kostenlos.

Das Unternehmen bearbeitet den Antrag der betroffenen Person gemäß dem Datenschutzgesetz kostenlos, mit Ausnahme einer Gebühr in Höhe, die die Höhe der zweckmäßig aufgewendeten sachlichen Kosten im Zusammenhang mit der Herstellung von Kopien, der Beschaffung technischer Datenträger und dem Versand der Information an die betroffene Person nicht überschreiten darf, sofern ein besonderes Gesetz nichts anderes bestimmt.

Das Unternehmen ist verpflichtet, den Antrag der betroffenen Person gemäß dem Datenschutzgesetz spätestens 30 Tage ab dem Tag des Eingangs des Antrags schriftlich zu bearbeiten.

Eine Einschränkung der Rechte der betroffenen Person gemäß dem Datenschutzgesetz teilt das Unternehmen unverzüglich schriftlich der betroffenen Person und dem Amt für den Schutz personenbezogener Daten der Slowakischen Republik mit.

Das Unternehmen hat Sie als betroffene Person hiermit über den Schutz Ihrer personenbezogenen Daten informiert und Sie über Ihre Rechte im Zusammenhang mit dem Schutz personenbezogener Daten im Umfang dieser schriftlichen Informationspflicht belehrt.

INTERNE RICHTLINIE

Gemäß der Verordnung des Europäischen Parlaments und des Rates (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie gemäß dem Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten in der geltenden und wirksamen Fassung mit dem Titel Interne Richtlinie Nr. 1/2018 über Politik und Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten, angenommen und genehmigt vom Unternehmen Miroslav Chňapek, Firmen-Nr.: 52511375, Hájska 1182/115 95131 Močenok am 27.03.2026 am Sitz des Unternehmens (im Folgenden nur „interne Richtlinie")

Artikel 1 - Einleitende Bestimmung

Der Zweck der Schaffung von Politik und Grundsätzen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in unserem Unternehmen ist die Schaffung eines rechtlichen innerbetrieblichen Rahmens in einem Dokument für die Anwendung von Verfahren in Übereinstimmung mit den oben genannten rechtsverbindlichen Vorschriften über den Schutz personenbezogener Daten natürlicher Personen. Dieses Dokument wird auch für den Fall einer Kontrolle durch das Amt für den Schutz personenbezogener Daten verwendet. Unser Unternehmen befasst sich überwiegend mit dem Kauf und Verkauf von Waren, und bei diesen Tätigkeiten werden personenbezogene Daten unserer Klienten verarbeitet, weshalb es in unserem besten Interesse liegt, dass alle unsere Verfahren und Prozesse innerhalb des Unternehmens mit den geltenden und wirksamen Vorschriften über den Datenschutz in Einklang stehen.

Artikel 2 - Sicherheits- und Verantwortungspolitik in unserem Unternehmen

1. Die Erreichung des höchstmöglichen Schutzes personenbezogener Daten unserer Klienten hat für unser Unternehmen hohe Priorität, und neben den bestehenden Geschäftszielen wird diesem Bereich seitens der Unternehmensleitung sowie der Mitarbeiter erhöhte Aufmerksamkeit gewidmet. Maßnahmen technischer und organisatorischer Art, die in unserem Unternehmen angewendet werden, werden sorgfältig ausgewählt im Hinblick auf den Umfang der Verarbeitung personenbezogener Daten und auf die technischen und personellen Möglichkeiten unseres Unternehmens, jedoch stets so, dass diese Mittel maximal effektiv sind und der geltenden und wirksamen Rechtsordnung in der SR und EU Genüge getan wird.
2. Die benannte befugte Person für den Bereich des Schutzes personenbezogener Daten natürlicher Personen in unserem Unternehmen ist der Geschäftsführer Miroslav Chňapek. Dieser ist berechtigt und verpflichtet, das Schutzniveau in diesem Bereich innerhalb des Unternehmens im Rahmen seiner innerbetrieblichen Prozesse sowie nach außen gegenüber dritten Personen, insbesondere Klienten, also natürlichen Personen, deren Daten bei der Geschäftstätigkeit des Unternehmens verarbeitet werden, zu kontrollieren. Der Geschäftsführer ist berechtigt, für diesen Zweck eine Person aus dem Kreis der Mitarbeiter zu bestimmen.
3. Als Unternehmen verpflichten wir uns hiermit ausdrücklich, dass wir auch in Zukunft kontinuierlich die Entwicklung im Bereich der Rechtsvorschriften, Rechtsprechung und der technischen sowie sonstigen Entwicklung des Schutzes personenbezogener Daten verfolgen werden und die so gewonnenen Erkenntnisse in unsere eigenen Prozesse im Interesse der Verbesserung des Schutzes personenbezogener Daten natürlicher Personen in unserem Unternehmen implementieren werden.
4. Als Unternehmen verpflichten wir uns, dass wir regelmäßige Schulungen zweimal pro Kalenderjahr für Mitarbeiter und Unternehmensleitung durchführen werden, die auf die Wiederholung von Kenntnissen und Wissen aus dem Bereich des Schutzes personenbezogener Daten, deren Vertiefung sowie auf die Gewinnung neuer Erkenntnisse ausgerichtet sind. Diese Aktivitäten sind auch zur Sensibilisierung der Mitarbeiter und Unternehmensleitung und zur Erhöhung des Verantwortungsbewusstseins aller beteiligten Personen im Hinblick auf die Wichtigkeit und Sensibilität des Bereichs des Schutzes personenbezogener Daten natürlicher Personen bestimmt.

Artikel 3 - Rechtsrahmen des Schutzes personenbezogener Daten

1. Als grundlegender Rechtsrahmen für die Einstellung des Schutzes personenbezogener Daten in unserem Unternehmen wird die geltende und wirksame Fassung der Verordnung des EP und des Rates Nr. 2016/679 sowie die Fassung des Gesetzes Nr. 18/2018 Slg. über den Schutz personenbezogener Daten verwendet. Neben diesen Vorschriften werden für diesen Zweck auch die Regelungen der Normen ISO 27001, ISO 27000, ISO 31000 und gegebenenfalls weitere Normen berücksichtigt.
2. Bei Bedarf wird unser Unternehmen auch Dienste externer Unternehmen zur Durchführung von Schulungen und zur Erstellung von Dokumentation zum Zwecke der Sicherstellung der Übereinstimmung mit den Rechtsvorschriften über den Schutz personenbezogener Daten nutzen, insbesondere Anwaltskanzleien oder Personen, die nachweisliche Erfahrung und tiefgreifendes Wissen aus dem Bereich des Schutzes personenbezogener Daten haben.

Artikel 4 - Dokumentation über den Schutz personenbezogener Daten

1. Falls unser Unternehmen als Verantwortlicher erworbene personenbezogene Daten über natürliche Personen einer weiteren Person in der Stellung eines Auftragsverarbeiters übergibt, sind wir verpflichtet, für diesen Fall einen gesonderten Vertrag zwischen unserem Unternehmen und jeder solchen weiteren Person in der Stellung eines Auftragsverarbeiters zu erstellen oder die entsprechenden Bestimmungen gemäß Gesetz Nr. 18/2018 in den Rahmenvertrag zu inkorporieren bzw. einen Nachtrag zu diesem Vertrag zu erstellen.
2. Weitere Dokumente, die unser Unternehmen sich verpflichtet, für den Bedarf des Schutzes personenbezogener Daten und für die Zwecke des Nachweises der Übereinstimmung zu erstellen, sind Interne Richtlinien, Aufzeichnungen über die Durchführung von Schulungen, Aufzeichnungen über die Verarbeitung personenbezogener Daten, Formular zur Meldung einer Sicherheitsverletzung an das Amt für den Schutz personenbezogener Daten, Formular zur Meldung einer Sicherheitsverletzung an die betroffene natürliche Person sowie gegebenenfalls weitere Dokumente nach Bedarf.

Artikel 5 - Bestehende und geplante technische und organisatorische Maßnahmen

Unser Unternehmen verpflichtet sich, geeignete technische und organisatorische Maßnahmen durchzuführen, die zum Zwecke der Verbesserung der Prozesse des Schutzes personenbezogener Daten natürlicher Personen implementiert werden. Die Beschreibung der Maßnahmen in Verbindung mit der Verwendung der Struktur, wie sie in der ISO-Norm 27002 und ISO-Norm 29151 angegeben ist, umfasst Folgendes:

• Einheitliches Verfahren bei der Bearbeitung von Anregungen, Einsprüchen, Beschwerden betroffener natürlicher Personen
• Zugangskon trolle zu Geräten, auf denen sich personenbezogene Daten von Klienten befinden, sei es in elektronischer oder in Papierform
• Klassifizierung von Informationen und anschließende konsequente Sortierung sowie sichere Aufbewahrung und Sicherung
• Erhöhung der Sicherheit physischer Räume sowie der Umgebung der Organisation selbst, insbesondere durch Austausch von Schlössern gegen widerstandsfähigere, Erhöhung der Häufigkeit der Verwendung von Schlössern und Sicherheitsschränken
• Erhöhung der Verwendung von Verschlüsselung der Daten selbst sowie der Kommunikation bei der Übertragung dieser Daten in elektronischer Form
• Erhöhung der Verwendung von Passwörtern für den Zugang zu mobilen Geräten, Laptops, Desktop-Computern und anderen Geräten, auf denen Datenverarbeitung stattfindet, und zwar mit mindestens 14-stelligen Passwörtern, die aus Buchstaben bestehen
• Sicherung personenbezogener Daten unter Verwendung einer zweigleisigen Methode und zwar unter Verwendung eines anderen Mediums als dem, auf dem die Originaldaten gespeichert sind
• Verwendung von Antiviren- und Anti-Malware-Anwendungen innerhalb der Organisation
• Regelmäßige Prüfung und Suche nach Schwachstellen im Rahmen innerbetrieblicher Prozesse und deren anschließende Beseitigung
• Kauf von USB-Medien mit der Möglichkeit der Verwendung von Verschlüsselung oder mit der Möglichkeit der Verwendung biometrischer Daten zur Authentifizierung
• Verwendung von Anwendungen zur Verschlüsselung von HDD- und SSD-Festplatten
• Sicherstellung eines freundlichen Zugangs und voller fachlicher sowie organisatorischer Zusammenarbeit der Mitarbeiter und Unternehmensleitung bei Kontrollen durch das Amt für den Schutz personenbezogener Daten

Company Information Obligation Prepared in Accordance with the Personal Data Protection Act

Identification Data of the Controller:

The company Miroslav Chňapek, Company ID: 52511375, Hájska 1182/115 95131 Močenok (hereinafter referred to as the "Company") acts as a controller of information systems (hereinafter referred to as "IS") when processing personal data of its employees, clients, customers or business partners (hereinafter referred to as the "data subject").

Legal Basis for Processing Personal Data of Data Subjects:

When processing personal data, the Company acts in accordance with Act No. 18/2018 Coll. on the protection of personal data and on amendments to certain acts (hereinafter referred to as the "Personal Data Protection Act"). The legal basis for processing personal data is the Personal Data Protection Act, special legal regulations and consent to the processing of personal data, depending on the purpose of processing personal data.

If the purpose of processing personal data, the scope of data subjects and the list of personal data is established by a directly applicable act of the European Union, an international treaty by which the Slovak Republic is bound, the Personal Data Protection Act or a special law, the Company is entitled under the Personal Data Protection Act to process personal data without the consent of the data subject.

The Company processes personal data without the consent of the data subject if the purpose of processing personal data, the scope of data subjects and the list of personal data or their scope is established by a directly applicable legally binding act of the European Union, an international treaty by which the Slovak Republic is bound, or this Act. If the list or scope of personal data is not established, the Company may process personal data only to the extent and in the manner necessary to achieve the established purpose of processing while observing the basic obligations under the Personal Data Protection Act.

The Company also processes personal data without the consent of the data subject if the purpose of processing personal data, the scope of data subjects and the list of personal data is established by a special law, and only to the extent and in the manner established by the special law. Processed personal data may be provided, made available or published from the information system only if a special law establishes the purpose of providing, making available or publishing, the list of personal data that may be provided, made available or published, as well as the third parties to whom the personal data are provided, or the scope of recipients to whom the personal data are made available, unless the Personal Data Protection Act provides otherwise.

The Company processes personal data without the consent of the data subject also when:

• the processing of personal data is necessary for the performance of a contract in which the data subject appears as one of the contracting parties, or in pre-contractual relationships with the data subject or in negotiations on a contract amendment carried out at the request of the data subject,
• the processing of personal data is necessary to protect the life, health or property of the data subject,
• the subject of processing is exclusively the title, first name, surname and address of the data subject without the possibility of assigning other personal data to them, and their use is intended exclusively for the needs of the controller in postal communication with the data subject and records of these data,
• personal data are processed that have already been published in accordance with the law and the controller has duly marked them as published; anyone who claims to process published personal data must, upon request, prove to the office that the processed personal data have already been lawfully published,
• the processing of personal data is necessary to protect the rights and legally protected interests of the controller or a third party, provided that this does not apply if, in such processing of personal data, the fundamental rights and freedoms of the data subject that are subject to protection under this Act prevail.

If, in view of the purpose of processing personal data established in a directly applicable legally binding act of the European Union, an international treaty by which the Slovak Republic is bound, in the Personal Data Protection Act and a special law, the individual personal data to be processed cannot be specifically determined in advance, the list of personal data may be replaced by the scope of personal data.

The Company is obliged to proceed in accordance with the Personal Data Protection Act when processing personal data, except for those controllers who process personal data for the purposes of court proceedings and in connection therewith.

If the Personal Data Protection Act does not apply to the processing of personal data, the Company as a controller is entitled to process personal data only with the consent of the data subject.

The Company obtains the consent of the data subject without coercion and enforcement, as well as without conditioning by threatening to refuse a contractual relationship, provided services or obligations arising for the controller from legally binding acts of the European Union, an international treaty by which the Slovak Republic is bound or a law.

In case of refusal to provide personal data to the Company for purposes necessary for the provision of services or fulfillment of legal obligations, the Company is entitled to warn the data subject of possible consequences of not providing personal data.

Data subjects agree that the Company may entrust a processor with the processing of personal data, who processes personal data on behalf of the Company. After the purpose of processing personal data has ended, the Company will destroy these lawfully obtained personal data of data subjects within the period established by applicable legal regulations and in accordance with the Company's internal regulation.

Purpose of Processing Personal Data of Data Subjects:

The Company respects your privacy and considers the provided personal data confidential.

The Company needs to know some personal data of data subjects in order to provide quality services and needs to provide them to other recipients in order to fulfill legal obligations and ensure services of the highest quality.

The Company processes the provided personal data for multiple purposes.

On the one hand, these are personal data of job applicants and personal data of its employees for the purposes of personnel and payroll administration, and related legal obligations arising from special legal regulations.

The Company also processes personal data of its clients, customers and business partners for the purpose of ensuring its business activities with regard to the interests of its clients, customers and business partners.

Processing of personal data for another purpose does not take place in the Company, which means that the Company collects, stores and processes only personal data of data subjects that it needs for the purpose of fulfilling its provided services. The provided personal data are strictly protected against misuse by unauthorized third parties, by means documented in the adopted security project and security directive in accordance with the Personal Data Protection Act.

When processing personal data of data subjects, the Company observes the basic obligations of the controller arising from the Personal Data Protection Act, which include the following obligations.

The Company always uses the provided personal data for a predetermined purpose of processing, which is clear, defined unambiguously and specifically, and is in accordance with the Constitution of the Slovak Republic, constitutional laws, laws and international treaties by which the Slovak Republic is bound.

The Company always defines the conditions for processing personal data so as not to restrict the rights of the data subject established by law.

The Company obtains only such personal data of data subjects that correspond in their scope and content to the purpose of processing and are necessary to achieve it.

The Company ensures that personal data of data subjects are processed exclusively in a manner that corresponds to the purpose for which they were collected in advance.

The Company as a controller is obliged to process only correct, complete and, as necessary, updated personal data in relation to the purpose of processing. Incorrect and incomplete personal data must be blocked by the controller and corrected or supplemented without undue delay; if they cannot be corrected or supplemented so that they are correct, the Company must clearly mark these personal data and destroy them without undue delay.

The Company ensures that personal data of data subjects are processed in a form allowing identification of individual data subjects for no longer than is necessary to achieve the purpose of processing.

The Company destroys in the prescribed manner those personal data whose purpose of processing has ended. After the defined purpose has ended, the Company is entitled to process personal data to the necessary extent for research or statistical purposes in their anonymized form. Such processed personal data may not be used by the controller to support measures or decisions taken against the data subject to restrict their fundamental rights and freedoms.

Processors:

The Company does not provide your personal data to third parties in violation of the Personal Data Protection Act and for the purpose of their collection, in violation of your interests or instructions, and to third parties they are provided only within the above-mentioned purpose.

The Company cooperates with several processors in its business activities, whose goal is to provide quality services, and these entities process personal data of data subjects when performing their contractual activities for the Company.

The Company honestly declares that when selecting individual processors, it paid attention to their professional, technical, organizational and personnel competence and their ability to guarantee the security of processed personal data by adopted security measures in accordance with the Personal Data Protection Act.

The Company also proceeded when selecting a suitable processor so as not to endanger the rights and legally protected interests of data subjects.

The Company as a controller concluded written contracts with processors in accordance with the Personal Data Protection Act to ensure the protection of personal data processed by processors, which it entrusted with the processing of personal data of data subjects only to the extent, under the conditions and for the purpose agreed in the contract and in the manner according to the Personal Data Protection Act.

Scope and List of Processed Personal Data:

The Company processes personal data of data subjects in its information systems to the extent necessary to achieve the established purpose. This is the scope of personal data established by special legal regulations or to the extent of the consent of the data subject to the processing of their personal data.

The Company processes only personal data that were provided to it voluntarily and to the necessary extent by the data subject themselves. The provision of personal data to the Company beyond special laws is voluntary.

Conditions and Method of Processing Personal Data of Data Subjects:

The Company processes personal data of data subjects in its information systems by both automated and non-automated means of processing.

The Company does not publish processed personal data, except in cases where it is required by a special legal regulation or a decision of a court or other state authority.

The Company will not process your personal data without your express consent or another legal basis for another purpose or to a greater extent than stated in this information and record sheets of individual information systems of the controller.

Rights of the Data Subject Related to the Processing of Their Personal Data:

The data subject has the right to require from the Company on the basis of a written request:

• confirmation of whether or not personal data about them are being processed,
• information in a generally understandable form about the processing of personal data in the information system to the extent according to the Personal Data Protection Act; when issuing a decision according to the Personal Data Protection Act, the data subject is entitled to become acquainted with the processing and evaluation procedure,
• accurate information in a generally understandable form about the source from which their personal data for processing were obtained,
• a list in a generally understandable form of their personal data that are subject to processing,
• correction or destruction of their incorrect, incomplete or outdated personal data that are subject to processing,
• destruction of their personal data whose purpose of processing has ended; if the subject of processing is official documents containing personal data, they may request their return,
• destruction of their personal data that are subject to processing if there has been a violation of the law,
• blocking of their personal data due to revocation of consent before the expiration of its validity, if the Company processes personal data on the basis of the consent of the data subject.

The above-mentioned rights of the data subject according to letters e) and f) may be restricted only if such restriction follows from a special law or its application would violate the protection of the data subject, or would violate the rights and freedoms of other persons.

According to the Personal Data Protection Act, the data subject has the right on the basis of a written request addressed to the Company to object to:

• the processing of their personal data, which they assume are or will be processed for direct marketing purposes without their consent, and to request their destruction,
• the use of personal data specified in the Personal Data Protection Act for direct marketing purposes in postal communication, or
• the provision of personal data specified in the Personal Data Protection Act for direct marketing purposes.

According to the Personal Data Protection Act, the data subject has the right on the basis of a written request addressed to the Company or in person, if the matter does not allow delay, to object at any time to the processing of personal data in cases according to the Personal Data Protection Act by expressing legitimate reasons or submitting evidence of unauthorized interference with their rights and legally protected interests, which are or may be damaged in a specific case by such processing of personal data; if there are no legal reasons against it and it is proven that the objection of the data subject is justified, the Company is obliged to block the personal data whose processing the data subject objected to without undue delay and destroy them as soon as circumstances allow.

According to the Personal Data Protection Act, the data subject has the right on the basis of a written request addressed to the Company or in person, if the matter does not allow delay, to object at any time and not to submit to a decision of the Company that would have legal effects or significant impact on them, if such a decision is issued solely on the basis of automated processing of their personal data. The data subject also has the right to request the Company to review the issued decision by a method different from the automated form of processing, whereby the Company is obliged to comply with the request of the data subject, in such a way that an authorized person will have a decisive role in reviewing the decision; the controller informs the data subject about the method of review and the result of the finding within the period according to the Personal Data Protection Act. The data subject does not have this right only if it is established by a special law in which measures to ensure the legitimate interests of the data subject are regulated, or if, within pre-contractual relationships or during the existence of contractual relationships, the controller issued a decision by which it complied with the request of the data subject, or if the controller, on the basis of the contract, adopted other appropriate measures to ensure the legitimate interests of the data subject.

If the data subject exercises their right:

• in writing and it follows from the content of their request that they are exercising their right, the request is considered submitted according to the Personal Data Protection Act; a request submitted by email or fax must be delivered by the data subject in writing no later than three days from the day of its sending,
• in person orally in a record, from which it must be clear who exercised the right, what they are claiming and when and who made the record, their signature and the signature of the data subject; the Company is obliged to hand over a copy of the record to the data subject,
• at a processor according to letter a) or letter b), they are obliged to hand over this request or record to the Company without undue delay.

If the data subject suspects that their personal data are being processed unlawfully, they may submit a proposal to initiate proceedings on the protection of personal data to the Office for the Protection of Personal Data of the Slovak Republic, with its seat at Hraničná 12, 820 07 Bratislava 27, Slovak Republic, or contact the office through its website http://www.dataprotection.gov.sk.

If the data subject does not have legal capacity in full, their rights may be exercised by their legal representative.

If the data subject is not alive, their rights, which they had according to this law, may be exercised by a close person.

The Company will process the request of the data subject according to the Personal Data Protection Act free of charge.

The Company will process the request of the data subject according to the Personal Data Protection Act free of charge, except for a fee in an amount that may not exceed the amount of reasonably incurred material costs associated with making copies, acquiring technical carriers and sending information to the data subject, unless a special law provides otherwise.

The Company is obliged to process the request of the data subject according to the Personal Data Protection Act in writing no later than 30 days from the day of receipt of the request.

The Company will notify the data subject and the Office for the Protection of Personal Data of the Slovak Republic in writing without undue delay of any restriction of the rights of the data subject according to the Personal Data Protection Act.

The Company has hereby informed you as a data subject about the protection of your personal data and instructed you about your rights in relation to the protection of personal data to the extent of this written information obligation.

INTERNAL DIRECTIVE

In accordance with Regulation of the European Parliament and of the Council (EU) No. 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and in accordance with Act No. 18/2018 Coll. on the protection of personal data in the valid and effective wording entitled Internal Directive No. 1/2018 on the policy and principles of protection of natural persons with regard to the processing of personal data adopted and approved by the company Miroslav Chňapek, Company ID: 52511375, Hájska 1182/115 95131 Močenok on 27.03.2026 at the registered office of the company (hereinafter referred to as the "internal directive")

Article 1 - Introductory Provision

The purpose of creating the policy and principles of protection of natural persons with regard to the processing of personal data in our company is to create a legal internal framework in one document for the use of procedures in accordance with the above-mentioned legally binding regulations on the protection of personal data of natural persons. This document will also be used in case of inspection by the Office for the Protection of Personal Data. Our company is mainly engaged in the purchase and sale of goods, and during these activities, personal data of our clients are processed, and therefore it is in our best interest that all our procedures and processes within the company are in compliance with the valid and effective regulations on data protection.

Article 2 - Security and Responsibility Policy in Our Company

1. Achieving the highest possible protection of personal data of our clients is a high priority for our company, and in addition to existing business goals, increased attention will be paid to this area by the management of the company as well as by employees. Measures of a technical and organizational nature that will be used in our company will be carefully selected with regard to the scope of processing of personal data and the technical and personnel capabilities of our company, but always in such a way that these means are maximally effective and that the valid and effective legal regulation in the SR and EU is satisfied.
2. The designated authorized person for the area of protection of personal data of natural persons in our company is the statutory representative Miroslav Chňapek. This person is authorized and obliged to control the level of protection in this area within the company within its internal processes as well as externally towards third parties, especially clients, i.e. natural persons whose data are processed during the business activities of the company. The director is authorized to appoint a person from among the employees for this purpose.
3. As a company, we hereby expressly undertake that we will continue to continuously monitor the development in the field of legal regulations, case law and technical and other development of the protection of personal data in the future, and the knowledge thus acquired will be implemented into our own processes in the interest of improving the protection of personal data of natural persons in our company.
4. As a company, we undertake that we will carry out regular training twice per calendar year for employees and company management focused on repeating knowledge and skills from the field of protection of personal data, their deepening as well as acquiring new knowledge. These activities will also be intended to sensitize employees and company management and to increase the sense of responsibility of all involved persons with regard to the importance and sensitivity of the area of protection of personal data of natural persons.

Article 3 - Legal Framework for the Protection of Personal Data

1. As the basic legal framework for setting up the protection of personal data in our company, the valid and effective wording of Regulation of the EP and of the Council No. 2016/679 as well as the wording of Act No. 18/2018 Coll. on the protection of personal data will be used. In addition to these regulations, the regulations of ISO 27001, ISO 27000, ISO 31000 and possibly other standards will also be taken into account for this purpose.
2. If necessary, our company will also use the services of external companies to conduct training and create documentation for the purpose of ensuring compliance with legal regulations on the protection of personal data, especially law firms or persons who have demonstrable experience and deep knowledge in the field of protection of personal data.

Article 4 - Documentation on the Protection of Personal Data

1. If our company as a controller transfers obtained personal data about natural persons to another person in the position of a processor, we are obliged for this case to prepare a separate contract between our company and each such other person in the position of a processor, or to incorporate the relevant provisions in accordance with Act No. 18/2018 into the framework contract, or to prepare an amendment to this contract.
2. Other documents that our company undertakes to prepare for the need of protection of personal data and for the purposes of proving compliance are Internal Directives, Records of training, Records of processing of personal data, Form for reporting a security incident to the Office for the Protection of Personal Data, Form for reporting a security incident to the affected natural person, and possibly other documents as needed.

Article 5 - Existing and Planned Technical and Organizational Measures

Our company undertakes to implement appropriate technical and organizational measures that will be implemented for the purpose of improving the processes of protection of personal data of natural persons. The description of measures in connection with the use of the structure as indicated in ISO standard 27002 and ISO standard 29151 includes the following:

• Uniform procedure for handling suggestions, objections, complaints of affected natural persons
• Access control to devices where personal data of clients are located, whether in electronic or paper form
• Classification of information and subsequent consistent sorting and secure storage and backup
• Increasing the security of physical premises as well as the environment of the organization itself, especially by replacing locks with more resistant ones, increasing the frequency of use of locks and security cabinets
• Increasing the use of encryption of the data itself as well as communication when transferring this data in electronic form
• Increasing the use of password protection for access to mobile devices, laptops, desktop computers and other devices on which data processing takes place, with at least 14-character passwords consisting of letters
• Backing up personal data using a two-way method, using a different medium than the one on which the original data are stored
• Using antivirus and anti-malware applications within the organization
• Regular review and search for weaknesses within internal processes and their subsequent elimination
• Purchase of USB media with the possibility of using encryption, or with the possibility of using biometric data for authentication
• Use of applications for encrypting HDD and SSD disks
• Ensuring friendly access and full professional and organizational cooperation of employees and company management during inspection by the Office for the Protection of Personal Data