Zásady ochrany osobných údajov Nadácie ESET
1. Úvodné ustanovenia
Tieto Zásady ochrany osobných údajov (ďalej len „Zásady") sa vzťahujú na spracúvanie osobných údajov fyzických osôb, pričom toto spracúvanie je neoddeliteľnou súčasťou aktivít Nadácie ESET a prevádzky webovej stránky http://www.nadaciaeset.sk/
Cieľom tohto dokumentu je informovať vyššie uvedené dotknuté osoby o tom, aké osobné údaje sa spracúvajú v súvislosti s Ocenením, na aký účel, na akom právnom základe, kto je prevádzkovateľom a aké práva majú dotknuté osoby v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR") a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „Zákon").
2. Prevádzkovateľ, kontakt a dozorný orgán
Prevádzkovateľ: Nadácia ESET, so sídlom Einsteinova 24, 851 01 Bratislava, IČO: 42 258 910, zapísaná v Registri mimovládnych neziskových organizácií vedenom Ministerstvom vnútra Slovenskej republiky pod č. 203/Na-2002/1013 (ďalej len „Nadácia"); E-mail: nadacia@eset.sk; Web: http://www.nadaciaeset.sk/
Kontakt pre dotknuté osoby: nadacia@eset.sk
Dozorný orgán: Úrad na ochranu osobných údajov Slovenskej republiky, E-mail: statny.dozor@pdp.gov.sk; Web a kontaktné údaje: http://www.dataprotection.gov.sk/ 2
Nadácia ESET je samostatným prevádzkovateľom pre činnosti opísané v týchto Zásadách a sama určuje účely a prostriedky spracúvania. ESET, spol. s r. o., zabezpečuje pre Nadáciu technickú a organizačnú podporu (hosting, údržba a serverové služby webu, e-mail ové služby, intranet, cookie lišta) a v tomto rozsahu koná ako sprostredkovateľ na základe zmluvy podľa čl. 28 GDPR. Pri analytických cookies na http://www.nadaciaeset.sk/ Nadácia a ESET spoločne určujú účely a nástrojeako spoloční prevádzkovatelia podľa čl. 26 GDPR; kontaktným miestom pre dotknuté osoby je Nadácia.
3. Prehľad spracovateľských činností podľa účelov
Vaše osobné údaje môžu byť spracúvané na nasledujúce účely, pričom vtejto časti Zásad uvádzame na akom právnom základe spracúvame Vaše osobné údaje, aké osobné údaje spracúvame a taktiež uvádzame príjemcov osobných údajov:
| Účel spracúvania | Dotknuté osoby | Právny základ | Kategórie osobných údajov | Príjemcovia / sprostredkovatelia |
|---|---|---|---|---|
| Grantové výzvy – prijatie žiadosti, posúdenie, rozhodnutie, uzavretie zmluvy | Zástupcovia a kontaktné osoby žiadateľov - organizácií | Čl. 6(1)(b) GDPR | Identifikačné a kontaktné údaje; projektové a rozpočtové údaje; prílohy podľa pravidiel výzvy | Hodnotiace orgány (v nevyhnutnom rozsahu); ESET ako IT sprostredkovateľ (hosting/e-mail) |
| Grantové výzvy – transparentná komunikácia o podporených projektoch (zverejnenie v primeranom rozsahu) | Zástupcovia podporených organizácií | Čl. 6(1)(f) GDPR | Identifikačné a kontaktné údaje subjektu; základné údaje o projekte | Web Nadácie; PR/event dodávatelia (v nevyhnutnom rozsahu) |
| Grantové výzvy – povinné účtovné a daňové úkony (vyúčtovanie, evidencia) | Zástupcovia podporených organizácií | Čl. 6(1)(c) GDPR | Fakturačné a vyúčtovacie údaje; identifikačné a bankové údaje | Banky; orgány verejnej moci; účtovné služby |
| Zamestnanecký grant – prijatie žiadosti, vyhodnotenie, zmluva | Zamestnanci ESET (žiadatelia); zúčastnené organizácie | Čl. 6(1)(b) GDPR | Identifikačné a kontaktné údaje; projektové a rozpočtové údaje | ESET ako IT sprostredkovateľ (intranet/e-mail); hodnotiaca komisia |
| Zamestnanecký grant – povinné účtovné a daňové úkony | Zamestnanci ESET (žiadatelia) | Čl. 6(1)(c) GDPR | Údaje o platbách a vyúčtovaní; identifikačné a bankové údaje | Banky; orgány verejnej moci; účtovné služby |
| Darcovia – uzatvorenie a plnenie darovacej zmluvy | Darcovia (FO/PO; zástupcovia PO) | Čl. 6(1)(b) GDPR | Identifikačné a kontaktné údaje; údaje o dare; platobné údaje | Banky; IT sprostredkovatelia (v nevyhnutnom rozsahu) |
| Darcovia/obdarovaní – povinné účtovné a daňové úkony | Darcovia; obdarovaní | Čl. 6(1)(c) GDPR | Účtovné a daňové údaje; identifikačné a bankové údaje | Orgány verejnej moci; účtovné služby; banky |
| Podujatia a vzdelávacie aktivity – registrácia a logistika | Kontaktné osoby škôl; účastníci | Čl. 6(1)(b) GDPR | Meno a e-mail kontaktnej osoby; počty účastníkov | ESET ako IT sprostredkovateľ; event dodávatelia (v nevyhnutnom rozsahu) |
| Podujatia a vzdelávacie aktivity – dokumentácia a primerané zverejnenie (foto/video) | Účastníci; prednášajúci | Čl. 6(1)(f) GDPR | Obraz/hlas na záznamoch; základná identifikácia speakra | AV/event dodávatelia; web a sociálne siete (v primeranom rozsahu) |
| Spíkri/prezentujúci – dojednanie a realizácia vystúpenia | Spíkri, moderátori | Čl. 6(1)(b) GDPR | Meno, profesijné údaje, téma; prípadne odmena a logistické údaje | ESET ako IT sprostredkovateľ; event/AV dodávatelia |
| Spíkri/prezentujúci – dokumentácia a primerané zverejnenie vystúpenia | Spíkri, moderátori | Čl. 6(1)(f) GDPR | Obraz/hlas v záznamoch; profesijná afiliácia | AV/event dodávatelia; web a sociálne siete (v primeranom rozsahu) |
| Web – nevyhnutné cookies a prevádzkové logy | Návštevníci webu | Čl. 6(1)(f) GDPR | Technické/prevádzkové údaje; nevyhnutné cookies (session, XSRF) | ESET ako sprostredkovateľ (hosting, údržba, cookie lišta) |
| Web – analytické cookies (iba so súhlasom) | Návštevníci webu | Čl. 6(1)(a) GDPR | Identifikátory cookies; interakčné údaje podľa nástroja | Nadácia a ESET ako spoločné prevádzkovatelia; poskytovatelia nástrojov |
| Kontaktný formulár a e-mailová komunikácia – vybavenie žiadosti | Odosielatelia správ | Čl. 6(1)(f) GDPR | Meno, e-mail; obsah správy | ESET ako IT sprostredkovateľ e-mailu; orgány podľa zákona v odôvodnených prípadoch |
| Newsletter/informačné e-maily – s výslovným súhlasom | Odberatelia | Čl. 6(1)(a) GDPR | Meno a e-mail; preferencie odberu (ak sú) | ESET ako IT sprostredkovateľ distribúcie |
| Výkon práv dotknutých osôb (DSR), zákonné záznamy a komunikácia s dozorným orgánom | Všetky dotknuté osoby podľa povahy žiadosti | Čl. 6(1)(c) GDPR | Identifikačné a kontaktné údaje; obsah žiadosti a vybavenia | DPO kontakt; prípadne ÚOOÚ SR |
| Uplatňovanie a obrana právnych nárokov (mimosúdne/súdne) | Osoby dotknuté konkrétnym nárokom | Čl. 6(1)(f) GDPR | Údaje nevyhnutné na uplatnenie/obranu nárokov | Orgány verejnej moci; súdy; právni poradcovia |
| Vypracovanie a uloženie výročnej správy do Registra účtovných závierok | Členovia orgánov; darcovia nad prah 331 €; príjemcovia podpory – fyzické osoby; audítor | Čl. 6(1)(c) GDPR (zákonná povinnosť) | Údaje v rozsahu § 35 zákona o nadáciách: prehľad činností, účtovná závierka a výrok audítora, prehľad príjmov podľa zdrojov, prehľad darcov nad 331 €, prehľad príjemcov a použitia prostriedkov, zmeny v orgánoch, odmeny, prípadne fotodokumentácia za obdobie správy | Register účtovných závierok; verejnosť; audítor |
| Dobrovoľné zverejnenie výročnej správy na webe Nadácie | Členovia orgánov; darcovia nad prah 331 €; príjemcovia podpory – fyzické osoby; audítor | Čl. 6(1)(f) GDPR (oprávnený záujem na transparentnosti) | Identické s povinným obsahom výročnej správy; rozsah nepresahuje zákonné náležitosti | Web Nadácie; ESET ako sprostredkovateľ (hosting/údržba) |
| Zverejňovanie povinne zverejňovaných objednávok/faktúr/zmlúv (ak sa uplatní infozákon) | Dodávatelia a ich kontaktné/zmluvné osoby; štatutári | Čl. 6(1)(c) GDPR (zákonná povinnosť podľa infozákona, ak sa uplatní) | Identifikačné a kontaktné údaje, funkcia, údaje o plnení, cena; identifikácia zmluvy/objednávky podľa šablóny | Web Nadácie (sekcia Faktúry/Objednávky) |
| Evidencia darov z asignácie 2 % a iných darov (len účtovno-daňové účely) | Darcovia (FO/PO); kontaktné osoby darcov – PO | Čl. 6(1)(c) GDPR (účtovné a daňové povinnosti) | Identifikačné a kontaktné údaje (ak poskytnuté); údaje o dare/asignácii; platobné údaje pre účtovníctvo | Banka; účtovná podpora/sprostredkovatelia (ak sú) |
| Akreditácia médií a PR (správa kontaktov médií; zasielanie podkladov) | Novinári; redakcie; mediálni partneri | Čl. 6(1)(f) GDPR (oprávnený záujem na informovaní verejnosti) | Meno, priezvisko, redakcia/funkcia, pracovné kontakty; rozsah zverejnených údajov podľa PR výstupu | PR/event dodávatelia; publikačné platformy (v rozsahu zverejnenia) |
| Partneri a pomocní koordinátori programov (zmluvy, realizácia, koordinácia) | Zástupcovia partnerov; koordinátori | Čl. 6(1)(b) GDPR (zmluvné plnenie) | Identifikačné a kontaktné údaje; rola v projekte/aktivite; pracovná afiliácia | Zmluvní partneri; ESET ako sprostredkovateľ IT |
| Hodnotiace komisie a odborní hodnotitelia grantov – uzavretie a plnenie zmluvy | Externí hodnotitelia/členovia komisií | Čl. 6(1)(b) GDPR (zmluvné plnenie) | Identifikačné a kontaktné údaje; profesijné údaje potrebné na výkon funkcie | Členovia komisií (v nevyhnutnom rozsahu); ESET ako sprostredkovateľ IT |
| Hodnotiace komisie a odborní hodnotitelia grantov – interná transparentnosť (primerané zverejnenie mena/inštitúcie) | Externí hodnotitelia/členovia komisií | Čl. 6(1)(f) GDPR (oprávnený záujem na transparentnosti) | Meno a inštitúcia (v primeranom rozsahu) | Web Nadácie (v primeranom rozsahu) |
| Osoby uvedené v podkladoch ku grantovej žiadosti (napr. garanti/členovia tímu v prílohách) | Odborní garanti; členovia realizačných tímov; odporúčatelia | Čl. 6(1)(f) GDPR (nevyhnutné na odborné posúdenie) | Identifikačné a kontaktné údaje obsiahnuté v prílohách; údaje o odbornej spôsobilosti podľa pravidiel výzvy | Hodnotiace orgány; ESET ako sprostredkovateľ IT |
| Zverejnenie údajov o orgánoch nadácie na webe (mena, funkcie, stručné bio) | Členovia orgánov; správkyňa | Čl. 6(1)(f) GDPR (oprávnený záujem na transparentnosti riadenia) | Meno a priezvisko; funkcia; stručná biografia v rozsahu primeranom účelu | Web Nadácie; ESET ako sprostredkovateľ (hosting/údržba) |
4. Právne základy spracúvania
4.1 Plnenie zmluvy alebo predzmluvné konanie podľa čl. 6 ods. 1 písm. b) GDPR
Tento právny základ uplatňujeme pri spracúvaniach, ktoré sú nevyhnutné na uzatvorenie a plnenie zmlúv s dotknutými osobami alebo na vykonanie opatrení na ich žiadosť pred uzavretím zmluvy. Typicky ide o administráciu grantových výziev a zmlúv, o zamestnanecký grant podávaný cez intranet, zmluvy s darcami/obdarovanými, ako aj o dojednanie a plnenie vystúpení spíkrov či prednášajúcich na podujatiach.
4.2 Plnenie zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR
Na tomto základe spracúvame údaje, ak to vyžadujú osobitné predpisy, najmä účtovné a daňové predpisy pri daroch, príspevkoch a vyúčtovaniach, vedenie povinnej evidencie a plnenie povinností voči dozorným orgánom. Tento právny základ používame aj pri vybavovaní žiadostí dotknutých osôb a vedení registra žiadostí (DSR register) v súlade s GDPR.
4.3 Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR
Oprávnený záujem uplatňujeme v situáciách, kde spracúvanie je nevyhnutné na legitímne účely Nadácie, ktoré neprevažujú nad právami a slobodami dotknutej osoby; typicky ide o dokumentáciu a primeranú propagáciu hromadných podujatí a vzdelávacích aktivít, zabezpečenie bezpečnej prevádzky webu a internú komunikáciu.V týchto prípadoch vykonávame test vyváženosti (LIA), zohľadňujeme povahu akcie a primeranosť zásahu, poskytujeme jasné informácie a rešpektujeme právo namietať proti spracúvaniu.
4.4 Súhlas dotknutej osoby podľa čl. 6 ods. 1 písm. a) GDPR
Súhlas požadujeme tam, kde to vyžadujú predpisy alebo povaha spracúvania, najmä pri analytických cookies, ktoré nie sú nevyhnutné, a pri dobrovoľných odberoch newslettra alebo iných informačných e-mailov. V prípade newslettra je naším východiskom súhlas s možnosťou kedykoľvek sa odhlásiť. Súhlas môžete kedykoľvek odvolať bez vplyvu na zákonnosť spracúvania pred odvolaním.
4.5 Osobitné kategórie údajov podľa čl. 9 GDPR
Osobitné kategórie osobných údajov (napríklad údaje o zdraví) nespracúvame v rámci bežných činností Nadácie; ak by taká potreba vznikla, spracúvanie by prebehlo len v rozsahu dovolenom GDPR a osobitnými predpismi a po poskytnutí osobitnej informácie o právnom základe podľa čl. 9 GDPR. Vždy uplatníme zásadu minimalizácie a primeranosti a posúdime nevyhnutnosť voči sledovanému účelu.
4.6 Prenosy osobných údajov mimo EHP
Ak v súvislosti s analytickými nástrojmi alebo publikovaním na platformách tretích strán dochádza k prenosom údajov do tretích krajín (napríklad do USA), používame primerané záruky podľa kapitoly V GDPR, predovšetkým rozhodnutie o primeranosti (EU-U.S. Data Privacy Framework) alebo štandardné zmluvné doložky, doplnené o technické a organizačné opatrenia; podrobnosti nájdete v časti o prenosoch a v Cookie Policy.
5. Zdroj osobných údajov
Osobné údaje získavame predovšetkým priamo od dotknutých osôb prostredníctvom našich online formulárov, e-mailovej komunikácie alebo intranetu pre špecifické programy; pri podujatiach získavame údaje aj pri registrácii kontaktnej osoby na mieste konania. V rámci grantových agend môžu byť súčasťou podania doklady obsahujúce údaje tretích osôb (napríklad členovia tímu, garanti), ktoré nám poskytne žiadateľ; tieto údaje spracúvame len v nevyhnutnom rozsahu na účely posúdenia žiadosti. V obmedzenej miere môžeme pri odborných spoluprácach využiť verejne dostupné zdroje na overenie profesijných informácií dotknutej osoby primerane sledovanému účelu.
6. Povinnosť poskytnutia osobných údajov
Pri spracúvaniach založených na zmluvnom vzťahu je poskytnutie nevyhnutné na uzatvorenie a plnenie zmluvy; ak údaje neposkytnete, nie je možné žiadosť zaevidovať, posúdiť alebo zmluvu uzavrieť. Pri plnení zákonných povinností je poskytnutie požadovaných údajov povinné podľa osobitných predpisov. Pri webovej analytike a odberoch informačných e-mailov je poskytnutie dobrovoľné a viazané na váš súhlas, ktorý môžete kedykoľvek odvolať bez vplyvu na zákonnosť spracúvania pred odvolaním.
7. Automatizované individuálne rozhodovanie a profilovanie
Nadácia nevykonáva automatizované individuálne rozhodovanie vrátane profilovania, ktoré by vyvolávalo právne účinky alebo vás obdobne významne ovplyvňovalo. Pri analytických a marketingových cookies môžu tretie strany vytvárať profily pre cielenie reklamy; takéto spracúvanie sa vykonáva len na základe vášho súhlasu a môžete ho kedykoľvek zmeniť alebo odvolať v cookie lište.
8. Cookies a podobné technológie
Web http://www.nadaciaeset.sk/ používa nevyhnutné cookies na zabezpečenie základnej funkčnosti a bezpečnosti; infraštruktúru (hosting, údržba, serverové služby, cookie lišta) zabezpečuje ESET ako sprostredkovateľ na základe zmluvy podľa čl. 28 GDPR. Analytické cookies nasadzujeme len na základe vášho súhlasu; Nadácia a ESET spoločne určujú účely a výber nástrojov a kontaktným miestom pre uplatňovanie práv je Nadácia ESET. Svoj súhlas s analytikou môžete kedykoľvek zmeniť alebo odvolať prostredníctvom cookie lišty.
9. Prenosy osobných údajov mimo EHP a použité záruky
Pri využívaní niektorých nástrojov alebo platforiem tretích strán, najmä analytických nástrojov a sociálnych sietí, môže dôjsť k prenosom osobných údajov mimo EHP, najmä do USA; takéto prenosy realizujeme s použitím rozhodnutia o primeranosti (EU-U.S. DataPrivacy Framework) alebo štandardných zmluvných doložiek a prípadných doplňujúcich opatrení. Zoznam použitých nástrojov a poskytovateľov a správa súhlasu sú uvedené v zásadách cookies a v cookie lište na webe Nadácie.
10. Práva dotknutých osôb a spôsob ich uplatnenia
Ako dotknutá osoba máte v súvislosti so spracúvaním svojich osobných údajov nasledujúce práva:
10.1 Právo na prístup k osobným údajom (čl. 15 GDPR) Máte právo získať potvrdenie o tom, či sa vaše osobné údaje spracúvajú, a ak áno, máte právo získať prístup k týmto údajom a informácie o ich spracúvaní.
10.2 Právo na opravu (čl. 16 GDPR) Máte právo na opravu nesprávnych osobných údajov, ktoré sa vás týkajú, ako aj právo na doplnenie neúplných osobných údajov.
10.3 Právo na vymazanie (čl. 17 GDPR) Máte právo požiadať o vymazanie osobných údajov za podmienok stanovených GDPR, najmä ak osobné údaje už nie sú potrebné na účely, na ktoré boli získané, alebo ak odvoláte svoj súhlas (ak je spracúvanie založené na súhlase).
10.4 Právo na obmedzenie spracúvania (čl. 18 GDPR) Máte právo žiadať obmedzenie spracúvania svojich osobných údajov, najmä ak napadnete správnosť údajov, ak je spracúvanie protizákonné, alebo ak prevádzkovateľ už údaje nepotrebuje, ale potrebujete ich vy na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
10.5 Právo na prenosnosť údajov (čl. 20 GDPR) V prípadoch, keď je spracúvanie založené na súhlase alebo na plnení zmluvy a vykonáva sa automatizovanými prostriedkami, máte právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a právo preniesť tieto údaje inému prevádzkovateľovi.
10.6 Právo namietať (čl. 21 GDPR) Máte právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré je založené na oprávnenom záujme prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR).
10.7 Právo odvolať súhlas Ak je spracúvanie osobných údajov založené na súhlase, máte právo svoj súhlas kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vykonaného pred jeho odvolaním.
10.8 Právo podať sťažnosť dozornému orgánu Máte právo podať sťažnosť dozornému orgánu, ktorým je: Úrad na ochranu osobných údajov Slovenskej republiky, e-mail: statny.dozor@pdp.gov.sk; web a kontaktné údaje: http://www.dataprotection.gov.sk/
11. Doby uchovávania a metodika posudzovania
Osobné údaje uchovávame len po dobu nevyhnutnú na dosiahnutie účelu a následne počas lehôt vyžadovaných alebo dovolených osobitnými predpismi; po uplynutí doby údaje bezpečne vymažeme alebo anonymizujeme primerane technickým možnostiam. Pri určovaní lehoty uchovávania vychádzame z povahy účelu, kategórie údajov, zmluvných a zákonných požiadaviek a zásady preukázateľnosti podľa článku 5 ods. 2 GDPR; účtovné a daňové doklady sa podľa slovenskej praxe uchovávajú spravidla desať rokov. Pri vzdelávacích aktivitách uchovávame registráciu kontaktnej osoby do realizácie podujatia a následne najviac tri roky; obrazovo-zvukovú dokumentáciu a propagačné materiály spravidla desať rokov
12. Bezpečnosť spracúvania
Uplatňujeme primerané technické a organizačné opatrenia na zabezpečenie dôvernosti, integrity a dostupnosti osobných údajov, vrátane riadenia prístupových práv, poučenia oprávnených osôb a zmluvnej mlčanlivosti; IT infraštruktúru a podporu prevádzkuje ESET ako sprostredkovateľ na základe zmluvy podľa čl. 28 GDPR.
13. Záverečné ustanovenia
Tieto Zásady sú účinné dňom zverejnenia na oficiálnych kanáloch Nadácie ESET a môžu byť aktualizované v prípade zmeny právnych predpisov, technologických riešení alebo organizačných postupov; aktuálne znenie bude vždy dostupné online: http://www.nadaciaeset.sk/
Posledná aktualizácia: 01.06.2026