| Účel spracúvania | Agendy | Právne základy | Postavenie |
|---|---|---|---|
| 1. Poskytovanie finančných služieb | Poskytovanie financovania automobilov. Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) posúdenie žiadostí o financovanie; (ii) prípravu cenových ponúk a zmlúv na žiadosť klienta; (iii) uzatváranie a plnenie zmlúv s klientami; (iv) preverenie klienta prostredníctvom dopytov v rámci registrov vrátane registrov tretích strán (napr. Sociálna poisťovňa, Nebankový register klientskych informácií) alebo verejných registrov a vestníkov (konkurzy, bankroty a hlásenia); (iv) preverenie bonity klienta na základe schváleného rizikového modelu a vyhodnocovania rizikovosti jednotlivých obchodov; (vi) vyhodnocovania rizikovosti jednotlivých obchodov; (vii) schválenie maximálneho úverového rámca na základe rizikového modelu; (viii) digitálne podpisovanie zmlúv s klientami so základnými biometrickými prvkami; (ix) správu a kontrolu záväzkového vzťahu; (x) kontrolu správnosti zúčtovania platobných transakcií; (xi) riadenie vzťahov s finančnými sprostredkovateľmi / agentami; (xi) poskytovanie údajov klientov operatívneho lízingu partnerom poskytujúcim asistenčné služby; (xii) poskytovanie a sprístupňovanie osobných údajov klientov v rámci asistencie pri uzatváraní zmlúv s autorizovanými dílermi skupiny VW Group. | Plnenie zmluvy s dotknutou osobou (čl. 6 ods. 1 písm. b) GDPR) plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS – samostatný prevádzkovateľ |
| Finančné sprostredkovanie v sektore poistenia: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) plnenie zákonných povinností samostatného finančného agenta podľa zákona [1] , a to najmä vybavenie povolenia pre činnosť samostatného finančného agenta (SFA) od NBS, vedenie evidencie podľa zákona [2] , realizácia opatrení na prevenciu pred vznikom konfliktu záujmov podľa zákona; [3] (ii) zabezpečenie posudzovania klientov zisťovaním a zaznamenávaním požiadaviek a potrieb klienta, ako aj jeho skúsenosti a znalosti týkajúcej sa poistenia [4] (iii) pravidelné zasielanie štvrťročného a ročného výkazu o vykonávaní finančného sprostredkovania NBS podľa zákona [5] a opatrenia NBS č. 2/2023; (iv) predkladanie ponúk na uzavretie poistnej zmluvy klientov a vykonávanie ďalších činností smerujúcich k uzavretiu alebo zmene poistnej zmluvy, a to aj v rámci činnosti PFA a s využívaním vlastných programových aplikácii tzv. poistných kalkulačiek; (v) poskytovanie odbornej pomoci, informácií a odporúčaní klientovi týkajúcich sa uzatvárania, zmien alebo ukončovania poistnej zmluvy; (vi) spoluprácu pri správe a vybavovaní nárokov plynúcich klientovi z poistnej zmluvy [6]; (vii) realizáciu oprávnenia na získavanie osobných údajov klientov a zástupcov klientov podľa zákona [7] , vrátane skenovania, kopírovania a zaznamenávania úplných dokladov totožnosti dotknutej osoby; [8] (ix) overovanie základných údajov týkajúcich sa uzatvorených poistných zmlúv a províznych zostáv pre kontrolu správnosti spárovania zaplateného poistného a výšky provízií v informačných systémoch partnerských poisťovní; (x) informovanie klienta pred uzatvorením zmluvy o jednotlivých zložkách poistného vo vzťahu k uzatváranej zmluve cez informačný formulár. [9] | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PBS – samostatný prevádzkovateľ | |
| Identifikácia klientov a ich zástupcov: Zahŕňa najmä: (i) získavanie osobných údajov z dokladu totožnosti ich kopírovaním, skenovaním alebo iným zaznamenávaním dokladov totožnosti do interného systému prevádzkovateľa, (ii) zisťovanie údajov o klientovi v rozsahu nevyhnutnom na posúdenie rizika pri uzavretí príslušnej zmluvy o poskytnutí finančnej služby, (iii) získavanie a posudzovanie dokladov a údajov preukazujúcich oprávnenie na zastupovanie, ak ide o zástupcu klienta, (iv) získavanie a posudzovanie dokladov a údajov preukazujúcich splnenie ostatných požiadaviek vyžadovaných zákonom alebo zmluvnými podmienkami pre uzavretie konkrétnej zmluvy o poskytnutí finančnej služby, (v) primerané vykonávanie identifikácie klientov a zástupcov aj pri zdokumentovaní činnosti prevádzkovateľa a likvidácii poistnej udalosti, či pri vybavovaní iných nárokov klientov vyplývajúcich zo vzťahu s finančnou inštitúciou, (vi) uchovávanie dokladov získaných v rámci identifikácie klientov a ich zástupcov najmenej 10 rokov po skončení zmluvného vzťahu s klientom. | Plnenie zmluvy a plnenie zákonných povinností [10] (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS - samostatní prevádzkovatelia | |
| Starostlivosť o zákazníkov (oprávnený záujem): Zahŕňa najmä: (i) zasielanie servisných správ a prieskumov; (ii) prevádzku online klientského a servisného portálu; (iii) poskytovanie zákazníckej alebo technickej podpory; (iv) prevádzku klientskej info-linky, kontaktných formulárov a webstránok; (v) sprostredkovanie asistenčných služieb; (vi) prevádzka mobilných aplikácií a poskytovanie služieb informačnej spoločnosti v súvislosti s finančnými službami. | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS – samostatný prevádzkovateľ | |
| Evidencia a vybavovanie sťažností klientov: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) evidenciu sťažností klientov alebo potenciálnych klientov, (ii) zavedenia a uplatňovania účinných a prehľadných postupov riadneho preverenia a včasného vybavovania sťažností klientov alebo potenciálnych klientov; (iii) vedenia záznamu o každej sťažnosti a opatreniach prijatých na jej vybavenie. | Plnenie zákonných povinností [11] (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS – samostatní prevádzkovatelia | |
| Riadenie vzťahov s finančnými agentmi: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) vedenie osobitnej evidencie podriadených finančných agentov („PFA“) a viazaných finančných agentov („VFA“); (ii) podávanie návrhov na zápis, zmeny a zrušenie zápisov vlastných PFA do registra NBS; (ii) preukazovanie odbornej spôsobilosti a dôveryhodnosti vyžadovanej zákonom [12] ; (iii) kontrola nad činnosťou PFA a VFA; (iv) plnenie povinností a záväzkov zo zmluvného vzťahu s PFA/VFA, vrátane správy zmluvného a zákonného vzťahu, internej komunikácie, výpočtov a vyplácania provízií; (iv) zabezpečenie vzdelávania PFA/VFA prostredníctvom e-learningu a dohľad nad osobitným finančným vzdelávaním PFA/VFA; (vii) kontrolu a vykonanie opatrení PFA/VFA k náprave. | Plnenie zmluvy a plnenie zákonných povinností [13] (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS -samostatní prevádzkovatelia | |
| Riadenie vzťahov s tipérmi: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) plnenie povinností a záväzkov zo zmluvného vzťahu medzi Prevádzkovateľom a tipérom, vrátane internej komunikácie, prijímania údajov o záujemcoch o finančný produkt alebo poistenie, výpočtov a vyplácania provízií, (ii) školenia tipérov o interných predpisoch a pravidlách Prevádzkovateľa cez e-learningovú a testovaciu platformu. | Plnenie zmluvy, plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS – samostatní prevádzkovatelia | |
| Reporting údajov do poisťovní: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) pravidelné informovanie partnerských poisťovní o uzatvorených poistných zmluvách za sledované obdobie (ii) oznamovanie vzniknutých poistných udalostí príslušnej poisťovni v prípadoch, keď klient využíva produkt operatívneho lízingu od PFS, (iii) denné oznamovanie údajov o uzatvorených PZP partnerským poisťovniam cez aplikáciu poistný portál. | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PBS – samostatný prevádzkovateľ | |
| Poskytovanie iného financovania (oprávnený záujem). Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na poskytovanie akéhokoľvek iného druhu financovania ako je financovanie automobilov. | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS – samostatný prevádzkovateľ | |
| Správa vozového parku (oprávnený záujem). Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) správu vozidiel vlastnených Prevádzkovateľom v rámci operatívneho lízingu; (ii) schvaľovanie servisných úkonov pre vozidlá operatívneho lízingu; (iii) prepis vozidiel a zápis zmeny akýchkoľvek vozidiel vrátane zdieľania týchto údajov s externými spoločnosťami poskytujúcimi dané služby; (iv) riešenia poistných udalostí; (v) odkúpenia, dražby, odpredaje akýchkoľvek vozidiel pri skončení financovania alebo zmene zmluvného vzťahu. | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS – samostatný prevádzkovateľ | |
| 2. Zabezpečenie súladu s právnymi predpismi | Účtovná a daňová agenda: Zahŕňa najmä: (i) evidenciu, uchovávanie a využívanie účtovných dokladov podľa § 35 zákona o účtovníctve [14 , (ii) uchovávanie faktúr podľa § 76 ods. 1 zákona o DPH [15] ; (iii) akékoľvek spracúvanie osobných údajov potrebné pre plnenie povinností platiteľa dane podľa zákona o dani z príjmov [16], (iv) akékoľvek spracúvanie osobných údajov potrebné pre plnenie povinností daňového subjektu podľa zákona [17], (v) zdieľanie finančných údajov s daňovými a finančnými audítormi a poradcami Prevádzkovateľa; (vi) účtovanie zmlúv, obchodov, zákazníkov, flotíl pod konkrétne účty; (vii) agendu knihy jázd a evidencia nákladov v súvislosti s firemnými vozidlami pre správne zaúčtovanie; (viii) evidencia palivových kariet. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
| Ochrana pre legalizáciou príjmov z trestnej činnosti a financovaním terorizmu (AML agenda). Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné na: (i) identifikáciu a overenie identifikácie fyzických a právnických osôb; (ii) identifikáciu politicky exponovaných osôb (PEP) a konečných užívateľov výhod; (iii) poskytovanie zjednodušenej, základnej a zvýšenej starostlivosti; (iv) detekciu, oznamovanie a zadržanie neobvyklých obchodných operácií; (v) vyhodnocovanie dotknutej osoby porovnávaním údajov voči medzinárodným sankčným zoznamom, (vi) vykonávanie pravidelných overovaní partnerov a dodávateľov, či nie sú zaradení na medzinárodných sankčných zoznamoch alebo či nie sú PEP (vii) podávania trestných oznámení alebo poskytovania súčinnosti orgánom verejnej moci v súvislosti s podozrením alebo dokazovaním podvodného konania; (viii) dopytov orgánov činných v trestnom konaní; (viii) získavanie osobných údajov kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií, vrátane rodného čísla a ďalších údajov. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS - samostatní prevádzkovatelia | |
| GDPR (plnenie zákonnej povinnosti). Zahŕňa spracúvanie osobných údajov v rámci: (i) vybavovania žiadostí dotknutých osôb a súvisiacej komunikácie; (ii) evidencie, uchovávania a správy súhlasov, námietok alebo odvolaní súhlasov; (iii) získavania názorov dotknutých osôb napr. pri posúdení vplyvu; (iv) oznamovania a dokumentovania porušení ochrany osobných údajov; (v) vedenia záznamov o poučení alebo informovaní oprávnených osôb, (iv) konvalidácie už udelených súhlasov. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS - spoloční prevádzkovatelia | |
| Whistleblowing (plnenie zákonnej povinnosti). Zahŕňa: (i) prijímanie, evidovanie a vyhodnocovanie podnetov, resp. oznámení protispoločenskej činnosti v rámci vnútorného systému preverovania oznámení, (ii) uchovávanie došlých podnetov po dobu 3 rokov od doručenia podnetu, resp. oznámenia, (iii) oznamovanie výsledku preverenia oznámenia a prijaté opatrenie, ak sa prijali priamo oznamovateľovi (iv) vykonávanie úkonov spojených s ochranou oznamovateľa protispoločenskej činnosti podľa § 7 zákon o ochrane oznamovateľov protispoločenskej činnosti. [18] | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS - spoloční prevádzkovatelia | |
| 3. Vnútorné administratívne účely | Zdieľanie skupinovej infraštruktúry (oprávnený záujem): Zahŕňa najmä využívanie systémov pre podporu činností Prevádzkovateľa, ktoré sú zmluvne a technicky zabezpečené materskou spoločnosťou Prevádzkovateľa, pričom dochádza k spracúvaniu osobných údajov na infraštruktúre materskej spoločnosti pod kontrolou materskej spoločnosti. | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
| Reporting (oprávnený záujem): Zahŕňa najmä: (i) vnútorný reporting klientských a zamestnaneckých údajov v nevyhnutnom rozsahu v rámci skupiny; (ii) zdieľanie klientskych údajov v nevyhnutnom rozsahu v rámci rôznych schvaľovacích procesov skupiny a schvaľovania rôznych výnimiek; (iii) zdieľania údajov v nevyhnutnom rozsahu v rámci prípravy rozpočtu prevádzkovateľa a skupiny; (iv) zdieľanie a reporting finančných údajov s dílerskou sieťou skupiny VW Group; (v) získavanie údajov z verejných zdrojov a databáz tretích strán v rámci finančného reportingu; (vi) vizualizácia dát v rámci moderných dátových nástrojov controllingu; (vii), interný reporting klientských údajov v rámci skupinového auditu PHS a Porsche Bank AG. | |||
| Administratívna podpora orgánov Prevádzkovateľa (oprávnený záujem): Zahŕňa najmä (i) nevyhnutné spracúvanie osobných údajov potrebné pre prípravu materiálov a podkladov na rokovanie predstavenstva a dozornej rady Prevádzkovateľa, (ii) vykonávanie interných a externých prekladov pracovných materiálov a podkladov pre potreby predstavenstva, (iii) vyhotovovanie zápisníc a písomných záznamov z pracovných stretnutí a porád predstavenstva a dozornej rady Prevádzkovateľa, (iv) kopírovanie a skenovanie došlej pošty do systému elektronickej registratúry a jej následná redistribúcia na príslušné úseky Prevádzkovateľa, (iv) distribúcia prijatých interných riadiacich aktov Prevádzkovateľa (napr. uznesení predstavenstva) príslušným funkčným útvarom a riadiacim pracovníkom Prevádzkovateľa zo sekretariátu predstavenstva. | |||
| 4. Právne a zmluvné účely | Preukazovanie, uplatňovanie a obhajovanie právnych nárokov (právna agenda) (oprávnený záujem): Zahŕňa akékoľvek spracúvanie osobných údajov nevyhnutné na: (i) príprava, kontrola, uzatváranie a plnenie zmlúv, (ii) správne, trestné, priestupkové alebo iné konania a kontroly; (iii) poskytovanie súčinnosti orgánom dohľadu a oznamovanie skutočností orgánom verejnej moci; (iv) mimosúdne riešenie sporov (napr. arbitráž alebo mediácia, rozhodcovský súd); (v) zabezpečovanie dôkazov obsahujúcich osobné údaje pre potreby preukazovania právnych nárokov a právnej ochrany, vrátane vyhotovovania rôznych znaleckých posudkov a odborných vyjadrení; (vi) komunikáciu so súdmi, orgánmi verejnej moci, procesnými stranami a ich právnymi zástupcami; (viii) využívanie právnych služieb a spoluprácu s advokátskymi kanceláriami; (ix) vedenie interných zoznamov („blacklistov“) a sankčných zoznamov zákazníkov alebo dodávateľov, s ktorými je obmedzený alebo zakázaný obchodný styk. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) a oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
| Vymáhanie pohľadávok (oprávnený záujem). Zahŕňa spracúvanie osobných údajov v rámci: (i) zasielania výziev a upomienok k neuhradeným pohľadávkam; (ii) súdneho vymáhania pohľadávok (iii) začatia exekučného konania; (iv) využívanie služieb tretích strán v súvislosti s vymáhaním pohľadávok a zabezpečením vozidla; (v) právneho zastúpenia v daných veciach; (vi) výkonu záložného alebo iného zabezpečovacieho práva; (vii) uzatvárania zmierov, uznaní dlhu, dohôd o urovnaní alebo splátkových kalendárov, (viii) využívania služieb externého call centra v rámci vymáhania pohľadávok. | |||
| Súdne spory, konania a dopyty (oprávnený záujem). Zahŕňa spracúvanie osobných údajov v rámci: (i) akýchkoľvek súdnych konaní; (ii) akýchkoľvek správnych, trestných, priestupkových alebo iných konaní a kontrol; (iii) poskytovania súčinnosti súdom, orgánom činným v trestnom konaní, správnym orgánom, arbitrážnym tribunálom alebo mediátorom; (iv) overovania skutočností pred notárom; (v) mimosúdneho riešenia sporov (napr. arbitráž alebo mediácia); (vi) uzatvárania zmierov, uznaní dlhu, dohôd o urovnaní; (vii) zabezpečovania dôkazov pri preukazovaní právnych nárokov; (viii) komunikácie so súdmi, orgánmi verejnej moci, procesnými stranami a ich zástupcami; (ix) právneho zastúpenia a poradenstva advokátskymi kanceláriami; (x) zabezpečovania znaleckých posudkov. | |||
| Zmluvná agenda. Zahŕňa spracúvanie osobných údajov v rámci: (i) uzatvárania a plnenia akejkoľvek zmluvy Prevádzkovateľom a treťou stranou; (ii) schvaľovania a revízie zmlúv právnym oddelením; (iii) komunikácie zmluvných strán vrátane spracúvania údajov o kontaktných osobách a štatutároch zmluvných strán; (iv) centrálnej evidencie zmlúv (mimo poskytovania finančných služieb). | Plnenie zmluvy v prípade fyzických osôb (čl. 6 ods. 1 písm. b) GDPR) a oprávnený záujem v prípade právnických osôb (čl. 6 ods. 1 písm. f) GDPR) | ||
| Zabezpečovanie súladu s právnymi predpismi. Zahŕňa spracúvanie osobných údajov v rámci plnenia akýchkoľvek ďalších povinností vyplývajúcich zo všeobecne záväzných právnych predpisov, ktoré nie sú spomenuté v rámci iných účelov. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) | ||
| Korporátna agenda. Zahŕňa spracúvanie osobných údajov najmä v rámci: (i) evidencia spoločníkov, konateľov a členov orgánov, (ii) vypracovanie základných zákonom alebo všeobecne záväzným právnym predpisom stanovených korporátnych dokumentov nevyhnutných pre založenie a zmeny týkajúce sa obchodných spoločností (iv) zabezpečovanie zápisu rôznych právnych skutočností do obchodného registra alebo iných registrov, (v) notárske osvedčovanie rôznych právnych skutočností, zápisníc z konania valného zhromaždenia a vlastnoručných podpisov v prípadoch vyžadovaných zákonom (v) vyhotovovanie a predkladanie listín obsahujúcich aj osobné údaje do zbierky listín obchodného registra v prípadoch prikázaných zákonom, (vi) zdieľanie dokumentov, dokladov a listín obsahujúcich osobné údaje v rámci tzv. due diligence procesov pri transakciách voči potenciálnemu záujemcovi o kúpu akcií, podnikov alebo časti podnikov zo skupiny, resp. voči jeho splnomocneným právnym zástupcom. | Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | ||
| 5. Účely priameho marketingu a PR | Cielená reklama (priamy marketing). Zahŕňa spracúvanie osobných údajov v rámci: (i) zobrazovania personalizovaného obsahu v rámci webstránok alebo mobilných aplikácií; (ii) marketingové oslovenie a kontaktovanie prostredníctvom telefónu, emailu, aplikácie, push-notifikácie alebo služby krátkych správ; (iii) marketingové oslovenie a kontaktovanie v rámci režimu vlastných podobných tovarov a služieb v zmysle § 116 ods. 14 a 15 zákona o el. komunikáciách; (iv) marketingové oslovenie a kontaktovanie právnických osôb na zverejnené kontaktné údaje; (v) marketingové oslovenie a kontaktovanie prostredníctvom poštovej komunikácie; (vi) realizácie a cielenia kampaní na sociálnych sieťach. | Súhlas dotknutej osoby tam kde je vyžadovaný právnymi predpismi (čl. 6 ods. 1 písm. a) GDPR) a oprávnený záujem tam kde nie je (čl. 6 ods. 1 písm. f) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
| Skupinová cielená reklama (priamy marketing). Zahŕňa spracúvanie osobných údajov v rámci: (i) získavania tzv. skupinového súhlasu spoločností patriacich do skupiny Porsche Slovakia, ktorých zoznam je dostupný a aktualizovaný vo Všeobecných informáciách; (ii) zdieľanie klientskych údajov v rámci prípravy cielenej ponuky pre konkrétneho klienta medzi spoločnými prevádzkovateľmi; (iii) priame marketingové oslovenie klienta s ponukou finančnej služby, zakúpenia motorového vozidla alebo pridružených služieb zo strany ktoréhokoľvek spoločného prevádzkovateľa. | Súhlas dotknutej osoby čl. 6 ods. 1 písm. a) GDPR) | PFS a PBS - spoloční prevádzkovatelia | |
| Marketingová štatistika. Zahŕňa spracúvanie osobných údajov v rámci: (i) analýzy návštevnosti, úspešnosti a konverzie; (ii) využívania pluginov sociálnych sietí alebo tretích strán; (iii) identifikácie klienta pri prihlásení sa do chránenej zóny; (iv) používania rôznych analytických nástrojov, ktoré využívajú aj cookies, pixely, SDK, web beacons a pod., tak ako sú vysvetlené v rámci cookies policy za podmienky, že marketingové a štatistické cookies boli získané po udelení súhlasu s cookies. | Súhlas dotknutej osoby (čl. 6 ods. 1 písm. a) GDPR) | PFS a PBS - spoloční prevádzkovatelia | |
| Zvyšovanie povedomia a dobrého mena (PR). Zahŕňa spracúvanie osobných údajov v rámci: (i) vedenia profilov na sociálnych sieťach a súvisiacej interakcie s užívateľmi; (ii) organizovania podujatí, vrátane vyhotovovania foto a video záznamov (môže sa využívať aj v kombinácii so súhlasom dotknutej osoby podľa povahy konkrétnej situácie); (iii) zvyšovania povedomia a dobrého mena (PR účely); (iv) organizovania spotrebiteľských súťaží vrátane partnerských súťaží (právny základ: plnenie zmluvy – akceptácia štatútu súťaže). | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR), súhlas dotknutej osoby (čl. 6 ods. 1 písm. a) GDPR) a plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR) | PFS a PBS - spoloční prevádzkovatelia | |
| 6. Vývoj, bezpečnosť IT systémov a osobných údajov | Bezpečnostné monitorovanie používateľov a zariadení: Zahŕňa: (i) využívanie softvérových monitorovacích nástrojov typu SIEM (Security Information and Event Management) pri bezpečnostnej analýze a následnom riešení podozrivých udalostí s vplyvom na kyber-bezpečnosť Prevádzkovateľa vznikajúcich v dôsledku sledovania veľkého množstva údajov pochádzajúcich z rôznych zdrojov (napr. systémov, aplikácií, externých databáz zraniteľností, logov z rôznych úrovní aplikačných vrstiev využívaných informačno-komunikačných technológií Prevádzkovateľa, počítačových sietí, elektronických komunikačných metadát a dát zo sieťovej prevádzky atď.), (ii) reakcie bezpečnostných špecialistov na „alerty“ generované SIEM systémom, ktoré môžu viesť k dočasnému obmedzeniu používania elektronických služieb a interných systémov pre konkrétnych používateľov, (iv) monitorovanie obsahu odchádzajúcej elektronickej pošty a exportovania údajov z prostredia vnútornej siete (napr. formou USB, tlače) prostredníctvom DLP (Data Leakage Prevention) softvéru, (v) vyhotovovanie a uchovávanie tzv. bezpečnostných logov na úrovni prístupu do operačných systémov a určených aplikácii, (vi) vyhodnocovanie a uchovávania prevádzkových dát o fungovaní a používaní určených zariadení (napr. serverov, tlačiarní), dát o sieťovej prevádzke a ďalších prevádzkových dát týkajúcich sa používania IKT, ktoré môžu obsahovať aj rôzne digitálne identifikátory (napr. IP adresa, MAC adresa). | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) a plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
| Využívanie údajov získaných monitorovaním používateľov a zariadení na zlučiteľné účely: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) získavanie a zabezpečovanie forenzných dôkazov a digitálnych stôp o protiprávnej činnosti používateľov IKT a potenciálnych páchateľov počítačovej kriminality, a to aj s využitím znalcov z relevantných odborov, (ii) využívanie bezpečnostných logov, prevádzkových údajov, dát sieťovej prevádzky – tzv. paketov, ďalších digitálnych identifikátorov pri internom vyhodnocovaní protiprávneho správania používateľov IKT, (ii) poskytovanie zabezpečených dôkazov príslušným dozorným orgánom, orgánom činným v trestnom konaní a súdom. | |||
| Vyhodnocovanie a riešenie bezpečnostných incidentov: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) Analýzu a vyhodnocovanie všetkých hlásení z agentov inštalovaných na koncových zariadeniach používateľov, serveroch, či sieťových zariadeniach Prevádzkovateľa v prípade zaznamenania podozrivých kyber-bezpečnostných udalostí, (ii) Analýzu a vyhodnocovanie všetkých hlásení tzv. alertov vygenerovaných SIEM systémom, (iii) Analýzu a vyhodnocovanie interných hlásení vykonaných zamestnancami alebo auditnými zisteniami, (iii) Reportovanie určených bezpečnostných incidentov s náležitými stupňom závažnosti podľa interných predpisov na hlavné ústredie materskej spoločnosti (HQ) do Nemecka, (iv) Filtrovanie, následná analýza a vyhodnocovanie zistených bezpečnostných incidentov s cieľom rozpoznať a ďalej riešiť bezpečnostné incidenty s charakterom porušenia ochrany osobných údajov v zmysle GDPR, (v) oznamovanie porušení ochrany osobných údajov s potenciálom rizika pre práva a slobody dotknutým osobám podľa čl. 33 GPDR na Úrad na ochranu osobných údajov SR zo strany Prevádzkovateľa, (vi) oznamovanie porušení ochrany osobných údajov s potenciálom vysokého rizika pre práva a slobody dotknutých osôb zasiahnutým dotknutým osobám zo strany Prevádzkovateľa, (v) dokumentáciu všetkých zistených prípadov porušenia ochrany osobných údajov podľa čl. 33 ods. 5 GPDR (v) zriadenie a činnosť interného „Incident Response Tímu“, (vi) vytváranie a evidenciu internej dokumentácie určených kyber-bezpečnostných incidentov podľa interných predpisov Prevádzkovateľa. | |||
| Riadenie prístupov používateľov IT systémov a IT zariadení: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) evidovanie žiadostí o zriadenie prístupových práv pre určených zamestnancov, (ii) pridelenie, odoberanie, zmeny a okamžité obmedzovanie prístupových práv pre konkrétnych používateľov do určených systémov, aplikácii a zariadení podľa stanovených pravidiel a určených matríc prístupových rolí pre príslušnú pracovnú funkciu, (iii) autorizáciu prístupu identifikovaného používateľa ku konkrétnemu IT aktívu, (iii) overenie identity používateľa pred prístupom ku určeným IT aktívam, a to aj formou tzv. MFA (viac-faktorovej autentizácie) alebo cez OAuth 2.0 v prípade API integrácie tretej strany, (iv) používanie hardvérových tokenov pri autentizácii používateľov laptopov (v) internú komunikáciu medzi HR oddelením a IT oddelením.Prevádzkovateľa týkajúcu sa zriaďovania, deaktivácie a vymazávanie používateľského konta pre využívané aplikácie, systémy a elektronickú poštu vo vzťahu ku konkrétnym zamestnancom, a to najmä pri uzatvorení a ukončovaní pracovného pomeru, (vi) pravidelné kontroly zamerané na odhaľovanie prípadných neaktívnych používateľských oprávnení a nesprávne pridelených používateľských rolí. | |||
| IT podpora a správa interných IT systémov, sietí a aplikácii pri ich prevádzke: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) zabezpečovanie IT prevádzky interných IT systémov a sietí najmä prostredníctvom aktivít IT oddelenia, vrátane činností interných administrátorov pristupujúcich k osobným údajom zamestnancov (ii) realizáciu IT podpory používateľov IT systémov a IT zariadení súvisiacich s ich prevádzkou, napr. pri rozširovaní prístupov, zmene prístupových hesiel, inštalovaní a aktivácii povolených aplikácii na zamestnancove zariadenie a pod. (iii) realizáciu servisných zásahov a odstraňovanie porúch na klientskych zariadeniach a on-premise systémoch, (iv) využívanie aplikácie na správu používateľských hesiel (tzv. pass-word) wallet. | |||
| Zálohovanie Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) vytváranie prevádzkových a archivačných záloh v zmysle princípu 3-2-1, vrátane dát obsahujúcich osobné údaje, (ii) šifrovanie zálohovaných dát, vrátane osobných údajov „at rest“, (iii) používanie zálohovaných dát na obnovu po katastrofe podľa prijatého DR (Disaster Recovery) plánu, (iv) Používanie zálohovaných dát, vrátane osobných údajov na obnovu biznisových činností Prevádzkovateľa podľa prijatého BCM (Businness Continuity Management) plánu, (iv) realizáciu testov obnovy určených systémov a obchodnej činnosti zo záloh. | |||
| Vývoj, vylepšovanie a testovanie softvéru: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) identifikáciu a odstraňovanie chýb (debugging) realizované aj zbieraním a analýzou logov, chybových hlásení, výkonnostných metrík, ktoré môžu obsahovať osobné údaje (napr. ID používateľov, IP adresy, časové značky), (ii) využívanie údajov o interakciách používateľov so softvérom (napr. click-stream, čas strávený v aplikácii, preferencie, nastavenia a pod.) s cieľom identifikácie trendov v používaní softvéru a budúceho vylepšovania a prispôsobovania funkcionality softvéru pre potreby používateľov Prevádzkovateľa, (iii) testovanie nových funkcií softvéru (A/B testing), (iv) bezpečnostné a interné penetračné testovanie realizované v rámci procesov vývoja softvéru podľa SSDLC pravidiel Prevádzkovateľa, (v) prípadné zhromažďovanie spätnej väzby a údajov od “beta testerov”, ktorí používajú nefinálnu verziu softvéru, (vi) evidovanie požiadaviek na zmeny a dokumentácia pre riadenie zmeny zavedeného softvéru, ktorý je už v prevádzke. | |||
| Vytváranie bezpečnostnej dokumentácie: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) evidovanie osobných údajov v rámci bezpečnostných politík a rôznych formulárov a vyplnených vzorových záznamov, ktoré majú vznikať ako dôkazy o realizácii bezpečnostných procesov a aplikovaní vybraných bezpečnostných opatrení (napr. správy o audite, správy o penetračnom testovaní, vymenovanie členov Incident Response tímu, dokumentácia bezpečnostných incidentov atď.). | |||
| Audity, preverovanie dodávateľov a penetračné testovanie: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) oboznamovanie sa s podkladmi, reportami, certifikátmi a prijatými opatreniami na strane dodávateľov v rámci „due diligence“ aktivít Prevádzkovateľa, (ii) kontrolovaný prístup externých audítorov k IT aktívam a dátam, vrátane osobných údajov v rámci realizácie bezpečnostného auditu, (ii) prípadný prístup externých testerov k IT aktívam a dátam, vrátane osobných údajov pri realizácii penetračného testovania, (iii) prístup k IT aktívam a dátam, vrátane osobných údajov pri realizácii auditov, ak je PFS v postavení sprostredkovateľa a jej prevádzkovateľ na základe zmluvy o spracúvaní osobných údajov uzavretej podľa čl. 28 ods. 3 s PFS požaduje vykonanie auditu, (iii) vykonávanie interných “compliance” auditov zameraných na dodržiavanie základných zásad spracúvania osobných údajov, vrátane zásady integrity a dôvernosti. | |||
| Zlučiteľné využívanie logov a digitálnych forenzných dôkazov o protiprávnom konaní na právne a zmluvné účely: Zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä na: (i) preukazovanie prijatých bezpečnostných opatrení a ich praktického dodržiavania voči materskej spoločnosti v Rakúsku, príp. voči audítorom povereným materskou spoločnosťou a voči dozorným orgánom v oblasti ochrany osobných údajov, (ii) zabezpečovanie a uchovávanie forenzných dôkazov o vzniknutých závažných kybernetických bezpečnostných incidentov, a to aj s prípadným zapojením znalcov z odvetvia bezpečnosti a ochrany informačných systémov, príp. Iných príbuzných odborov, (iii) využívanie logov a forenzných digitálnych stôp na identifikáciu páchateľov protiprávnej činnosti a poskytovanie týchto údajov súdom, príslušným dozorným orgánom a orgánom činným v trestnom konaní. | |||
| 7. Ochrana majetku, zdravia a bezpečnosti | Kamerové systémy. Zahŕňa spracúvanie osobných údajov najmä v rámci: (i) monitorovania priestorov prístupných verejnosti v rozsahu nevyhnutnom na dosahovanie sledovaného účelu v rôznych objektoch prevádzkovateľa; (ii) vyhotovovania, uchovávania, prehliadania a využívania obrazových záznamov v rámci sledovaného účelu; (iii) využívanie získaných informácii pracovníkmi recepcie na ochranu osôb a majetku v monitorovaných priestoroch, v rámci privolania zložiek integrovaného záchranného systému (112). | Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR) | PFS – samostatný prevádzkovateľ |
| Riadenie vstupov do budovy. Zahŕňa spracúvanie osobných údajov najmä v rámci: (i) monitorovania a využívanie údajov o vstupoch zamestnancov a návštevníkoch do budovy prevádzkovateľa; (ii) kontroly dokladu totožnosti a zaznamenania identifikačných údajoch o návštevníkoch; (iii) manuálne vedenie papierových kníh návštev pracovníkmi recepcií alebo SBS kontrolujúcich návštevníkov objektov Prevádzkovateľa; (iv) oznamovanie základných osobných údajov očakávanej návštevy pracovníkom SBS alebo vstupnej recepcie zo strany zamestnancov pred jej realizáciou, (v) zaznamenávanie vstupov prostredníctvom preddefinovaných oprávnení. | |||
| 8. Štatistické účely | Zahŕňa najmä (i) akékoľvek spracovateľské operácie s osobnými údajmi spracúvanými na iné legitímne účely, ktorých výsledkom bude zostavovanie štatistických výstupov, výkazov, hlásení, správ, analýz, porovnaní nákladov a rôznych pracovných a analytických podkladov potrebných pre rozhodovaciu a riadiacu činnosť predstavenstva Prevádzkovateľa alebo riadiacich orgánov funkčných útvarov, resp. úsekov Prevádzkovateľa, (ii) akékoľvek spracovateľské operácie s osobnými údajmi spracúvanými na iné legitímne účely, ktorých výsledkom bude zostavovanie štatistických výstupov, výkazov, hlásení, správ, analýz, výpočty technických rezerv a kapitálových požiadaviek, porovnaní nákladov a rôznych pracovných a analytických podkladov potrebných pre reporting vo vzťahu k orgánom dohľadu alebo iným orgánom verejnej moci (napr. Štatistický úrad SR) alebo iným tretím stranám (napr. materská spoločnosť a iné spriaznené Prevádzkovateľa zo skupiny , obchodní partneri a pod.), (iii) aplikovanie vhodných anonymizačných a agregačných techník na osobné údaje spracúvané na iné zlučiteľné účely spracúvania osobných údajov vysvetlené vyššie. | Všetky právne základy vyššie uvedených zlučiteľných účelov spracúvania osobných údajov (recitál 50 GDPR v spojitosti s čl. 89 GDPR) | PFS – samostatný prevádzkovateľ |
| 9. Archivácia vo verejnom záujme | Zahŕňa najmä: (i) uchovávanie registratúrnych záznamov podľa lehôt uvedených v registratúrnom pláne Prevádzkovateľa (správa registratúry), a to aj s využitím externých správcov registratúrnych stredísk; (ii) uchovávanie záznamov o došlej pošte; (iii) vyraďovacie konanie a likvidáciu registratúrnych záznamov po uplynutí úložných lehôt; (iv) postupovanie archívnych dokumentov štátnym archívom; (v) opätovné sprístupňovanie a používanie registratúrnych alebo archívnych dokumentov za splnenia podmienok testu zlučiteľnosti (napr. na právne a zmluvné účely pri preukazovaní, uplatňovaní a obhajovaní právnych nárokov). | Všetky právne základy vyššie uvedených zlučiteľných účelov spracúvania osobných údajov (recitál 50 GDPR v spojitosti s čl. 89 GDPR) a plnenie zákonných povinností [19] (čl. 6 ods. 1 písm. c) GDPR) | PFS a PBS - spoloční prevádzkovatelia |
[1] Zákon č. 186/2009 Z. z. o finančnom sprostredkovaní a finančnom poradenstve a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o FS“).
[2] § 22 ods. 3 Zákona o FS
[3] § 27 Zákona o FS
[4] § 35 Zákona o FS
[5] § 36 ods. 8 Zákona o FS
[6] Uvedené je možné považovať za oprávnený záujem Prevádzkovateľa iba ak by tieto činnosti Prevádzkovateľ nevykonával pre konkrétu poisťovňu v jej mene ako sprostredkovateľ v zmysle GDPR v rozsahu a za podmienok zmluvy o spracúvaní osobných údajov uzatvorenej podľa čl. 28 ods. 3 GDPR. V takom prípade by tieto činnosti boli realizované Prevádzkovateľom vo vlastnom mene na právnom základe oprávneného záujmu pri realizácii finančného sprostredkovania v zmysle § 2 ods. 1 Zákona o FS
[7] § 31 Zákona o FS
[8] § 31 ods. 2 a ods. 3 Zákona o FS
[9] § 37b ods. 3 Zákona o FS
[10] § 36 ods. 2 Zákona o FS a § 7 a 9 zákona č. 129/2010 Z. z., o spotrebiteľských úveroch.
[11] § 26 Zákona o FS
[12] Viď § 21 a § 23 Zákona o FS
[13] § 21, 22 a 29 Zákona o FS
[14] Zákon č. 431/2002 Z. z., o účtovníctve a o zmene a doplnení niektorých zákonov
[15] Zákon č. 422/2004 Z. z., o dani z pridanej hodnoty v znení neskorších predpisov
[16] Zákon č. 595/2003 Z. z., o dani z príjmov v znení neskorších predpisov
[17] Zákon č. 563/2009 Z. z., o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov
[18] Zákon č. 54/2019 Z. z., o ochrane oznamovateľov protispoločenskej činnosti a o zmene a doplnení niektorých zákonov
[19] Zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov