Menu
Naše projekty
PODMIENKY OCHRANY SÚKROMIA
Vážené dotknuté osoby,
v týchto Podmienkach ochrany súkromia Vám chceme poskytnúť podrobné informácie o spracúvaní Vašich osobných údajov na účely agendy pracovno-právnych vzťahov so zamestnancami a súvisiacich vzťahov. Tieto Podmienky ochrany súkromia vysvetľujú transparentným a prehľadným spôsobom informácie podľa článku 13 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR“).
Kto je prevádzkovateľom Vašich osobných údajov a kde sa na nás môžete obrátiť?
Na aké účely spracúvame Vaše osobné údaje a na akom právnom základe?
Kto okrem prevádzkovateľa je ešte oprávnený spracúvať Vaše osobné údaje?
Dochádza k cezhraničnému prenosu Vašich osobných údajov?
Dochádza k automatizovanému spracúvaniu osobných údajov s právnym účinkom na Vás?
Ako dlho budeme spracúvať Vaše osobné údaje?
Ste povinní nám poskytnúť Vaše osobné údaje?
Aké sú Vaše práva pri spracúvaní osobných údajov?
Záverečné ustanovenia
Príloha č. 1
Tabuľka spracúvania osobných údajov
Účel spracúvania |
Právny základ spracúvania |
Dotknuté osoby a rozsah spracúvaných osobných údajov |
Doba spracúvania |
Príjemcovia |
Personálno-mzdová agenda
(spracúvanie osobných údajov na personálno-mzdové účely, vrátane náborového procesu nových zamestnancov a plnenie súvisiacich povinností zamestnávateľa ustanovených súhrnom osobitných zákonov z oblasti pracovného práva (napr. Zákonník práce), daňového práva a práva sociálneho zabezpečenia) |
čl. 6(1)(b) Nariadenia GDPR plnenie povinností z pracovnej zmluvy, čl. 6(1)(c) Nariadenia GDPR plnenie zákonnej povinnosti, § 78 ods. 3 a 4 Zákona o ochrane osobných údajov, osobitné zákony z oblasti pracovného práva (napr. Zákonník práce), daňového práva a práva sociálneho zabezpečenia |
zamestnanci, dohodári, deti, partneri, bývalí zamestnanci, uchádzači o zamestnanie
rozsah: meno, priezvisko, národnosť, stav, adresa, číslo bank. účtu, údaje o deťoch a manželke, dátum narodenia, rodné číslo, údaje o zdraví, údaje o vzdelaní, hodnotenie pracovného výkonu, úvodný dotazník, údaje o absolvovaných školeniach, výpis z RT (vedúce pozície), zdravotné prehliadky, školenia, certifikáty (VZV), agenda pracovných úrazov, agenda dochádzky |
v závislosti od konkrétneho typu dokumentov od 5 do 10 rokov; osobný spis zamestnanca sa likviduje až uplynutím 70 rokov od jeho narodenia a nikdy nie skôr ako vznikne povinnosť likvidácie jeho mzdových listov (t. j. 50 rokov od ich vytvorenia) |
materská spoločnosť, externý bezpečnostný technik, personálne agentúry, externá spoločnosť poskytujúca pracovnú zdravotnú službu, externí poskytovatelia cloudových služieb, externí poskytovatelia softvérových riešení pre spoločnosť, externé spoločnosti poskytujúce služby softvérových developerov, externý poskytovateľ dochádzkového systému, zdravotné poisťovne, Sociálna poisťovňa, Inšpektorát práce, Úrad práce, sociálnych vecí a rodiny, doplnkové dôchodkové poisťovne, poskytovatelia komerčného poistenia zamestnancov, daňové úrady, súdy, OČTK |
Kontrolné mechanizmy
(spracúvanie osobných údajov, ktoré spracúva prevádzkovateľ ako zamestnávateľ pri aplikácii kontrolných mechanizmov na svojich zamestnancov podľa článku 11 a § 13 ods. 4 Zákonníka práce; konkrétne k spracúvaniu osobných údajov zamestnancov dochádza pri kontrole používania zvereného motorového vozidla cez GPS monitoring polohy motorového vozidla) |
čl. 6(1)(c) Nariadenia GDPR - Zákonník práce (§ 11 a 13) |
zamestnanci, dohodári, deti, partneri, bývalí zamestnanci
rozsah: meno, priezvisko, lokalizačné údaje |
po dobu trvania pracovného pomeru (tým nie je dotknuté ďalšie uchovávanie pre účely právnej agendy) |
poskytovateľ GPS, mobilní operátori, Inšpektorát práce, súdy, OČTK, materská spoločnosť, externí poskytovatelia softvérových riešení, externí poskytovatelia servisných služieb pre HW, SW, externí poskytovatelia cloudových služieb |
Bezpečnostná agenda
(spracúvanie osobných údajov v rámci analýz a následného spracúvania logovacích záznamov umožňujúci spätnú identifikáciu konkrétneho používateľa systému, prípadne automatizovanú detekciu podozrivého správania s cieľom získať informácie použiteľné na identifikáciu, či blokovanie útočníka a na účely posilňovania bezpečnosti spracúvania osobných údajov) |
čl. 6(1)(c) Nariadenia GDPR plnenie zákonnej povinnosti (prijatie bezpečnostných opatrení v zmysle čl. 32 GDPR, vykonávanie kontrol), čl. 6(1)(f) Nariadenia GDPR oprávnené záujmy prevádzkovateľa - zabezpečenie informačnej bezpečnosti systémov, ochrana pred únikom dát, použitie údajov na spätnú identifikáciu užívateľa (najmä v prípade bezpečnostných incidentov) |
zamestnanci, užívatelia IS (interní, externí, oprávnení, neoprávnení)
rozsah: ID zamestnancov/ interných spolupracovníkov, meno, priezvisko, logy v systémoch, ID užívateľov, ktorým bol povolený externý prístup k IS spoločnosti |
najviac 3 roky nasledujúce po roku od vzniku relevantných dát; pri logovacích údajoch môže byť retenčná doba podľa potreby a kapacity vyhradených dátových úložísk aj kratšia |
materská spoločnosť, OČTK, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW |
Intranet a budovanie korporátnej identity
(spracúvanie osobných údajov zamestnancov prostredníctvom intranetu „Pulse“ na účely budovania korporátnej identity, prepájania kontaktov medzi zamestnancami/internými spolupracovníkmi skupiny YIT a budovania dobrých vzťahov na pracovisku; prostredníctvom intranetu dochádza aj k zverejňovaniu fotografií a videí z rôznych firemných podujatí (napr. teambuilding), ako aj podujatí organizovaných pre klientov – klientske dni a iné eventy, a prenosu osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely, výlučne len v rámci EÚ; fotografie sú tiež priradené k zamestnancovi/internému zmluvnému spolupracovníkovi v Outlooku) |
čl. 6(1)(f) Nariadenia GDPR oprávnený záujem - administrácia zamestnaneckých vecí v rámci skupiny YIT, budovanie korporátneho ducha, čl. 6(1)(a) Nariadenia GDPR - súhlas zamestnancov so zverejňovaním fotografií a videí |
zamestnanci, interní zmluvní spolupracovníci
rozsah: meno, priezvisko, pracovný email, telefónny kontakt, ID, funkcia, priradenie k spoločnosti v rámci skupiny YIT, fotografie pre účely intranetu a zo zamestnaneckých eventov
|
po dobu trvania pracovného pomeru a 5 rokov po skončení |
spoločnosti v rámci skupiny YIT a ich zamestnanci, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW |
Evidencia motorových vozidiel
(spracúvanie osobných údajov zamestnancov na účely evidencie a správy špecifickej agendy na oddelení Facility manažmentu, v rámci ktorej dochádza k vytvoreniu osobitnej evidencie zamestnancov, ktorým bolo zverené pracovné motorové vozidlo) |
čl. 6(1)(b) Nariadenia GDPR plnenie zmluvy |
zamestnanci, ktorým bolo na základe dohody zverené osobné motorové vozidlo
rozsah: meno, priezvisko, adresa zamestnanca, dátum narodenia, kontaktné údaje |
po dobu trvania pracovného pomeru (tým nie je dotknuté ďalšie uchovávanie pre účely právnej agendy) |
poisťovne, lízingové spoločnosti |
Fotografie zamestnancov
(spracúvanie osobných údajov zamestnancov a ich rodinných príslušníkov na účely vyhotovenia a zverejňovania štylizovaných propagačných fotografií v rámci reklamných kampaní podporujúcich značku a dobré meno prevádzkovateľa, pričom toto spracúvanie prebieha nad rámec bežného spracúvania osobných údajov na marketingové účely a je plnením osobitnej zmluvy, ktorú vybraní zamestnanci slobodne uzatvorili s prevádzkovateľom) |
čl. 6(1)(b) Nariadenia GDPR plnenie povinností z osobitnej zmluvy |
zamestnanci a ich rodinní príslušníci
rozsah: fotografia |
10 rokov od dátumu uzatvorenia zmluvy |
sociálne siete, marketingové agentúry starajúce sa o PR Spoločnosti, spoločnosti skupiny YIT |
Prevádzkovateľ súčasne vykonáva ďalšie spracúvanie osobných údajov ako spoločný prevádzkovateľ spolu so spoločnosťami zo skupiny YIT, ktorých vždy aktuálny zoznam je dostupný na webovom sídle prevádzkovateľa v sekcii ochrana osobných údajov, vrátane spracúvania na najmä, nie však výlučne, nasledovné účely:
Účel spracúvania |
Právny základ spracúvania |
Dotknuté osoby a rozsah spracúvaných osobných údajov |
Doba spracúvania |
Príjemcovia |
Účtovníctvo
(spracúvanie osobných údajov, ktoré sú alebo môžu byť súčasťou tzv. účtovnej dokumentácie spracúvanej podľa zákona č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov) |
čl. 6(1)(c) Nariadenia GDPR plnenie zákonnej povinnosti, Zákon o účtovníctve, Zákon o dani z pridanej hodnoty, Zákon o sociálnom fonde, Zákon o dani z príjmov, Zákonník práce, Občiansky zákonník, Obchodný zákonník |
obchodní partneri, zamestnanci obchodných partnerov, zamestnanci, dohodári, deti, partneri, bývalí zamestnanci, uchádzači o zamestnanie, klienti
rozsah: meno, priezvisko, titul, adresa, telefónne číslo, e-mailová adresa, funkcia vo firme, údaje o spoločnosti, štatutárny zástupca spoločnosti, fakturačné údaje, IČO, bankové spojenie, dátum narodenia, podpis |
do uplynutia retenčnej doby ustanovenej v § 35 a § 36 Zákona o účtovníctve - spravidla najviac 10 rokov od vzniku účtovného dokladu |
externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW, daňový úrad, finančná správa, OČTK, materská spoločnosť, banky, finančná správa, audítori |
Kamerový systém
(spracúvanie osobných údajov dotknutých osôb pri monitorovaní priestorov stavenísk spoločných prevádzkovateľov na účely ochrany práv a právom chránených záujmov prevádzkovateľa, a to hlavne z dôvodov ochrany majetku, zdravia a bezpečnosti) |
čl. 6(1)(f) Nariadenia GDPR oprávnené záujmy prevádzkovateľa - ochrana majetku, ochrana verejného poriadku a zvyšovanie bezpečnosti pred páchaním trestnej činnosti |
fyzické osoby pohybujúce sa v monitorovanom priestore
rozsah: obrazový záznam, podobizeň fyzických osôb |
14 dní odo dňa vyhotovenia záznamu |
poskytovateľ súkromnej bezpečnostnej služby, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW, OČTK, súdy |
Právna agenda
(spracúvanie osobných údajov na účely vedenia komplexnej internej právnej agendy, t. j. súdnych sporov, exekučných konaní, správnych konaní, prípadne trestných konaní začatých na základe iniciatívy prevádzkovateľa alebo v prípadoch vedených proti prevádzkovateľovi) |
čl. 6(1)(b) Nariadenia GDPR plnenie zmluvných povinností, čl. 6(1)(f) Nariadenia GDPR oprávnené záujmy prevádzkovateľa - ochrana majetku, ochrana práv a právom chránených záujmov prevádzkovateľa, sledovanie a vynucovanie plnenia zmluvných povinností, obhajovanie práv a záujmov prevádzkovateľa |
zamestnanci, obchodní partneri, zmluvní spolupracovníci, zamestnanci obchodných partnerov, iné, svedkovia, klienti rozsah: meno, priezvisko, dátum narodenia, adresa, číslo bank. účtu, email, telefónne číslo, kontaktné osoby, pracovné zaradenie, údaje o štatutároch, ďalšie v rozsahu nevyhnutnom na uplatňovanie práv a právom chránených záujmov prevádzkovateľa |
7 rokov, pokiaľ v uvedenej lehote nie je začaté konanie; v takom prípade po právoplatnom ukončení právnej veci ešte 10 rokov (napr. pre prípad obnovy konania, daňovej kontroly) |
advokátske kancelárie, exekútori, súdy, OČTK, orgány verejnej správy, vymáhačské spoločnosti, audítori, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW, poisťovne |
Správa pohľadávok
(spracúvanie osobných údajov v prípadoch mimosúdneho vymáhania splatných pohľadávok prevádzkovateľa v prípadoch, keď sú dlžníkmi fyzické osoby – jednotlivci (napr. zamestnanec, zákazník, osoby zodpovedné za škodu a pod.) na účely plnenia záväzkov zo zmluvných vzťahov uzatvorených alebo vzniknutých medzi prevádzkovateľom) |
čl. 6(1)(b) Nariadenia GDPR plnenie zmluvných povinností, čl. 6(1)(f) Nariadenia GDPR oprávnené záujmy prevádzkovateľa - ochrana majetku, ochrana práv a právom chránených záujmov prevádzkovateľa, sledovanie a vynucovanie plnenia zmluvných povinností, obhajovanie práv a záujmov prevádzkovateľa v mimosúdnych vzťahoch |
fyzické osoby klienti - dlžníci prevádzkovateľa, zmluvní spolupracovníci, zamestnanci obchodných partnerov, osoby zodpovedné za škodu, zamestnanci
rozsah: meno, priezvisko, dátum narodenia, adresa, číslo bank. účtu, email, telefónne číslo, kontaktné osoby, pracovné zaradenie, údaje o štatutároch |
do dňa úspešného mimosúdneho vymoženia pohľadávky, v prípade nevymoženia sú osobné údaje postúpené na ďalšie spracúvanie pre účely právnej agendy |
advokátske kancelárie, vymáhačské spoločnosti, audítori, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW |
Správa registratúry
(vytváranie, evidencia a vyraďovanie registratúrnych záznamov, ktoré vznikli v dôsledku povinnosti podľa § 16 ods. 2 zákona č. 395/2002 Z. z. o archívoch a registratúrach a o zmene a doplnení niektorých zákonov, a ktoré obsahujú aj osobné údaje) |
čl. 6(1) (c) Nariadenia GDPR plnenie zákonnej povinnosti prevádzkovateľa |
fyzické osoby (zamestnanci, obchodní partneri, ich zamestnanci, ďalšie)
rozsah: meno, priezvisko, národnosť, stav, adresa, číslo bank. účtu, údaje o deťoch a manželke, dátum narodenia, rodné číslo, údaje o zdraví, údaje o vzdelaní, hodnotenie pracovného výkonu, údaje o absolvovaných školeniach, výpis z RT (vedúce pozície) (osobné spisy zamestnancov), zmluvné strany a kontaktné osoby uvedené v zmluve |
po uplynutí piatich rokov od vzniku registratúrneho záznamu (obsahujúceho osobné údaje dotknutej osoby) iniciuje spoločnosť vyraďovacie konanie, pričom spravidla zlikviduje registratúrny záznam bezodkladne po uplynutí 60 dňovej lehoty v zmysle § 20 ods. 2 Zákona o archívoch a registratúrach |
externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW, externí poskytovatelia služieb likvidácie listinných dokumentov, externý subjekt poskytujúci služby registratúry |
Štatistika
(spracúvanie osobných údajov rôzneho okruhu dotknutých osôb, najmä zamestnancov, zákazníkov a potenciálnych zákazníkov pri zostavovaní štatistických výstupov a pracovných podkladov (napr. pracovné podklady, prehľady mzdových nákladov za dané obdobie, podklady pre rokovanie a rozhodovanie orgánov prevádzkovateľa, podklady pre reporty pre materskú spoločnosť a pod.)) |
čl. 89 Nariadenia GDPR, § 78 ods. 8 Zákona o ochrane osobných údajov |
zamestnanci, klienti, potenciálni klienti
rozsah: meno, priezvisko, ID zamestnanca, mzdové náklady, pracovná pozícia, ďalšie |
retenčná doba je determinovaná zostavením potrebného štatistického výstupu pre interné potreby klienta; po zostavení potrebných štatistických výstupov (tabuliek, sumárnych prehľadov) je potrebné osobné údaje použité na tento účel anonymizovať alebo zlikvidovať |
materská spoločnosť, OČTK, externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW |
Whistleblowing
(spracúvanie pre účely vedenia evidencie a vybavovania podnetov protispoločenskej činnosti) |
čl. 6(1)(c) Nariadenia GDPR plnenie zákonnej povinnosti, Zákon o ochrane oznamovateľa |
oznamovateľ, osoby dotknuté podnetom
rozsah: meno, priezvisko, adresa, telefónne číslo, email oznamovateľa, ako aj osobné údaje dotknutých osôb v rozsahu uvedenom v podnete |
3 roky od prijatia podnetu do evidencie podnetov protispoločenskej činnosti |
orgány verejnej správy, súdy, OČTK |
Práva dotknutých osôb
(spracúvanie pre účely vybavovania práv dotknutých osôb podľa článkov 15 až 22 Nariadenia GDPR v súlade s článkom 12 Nariadenia GDPR) |
čl. 6(1)(c) Nariadenia GDPR plnenie zákonnej povinnosti vyplývajúcej z GDPR (čl. 15-22 Nariadenia GDPR) |
dotknuté osoby v podmienkach prevádzkovateľa (zamestnanci, interní spolupracovníci, obchodní partneri a ich zamestnanci), klienti
rozsah: meno, priezvisko, dátum narodenia, adresa, email, telefónne číslo ďalšie - ak je to nevyhnutné na identifikáciu totožnosti dotknutej osoby |
najviac 3 roky odo dňa riadneho uplatnenia práva dotknutej osoby |
Úrad na ochranu osobných údajov SR, materská spoločnosť, súdy, OČTK |
Požiadavky a sťažnosti
(účelom spracúvania osobných údajov je evidencia a vybavenie žiadostí, podnetov a sťažností žiadateľov týkajúcich sa činnosti prevádzkovateľa; podnety zahŕňajú aj podnety prešetrované interne v rámci podaní na etickú komisiu pre etické porušenia (šikana, sexuálne obťažovanie a pod.)) |
čl. 6(1)(f) Nariadenia GDPR oprávnené záujmy prevádzkovateľa – ochrana záujmov prevádzkovateľa spočívajúca v záujme na poskytovaní kvalitných služieb a predaji nehnuteľností (bez spracúvania nie je možné vyriešiť požiadavku žiadateľa) |
klienti, potenciálni klienti, osoby podávajúce podanie (sťažnosť, požiadavku), vrátane zamestnancov a zmluvných spolupracovníkov
rozsah: meno, priezvisko, telefónne číslo, email |
1 rok odo dňa podania požiadavky/sťažnosti |
externí poskytovatelia SW, externí poskytovatelia cloudových služieb, externí poskytovatelia servisných služieb pre HW, SW, materská spoločnosť, partneri realizujúci klientske zmeny (podieľajúci sa na dodávke stavebného riešenia) |
Tým nie sú dotknuté ostatné účely spracúvania vymedzené spoločnými prevádzkovateľmi, dostupné na webovom sídle prevádzkovateľa v sekcii ochrana osobných údajov.