………………………………, dňa ……………

(miesto a dátum)

 

Číslo a adresa obchodu:

…………………………………………

…………………………………………

…………………………………………

 

 

 

ZÁSADY

spracúvania a ochrany osobných údajov platných vo firemných, agentúrnych, dílerských obchodoch a outletoch BIG STAR Slovakia s.r.o.

 

 

V záujme zabezpečenia úplnej a účinnej ochrany spracúvaných osobných údajov na účely vernostného programu Big Star Premium Card, v súlade s ustanoveniami Zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov budú osobné udaje spracovávané nasledovne:

 

 

  • 1.

[Definície]

 

Výrazy obsiahnuté v tomto dokumente majú nasledujúci význam:

  • SOÚ – Spracovateľ osobných údajov v zmysle zákona o ochrane osobných údajov (BIG STAR Slovakia s.r.o.);
  • BS – BIG STAR Slovakia s.r.o.;
  • Zákazník – akákoľvek fyzická osoba, ktorá vykonáva nákup tovaru v obchodoch označených ochrannou známkou „Big Star”;
  • firemný, agentúrny, dílerský obchod (obchod) – komerčný objekt, ktorý prevádzkuje predaj tovaru s ochrannou známkou „Big Star” na základe uzatvorenej zmluvy so spoločnosťou BIG STAR Slovakia s.r.o.;
  • zamestnanec obchodu – osoba zamestnaná v obchode na základe pracovnej zmluvy, ako aj na základe občianskoprávnej zmluvy, vrátane zmluvných zákaziek a zmluvy o dielo, ktorá je poverená spracovateľom osobných údajov na spracúvanie osobných údajov;
  • Spracovateľ osobných údajov – subjekt, s ktorým BS uzatvoril zmluvu o spracúvaní osobných údajov;
  • osobné údaje – všetky informácie týkajúce sa identifikovaných, alebo identifikovateľných Zákazníkov BS, ktorí súhlasili s ich spracúvaním, vrátane: informácií podaných na prihlasovacom formulári k Programu Big Star Premium Limited Card, t. j. meno, priezvisko, adresa bydliska, telefónne číslo, e-mail a ďalšie údaje klasifikované ako osobné údaje v zmysle zákona o ochrane osobných údajov;
  • spracúvanie údajov – všetky operácie vykonávané s osobnými údajmi, ako napríklad ich zhromažďovanie, zaznamenávanie, uchovávanie, vývoj, zmeny, zdieľanie a vymazávanie, a najmä tie, ktoré sa vykonávajú v informačných systémoch;
  • informačný systém – súbor navzájom spolupracujúcich zariadení, programov, postupov spracúvania informácií a softvérových nástrojov používaných za účelom spracúvania údajov,
  • ochrana údajov v informačnom systéme – zavedenie a používanie vhodných technických a organizačných opatrení, ktoré zaistia ochranu údajov proti ich neoprávnenému spracúvaniu a zverejneniu;
  • súhlas dotknutej osoby – vyhlásenie vôle, ktorej obsahom je súhlas so spracúvaním osobných údajov osoby, ktorá robí vyhlásenie; súhlas nemôže byť domniemaný, alebo predpokladaný z vyhlásenia vôle s iným obsahom;
  • neoprávnená osoba – osoba, ktorá nepracuje pri zhromažďovaní, alebo spracúvaní údajov (s výnimkou oprávnených osôb na ich prezeranie a spracúvanie na právnom základe osobitných predpisov), ako aj osoba, ktorej údaje nie sú spracúvané v konkrétnych súboroch údajov;
  • miesto uchovávania osobných údajov Zákazníka – trezor, skrinka alebo zásuvka zaistená pomocou kľúča, ktorý má osoba určená vedúcim, alebo majiteľom obchodu;
  • formulár BSPC – formulár Big Star Premium Card predstavujúci prihlásenie do účasti v programe Big Star Premium Card.

 

 

  • 2.

[Všeobecné podmienky]

 

  1. Každý, kto uzatvoril zmluvu s BS na predaj tovaru označený ochrannou známkou Big Star, vedúci obchodu pod názvom Big Star a účastníci vernostného programu sú povinní dodržiavať pravidlá spracúvania a používania osobných údajov Zákazníkov.
  2. Spracovateľ údajov je povinný určiť miesto na uchovávanie osobných údajov Zákazníka, pričom musí mať náhradný kľúč, ku ktorému bude mať prístup len on, alebo ním písomne poverená osoba.
  3. Spracovateľ údajov a zamestnanci obchodu sú povinní oboznámiť sa s týmito zásadami a musia tiež dodržiavať pravidlá pre zachovanie dôvernosti osobných údajov Zákazníkov.
  4. Vyhlásenie o spracúvaní údajov a jeho zamestnancoch predstavujú prílohy k zmluve o spracúvanie osobných údajov.

 

 

  • 3.

[Spôsob spracúvania osobných údajov]

 

  1. Spracovateľ osobných údajov a zamestnanci obchodu sú povinní prijať všetky opatrenia na ochranu osobných údajov Zákazníkov, a najmä také, aby sa údaje nedostali do rúk nepovolaných osôb. Na tento účel:
  • Keď Zákazník vyplní formulár BSPC, na ktorom zadal svoje osobné údaje, zamestnanec je povinný zadať osobné údaje Zákazníka do databázy cez stránku www, ktorá je zabezpečená SSL certifikátom (šifrovaný prenos dát) a umiestnite formulár v určenom mieste (krabica na formuláre), a to okamžite po vyplnení zo strany Zákazníka;
  • Spracovateľ údajov je povinný odosielať doporučenou poštou vyplnené formuláre BSPC nie menej ako raz za desať dní, t. j. respektíve 10., 20. a posledný deň každého mesiaca, a ak na tento deň pripadá na štátny sviatok, tak na ďalší pracovný deň do sídla BS a informovať e-mailom zakaždým, keď dôjde k tejto skutočnosti SOÚ, alebo ním oprávnenú osobu;
  • Osobné údaje spracúvajú iba osoby, ktoré podpísali vyhlásenie uvedené v § 2 ods. 4 vyššie.

 

 

  • 4.

[Pravidlá používania súborov s osobnými údajmi]

 

  1. Spracovateľ údajov, zamestnanci obchodu a iné osoby oprávnené Spracovateľom údajov k náhľadu a prístupu k osobným údajom sa zaväzujú, že budú používať tieto súbory v súlade so zákonom o ochrane osobných údajov, týmito Zásadami a ustanoveniami Bezpečnostnej politiky.
  2. V rámci pravidiel používania osobných údajov, môže zamestnanec vyhľadávať údaje v systéme. Zamestnanec nemôže vykonávať zmeny zavedených osobných údajov. V prípade akýchkoľvek zmien, alebo úpravy údajov, musí Zákazník vyplniť formulár BSPC, ktorý musí odovzdať prostredníctvom Spracovateľa údajov a zamestnanca SOÚ spôsobom, ktoré sú uvedené v § 3 ods. 1 bod 1-3.
  3. Bezpečnostná politika predstavuje príloha č. 3 k zmluve o poverení spracúvania osobných údajov.

 

 

  • 5.

[Inštrukcia na spracúvanie a ochranu osobných údajov]

 

  1. Ustanovenia tohto paragrafu stanovujú postup v prípade porušenia zabezpečenia informačného systému alebo v prípade, kedy stav zariadenia, obsah súborov s osobnými údajmi, zverejnené metódy práce, či spôsob, akým pracuje program môžu vykazovať narušenie bezpečnosti daných údajov.
  2. Stav porušenia bezpečnostného systému môžu najmä naznačovať: stav pracovnej stanice/počítača (napr. výpadok prúdu, problémy so spustením), všetky druhy rozdielov vo fungovaní systému, alebo programu (napr. správy o chybách, nedostatočný prístup k funkciám programu, nezrovnalosti vo vykonávaných operáciách), rozdiely v obsahu súborov s osobnými údajmi (napr. nedostatok, alebo prebytok údajov).
  3. Každý, kto zistí, alebo má podozrenie na porušenie zabezpečení ochrany osobných údajov v informačnom systéme, musí o tejto skutočnosti okamžite informovať osobu, ktorá je zamestnaná v oblasti spracúvania osobných údajov a správcu informačnej bezpečnosti, alebo inú ním oprávnenú osobu.
  4. Každý, kto získal takéto informácie, alebo sám konštatoval porušenie bezpečnosti osobných údajov v informačnom systéme, je povinný bezodkladne informovať osobu, ktorá je zamestnaná v oblasti spracúvania osobných údajov a správcu informačnej bezpečnosti, alebo inú ním oprávnenú osobu, a v prípade ich neprítomnosti – priamo správcu osobných údajov.
  5. V prípade získania informácie, alebo pri zistení porušenia bezpečnosti osobných údajov v informačnom systéme, je v prvom rade potrebné:
  6. uložte všetky zmeny spojené s danou udalosťou, a to najmä: presný čas získanie informácie o porušení ochrany osobných údajov a čas samostatného tejto skutočnosti;
  7. pravidelne vytvárať a tlačiť (ak to umožňujú systémové prostriedky) všetky možné dokumenty a správy, ktoré môžu pomôcť určiť okolnosti incidentu, mali by obsahovať dátum a podpis;
  8. pristúpiť k identifikácii typu vzniknutého incidentu, najmä pre určenie rozsahu zničenia a metódy prístupu neoprávnenej osoby k údajom.
  9. Okamžite treba prijať vhodné opatrenia na zabránenie, alebo obmedzenie prístupu neoprávneným osôb k údajom, minimalizovať škody a odstránenie stopy po porušení bezpečnosti, a to najmä:
  10. fyzickým odpojením zariadení a sieťových segmentoch, ktoré by mohli poskytnúť prístup k databáze pre neoprávnenú osobu.
  11. odhlásením používateľa, ktorý je podozrivý z porušenia bezpečnostných opatrení na ochranu údajov,
  12. zmeniť heslá na účte správcu a používateľa, prostredníctvom ktorých bol získaný nelegálny prístup za účelom opakovaného pokusu o narušenie.
  13. Po odstránení bezprostredného ohrozenia by sa mala vykonať vstupná analýza stavu celého informačného systému za účelom potvrdenia, alebo vylúčenia porušenia osobných údajov v systéme.
  14. Správca informačnej bezpečnosti, alebo ním oprávnená osoba kontroluje:
  15. a) stav zariadení používaných na spracúvanie osobných údajov,
  16. b) obsah súborov s osobnými údajmi,
  17. c) spôsob fungovania programu.
  18. Po vyššie uvedených činnostiach správca informačnej bezpečnosti, alebo ním oprávnená osoba vykoná podrobnú analýzu informačného systému, vrátane identifikácie:
  19. typu vzniknutého incidentu,
  20. metódy prístupu neoprávnenej osoby k údajom,
  21. mieru zničenia.
  22. Je potrebné okamžite obnoviť normálne fungovanie systému, pričom v prípade, ak došlo k poškodeniu súborov s údajmi, tak je potrebné ho otvoriť od poslednej zálohy s dodržaním všetkých opatrení, aby neoprávnená osoba opätovne nezískala prístup k údajom tým istým spôsobom.
  23. Po obnovení správneho stavu databázy osobných údajov, je potrebné vykonať podrobnú analýzu na určenie príčiny porušenia ochrany osobných údajov a podniknúť kroky na odstránenie podobných incidentov v budúcnosti.
  24. Ak príčinou tejto udalosti bola chyba osoby zamestnanej v oblasti spracúvania osobných údajov v informačnom systéme, tak je potrebné vykonať dodatočné školenie pre všetky osoby podieľajúce sa na spracúvaní údajov;
  25. Ak príčinou tejto udalosti bola aktivácia vírusu, tak je potrebné identifikovať zdroj jeho pôvodu a zaistiť antivírusovú ochranu;
  26. Ak príčinou tejto udalosti bola nedbalosť osoby zamestnanej pri spracúvaní osobných údajov, tak je potrebné uplatniť následky regulované zákonom;
  27. Ak príčinou tejto udalosti bolo vlámanie za účelom získania databázy osobných údajov, tak je potrebné vykonať podrobnú analýzu implementovaných bezpečnostných opatrení s cieľom zabezpečiť účinnú ochranu databázy;
  28. Ak príčinou tejto udalosti bol zlý stav zariadenia, alebo spôsob fungovania programu, potom je potrebné okamžite vykonať kontrolné, servisné a programové činnosti.
  29. Správca informačnej bezpečnosti, alebo osoba ním oprávnená, alebo spracovateľ údajov samostatne pripravujú podrobnú správu o príčinách, priebehu a záveroch z udalosti/incidentu (prípadné kópie, ktoré dokumentujú túto udalosť treba pripojiť) a v stanovenej lehote od dátumu vytvorenia udalosti ju odovzdajú správcovi osobných údajov.

 

 

  • 6.

[Záverečné ustanovenia]

 

  1. Tieto zásady sa vzťahujú na všetky obchody pôsobiace pod názvom Big Star, ktoré predávajú tovar s ochrannou známkou Big Star, spracovateľov údajov, ich zamestnancov a vedúcich obchodov.
  2. Prijatím týchto zásad osoby uvedené v ods. 1 vyhlasujú, že sa oboznámili s obsahom zákona o ochrane osobných údajov a s ustanoveniami týchto zásad, pričom sa ich zaväzujú dodržiavať a používať.

 

 

Prílohy:

Vyhlásenie o dôvernosti

 

 

Podpis zamestnanca obchodu

 

……………………………………………………………