Certifikát Prihlásenie
Otestuj svoje IQ Staň sa členom

Zásady ochrany a spracúvania osobných údajov Mensa Slovensko

Interná smernica organizácie Mensa Slovensko upravujúca správanie prevádzkovateľa pri spracúvaní osobných údajov účastníkov testovania IQ a členov

(ďalej len „smernica“)

Prevádzkovateľ: Mensa Slovensko, nezisková organizácia, so sídlom Ľ. Fullu 15, 841 05 Bratislava, IČO: 31 744 001 

Vydaná v súlade s : a) Nariadením európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov - General Data Protection Regulation (ďalej len „GDPR“) b) Zákonom č. 18/2018 Z.z. o ochrane osobných údajov.

Preambula (1) Organizácia Mensa Slovensko spracúva osobné údaje o osobách, ktoré sa zúčastňujú najmä testovania IQ organizovaného Mensou Slovensko, a osobné údaje svojich členov. Tieto činnosti zahŕňajú najmä, nie však výlučne:

  • testovania IQ vrátane uchovania osobných údajov účastníkov po dobu 1 roka
  • prevádzkovania webového sídla, vrátane zasielania emailových správ, dôležitých alebo užitočných informácií o činnosti Mensy Slovensko, aktuálnych udalostiach a podujatiach, ktoré organizuje
  • vystavovania certifikátov
  • organizovania celoslovenských stretnutí, kde sa zadávajú osobné údaje
  • miestnych akcií, na ktorých sa môžu robiť fotografie, prípadne sa zbierajú údaje pre prezenčnú listinu od členov klienta.
  • IQ olympiády
  • letných táborov pre intelektovo nadané deti

(2) Odkazom na túto smernicu môže Mensa Slovensko plniť svoje informačné povinnosti vo vzťahu k dotknutým osobám podľa článkov 13 a 14 GDPR.

(3) V súlade s článkom 24 ods. 3 GDPR sa môže dodržiavanie smernice použiť ako prvok na preukázanie splnenia povinností Mensy Slovensko, vyplývajúcich z GDPR. Pri rozhodovaní o uložení pokuty Úradom na ochranu osobných údajov a jej výške sa majú podľa článku 83 ods. 2 GDPR v každom jednotlivom prípade náležite zohľadniť viaceré skutočnosti, medzi ktoré patrí aj dodržiavanie smernice.

Vzhľadom na vyššie uvedené sa Mensa Slovensko rozhodla prijať túto smernicu v nasledovnom znení:

1 Úvodné ustanovenia

1.1 Pôsobnosť smernice

1.1.1 Táto smernica sa vzťahuje na Mensu Slovensko, ktorá je organizáciou s medzinárodným prvkom a má sídlo na území Slovenskej republiky, pričom k spracúvaniu osobných údajov dochádza v kontexte výkonu jej činnosti, bez ohľadu na to, či k spracúvaniu osobných údajov dochádza na území Slovenskej republiky alebo nie. 

1.1.2 Táto smernica sa nevzťahuje na také spracúvanie osobných údajov vykonávané Mensou Slovensko, na ktoré sa nevzťahuje GDPR a Zákon o ochrane osobných údajov.

1.2 Právna povaha smernice

Táto smernica má prispieť k správnemu uplatňovaniu GDPR v Mensa Slovensko. Táto smernica má zároveň prispieť k zjednodušeniu výkladu GDPR pre Mensa Slovensko.

1.3 Vzťah smernice k právomoci Úradu na ochranu osobných údajov

1.3.1 Touto smernicou nie sú dotknuté právomoci Úradu na ochranu osobných údajov podľa GDPR alebo Zákona o ochrane osobných údajov vo vzťahu k Mensa Slovensko, ako kontrolovanému subjektu. 

1.3.2 Touto smernicou nie je dotknutá možnosť dotknutých osôb obrátiť sa s akýmkoľvek podaním na Úrad na ochranu osobných údajov, alebo na príslušný súd.

1.4 Vzťah k iným právnym predpisom

1.4.1 GDPR predstavuje všeobecný právny predpis Európskej únie pre oblasť ochrany osobných údajov a vzťahuje sa aj na spracúvanie osobných údajov zo strany Mensy Slovensko, ak je daná jeho pôsobnosť. 

1.4.2 V rozsahu spracúvania osobných údajov na účely uvedené v tejto smernici je všeobecným predpisom na ochranu osobných údajov GDPR.

1.5 Vysvetlenie základných pojmov

1.5.1 Osobné údaje

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (tzv. dotknutá osoba). Mensa Slovensko, pri určovaní osobných údajov nevychádza len z toho, že každý osobný údaj nemusí sám o sebe mať schopnosť identifikovať fyzickú osobu, pretože si je vedomá toho, že aby išlo o osobný údaj postačí, ak určitú informáciu je možné priradiť k fyzickej osobe, ktorá je identifikovaná alebo identifikovateľná. Rozhodujúci nie je typ údaja, ale možnosť jeho priradenia (týkajúce sa) ku konkrétnej fyzickej osobe.

1.5.2 Identifikovaná fyzická osoba

Podľa Úradu na ochranu osobných údajov: „Fyzická osoba sa vo všeobecnosti môže považovať za identifikovanú vtedy, keď je v rámci skupiny osôb odlíšiteľná od všetkých ostatných príslušníkov skupiny, čiže dôjde k jednoznačnému určeniu jej identity.“. Identifikovanou fyzickou osobou môže byť pre Mensu Slovensko účastník testovania IQ alebo člen Mensy Slovensko. Informácie, ktoré sa týkajú týchto osôb sú osobnými údajmi.

1.5.3 Test primeranej pravdepodobnosti

Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, zohľadní Mensa Slovensko všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Test primeranej pravdepodobnosti nie je splnený, keď je identifikácia dotknutej osoby zakázaná právnymi predpismi alebo prakticky neuskutočniteľná, napríklad preto, lebo by si vyžadovala neprimerane veľa času, financií alebo ľudských zdrojov, takže pravdepodobnosť identifikácie sa v skutočnosti javí ako zanedbateľná. Výsledkom aplikácie testu primeranej pravdepodobnosti môže byť v konkrétnom prípade aj záver, že spracúvané informácie nepredstavujú osobné údaje, nakoľko neexistuje primeraná pravdepodobnosť použitia prostriedkov na identifikáciu fyzickej osoby, ktorej sa tieto informácie týkajú.

1.5.4 Informačný systém

Pojem informačný systém nemá v zmysle GDPR nič spoločné s IT systémom, počítačovým programom, databázou alebo aplikáciou. Informačný systém podľa článku 4 (6) GDPR je „akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.“. Tento pojem je v GDPR použitý výlučne v súvislosti s vecnou pôsobnosťou GDPR uvedenou v článku 2 (1), a to na určenie toho, či osobné údaje spracúvané inými než automatizovanými prostriedkami majú spadať pod pôsobnosť GDPR. Papierové dokumenty, v ktorých Mensa Slovensko spracúva osobné údaje, už môžu predstavovať informačný systém a preto sa GDPR môže vzťahovať na dané spracúvanie. Ak sa papierové dokumenty obsahujúce osobné údaje naskenujú a pošlú emailom alebo uložia v počítači, vznikajú tým elektronicky spracúvané osobné údaje, na ktoré sa „výnimka“ informačného systému neaplikuje.

1.5.5 Dotknutá osoba Dotknutá osoba je identifikovaná alebo identifikovateľná fyzická osoba, ktorej sa osobné údaje týkajú. Pre Mensu Slovensko je dotknutou osobou účastník testovania IQ a člen Mensy Slovensko.

2 Postavenie Mensy Slovensko a ďalších osôb pri spracúvaní osobných údajov

2.1 Prevádzkovateľ

2.1.1 Prevádzkovateľ je osoba, ktorá sama rozhoduje o účeloch („prečo“) a prostriedkoch („ako“) spracúvania osobných údajov alebo osoba, ktorej postavenie prevádzkovateľa vyplýva z práva Únie alebo členského štátu, z ktorých pre danú osobu vyplývajú účely a prostriedky spracúvania. 

2.1.2 Mensa Slovensko pri výkone svojich činností, ktorými sú organizácia testovania IQ, správa členstva, organizácia stretnutí a súvisiaca komunikácia, vystupuje ako prevádzkovateľ.

2.1.3 Kontaktné údaje prevádzkovateľa: 

E‑mail pre žiadosti dotknutých osôb: [email protected]

Telefón: +421 2 555 123 45

Webové rozhranie pre podanie žiadostí: https://www.mensa.sk/gdpr

2.2 Mensa Slovensko ako sprostredkovateľ

2.2.1 Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa a na základe jeho pokynov. Sprostredkovateľ na rozdiel od prevádzkovateľa nemá oprávnenie rozhodovať o účeloch a prostriedkoch spracúvania a preto nie je oprávnený formálne prijímať rozhodnutia týkajúce sa spracúvania osobných údajov.

2.3 Zamestnanci a poverené osoby Mensy Slovensko

2.3.1 Za bezpečnosť osobných údajov a dohľad nad ich spracúvaním zodpovedá Mensa Slovensko ako prevádzkovateľ. Mensa Slovensko spracúva osobné údaje sama, alebo prostredníctvom poučených zamestnancov a poverených osôb. Tieto osoby sú oprávnené spracúvať osobné údaje iba v rozsahu stanovenom v písomnom poučení a poverení Mensy Slovensko. Tieto osoby musia svojím podpisom potvrdiť poučenie, znalosti a rozsah oprávnení a povolených činnosti. 

2.3.2 Mensa Slovensko nemusí výlučne z dôvodu GDPR uzatvoriť s poverenými zamestnancami alebo inými poverenými osobami žiadne osobitné zmluvné dojednania, ak tieto osoby spracúvajú osobné údaje len na základe pokynov Mensy Slovensko. Pokyny podľa článku 29 GDPR nemusia, ale môžu byť zdokumentované a môžu vyplývať zo všeobecných pracovných alebo iných pokynov. 

2.3.3 Podľa § 79 ods. 2 Zákona o ochrane osobných údajov je Mensa Slovensko, ako prevádzkovateľ, povinná zaviazať mlčanlivosťou všetky fyzické osoby, ktoré uňho prídu do styku s osobnými údajmi, pričom táto povinnosť mlčanlivosti musí trvať aj po skončení pracovného pomeru alebo iného zmluvného vzťahu daných osôb.

2.4 Dotknuté osoby

2.4.1 Spracúvanie osobných údajov o účastníkoch testovania IQ a členoch, ktorí sú fyzickými osobami, predstavuje spracúvanie osobných údajov zo strany Mensy Slovensko. Dotknutými osobami pre Mensu Slovensko sú fyzické osoby. 

2.4.2 GDPR sa podľa úvodného ustanovenia č. 14 nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.

3 Účely a právne základy spracúvania osobných údajov

3.1 Úvod

3.1.1 Účel spracúvania osobných údajov vysvetľuje prečo sú osobné údaje spracúvané. O účele spracúvania rozhoduje prevádzkovateľ alebo prevádzkovateľovi daný účel vyplýva z právneho predpisu. 

3.1.2 Mensa Slovensko spracúva osobné údaje primárne na účely súvisiace s organizovaním testovania IQ, evidenciou členov, vystavovaním certifikátov, organizovaním stretnutí, detských táborov a súvisiacou komunikáciou.

3.1.3 Od účelov spracúvania je potrebné odlišovať tzv. právny základ spracúvania, ktorý vysvetľuje na základe akého právneho titulu sú osobné údaje spracúvané. Právny základ je okrem iného rozhodujúci pre určenie, či konkrétne spracúvanie osobných údajov je zákonné. 

3.1.4 Každý účel môže mať viacero právnych základov, avšak vždy minimálne jeden. Ak má účel viacero možných právnych základov, Mensa Slovensko je oprávnená spoľahnúť sa na ktorýkoľvek z nich a prispôsobiť mu splnenie všetkých súvisiacich povinností podľa GDPR.

3.2 Kategórie účelov spracúvania osobných údajov

Pri spracúvaní osobných údajov Mensou Slovensko dochádza k spracúvaniu osobných údajov v rámci nasledovných kategórií účelov:

Kategórie účelov spracúvania Právny základ Súvisiace predpisy
Organizácia testovania IQ a súvisiaca evidencia (vrátane uchovania údajov účastníkov testovania IQ po dobu 1 roka a výsledkov úspešne otestovaných osôb doživotne pre overenie členstva) Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR (pre účasť na testovaní), Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (pre kontrolu opakovanosti testovania a verifikáciu výsledkov) Nariadenie (EÚ) 2016/679, Zákon č. 18/2018 Z.z.
Vystavovanie certifikátov Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR (ako súčasť poskytovanej služby) Nariadenie (EÚ) 2016/679
Evidencia a správa členstva v Mensa Slovensko (vrátane vedenia evidencie členov a vykazovania počtu členov Medzinárodnej Mense) Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR (členstvo ako zmluvný vzťah), Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (pre účely vykazovania a udržania statusu národnej organizácie) Nariadenie (EÚ) 2016/679
Organizácia celoslovenských a miestnych stretnutí a akcií (vrátane prezenčných listín a fotografií) Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (pre organizáciu podujatí, bezpečnosť, dokumentáciu aktivít, s výnimkou osobitného súhlasu pre špecifické fotografie), Súhlas dotknutej osoby podľa článku 6 ods. 1 písm. a) GDPR (pre fotografie, kde je jasne identifikovateľná osoba a účel prekračuje bežnú dokumentáciu) Nariadenie (EÚ) 2016/679
Komunikácia s členmi (zasielanie emailových správ, dôležitých alebo užitočných informácií o činnosti Mensa Slovensko, aktuálnych udalostiach a podujatiach) Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (pre udržiavanie kontaktu a informovanie členov o aktivitách súvisiacich s ich členstvom) Nariadenie (EÚ) 2016/679
Zabezpečenie súladu s právnymi predpismi Plnenie zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR Nariadenie (EÚ) 2016/679, Zákon č. 18/2018 Z.z., Zákon o účtovníctve, a ďalšie predpisy
Ochrana oprávnených záujmov Mensy Slovensko alebo tretích strán(napr. ochrana pred zneužitím služieb, bezpečnosť webového portálu, mimosúdne a súdne uplatňovanie právnych nárokov, poskytovanie súčinnosti orgánom činným v trestnom konaní) Oprávnený záujem organizácie Mensa Slovensko alebo tretích strán podľa čl. 6 ods. 1 písm. f) GDPR Nariadenie (EÚ) 2016/679, Občiansky a Obchodný zákonník, Trestný poriadok, Trestný zákon, Civilný sporový poriadok, Správny súdny poriadok, Správny poriadok, Zákon o priestupkoch
Účtovné a daňové účely Plnenie zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR Osobitné zákony v oblasti účtovníctva a správy daní

3.3 Bližšie vysvetlenie vybraných účelov spracúvania osobných údajov

3.3.1 Organizácia testovania IQ a súvisiaca evidencia zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné pre samotnú účasť na testovaní IQ, kontrolu podmienky opakovaného testovania (po uplynutí jedného roka) a pre overenie výsledkov testovania IQ pre účely členstva v Mensa Slovensko alebo inej organizácii Mensy. Úspešné výsledky testovania IQ sa spracúvajú celoživotne. 

3.3.2 Evidencia a správa členstva v Mensa Slovensko zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné pre vedenie evidencie členov MS a vykazovanie počtu členov Medzinárodnej Mense, ktorej je súčasťou. Základom statusu národnej organizácie Mensy v rámci Medzinárodnej Mensy je členská základňa. 

3.3.3 Organizácia stretnutí a akcií zahŕňa spracúvanie osobných údajov (napr. prezenčné listiny, registrácia) nevyhnutné pre plánovanie, riadenie a realizáciu podujatí, ako aj zabezpečenie bezpečnosti účastníkov. Fotografie z akcií sa spracúvajú na účely dokumentácie a propagácie činnosti organizácie, pričom sa dbá na práva a slobody dotknutých osôb a v prípade potreby sa vyžaduje osobitný súhlas. 

3.3.4 Zabezpečovanie súladu s právnymi predpismi zahŕňa spracúvanie osobných údajov, ktoré je nevyhnutné najmä pre vnútorné administratívne činnosti Mensy Slovensko, súvisiace s alebo podporujúce poskytovanie služieb členom a účastníkom testovania, a so správou a kontrolou záväzkového vzťahu. 

3.3.5 Ochrana oprávnených záujmov Mensy Slovensko súvisí najmä so zabezpečením bezpečnosti webového portálu, ochranou pred zneužitím služieb Prevádzkovateľa a tiež slúži ako doplňujúci právny základ pre spracúvanie osobných údajov na účely súdneho i mimosúdneho uplatňovania, preukazovania a vymáhania právnych nárokov, ako aj poskytovanie súčinnosti orgánom činným v trestnom konaní a súdu pri odhaľovaní trestnej činnosti a jej páchateľov.

4 Základné zásady spracúvania osobných údajov

4.1 Úvod

Zmyslom tejto časti smernice je rámcovo vysvetliť sedem základných zásad spracúvania osobných údajov podľa článku 5 GDPR pri výkone činnosti Mensy Slovensko. Z týchto základných zásad vyplývajú takmer všetky ďalšie povinnosti Mensy Slovensko ako prevádzkovateľa na jednej strane a zároveň všetky práva dotknutých osôb na strane druhej. Napriek tomu tieto ďalšie povinnosti a práva majú svoje limity a existujú z nich legitímne výnimky, ktoré nemožno vykladať ako porušenie základných zásad spracúvania, z ktorých vyplývajú.

4.2 Zákonnosť, spravodlivosť a transparentnosť

4.2.1 Spracúvanie osobných údajov Mensou Slovensko musí byť vykonávané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Zákonný spôsob spracúvania znamená, že spracúvanie osobných údajov Mensou Slovensko sa musí opierať o aspoň jeden z právnych základov spracúvania uvedených v GDPR (článok 6). Súhlas so spracúvaním osobných údajov je len jedným z týchto právnych základov a neslúži ako univerzálny právny základ. Z povahy súhlasu vyplýva aj jeho odvolateľnosť, ktorá by znemožňovala dosiahnutie niektorých účelov spracúvania. 

4.2.2 V prípade, kedy právny základ vyplývajúci z osobitných predpisov, neurčuje presné podmienky spracúvania osobných údajov, ktorú skutočnosť predpokladá aj GDPR, nakoľko v článku 6 ods. 1 písm. c) podmieňuje použitie právneho základu vyplývajúceho z osobitného predpisu tým, že musí ísť o také spracúvanie osobných údajov, ktoré je nevyhnutné na splnenie, s tým, že účel spracúvania sa v takomto prípade stanoví (v angličtine: shall be determined) buď v práve Únie alebo práve členského štátu, ktorý sa vzťahuje na prevádzkovateľa. Nie je preto nevyhnutné, aby osobitný predpis výslovne alebo opisným spôsobom definoval znenie účelu. Postačí, ak z daného predpisu jednoznačne vyplýva povinnosť, ktorú má prevádzkovateľ splniť alebo oprávnenie spracúvať osobné údaje za určitým účelom predpokladaným daným predpisom, pričom formulácia znenia účelu je v takom prípade na prevádzkovateľovi, ktorý znáša bremeno preukázania, že takto stanovený účel vyplýva z daného právneho predpisu. 

4.2.3 Pod pojmom “právo členského štátu“ sa rozumejú nielen právne predpisy so silou zákona, ale akékoľvek všeobecne záväzné právne predpisy. Pod pojmom „zákonná povinnosť“ sa rozumie akákoľvek právna povinnosť. Ak právny predpis upravuje len možnosť spracúvania osobných údajov, nebráni to použitiu právneho základu splnenia zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR ani použitiu právneho základu oprávneného záujmu podľa čl. 6 ods. 1 písm. f) GDPR, najmä ak po rozhodnutí postupovať týmto spôsobom (spoľahnutím sa na oprávnenie vyplývajúce zo zákona) vyplýva Mensa Slovensko povinnosť postupovať pri spracúvaní osobných údajov určitým spôsobom. 

4.2.4 Ak sa Mensa Slovensko spolieha na právny základ vyplývajúci z osobitného predpisu, nemožno vylúčiť, že účel spracúvania, ktorý tým Mensa Slovensko sleduje, môže zároveň predstavovať aj oprávnený záujem Mensy Slovensko alebo inej osoby podľa článku 6 ods. 1 písm. f) GDPR. Ak Mensa Slovensko dokáže preukázať splnenie podmienok použitia právneho základu ochrany oprávnených záujmov, môže týmto spôsobom preukázať zákonnosť spracúvania osobných údajov vo väčšom rozsahu ako je nevyhnutné na splnenie zákonnej povinnosti podľa daného právneho predpisu. 

4.2.5 Mensa Slovensko sa spolieha aj na právny základ „plnenia zmluvy“, ktorý je upravený v článku 6 ods. 1 písm. b) GDPR. Pre použitie tohto právneho základu nie je rozhodujúce akú podobu, formu alebo charakter má zmluva s dotknutou osobou a zároveň tento právny základ dovoľuje spracúvať osobné údaje v rámci tzv. predzmluvných vzťahoch s dotknutou osobou. 

4.2.6 Mensa Slovensko sa môže pri spracúvaní osobných údajov na účely uzavretia zmluvných vzťahov so zákazníkmi spoliehať na právny základ súhlasu dotknutej osoby so spracúvaním jej osobných údajov. Mensa Slovensko sa na takýto súhlas spolieha v prípadoch, kedy nie je možné spoľahnúť sa na iný právny základ alebo ak taký súhlas výslovne vyžadujú právne predpisy. Súhlas môže byť udelený akýmkoľvek spôsobom bez ohľadu na to, či ide o písomný, elektronický, zvukový alebo zvukovo-obrazový súhlas, avšak vždy za dodržania podmienok uvedených v článku 7 GDPR. Na to, aby bol súhlas poskytnutý slobodne, nesmie sa ním podmieňovať plnenie zmluvy vrátane poskytnutia služby, ak na také plnenie nie je daný súhlas nevyhnutný. 

4.2.7 Zásada spravodlivého a transparentného spracúvania vyžaduje, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Mensa Slovensko napĺňa zásadu spravodlivého a transparentného spracúvania informáciami, ktoré poskytuje svojim účastníkom testovania a členom napr. prostredníctvom podmienok spracúvania osobných údajov dostupnými na webovom sídle, v registračných formulároch, v inej dokumentácii a v komunikácii s dotknutými osobami, a zároveň prostredníctvom tejto smernice. Napriek tomu, že väčšina z týchto informácií je prístupná verejnosti, zásada spravodlivého a transparentného spracúvania nie je absolútna.

4.3 Obmedzenie účelu

4.3.1 Zásada obmedzenia účelu vyžaduje, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a zakazuje osobné údaje ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. 

4.3.2 V článku 6 ods. 4 GDPR upravuje tzv. test zlučiteľnosti nového účelu spracúvania s pôvodným účelom spracúvania, za ktorým boli osobné údaje získané. Ak sú osobné údaje Mensou Slovensko získavané od začiatku so zámerom ich súčasného spracúvania na viacero účelov v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti (t.j. najmä pri existencii právneho základu na dané spracúvanie), tieto účely nepodliehajú testu zlučiteľnosti. Výsledkom testu zlučiteľnosti je, že pôvodný právny základ spracúvania môže Mensa Slovensko použiť aj na nový účel spracúvania. Niektoré účely sú automaticky považované za zlučiteľné s pôvodnými účelmi, napríklad spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely.

4.4 Minimalizácia údajov

4.4.1 V súlade so zásadou minimalizácie údajov a s ustanovením článku 25 ods. 2 GDPR, spracúva Mensa Slovensko len také osobné údaje, ktoré sú primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Za porušenie tejto zásady sa považuje spracúvanie osobných údajov v excesívnom rozsahu, ktoré znamená spracúvanie takých osobných údajov, ktoré nie sú potrebné na dosiahnutie účelov spracúvania.

4.5 Správnosť

4.5.1 V súlade so zásadou správnosti, ktorá vyžaduje vynaloženie primeraného úsilia prevádzkovateľa na zabezpečenie správnosti spracúvaných osobných údajov, Mensa Slovensko zabezpečí, že osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, budú bezodkladne vymazané alebo opravené.

4.6 Minimalizácia uchovávania

4.6.1 V súlade so zásadou minimalizácie uchovávania a s ustanovením článku 25 ods. 2 GDPR, Mensa Slovensko uchováva osobné údaje vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Osobné údaje účastníkov testovania IQ sú uchovávané po dobu 1 roka, zatiaľ čo výsledky úspešných testovaní pre účely členstva sú uchovávané doživotne. Následne Mensa Slovensko zabezpečí bez zbytočného odkladu likvidáciu (vymazanie alebo anonymizovanie) osobných údajov dotknutých osôb v zmysle nariadenia a zákona.

4.7 Integrita a dôvernosť

4.7.1 Mensa Slovensko v súlade so zásadou integrity a dôvernosti a ustanoveniami článkov 32 až 34 GDPR, spracúva osobné údaje spôsobom, ktorý zaručuje primeranú úroveň bezpečnosti osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

4.8 Zodpovednosť

4.8.1 Podľa zásady zodpovednosti je Mensa Slovensko zodpovedná za súlad so základnými zásadami spracúvania osobných údajov podľa článku 5 ods. 1 GDPR, pričom zabezpečenie súladu Mensa Slovensko preukazuje:

  • dodržiavaním tejto smernice.
  • podmienkami ochrany súkromia.
  • písomným súhlasom dotknutej osoby so spracúvaním osobných údajov v súlade s ustanovením článku 6 odsek 1 písm. a) GDPR, ktorého vzor je uvedený v Prílohe č. 3 tejto smernice.
  • formulárom na zdokumentovanie bezpečnostného incidentu podľa článku 33 ods.5 GDPR, ktorého vzor je uvedený v Prílohe č. 4 tejto smernice.
  • záznamami zo školení zamestnancov/poverených osôb na ochranu osobných údajov.
  • vzorovými zmluvami alebo zmluvami so sprostredkovateľmi podľa článku 26 GDPR.
  • písomným udelením všeobecných pokynov pre zamestnancov/poverené osoby.
  • spolupracovaním s Úradom na ochranu osobných údajov pri výkone jeho úloh a právomocí podľa článku 31 GDPR.
  • prípadnými prijatými a vybavenými žiadosti dotknutých osôb.

5 Spracúvanie osobitných kategórií osobných údajov

5.1 Všeobecné podmienky

5.1.1 Na rozdiel od predchádzajúcej úpravy podľa smernice 95/46/ES tak, ako bola implementovaná zákonom o ochrane osobných údajov, sa už rodné čísla nepovažujú za osobitné kategórie osobných údajov. Tieto osobné údaje je možné spracúvať na právnych základoch uvedených v článku 6 GDPR. Tým nie sú dotknuté dodatočné povinnosti vyplývajúce v súvislosti so spracúvaním daných osobných údajov uvedené napr. v článku 10 GDPR a § 78 ods. 4 Zákona o ochrane osobných údajov. 

5.1.2 Historicky bola za osobitnú kategóriu osobných údajov považovaná aj fotografia dotknutej osoby. Tento prístup GDPR mení, nakoľko podľa recitálu č. 51 by sa spracúvanie fotografií nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby. Napr. bežný záznam z bezpečnostnej kamery alebo kópia dokladu totožnosti vrátane fotografie na danom doklade túto podmienku nespĺňajú.

5.2 Spracúvania osobitných kategórií osobných údajov

5.2.1 Mensa Slovensko nespracúva osobitné kategórie osobných údajov, medzi ktoré patria údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

5.2.2 Spracúvanie rodného čísla

Rodné číslo sa spracúva len ak je to nevyhnutné na jednoznačnú identifikáciu člena pri uzatváraní darovacej zmluvy podľa § 12 ods. 2 zákona č. 18/2018 Z. z. Prístup k rodným číslam majú len určení správcovia členskej databázy na základe role‑based access control (RBAC).

6 Práva dotknutých osôb

6.1 Spôsob vybavovania žiadostí dotknutých osôb

6.1.1 Pri informovaní, komunikácii alebo odpovedaní na žiadosti dotknutých osôb je Mensa Slovensko povinná postupovať v súlade s článkom 12 GDPR. Dotknutou osobou, ktorá si môže voči Mensa Slovensko uplatňovať svoje práva podľa GDPR môže byť v zásade akákoľvek fyzická osoba. Až po posúdení obsahu žiadosti dotknutej osoby by mala Mensa Slovensko pristúpiť k prípadnému nevyhoveniu žiadosti, ktoré by takisto malo byť odôvodnené. 

6.1.2 Ak Mensa Slovensko má oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie jej totožnosti. Ak účastník testovania alebo člen ako dotknutá osoba uplatní žiadosť na základe GDPR z inej emailovej adresy, akú obvykle používa, Mensa Slovensko by mala overiť, či ide skutočne o dotknutú osobu napríklad tým, že si podanie žiadosti s dotknutou osobou telefonicky overí. Ak to nie je možné, Mensa Slovensko môže od fyzickej osoby vydávajúcej sa za dotknutú osobu požiadať napr. o poskytnutie kópie občianskeho preukazu. Mensa Slovensko za žiadnych okolností nesmie poskytnúť informácie o dotknutej osobe nesprávnej osobe. 

6.1.3 Lehota na vybavenie žiadosti dotknutej osoby začína plynúť až od overenia jej identity. Všeobecná lehota na vybavenie žiadosti dotknutej osoby podľa článkov 15 až 22 GDPR je jeden mesiac od doručenia žiadosti. Mensa Slovensko je oprávnená rozhodnúť o predĺžení tejto mesačnej lehoty až o ďalšie dva mesiace, pričom zohľadní komplexnosť žiadosti a celkový počet žiadostí, ktoré v danom období Mensa Slovensko obdržala. Vždy keď Mensa Slovensko rozhodne o predĺžení danej lehoty, je povinná informovať dotknutú osobu o každom takomto predĺžení spolu s dôvodmi zmeškania lehoty v pôvodnej mesačnej lehote. 

6.1.4 Ak Mensa Slovensko neprijme opatrenia na základe žiadosti dotknutej osoby, je povinná v mesačnej lehote informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť na Úrade na ochranu osobných údajov alebo uplatniť súdny prostriedok nápravy do jedného mesiaca od doručenia žiadosti. 

6.1.5 Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, je Mensa Slovensko oprávnená odmietnuť konať na základe žiadosti alebo požadovať primeraný poplatok zohľadňujúci administratívne náklady Mensy Slovensko podľa jej vlastného rozhodnutia. Za neprimerane opakujúcu žiadosť tej istej dotknutej osoby môže Mensa Slovensko považovať každú rovnakú alebo obdobnú žiadosť, ktorá je podaná do 6 mesiacov od podania predchádzajúcej žiadosti. Za zjavne neopodstatnené žiadosti dotknutej osoby sa považujú najmä také žiadosti:

  • ktoré majú výslovne šikanózny charakter voči Mensa Slovensko, alebo jej zamestnancom/povereným osobám;
  • ktoré sú vulgárne alebo obsahujú prvky rasovej, etnickej, rodovej, pohlavnej, sexuálnej alebo náboženskej nenávisti;
  • ktoré majú tak všeobecný charakter alebo sú tak nezrozumiteľné, že Mensa Slovensko nevie z danej žiadosti posúdiť aké právo dotknutá osoba uplatňuje;
  • ktorými dotknutá osoba žiada informácie, oznámenia alebo na uskutočnenie opatrení, ktoré výslovne nevyplývajú z článkov 15 až 20 GDPR;
  • ktoré smerujú opakovane k tej istej skutočnosti, ktorú Mensa Slovensko už vysvetlila dotknutej osobe, pričom dotknutej osobe musí byť z okolností jasné, že odpoveď Mensa Slovensko sa nemala prečo zmeniť;
  • pri ktorých dotknutá osoba vyhotovuje obrazové, zvukové alebo obrazovo-zvukové záznamy zamestnancov Mensy Slovensko;
  • pri ktorých dotknutá osoba koná agresívne, pod vplyvom alkoholu alebo omamných látok alebo ohrozuje bezpečnosť ostatných osôb nachádzajúcich sa v danom priestore.

6.2 Informácie poskytované dotknutým osobám

6.2.1 Mensa Slovensko je oprávnená splniť si informačné povinnosti podľa článkov 13 a 14 GDPR akýmkoľvek spôsobom, bez ohľadu na formu a podobu poskytnutých informácií. Podstatný rozdiel medzi danými povinnosťami je v tom, že Mensa Slovensko podľa čl. 13 GDPR postupuje len voči dotknutým osobám od ktorých priamo získala osobné údaje (napr. účastníci testovania, členovia) a podľa čl. 14 GDPR postupuje len voči dotknutým osobám, ktorých osobné údaje nezískala priamo od nich (napr. fyzické osoby, ktoré sú kontaktnými osobami právnických osôb, s ktorými Mensa Slovensko spolupracuje, alebo iné fyzické osoby, o ktorých Mensa Slovensko spracúva osobné údaje v rámci výkonu svojej činnosti). 

6.2.2 Vzhľadom na to, že Mensa Slovensko používa na svoju prezentáciu webové sídlo, zverejňuje na ňom základné informácie podľa článkov 13 a 14 GDPR, ktoré sú obsiahnuté v Prílohe číslo 2 tejto smernice. Svojim účastníkom testovania a členom poskytuje Mensa Slovensko podmienky ochrany súkromia obsiahnuté v Prílohe číslo 2 tejto smernice v tlačenej podobe v priestoroch svojho sídla alebo pri registrácii na testovanie/členstvo. 

6.2.3 Na preukázanie splnenia povinnosti informovať dotknutú osobu podľa článkov 13 GDPR je rozhodujúce, či dotknutá osoba mala možnosť pri získavaní osobných údajov oboznámiť sa s týmito informáciami a nie je skutočnosť, či tak dotknutá osoba skutočne urobila, nakoľko dotknuté osoby nie sú povinné oboznamovať sa alebo čítať tieto informácie. Nie je potrebné, aby poskytnutie základných informácií dotknutá osoba potvrdzovala napr. označením, súhlasom, vyhlásením alebo podpisom. 

6.2.4 Časový okamih pre splnenie informačnej povinnosti podľa článku 13 GDPR je definovaný ako “získavanie“ osobných údajov resp. “pri získavaní“ osobných údajov. Je v záujme dotknutých osôb aby mali dostatok času na oboznámenie sa s informáciami podľa článku 13 GDPR. Ak sa napríklad dotknutá osoba rozhodne zúčastniť testovania IQ alebo požiadať o členstvo, je postačujúce ak má dotknutá osoba možnosť oboznámiť sa s týmito základnými informáciami kedykoľvek počas procesu registrácie alebo komunikácie, napr. počas svojej prítomnosti v sídle Mensy Slovensko, alebo aj neskôr prostredníctvom oboznámenia sa s dokumentmi zaslanými na email dotknutej osoby. Rozhodujúca je možnosť dotknutej osoby oboznámiť sa s týmito informáciami v prípade, ak má taký záujem. Skutočnosť, že dotknutá osoba bola upovedomená o existencii a dostupnosti týchto informácií pri získavaní jej osobných údajov a dotknutá osoba sa rozhodla neoboznámiť sa s nimi nemôže byť posudzovaná ako porušenie informačnej povinnosti Mensy Slovensko. Z tejto povinnosti existuje výnimka, a to ak dotknutá osoba už dané informácie má. Mensa Slovensko túto skutočnosť musí vedieť preukázať. 

6.2.5 Časový okamih pre splnenie informačnej povinnosti podľa článku 14 GDPR je stanovený neskoršie ako podľa článku 13 GDPR. Túto informačnú povinnosť môže Mensa Slovensko splniť najneskôr do jedného mesiaca prípadne skôr, a to v čase prvej komunikácie Mensy Slovensko s dotknutou osobou alebo pred prvým poskytnutím osobných údajov ďalšiemu príjemcovi. Splnenie tejto informačnej povinnosti Mensa Slovensko môže realizovať ktorýmkoľvek spôsobom uvedeným vyššie. 

6.2.6 Mensa Slovensko je oprávnená plniť si informačné povinnosti aj prostredníctvom tejto smernice. Ak sú splnené podmienky týkajúce sa možnosti oboznámenia sa dotknutých osôb so základnými informáciami aj vo vzťahu k tejto smernici napríklad tým, že Mensa Slovensko na túto smernicu výslovne odkáže v rámci základných informácií poskytovaných podľa článkov 13 a 14 GDPR, je Mensa Slovensko oprávnená spoliehať sa pri spracúvaní osobných údajov na obsah tejto smernice ako na informácie, ktoré už dotknutá osoba má dispozícii.

6.3 Právo na prístup k osobným údajom

6.3.1 Dotknuté osoby majú právo na prístup podľa čl. 15 GDPR, pričom dané právo v prvom rade zahŕňa právo dotknutej osoby získať od Mensy Slovensko potvrdenie, či o nej Mensa Slovensko spracúva osobné údaje alebo nie. Len v prípade, že Mensa Slovensko spracúva osobné údaje o dotknutej osoby má dotknutá osoba právo žiadať (aj v rámci jednej žiadosti aj postupne) ďalšie práva patriace pod právo na prístup, konkrétne: a) právo na poskytnutie informácií podľa článku 15 ods. 1 GDPR; b) právo získať prístup k osobným údajom spracúvaných Mensou Slovensko; c) právo na poskytnutie kópie spracúvaných osobných údajov. 

6.3.2 Pri poskytovaní informácií podľa článku 15 ods. 1 GDPR je Mensa Slovensko oprávnená použiť ten istý spôsob a metódu poskytovania informácií, aký sa uplatňuje na poskytovanie informácií podľa článkov 13 a 14 GDPR. Informácie podľa článku 15 ods. 1 GDPR by však mali byť prispôsobené okolnostiam týkajúcim sa konkrétnej dotknutej osoby. 

6.3.3 Právo získať prístup nie je absolútnym právom dotknutej osoby a zároveň nepredstavuje právo na získanie prístupu do vnútorných systémov alebo priestorov Mensy Slovensko. Prístup dotknutej osoby k osobným údajom by mal byť považovaný za nemožný alebo nepriaznivý pre práva a slobody iných vždy, ak je zakázaný právnymi predpismi. O tento prípad pôjde vždy, ak o prístup žiada iná osoba ako je dotknutá osoba bez jej súhlasu.

6.4 Právo na opravu, vymazanie (zabudnutie)

6.4.1 Dotknutá osoba má právo žiadať Mensu Slovensko o opravu nesprávnych osobných údajov, ktoré sa jej týkajú a má právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. O tom, či sú osobné údaje neúplné z pohľadu účelov spracúvania však rozhoduje Mensa Slovensko ako prevádzkovateľ. Právo na opravu podľa článku 16 GDPR musí byť vykladané v súlade so zásadou správnosti podľa tejto smernice. 

6.4.2 Právo na vymazanie osobných údajov býva verejnosťou mylne vnímané ako absolútne právo, ktorým je možné kedykoľvek dosiahnuť vymazanie všetkých osobných údajov u prevádzkovateľa. Právo na vymazanie sa aplikuje len v prípadoch vymedzených v článku 17 GDPR, ktoré nemajú všeobecnú alebo absolútnu povahu. Tieto dôvody by dotknutá osoba mala vo svojej žiadosti vysvetliť a Mensa Slovensko by mala mať právo žiadať dané vysvetlenie, ak tak dotknutá osoba neurobila. Ak dotknutá osoba žiada Mensa Slovensko o vymazanie osobných údajov bez uvedenia dôvodov na výmaz podľa čl. 17 GDPR (pričom tieto dôvodu nevyplývajú ani z kontextu žiadosti), Mensa Slovensko má právo odpovedať (v mesačnej lehote od podania neúplnej žiadosti) takým spôsobom, že požaduje od dotknutej osoby doplnenie dôvodov na základe ktorých dotknutá osoba žiada o vymazanie. Ak dotknutá osoba tieto dôvody doplní, mesačná lehota na vybavenie žiadosti plynie od doplnenia týchto dôvodov. 

6.4.3 Bez vplyvu na vyššie uvedené je Mensa Slovensko oprávnená odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak platí niektorý z dôvodov uvedený v článku 17 ods. 3 GDPR. Mensa Slovensko nevymaže osobné údaje na základe žiadosti dotknutej osoby, najmä ak doba uchovávania osobných údajov pre účely výkonu činnosti Mensy Slovensko (napr. 1 rok pre účastníkov testovania, doživotne pre úspešných) stanovená Mensou Slovensko ešte trvá a ani v prípade, ak prípadný nárok na náhradu škody spôsobenej dotknutými osobami ešte nebol premlčaný a osobné údaje sú nevyhnutné na preukazovanie, uplatňovanie a obhajovanie nárokov Mensy Slovensko (aj keď konanie nie je začaté). 

6.4.4 Bez vplyvu na vyššie uvedené je Mensa Slovensko oprávnená odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak je žiadosť zjavne neopodstatnená (bod 6.1.5 vyššie).

6.5 Právo na obmedzenie spracúvania

6.5.1 Obsah naplnenia podmienok pre uplatnenia práva na obmedzenie spracúvania sa posudzuje obdobným spôsobom ako pri posudzovaní dôvodov na vymazanie osobných údajov vysvetlených vyššie. Obmedzenie spracúvania osobných údajov spracúvaných Mensou Slovensko by malo byť uplatniteľné len v prípadoch vymedzených v článku 18 GDPR.

6.6 Právo na prenosnosť

6.6.1 Dotknutá osoba má právo žiadať o poskytnutie osobných údajov podľa článku 20 ods. 1 GDPR len vo vzťahu k osobným údajom, ktoré sú: spracúvané automatizovanými prostriedkami (t.j. elektronicky); sú spracúvané na právnom základe súhlasu alebo plnenia zmluvy (podľa článkov 6 ods. 1 písm. a) alebo b) GDPR); a ktoré aktívne poskytla Mensa Slovensko samotná dotknutá osoba. 

6.6.2 Právo na prenosnosť sa nevzťahuje na osobné údaje, ktoré Mensa Slovensko spracúva na iných právnych základoch ako je súhlas alebo plnenie zmluvy. Pod kategórie údajov, ktoré nespadajú pod právo prenosnosť sa vzťahujú predovšetkým všetky osobné údaje spracúvané na právnom základe vyplývajúcom z osobitných predpisov alebo oprávnených záujmov. Štandardne, pod túto kategóriu patria aj osobné údaje o iných fyzických osobách, nakoľko o týchto osobách Mensa Slovensko nespracúva osobné údaje na základe zmluvy alebo súhlasu. 

6.6.3 Nakoľko osobitné predpisy môžu pojem súhlas používať aj v inom zmysle ako GDPR, za súhlas podľa článku 20 ods. 1 GDPR sa považuje len súhlas so spracúvaním osobných údajov podľa článku 6 ods. 1 písm. a) GDPR a nie žiadny iný typ alebo zmysel súhlasu. 6.6.4 Právo na prenosnosť nesmie mať nepriaznivé dôsledky pre práva a slobody iných.

6.6.5 Tieto údaje sú najčastejšie poskytované vo formáte .doc, .docx, .rtf, .xls, .pdf, .jpg, .jpeg, .png, .gif alebo v texte emailu. Ak má Mensa Slovensko povinnosť poskytnúť osobné údaje v rámci práva na prenosnosť v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte platí, že môže osobné údaje poskytnúť v tom istom formáte, v ktorom jej ich poskytla dotknutá osoba.

6.7 Právo namietať

6.7.1 Dotknuté osoby majú právo kedykoľvek namietať z dôvodov týkajúcich sa ich konkrétnej situácie proti spracúvaniu osobných údajov Mensou Slovensko na právnom základe verejného alebo oprávneného záujmu (článok 6 ods. 1 písm. e) alebo f)) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Po prijatí žiadosti dotknutej osoby je Mensa Slovensko povinná v lehote podľa článku 12 GDPR preukázať dotknutej osobe nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. V prípade ak Mensa Slovensko nie je schopná v danej lehote preukázať tieto dôvody spracúvania, nesmie od momentu uplynutia tejto lehoty ďalej osobné údaje spracúvať. 

6.7.2 Mensa Slovensko nespracúva osobné údaje na účely priameho marketingu, v dôsledku čoho sa na ňu povinnosť podľa článku 12 GDPR prestať s daným spracúvaním osobných údajov na základe námietky dotknutej osoby v lehote uvedenej v predmetnom ustanovení nevzťahuje.

6.8 Automatizované individuálne rozhodovanie vrátane profilovania

6.8.1 Pri výkone činnosti Mensy Slovensko nedochádza k automatizovanému individuálnemu rozhodovaniu a profilovaniu v zmysle článku 22 GDPR, ktoré by malo pre dotknutú osobu právne účinky alebo by dotknutú osobu významne ovplyvňovalo z hľadiska jej práv a slobôd.

7 Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

7.1 Posúdenie vplyvu na ochranu údajov

7.1.1 Posúdenie vplyvu na ochranu údajov (DPIA) predstavuje špecifickú povinnosť prevádzkovateľov vo vzťahu k určitým typom spracúvania osobných údajov, pri ktorých pravdepodobne hrozí vysoké riziko pre práva a slobody fyzických osôb. 

7.1.2 Posúdenie vplyvu môže byť pre Mensu Slovensko relevantné, ak typ spracúvania (najmä s využitím nových technológií, s ohľadom na povahu, rozsah, kontext a účely spracúvania) pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Mohlo by to zahŕňať napríklad rozsiahle spracúvanie citlivých osobných údajov (hoci Mensa uvádza, že citlivé údaje nespracúva) alebo systematické monitorovanie verejne prístupných miest vo veľkom rozsahu. 

7.1.3 Mensa Slovensko je oprávnená vykonávať posúdenie akýmkoľvek spôsobom, ktorý spĺňa požiadavky uvedené v článku 35 ods. 7 GDPR.

7.2 Predchádzajúca konzultácia s Úradom na ochranu osobných údajov

V prípade, ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a Mensa Slovensko sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, Úrad na ochranu osobných údajov by sa mal konzultovať ešte pred začiatkom spracovateľskej činnosti. Úrad je v danom prípade oprávnený prijať opatrenia v lehotách uvedených v článku 36 ods. 2 GDPR. Ak Úrad v lehote ôsmich týždňov od prijatia žiadosti o predchádzajúcu konzultáciu neinformuje Mensa Slovensko o tom, že by považoval posúdenie vplyvu vykonané Mensa Slovensko v rozpore s GDPR platí, že Mensa Slovensko môže po uplynutí tejto lehoty pokračovať v zamýšľanom spracúvaní osobných údajov. Tým nie je dotknutá právomoc Úradu na ochranu osobných údajov oznámiť predĺženie uvedenej lehoty do jedného mesiaca od doručenia žiadosti o predchádzajúcu konzultáciu. Ak ani v tejto predĺženej lehote Úrad neinformuje Mensa Slovensko o tom, že by považoval posúdenie vplyvu vykonané Mensou Slovensko v rozpore s GDPR platí, že Mensa Slovensko môže po uplynutí tejto lehoty pokračovať v zamýšľanom spracúvaní osobných údajov.

 

7.3 Kritériá na vypracovanie posúdenia vplyvu (DPIA)

DPIA sa povinne vykoná vždy, keď:

• sa zavádza nové on‑line testovanie alebo aplikácia využívajúca biometrické alebo geolokačné údaje;

• sa kombinujú údaje z interných a externých zdrojov na profilovanie;

• dochádza k hromadnému prenosu údajov do tretích krajín mimo režimu primeranosti; alebo

• nastane iný scenár uvedený v usmernení ÚOOÚ SR (č. 2/2018).

8 Bezpečnosť osobných údajov

8.1 Primeranosť bezpečnostných opatrení

8.1.1 Pre posúdenie toho, či Mensa Slovensko poskytuje osobných údajom primeranú úroveň ochrany v súlade s GDPR je kľúčové posúdenie primeranosti prijatých bezpečnostných opatrení so zreteľom na najnovšie poznatky, náklady na vykonanie (implementáciu) opatrení, na povahu, rozsah, kontext a účely spracúvania a riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb. 

8.1.2 GDPR príkladne spomína nasledovné bezpečnostné opatrenia, ktoré môžu byť použité na preukázanie primeranej úrovne bezpečnosti osobných údajov: a) pseudonymizáciu a šifrovanie osobných údajov; b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb; c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu (napr. zálohovanie, archivácia); d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania. 

8.1.3 Mensa Slovensko má na každom zariadení, ktoré používa na spracúvanie osobných údajov:

8.1.4 Dodatočné technické a organizačné opatrenia

  • databáza členov je šifrovaná (AES‑256) a ukladaná na serveri v EÚ;
  • prístupové účty využívajú povinne dvojfaktorové overenie (TOTP);
  • systémové logy sa uchovávajú 12 mesiacov a sú pravidelne auditované;
  • fyzická dokumentácia je uložená v uzamknutej registratúre s kontrolou vstupu.
  • nainštalovaný len legálny softvér;
  • inštalovanú antivírovú ochranu a
  • používa primerané zabezpečenie heslami.

8.1.5 Pri prijímaní bezpečnostných opatrení podľa GDPR si je Mensa Slovensko vedomá, že e-maily alebo ukladacie služby poskytujúce bezplatné cloudové služby, ktoré nie sú zabezpečené alebo nie sú v súlade s GDPR, nemusia poskytovať dostatočné záruky na to, že GDPR bude dodržané.

8.2 Oznamovanie porušení ochrany osobných údajov Úradu na ochranu osobných údajov

8.2.1 Mensa Slovensko je povinná oznamovať porušenia ochrany osobných údajov v lehote 72 hodín (t.j. 3 dní) s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Rozhodujúcou skutočnosťou pre začiatok tejto lehoty je moment, kedy Mensa Slovensko overí, či nastalo porušenie ochrany osobných údajov a aké môže predstavovať riziká pre práva a slobody fyzických osôb a nie zistenie, že porušenie ochrany osobných údajov mohlo nastať. Mensa Slovensko je povinná vykonávať overenie podľa predchádzajúcej vety bezodkladne po zistení, že porušenie ochrany osobných údajov mohlo nastať. Ak nie je možné oznámenie podať v uvedenej lehote, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu. 

8.2.2 Podľa čl. 33 ods. 5 GDPR Mensa Slovensko musí zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

8.3 Oznamovanie porušení ochrany osobných údajov niektorým fyzickým osobám podľa článku 34

8.3.1 Pri porušení ochrany osobných údajov podľa čl. 34 GDPR musí Mensa Slovensko dané porušenie oznamovať tým dotknutým osobám, ktorých sa dané porušenie týka, ak pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.

8.4 Prenos osobných údajov do Spojeného kráľovstva

Prenos údajov členskej databázy do Mensa International so sídlom v Spojenom kráľovstve je založený na Rozhodnutí Komisie (EÚ) 2021/1773 o primeranosti. Organizácia bude sledovať jeho platnosť a v prípade zrušenia prijme vhodné záruky podľa čl. 46 GDPR.

9 Zodpovedná osoba (Data Protection Officer – DPO)

9.1 Posúdenie potreby zodpovednej osoby (Data Protection Officer – DPO)

Na základe čl. 37 ods. 1 písm. b) a c) GDPR organizácia vyhodnotila, že pri súčasnom počte členov a uchádzačov (< 5 000 dotknutých osôb) nejde o spracúvanie osobných údajov vo veľkom rozsahu ani o spracúvanie osobitných kategórií údajov vo veľkom rozsahu. K vymenovaniu DPO zatiaľ nie je povinnosť. Toto posúdenie sa bude každoročne prehodnocovať a pri prekročení hranice 10 000 dotknutých osôb alebo pri rozšírení spracúvania sa DPO vymenuje bezodkladne.

9.2 Kritériá na určenie „veľkého rozsahu“ spracúvania osobných údajov

• počet dotknutých osôb presiahne 10 000;

• databáza obsahuje viac ako 50 údajových položiek na osobu;

• spracúvanie prebieha kontinuálne počas roka (nie jednorazovo);

• spracúvanie pokrýva viac ako územie SR (cezhraničný prenos).

10 Primeraná dokumentácia Mensy Slovensko podľa GDPR

10.1 Cieľom tejto smernice je prispieť k správnemu uplatňovaniu GDPR a k zabezpečeniu súladu s povinnosťami prevádzkovateľa. 10.2 Mensa Slovensko preukazuje súlad s GDPR najmä dodržiavaním tejto smernice. 10.3 Mensa Slovensko zhromažďuje všetku dokumentáciu týkajúcu sa agendy ochrany osobných údajov v tom istom spise alebo úložisku s označením „Dokumentácia súladu s GDPR“. Dokumentácia súladu s GDPR v Mensa Slovensko obsahuje aj:

  • táto smernica.
  • podmienky ochrany súkromia, uvedené v Prílohe č. 2 tejto smernice.
  • písomný súhlas dotknutej osoby so spracúvaním osobných údajov v súlade s ustanovením článku 6 odsek 1 písm. a) GDPR, ktorého vzor je uvedený v Prílohe č. 3 tejto smernice.
  • formulár na zdokumentovanie bezpečnostného incidentu podľa článku 33 ods.5 GDPR, ktorého vzor je uvedený v Prílohe č. 4 tejto smernice.
  • prípadné prijaté a vybavené žiadosti dotknutých osôb.

11. Záverečné ustanovenia

11.1 Znenie smernice bolo vypracované v súlade s GDPR a v nevyhnutnom rozsahu s osobitnými právnymi predpismi. 

11.2 Neoddeliteľnou súčasťou tejto smernice sú jej prílohy. Každý odkaz na túto smernicu zahŕňa aj prílohy. 

11.3 Táto smernica a všetky vzťahy z nej vyplývajúce sa budú spravovať právnym poriadkom Slovenskej republiky. Počítanie času podľa tejto smernice sa riadi Občianskym zákonníkom. Pre účely tejto smernice majú pojmy alebo skratky s veľkým začiatočným písmenom význam uvedený v Prílohe č. 1. Všetky pojmy definované v GDPR používané v tejto smernici sa používajú v identickom význame, ak táto smernica výslovne neustanovuje inak. V prípade rozporu má prednosť táto smernica. Pokiaľ kontext nevyžaduje inak, slová v jednotnom čísle obsahujú aj množné číslo a naopak. 

11.4 Táto smernica nadobúda platnosť dňa (doplňte aktuálny dátum).

Schválila Rada Mensa Slovensko, dňa: .25. 8. 2025

 

 

 

Príloha č. 1 Zoznam definícií

Pre účely tejto Smernice majú pojmy s veľkým začiatočným písmenom alebo skratky nasledovný význam:

  1. „Civilný sporový poriadok“ znamená zákon č. 160/2015 Z. z., Civilný sporový poriadok, v znení neskorších predpisov.
  2. „GDPR“ znamená Nariadenie EÚ č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane osobných údajov).
  3. „Smernica“ znamená táto smernica upravujúca správanie organizácie Mensa Slovensko ako prevádzkovateľa pri spracúvaní osobných údajov.
  4. „Zákon o ochrane osobných údajov“ znamená zákon č. 18/2018 Z. z. o ochrane osobných údajov.
  5. „Zákon o účtovníctve“ znamená zákon č. 431/2002 Z.z., o účtovníctve, v znení neskorších predpisov.
  6. „Zákonník práce“ znamená zákon č. 311/2001 Z. z., Zákonník práce v znení neskorších predpisov.
  7. Ďalšie definície podľa potreby, napr. "Účastník testovania", "Člen Mensy"

 


 

 

Príloha č. 2 Podmienky ochrany súkromia

Ochrana osobných údajov našich účastníkov testovania IQ a členov je pre nás dôležitá. Tieto podmienky vysvetľujú akým spôsobom spracúvame osobné údaje v rámci Mensa Slovensko, nezisková organizácia, so sídlom Ľ. Fullu 15, 841 05 Bratislava, IČO: 31 744 001 (ďalej len „My“). Ak máte akékoľvek otázky, môžete nás kontaktovať (doplniť kontaktné údaje, napr. emailovú adresu: [email protected], resp. poštou na adresu nášho sídla). Pri spracúvaní osobných údajov sa riadime primárne všeobecným nariadením EÚ o ochrane osobných údajov („GDPR“), ktoré upravuje aj Vaše práva ako dotknutej osoby, tými ustanoveniami Zákona o ochrane osobných údajov, ktoré sa na nás vzťahujú, ako aj ďalšími predpismi. Dodržiavame Internú smernicu Mensy Slovensko, upravujúcu správanie Mensy Slovensko pri spracúvaní osobných údajov. S predmetnou smernicou sa môžete oboznámiť v priestoroch nášho sídla alebo na našom webovom sídle na adrese www.mensa.sk/gdpr.

Prečo spracúvame osobné údaje? Spracúvanie osobných údajov je z našej strany nevyhnutné najmä preto, aby sme mohli:

  • organizovať testovanie IQ a súvisiacu evidenciu.
  • spravovať členstvo a viesť evidenciu členov.
  • vystavovať certifikáty (implicitné).
  • organizovať celoslovenské a miestne stretnutia a akcie.
  • komunikovať s našimi členmi.
  • plniť zákonné povinnosti.
  • chrániť oprávnené záujmy Mensy Slovensko a iných osôb.

Na aké účely a na základe akých právnych základov spracúvame osobné údaje?

Kategórie účelov spracúvania Právny základ Súvisiace predpisy
Organizácia testovania IQ a súvisiaca evidencia(uchovanie údajov účastníkov po dobu 1 roka, úspešných výsledkov doživotne) Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR (účasť na testovaní), Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR (kontrola opakovanosti testovania, verifikácia výsledkov) Nariadenie (EÚ) 2016/679
Vystavovanie certifikátov Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR Nariadenie (EÚ) 2016/679
Evidencia a správa členstva v Mensa Slovensko Plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR, Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR Nariadenie (EÚ) 2016/679
Organizácia celoslovenských a miestnych stretnutí a akcií(vrátane prezenčných listín a fotografií) Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR, Súhlas dotknutej osoby podľa článku 6 ods. 1 písm. a) GDPR (pre špecifické fotografie) Nariadenie (EÚ) 2016/679
Komunikácia s členmi Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR Nariadenie (EÚ) 2016/679
Zabezpečenie súladu s právnymi predpismi Plnenie zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR Nariadenie (EÚ) 2016/679, Zákon č. 18/2018 Z.z., Zákon o účtovníctve, a ďalšie predpisy
Ochrana oprávnených záujmov Mensy Slovensko alebo tretích strán Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR Nariadenie (EÚ) 2016/679, Občiansky a Obchodný zákonník, Trestný poriadok, Trestný zákon, Civilný sporový poriadok, Správny súdny poriadok, Správny poriadok, Zákon o priestupkoch
Účtovné a daňové účely Plnenie zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR Osobitné zákony v oblasti účtovníctva a správy daní

Aké oprávnené záujmy sledujeme pri spracúvaní osobných údajov?

Oprávneným záujmom, ktorý sledujeme pri spracúvaní osobných údajov, je vedenie evidencie členov MS a vykazovanie počtu členov Medzinárodnej Mense, ochrana pred zneužitím služieb Prevádzkovateľa a zaistenie bezpečnosti webového portálu Prevádzkovateľa, a mimosúdne i súdne uplatňovanie, preukazovanie a vymáhanie právnych nárokov Mensy Slovensko, ako aj poskytovanie súčinnosti orgánom činným v trestnom konaní a súdu pri odhaľovaní trestnej činnosti a jej páchateľov. Pri organizácii podujatí je oprávneným záujmom aj zabezpečenie administratívnej správy, bezpečnosti a dokumentácie aktivít.

Komu sprístupňujeme Vaše osobné údaje?

Osobné údaje účastníkov testovania IQ a členov sprístupňujeme len našim povereným zamestnancom/osobám, a to v nevyhnutnej miere a vždy pri zachovaní mlčanlivosti príjemcu údajov. V nevyhnutnom rozsahu poskytujeme osobné údaje aj nasledovným príjemcom: osobám, ktoré v mene Prevádzkovateľa mimosúdne i súdne uplatňujú a vymáhajú právne nároky Prevádzkovateľa; súdom, súdnym exekútorom, orgánom činným v trestnom konaní alebo iným orgánom verejnej moci, a to za účelom uplatňovania a vymáhania právnych nárokov Prevádzkovateľa alebo plnenia povinností Prevádzkovateľa podľa všeobecne záväzných právnych predpisov.

Do ktorých krajín prenášame Vaše osobné údaje?

Mensa Slovensko poskytuje osobné údaje dotknutých osôb do tretej krajiny aj mimo Európskej únie, konkrétne Medzinárodnej Mense, ktorej je súčasťou. Pri takýchto prenosoch dodržiavame podmienky stanovené v kapitole V GDPR, najmä zabezpečujeme primerané záruky pre ochranu osobných údajov.

Ako dlho uchovávame Vaše osobné údaje?

Vaše osobné údaje uchovávame len po dobu nevyhnutnú na splnenie účelu, na ktorý boli získané, alebo po dobu vyžadovanú príslušnými právnymi predpismi. Údaje účastníkov testovania IQ sú uchovávané po dobu 1 roka pre kontrolu opätovného testovania. Výsledky úspešne otestovaných osôb, ktoré sú potrebné na overenie členstva, spracovávame 50 rokov. Po uplynutí doby uchovávania zabezpečíme ich vymazanie alebo anonymizáciu.

Ako chránime Vaše osobné údaje?

Prijímame primerané technické a organizačné opatrenia na ochranu Vašich osobných údajov pred neoprávneným prístupom, stratou, zničením alebo zmenou. Naše opatrenia zahŕňajú napríklad pseudonymizáciu a šifrovanie údajov, zálohovanie, antivírusovú ochranu a zabezpečenie heslami.

Ako môžete uplatniť svoje práva?

Máte právo kedykoľvek požiadať Mensu Slovensko o:

  • Potvrdenie, či spracúvame Vaše osobné údaje a ak áno, právo na prístup k nim a informácie o ich spracúvaní (účely, kategórie údajov, príjemcovia, doba uchovávania, atď.).
  • Opravu nesprávnych osobných údajov, ktoré sa Vás týkajú, a doplnenie neúplných osobných údajov.
  • Vymazanie Vašich osobných údajov (právo „na zabudnutie“), ak sú splnené podmienky podľa článku 17 GDPR (napr. údaje už nie sú potrebné, súhlas bol odvolaný, spracúvanie je nezákonné). Upozorňujeme, že toto právo nie je absolútne a v niektorých prípadoch (napr. zákonná povinnosť, archivačné účely) nemusí byť vymazanie možné.
  • Obmedzenie spracúvania, ak napadnete správnosť údajov, spracúvanie je protizákonné, alebo ak údaje už nepotrebujeme, ale Vy ich potrebujete na právne nároky.
  • Prenosnosť údajov, t.j. získanie osobných údajov, ktoré ste nám poskytli, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a právo preniesť ich inému prevádzkovateľovi, ak je spracúvanie založené na súhlase alebo zmluve a vykonáva sa automatizovanými prostriedkami.
  • Namietať proti spracúvaniu osobných údajov z dôvodov týkajúcich sa Vašej konkrétnej situácie, ak je spracúvanie založené na verejnom alebo oprávnenom záujme.

Máte tiež právo kedykoľvek odvolať svoj súhlas so spracúvaním osobných údajov. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.

Máte právo podať sťažnosť Úradu na ochranu osobných údajov Slovenskej republiky, ak sa domnievate, že spracúvanie Vašich osobných údajov je v rozpore s GDPR.

Môžete uplatňovať svoje práva alebo klásť otázky týkajúce sa spracúvania osobných údajov na základe žiadosti zaslanej priamo Prevádzkovateľovi, a to elektronickou formou, poštou alebo osobne. Mensa Slovensko si musí spoľahlivo overiť Vašu totožnosť, aby nemohlo dôjsť k zneužitiu práv.
 

IQ test pripravený Mensou

Máte záujem vedieť presnú hodnotu svojho IQ?
Vstupný IQ test Mensy
Vyberte si miesto a dátum testovania!
Registrácia
Skúšobný online test
Vyskúšaj cvičný test
www.mensatest.sk