Zásady ochrany osobných údajov

Naposledy aktualizované: október 2025

Informácie o ochrane osobných údajov

V súvislosti s výkonom našej činnosti získavame osobné údaje od odberateľov elektriny, výrobcov elektriny, žiadateľov, užívateľov sústavy, vlastníkov nehnuteľností, ďalších fyzických osôb (ďalej len „zákazníci“).
Tieto informácie poskytujú prehľad o podmienkach spracúvania osobných údajov zákazníkov v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).
Tieto informácie platia v prípadoch, keď spracúvame osobné údaje ako prevádzkovateľ. Ďalšie informácie o ochrane osobných údajov môžu byť poskytnuté aj prostredníctvom samostatnej informácie alebo vyhlásenia.

ZODPOVEDNOSŤ ZA SPRACÚVANIE OSOBNÝCH ÚDAJOV

Spoločnosť ENSTRA a.s., so sídlom Kálov 1, 01001 Žilina, IČO: 51 174 103, zapísaná v Obchodnom registri Okresného súdu Žilina, oddiel: Sa, vložka č.: 11016/L (len „ENSTRA“ ) spracúva osobné údaje zákazníkov v rozsahu a za podmienok uvedených v týchto informáciách a ako prevádzkovateľ zodpovedá za ich ochranu a spracúvanie. Pokiaľ právne predpisy neustanovujú inak ENSTRA taktiež nesie zodpovednosť za spracúvanie osobných údajov sprostredkovateľmi, ktorých na tento účel poverila.

Základné pojmy

  1. Osobné údaje sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
  2. Spracúvanie osobných údajov je akákoľvek operácia, spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
  3. Súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
  4. Prevádzkovateľ je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
  5. Sprostredkovateľ je každý, kto spracúva osobné údaje v mene prevádzkovateľa.
  6. Dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
  7. Príjemca je každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.
  8. Tretia strana je každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
  9. Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
  10. Pseudonymizácia je spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe.
  11. Šifrovanie je transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo.
  12. Porušenie ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim.
  13. Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa zákona.

Základné ciele Prevádzkovateľa

  1. Pri spracúvaní osobných údajov Prevádzkovateľ smeruje k naplneniu nasledovných cieľov:
  1. dodržiavanie základných zásad spracúvania osobných údajov;
  2. spracúvanie osobných údajov na niektorom z právnych základov;
  3. spracúvanie len nevyhnutných osobných údajov na dosiahnutie vymedzeného účelu spracúvania osobných údajov;
  4. uchovávanie osobných údajov len po nevyhnutnú dobu;
  5. informovanie klientov o spracúvaní osobných údajov u Prevádzkovateľa;
  6. zabezpečenie mlčanlivosti zamestnancov;
  7. dodržanie zákonných podmienok pri poverení sprostredkovateľa na spracúvanie osobných údajov;
  8. prijatie primeraných bezpečnostných opatrení,
  9. zabezpečenie ochrany osobných údajov pred odcudzením, stratou, poškodením, neoprávnením prístupom a zmenou,
  10. vybudovanie a trvalé udržiavanie vysokej úrovne ochrany osobných údajov,
  11. zabezpečenie ohodnotenia a ošetrenia rizík,
  12. pri získavaní osobných údajov na právnom základe súhlas dotknutej osoby zabezpečiť tento súhlas so spracúvaním osobných údajov a následne vykonať archiváciu súhlasu,
  13. pri automatizovanom spracúvaní zabezpečenie zálohovania údajov,
  14. zabezpečenie likvidácie údajov, ktoré už nie je potrebné spracúvať.
    1. K obmedzeniu vyššie uvedených cieľov môže dôjsť len na základe pravidiel GDPR a v zmysle zákona.

Základné zásady

  1. Pri spracúvaní osobných údajov dodržiava Prevádzkovateľ tieto zásady spracúvania osobných údajov:
  1. zásada zákonnosti
Osobné údaje Prevádzkovateľ spracúva len zákonným spôsobom, spravodlivo a transparentne. V rámci tejto zásady Prevádzkovateľ dotknutú osobu informuje o podmienkach spracúvania osobných údajov a následne jej údaje skutočne spracúva v súlade s týmito informáciami. Prevádzkovateľ spracúva osobné údaje  na právnych základoch stanovených v Nariadení GDPR, pričom dodržiava nie len Nariadenie GDPR a Zákon o ochrane osobných údajov ale aj iné relevantné právne predpisy.
  1. zásada obmedzenia účelu
Osobné údaje Prevádzkovateľ získava len na konkrétne určený, výslovne uvedený a legitímny účel. Spracúvať získané osobné údaje na iný účel, ktorý nie je zlučiteľný s pôvodným účelom, je zakázané.
  1. zásada minimalizácie údajov
Prevádzkovateľ spracúva len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Prevádzkovateľ nespracúva také osobné údaje, ktoré sú nadbytočné, nepotrebné a nie sú nevyhnutné na dosiahnutie stanoveného účelu.
  1. zásada správnosti
Prevádzkovateľ spracúva len správne a aktuálne osobné údaje. Ak Prevádzkovateľ zistí, že osobné údaje nie sú správne, prijme všetky dostupné opatrenia na ich opravu alebo vymazanie.
  1. zásada minimalizácie uchovávania
Prevádzkovateľ osobné údaje spracúva len po dobu, ktorá je nevyhnutná na dosiahnutie stanoveného účelu. Keď Prevádzkovateľ spracúvanie na daný účel skončil, osobné údaje zlikviduje.
  1. zásada integrity a dôvernosti
Prevádzkovateľ zabezpečuje ochranu osobných údajov, ktoré spracúva. Za týmto účelom Prevádzkovateľ prijal primerané technické a organizačné opatrenia.
  1. zásada zodpovednosti
Skutočnosť, že Prevádzkovateľ spracúva osobné údaje v súlade s GDPR a Zákonom o ochrane osobných údajov a dodržiava všetky svoje povinnosti, sú zadokumentované.
  1. K obmedzeniu vyššie uvedených zásad môže dôjsť len na základe pravidiel GDPR a v zmysle zákona.

Práva dotknutých osôb

  1. Prevádzkovateľ kladie dôraz na rešpektovanie práv dotknutých osôb. Dotknuté osoby majú tieto práva:
  1. Právo na informácie
Každá osoba, ktorej osobné údaje sa spracúvajú, má právo na informácie, ktoré stanovuje GDPR a Zákon o ochrane osobných údajov. Za týmto účelom je Prevádzkovateľ povinný prijať vhodné opatrenia, aby tieto informácie dotknutej osobe poskytol. Informácie budú poskytnuté prostredníctvom webovej stránky, emailom alebo v listinnej forme. Informácie budú poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho.
  1. Právo na prístup k údajom
Každá osoba, ktorej osobné údaje sa spracúvajú, má právo získať od Prevádzkovateľa potvrdenie o tom, či spracúva jej osobné údaje. Ak osobné údaje tejto osoby spracúva, táto osoba má právo na prístup k týmto údajom a informácie o ich spracúvaní stanovené zákonom.
  1. Právo na opravu
Každá osoba má právo, aby ste spracúvali iba jej správne a aktuálne údaje. Ak Prevádzkovateľa o to požiada, musí nesprávne a neaktuálne údaje opraviť.
  1. Právo na vymazanie
V prípadoch podľa § 23 ods. 2 písm. a) až f) Zákona o ochrane osobných údajov má osoba, ktorej údaje sa spracúvajú, právo na vymazanie jej osobných údajov.
Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz a ak:
      • osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
      • dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
      • dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov,
      • osobné údaje sa spracúvajú nezákonne,
      • je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
      • sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Ak sú splnené vyššie uvedené zákonné podmienky, Prevádzkovateľ je povinný splniť zákonnú povinnosť a údaje vymazať.

  1. Právo na obmedzenie spracúvania
V prípadoch podľa § 24 ods. 1 písm. a) až d) Zákona o ochrane osobných údajov, má dotknutá osoba, ktorej údaje sa spracúvajú, právo na obmedzenie spracúvania jej osobných údajov.
Obmedziť spracúvanie osobných údajov je možné ak:
      • dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho Prevádzkovateľovi overiť správnosť osobných údajov,
      • spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
      • Prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
      • dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane Prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
Počas obmedzenia spracúvania môže Prevádzkovateľ jej údaje len uchovávať, iným spôsobom ich spracúvať nemôže.
  1. Právo na prenosnosť údajov
Pokiaľ Prevádzkovateľ spracúva osobné údaje v elektronickej forme na základe súhlasu danej osoby, táto osoba môže požiadať, aby jej Prevádzkovateľ osobné údaje poskytol vo forme, ktorá umožňuje prenos inému prevádzkovateľovi.
  1. Právo namietať
Dotknutá osoba má za zákonných okolností podľa § 27 Zákona o ochrane osobných údajov právo namietať proti spracúvaniu jej osobných údajov.
  1. Právo odmietnuť profilovanie
Dotknutá osoba má právo odmietnuť, aby jej osobné údaje boli predmetom automatizovaného rozhodovania, vrátane profilovania.
    1. Dotknutým osobám Prevádzkovateľ výkon ich práv uľahčuje, nekladie im prekážky. Preto vytvoril systém, prostredníctvom ktorého dotknuté osoby môžu uplatňovať svoje práva, a tento sa bude snažiť zdokonaľovať.
    2. Dotknutej osobe sú vždy poskytnuté informácie o spracúvaní jej osobných údajov a sú poučené o svojich právach. Prevádzkovateľ poskytuje tieto informácie vhodným spôsobom podľa okruhu dotknutých osôb, napríklad písomne v listinnej forme, e-mailom alebo zverejnením na webovom sídle.
    3. Dotknuté osoby môžu uplatňovať svoje práva prostredníctvom e-mailovej adresy za týmto účelom zriadenej na webovej stránke Prevádzkovateľa, alebo zaslaním písomnej žiadosti prostredníctvom poštového podniku na adresu Prevádzkovateľa. Prevádzkovateľ každú žiadosť zaeviduje a vybaví bez zbytočného odkladu, najneskôr však do jedného mesiaca. V tejto lehote informuje dotknutú osobu, ktorá žiadosť podala, o opatreniach, ktoré na základe jej žiadosti prijali. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. O predĺžení lehoty dotknutú osobu informuje do jedného mesiaca od podania žiadosti spolu s odôvodnením zmeškania lehoty. Oznámenie o spôsobe vybavenia žiadosti sa podáva rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ dotknutá osoba nepožiada o iný spôsob.
    4. Prevádzkovateľ môže osobitným rozhodnutím určiť, že ochranu práv dotknutej osoby bude realizovať aj prostredníctvom zodpovednej osoby, ktorá je nezávislá na štatutárnom orgáne Prevádzkovateľa a bude dbť na dodržiavanie povinností Prevádzkovateľa na úseku osobných údajov.
    5. K obmedzeniu vyššie uvedených práv môže dôjsť len na základe pravidiel GDPR a v zmysle zákona.

Podmienky spracúvania osobných údajov

  1. Prevádzkovateľ spracúva osobné údaje v nasledovných informačných systémoch:
    1. Informačný systém Zákazníci

Osobitné kategórie osobných údajov sa nespracovávajú.

Účelom je zabezpečenie obchodnej a prevádzkovej činnosti Prevádzkovateľa, poskytovanie distribúcie a dodávky elektriny v zmysle zákona o energetike, plnenie zmluvnej povinnosti a plnenie zákonnej povinnosti.

Právnym základom na spracovanie osobných údajov je:
    • plnenie zmluvnej povinnosti podľa § 13 ods. 1 písm. b),
    • plnenie zákonnej povinnosti najmä podľa § 13 ods. 1 písm. c) zákona o ochrane osobných údajov v spojení s § 34 ods. 7 zákona č. 251/2012 Z. z. o energeticke a o zmene a doplnení niektorých zákonov.
Spracúvajú sa osobné údaje v rozsahu:
Klienti:
      • Právnické osoby: Názov spoločnosti, meno a priezvisko osoby oprávnenej za spoločnosť konať a jej osobné údaje v nižšie uvedenom rozsahu, kontaktné údaje (e-mail, telefonický kontakt) sídlo, IČO, DIČ.
      • Fyzické osoby: Meno/Priezvisko, rodné číslo, trvalý pobyt, kontaktné údaje (e-mail, telefonický kontakt)
Prevádzkovateľ je oprávnený vyžadovať osobné údaje v zmysle zákona o energetike a v zmysle zákona o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu.
Kategórie príjemcov:
    • zamestnanci Prevádzkovateľa,
    • súdni exekútori, orgány činné v trestnom konaní, súdy,
    • iná povinná osoba v súlade so zákonom o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu.
Prenos do tretích krajín: Prevádzkovateľ neprenáša osobné údaje do tretích krajín. Výnimku tvoria zahraniční klienti, ktorí si výslovne vyžiadali prenos takýchto údajov a ktorých osobné údaje Prevádzkovateľ spracúva na základe zmluvy. V tomto prípade prenos prebieha prostredníctvom poštového podniku. Výnimkou je tiež prenos osobných údajov v zmysle Zákona o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu.
Doba uchovávania osobných údajov:
Osobné údaje v informačnom systéme sa spracúvajú po dobu trvania zmluvy/dohody, pričom Prevádzkovateľ vymaže osobné údaje dotknutej osoby spracúvané na účel evidencie účtovnej dokumentácie po uplynutí 10 rokov nasledujúcich po roku, v ktorom sa naposledy použili v zmysle § 35 ods. 3 písm. b) zákona č. 431/2002 Z. z. o účtovníctve, ak osobitný zákon neustanovuje inú lehotu.
Osobné údaje sú spracúvané v informačnom systéme programu OMEGA a X MATIK. Prístup do programov je zabezpečený heslom. Programy sú chránené antivírovým programom ESET File Security for Windows Server, ktorý zabezpečuje ochranu proti online hrozbám (Malware, Spyware).

  1. Informačný systém účtovné doklady
Spracovávajú sa tu osobné údaje bez osobitných kategórii.
Účelom spracovávania je evidencia účtovnej dokumentácie.
IS je vedený na základe zákona č. 431/2002 Z. z. o účtovníctve, v znení neskorších predpisov, a jeho rozsah je vymedzený zákonom č. 431/2002 Z. z., o účtovníctve v znení neskorších predpisov.
Osobné údaje sa týkajú klientov, zamestnancov, dodávateľov a odberateľov.
Poverená osoba Prevádzkovateľa bola riadne poučená v zmysle Zákona o ochrane osobných údajov.
Spracúvajú sa osobné údaje: Titul, meno, priezvisko, podpis, adresa. Na účely zaúčtovania miezd sa spracúvajú tiež osobné údaje dotknutých osôb, ktorým sa vyplácajú mzdy, a to v zákonom stanovenom rozsahu. Dotknutými osobami sú: Fyzické osoby – štatutárni zástupcovia, klienti, zamestnanci klienta, dodávatelia, odberatelia.
Kategórie príjemcov:
    • Finančná správa SR,
Prenos do tretích krajín: Prevádzkovateľ neprenáša osobné údaje do tretích krajín.
Doba uchovávania osobných údajov: Prevádzkovateľ vymaže osobné údaje dotknutej osoby spracúvané na účel evidencie účtovnej dokumentácie po uplynutí 10 rokov nasledujúcich po roku, v ktorom sa naposledy použili v zmysle § 35 ods. 3 písm. b) zákona č. 431/2002 Z. z. o účtovníctve, ak tento zákon neustanovuje inú lehotu.

  • Informačný systém Korešpondencia a správa registratúry
Spracovávajú sa tu osobné údaje bez osobitných kategórii.
Účelom je evidencia prijatej a odoslanej korešpondencie, organizovanie manipulácie so záznamami a spismi (prijímanie, triedenie, evidovanie, obeh, tvorba, vybavovanie, odosielanie záznamov a ukladanie, ochrana a vyraďovanie spisov (záznamov), ako aj náležité personálne obsadenie, priestorové a materiálno-technické zabezpečenie registratúry organizácie.
IS je vedený na základe zákona č. 395/2002 o archívoch a registratúrach.
Prevádzkovateľ spracúva osobné údaje:
      • Fyzické osoby – odosielatelia a prijímatelia korešpondencie.
Prevádzkovateľ spracúva osobné údaje v rozsahu:
      • Titul, meno, priezvisko, podpis, adresa, e-mailová adresa,telefónne číslo.
Kategórie príjemcov: príjemcom je Prevádzkovateľ (konateľ a zamestnanci Prevádzkovateľa – oprávnené osoby).
Prenos do tretích krajín: Prevádzkovateľ neprenáša osobné údaje do tretích krajín.
Doba uchovávania osobných údajov: IS je vedený na základe zákona č. 395/2002 o archívoch a registratúrach, osobné údaje sa vymažú v zmysle ustanovení tohto zákona.
Forma: neautomatizovaný a automatizovaný informačný systém.
Informačný systém korešpondencia a správa registratúry je vedený v tabuľkovom softvéri Excel.
      1. Prevádzkovateľ spracúva osobné údaje v týchto informačných systémoch na právnom základe:
        1. plnenie zákonnej povinnosti,
        2. plnenie zmluvnej povinnosti,
        3. súhlas dotknutej osoby (len uchádzači o zamestnanie),
        4. oprávnený záujem Prevádzkovateľa.
      1. Pokiaľ sa na spracúvanie osobných údajov vyžaduje súhlas, Prevádzkovateľ je povinný zabezpečiť súhlas, ktorý spĺňa podmienky stanovené v platnej legislatíve. Bez platného súhlasu je spracúvať osobné údaje v týchto prípadoch zakázané.
      2. Prevádzkovateľ je povinný spracúvať len tie osobné údaje, ktoré nevyhnutne potrebuje na naplnenie uvedených účelov.
      3. Prevádzkovateľ poskytuje osobné údaje tretím osobám, len ak je na to právny dôvod.
      4. Prevádzkovateľ môže poveriť spracúvaním osobných údajov len takých sprostredkovateľov, ktorí poskytujú primerané záruky pre bezpečnosť osobných údajov. Sprostredkovateľa poverí na základe zmluvy uzatvorenej v písomnej forme, ktorá spĺňa všetky obsahové náležitosti podľa GDPR a Zákona o ochrane osobných údajov.
      5. Zamestnanci Prevádzkovateľa, ktorí spracúvajú osobné údaje, sú povinní dodržiavať smernicu pre zamestnancov, GDPR a Zákon o ochrane osobných údajov. Ďalej sú povinní postupovať podľa pokynov Prevádzkovateľa. Prevádzkovateľ zabezpečí, aby každý zamestnanec bol zmluvne zaviazaný k mlčanlivosti.
      6. Prevádzkovateľ vedie záznamy o spracovateľských činnostiach pre uvedené informačné systémy. Pokiaľ sú splnené zákonné predpoklady, Prevádzkovateľ vykoná posúdenie vplyvu na ochranu údajov a konzultuje zvyškové riziká s Úradom na ochranu osobných údajov.
      7. Prevádzkovateľ je povinný zdokumentovať súlad spracúvania osobných údajov s GDPR a Zákonom o ochrane osobných údajov.
      8. Prevádzkovateľ pravidelne, raz za kalendárny rok a vždy keď dôjde k zmene podmienok spracúvania osobných údajov opätovne posúdi povinnosti, ktoré mu v súvislosti so spracúvaním osobných údajov vznikajú a tieto zdokumentuje.
      9. Prevádzkovateľ je povinný uchovávať osobné údaje len po nevyhnutnú dobu na dosiahnutie stanoveného účelu a splnenie zákonnej povinnosti. Po uplynutí tejto doby osobné údaje zlikviduje.

Osobitné pravidlá spracúvania osobných údajov

  1. Prevádzkovateľ je podnikateľom v energetike. Pravidlá ochrany a spracúvania osobných údajov sú upravované tiež v osobitných právnych predpisoch upravujúcich činnosť podnikateľov v energetike.
  2. Na účely uzatvárania, vykonávania a následnej kontroly obchodov s klientmi, na účel identifikácie klientov a na ďalšie účely uvedené v Zákona o energetike sú klienti a ich zástupcovia pri každom obchode povinní Prevádzkovateľovi na jeho žiadosť poskytnúť údaje v zmysle Zákona o energetike.

Bezpečnosť údajov

  1. Prevádzkovateľ je povinný zabezpečiť ochranu osobných údajov. Za týmto účelom prijal primerané technické a organizačné bezpečnostné opatrenia zohľadňujúce hroziace riziko, povahu spracúvania, najnovšie poznatky a náklady na prijatie týchto opatrení. Prijaté bezpečnostné opatrenia sú popísané v samostatnom dokumente.
  2. Prevádzkovateľ chráni osobné údaje vhodnými a dostupnými prostriedkami pred zneužitím. Pritom predovšetkým uchováva osobné údaje v priestoroch, na miestach, v prostredí alebo v systéme, do ktorého má prístup obmedzený, vopred stanovený a v každom okamihu kontrolovaný okruh osôb; iné osoby môžu získať prístup k osobným údajom len s povolením štatutárneho orgánu alebo inej poverenej osoby.
  3. Prevádzkovateľ aspoň raz za rok vykoná vyhodnotenie postupov pri nakladaní a spracovávaní osobných údajov. Vyhodnotenie môže byť vykonané podľa zvyklostí, spravidla sa spíše stručný záznam napr. zápis z porady vedenia. Ak sa zistí, že niektoré postupy sú zastaralé, zbytočné alebo sa neosvedčili, vykoná Prevádzkovateľ bezodkladne nápravu.
  4. Prevádzkovateľ ihneď rieši každý bezpečnostný incident týkajúci sa osobných údajov. V prípade, že je pravdepodobné, že incident bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, Prevádzkovateľ túto osobu vždy informuje a oznámi, aké opatrenia prijala na nápravu. O každom incidente sa spíše záznam. O každom závažnom incidente Prevádzkovateľ informuje Úrad na ochranu osobných údajov.

PRÁVA DOTKNUTEJ OSOBY A ICH UPLATNENIE

Práva zákazníka

Zákazník ako dotknutá osoba má právo:
  • kedykoľvek odvolať súhlas so spracúvaním osobných údajov,
  • získať od ENSTRA potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa ho týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom, informácie o spracúvaní osobných údajov a kópiu údajov (za ďalšie kópie, o ktoré zákazník požiada, môže  účtovať primeraný poplatok zodpovedajúci administratívnym nákladom),
  • aby ENSTRA bez zbytočného odkladu opravila nesprávne osobné údaje, ktoré sa ho týkajú,
  • právo na vymazanie tzn. právo dosiahnuť u ENSTRA bez zbytočného odkladu vymazanie osobných údajov, ktoré sa ho týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak sú splnené podmienky ustanovené v čl. 17 GDPR,
  • na obmedzenie spracúvania osobných údajov v prípadoch ustanovených v čl. 18 GDPR,
  • právo na prenosnosť údajov tzn. právo získať osobné údaje, ktoré sa ho týkajú a ktoré poskytol ENSTRA, a to v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi, ak sú splnené podmienky uvedené v čl. 20 GDPR,
  • kedykoľvek namietať z dôvodov týkajúcich sa jeho konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa ho týka, ktoré je vykonávané na základe oprávneného záujmu vrátane namietania proti profilovaniu,
  • právo na to, aby sa naňho nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa ho týkajú alebo ho podobne významne ovplyvňujú,
  • právo domáhať sa ochrany svojich práv na príslušnom súde v zmysle čl. 78 GDPR,
  • podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s GDPR. Pre územie Slovenskej republiky je dozorným orgánom Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava 27, tel.: +421 2 3231 3214, e-mail: statny.dozor@pdp.gov.sk.