Tieto zásady ochrany osobných údajov vydáva spoločnosť Rokan Biometrics, s.r.o., IČO: 53 967 658, so sídlom Kaštieľska 4, 821 05 Bratislava, zapísaná v obchodnom registri Okresného súdu Bratislava I, oddiel Sro, vložka č.: 154395/B (ďalej len „sprostredkovateľ“), ktoré upravujú vzájomný vzťah medzi sprostredkovateľom a osobou, ktorá uzavrela alebo plánuje uzavrieť so sprostredkovateľom zmluvu o poskytovaní služby VeriFace podľa obchodných podmienok (ďalej len „prevádzkovateľ“), ako aj vzájomný vzťah medzi sprostredkovateľom a osobou, ktorej osobné údaje sú spracúvané (ďalej len „dotknutá osoba“).
- Na účely plnenia zmluvy v zmysle obchodných podmienok budú spracúvané osobné údaje dotknutej osoby, pričom sprostredkovateľ a prevádzkovateľ uzatvárajú v rámci obchodných podmienok zmluvu o spracúvaní osobných údajov v zmysle čl. 28 ods. 3 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“).
- Predmetom zmluvy je vymedzenie vzájomných práv a povinností pri spracúvaní osobných údajov, ku ktorému dochádza pri plnení zmluvy v zmysle obchodných podmienok.
- Prevádzkovateľ týmto poveruje sprostredkovateľa spracúvaním osobných údajov dotknutých osôb alebo potenciálnych dotknutých osôb prevádzkovateľa, t.j. koncových používateľov.
- Predmetom spracúvania sú osobné údaje dotknutých osôb uvedené v osobných dokladoch totožnosti dotknutých osôb.
- Rozsah osobných údajov uvedených v dokladoch totožnosti vydaných v rôznych krajinách môže byť rozdielny, spravidla sú však spracúvané najmä nasledujúce údaje: meno, priezvisko, dátum narodenia, rodné číslo, číslo dokladu totožnosti, adresa trvalého pobytu a fotografia.
- Predmetom spracúvania je aj obraz tváre dotknutej osoby, ktorý je snímaný v reálnom čase na účely porovnania nasnímaného obrazu skutočnej tváre s fotografiou v doklade totožnosti a vyhodnotenia tzv. „živosti“ dotknutej osoby.
- Sprostredkovateľ bude pri plnení zmluvy spracúvať osobné údaje nasledujúcim spôsobom:
a) osobné údaje nasnímané z predloženého dokladu totožnosti dotknutej osoby budú uložené v službe VeriFace na účely vykonania kontroly a stiahnutia prevádzkovateľom,
b) prevádzkovateľ stiahnuté osobné údaje ďalej spracúva mimo služby VeriFace vo vlastnom mene,
c) prevádzkovateľ môže naďalej prostredníctvom administrátorského portálu využívať osobné údaje na štatistické a vyhodnocovacie účely,
d) prevádzkovateľ týmto poveruje sprostredkovateľa uchovávaním osobných údajov dotknutých osôb na účely vyhodnotenia kvality poskytovaných služieb a to najmä na kontrolu správnosti a úplnosti spracovaných osobných údajov,
e) tieto osobné údaje nebudú použité na iné účely ako je zlepšovanie funkčnosti služby VeriFace.
- Prevádzkovateľ je povinný spracúvať osobné údaje na základe jedného zo zákonných dôvodov spracúvania podľa čl. 6 GDPR a informovať dotknuté osoby o spracúvaní osobných údajov v službe VeriFace podľa čl. 13 GDPR a to prostredníctvom administrátorského portálu.
- Sprostredkovateľ je pri spracúvaní osobných údajov povinný:
a) spracúvať osobné údaje výlučne v súlade s GDPR a len na vyššie uvedené účely, v žiadnom prípade nespracúvať osobné údaje na vlastné účely,
b) neprenášať osobné údaje do tretej krajiny alebo medzinárodnej organizácii, pokiaľ mu takúto povinnosť neukladá právo únie alebo členského štátu, ktoré sa na sprostredkovateľa vzťahuje; v takom prípade sprostredkovateľ informuje prevádzkovateľa o tejto právnej povinnosti ešte pred vykonaním prenosu, iba ak by právne predpisy informovanie zakazovali z dôležitých dôvodov verejného záujmu,
c) zabezpečiť, aby boli osoby oprávnené spracúvať osobné údaje viazané mlčanlivosťou,
d) prijať a udržiavať také technické a organizačné opatrenia, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k osobným údajom, k ich zmene, zničeniu či strate, neoprávneným prenosom alebo inému neoprávnenému spracúvaniu, ako aj k inému zneužitiu osobných údajov a tieto opatrenia priebežne vyhodnocovať a prípadne zodpovedajúcim spôsobom upravovať,
e) oznámiť prevádzkovateľovi porušenie bezpečnosti osobných údajov bez zbytočného odkladu potom, ako ho zistí,
f) po zohľadnení povahy spracúvania v čo najväčšej miere pomáhať prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutých osôb v zmysle čl. 13 až čl. 22 GDPR. V prípade, že sa dotknutá osoba obráti so žiadosťou o uplatnenie práv v zmysle čl. 13 až čl. 22 GDPR na sprostredkovateľa, sprostredkovateľ bez zbytočného odkladu odovzdá túto žiadosť prevádzkovateľovi.
- Sprostredkovateľ vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonáva v mene prevádzkovateľa, pričom tieto záznamy obsahujú:
a) meno a kontaktné údaje sprostredkovateľa a ďalších sprostredkovateľov zapojených do spracúvania,
b) kategórie spracúvania vykonávaného v mene prevádzkovateľa,
c) informácie o prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,
d) všeobecný opis technických a organizačných bezpečnostných opatrení.
- Zmluvné strany sa zaväzujú, že si vzájomne poskytnú nevyhnutnú súčinnosť pri styku a rokovaniach s Úradom na ochranu osobných údajov a s dotknutými osobami, či inými osobami, ktorých sa spracúvanie osobných údajov týka a vynaložia potrebné úsilie na odstránenie protiprávneho stavu vo vzťahu k údajom spracúvaným podľa zmluvy a to bezodkladne po tom, čo taká skutočnosť nastane.
- Prevádzkovateľ v súvislosti s prevádzkovaním služby VeriFace udeľuje sprostredkovateľovi súhlas na zapojenie ďalších sprostredkovateľov, ktorí sa budú priamo podieľať na poskytovaní plnenia v zmysle zmluvy a obchodných podmienok. Ďalšími sprostredkovateľmi môžu byť najmä ovládané alebo ovládajúce osoby sprostredkovateľa podľa § 66a zákona č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov a ich ovládané alebo ovládajúce osoby, ako aj ďalšie fyzické osoby, ktoré so sprostredkovateľom alebo s týmito právnickými osobami spolupracujú na základe obchodnoprávneho vzťahu. Sprostredkovateľ sa týmto zaväzuje, že s ďalšími sprostredkovateľmi uzavrie zmluvu o spracúvaní osobných údajov, ktorá spĺňa podmienky tejto zmluvy, GDPR a zmluvu o mlčanlivosti. Sprostredkovateľ zodpovedá za plnenie ďalších sprostredkovateľov akoby plnil sám.