(1)
Úrad schváli vnútropodnikové pravidlá, ak
a)
sa vzťahujú sa na každého člena skupiny podnikov
alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane
ich zamestnancov, a títo členovia ich uplatňujú,
b)
sa nimi upravujú vnútorné postupy pre uplatnenie práv
dotknutej osoby, ak ide o spracúvanie osobných údajov, a
c)
spĺňajú požiadavky podľa odseku 2.
(2)
Vo vnútropodnikových pravidlách sa uvedie aspoň
a)
štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia
podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
b)
prenos osobných údajov alebo súbor prenosov vrátane kategórií
osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a
identifikácia predmetnej tretej krajiny alebo krajín,
c)
ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d)
uplatňovanie všeobecných zásad ochrany osobných údajov,
najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania,
kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov,
právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií
osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj
požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými
pravidlami,
e)
právo dotknutej osoby v súvislosti so spracúvaním
osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to,
aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom
spracúvaní vrátane profilovania podľa § 28, práva na podanie návrhu na začatie
konania podľa § 100 a na inú právnu ochranu práva podľa osobitného
predpisu19) a práva na náhradu škody za porušenie vnútropodnikových
pravidiel,
f)
vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so
sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území
Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových
pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú
zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ
alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto
zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
g)
spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú
dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia
podľa písmen d) až f),
h)
úlohy zodpovednej osoby alebo inej osoby alebo subjektu
zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj
za monitorovanie odbornej prípravy a vybavovania sťažností,
i)
postupy týkajúce sa podávania sťažností,
j)
mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia
podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie
dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných
údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva
dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu
uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny
podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej
činnosti a na požiadanie poskytujú úradu,
k)
mechanizmus ohlasovania a zaznamenávania zmien
pravidiel a ohlasovania týchto zmien úradu,
l)
mechanizmus spolupráce s úradom na zabezpečenie
dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena
j) úradu,
m) mechanizmus ohlasovania právnych požiadaviek,
ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré
pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými
pravidlami úradu, a
n)
primeraná odborná príprava fyzických osôb, ktoré majú stály
alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.
