Právne informácie

GDPR a ochrana osobných údajov

Informácie o spracovaní osobných údajov v spoločnosti Elvian Technologies s.r.o. — informačná povinnosť podľa čl. 13 Nariadenia (EÚ) 2016/679 (GDPR) a zákona č. 110/2019 Zb.

Účinnosť od 14. 5. 2026 · Verzia 1.0
Obsah
  1. Kontakt a sťažnosti

1Úvodné ustanovenia a role

Toto informačné memorandum (ďalej len „Memorandum") plní informačnú povinnosť spoločnosti Elvian Technologies s.r.o. (ďalej len „Elvian") podľa čl. 13 a 14 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov (ďalej len „GDPR"), a podľa zákona č. 110/2019 Zb., o spracovaní osobných údajov (ďalej len „ZSOÚ").

Elvian spracováva osobné údaje v dvoch odlišných rolách, a toto Memorandum sa vzťahuje na obe:

  • Správca (čl. 4 ods. 7 GDPR) — vo vzťahu k vlastným zamestnancom, uchádzačom o zamestnanie, dodávateľom, zmluvným partnerom, návštevníkom webu a kontaktným osobám klientov.
  • Spracovateľ (čl. 4 ods. 8 a čl. 28 GDPR) — vo vzťahu k osobným údajom zamestnancov klientov (správcov), ktoré Elvian spracováva v rámci služieb mzdového účtovníctva a personálnej agendy podľa pokynov klienta. V tejto role je správcom klient (zamestnávateľ) a subjekty údajov (zamestnanci) uplatňujú svoje práva primárne uňho. Pravidlá spracovania v tejto role upravuje samostatná Zmluva o spracovaní osobných údajov (DPA), viď čl. 11.

2Identifikácia správcu a zodpovednej osoby

Obchodná firmaElvian Technologies s.r.o.
SídloNa Folimance 2155/15, 120 00 Praha 2, Česká republika
IČO06641288
DIČCZ06641288
ZápisObchodný register vedený Mestským súdom v Prahe
Kontaktný e-mailinfo@elvian.cz
E-mail pre GDPR otázkygdpr@elvian.cz
Zodpovedná osoba za ochranu osobných údajov (DPO)Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Zodpovedná osoba bola vymenovaná v súlade s čl. 37 GDPR s ohľadom na rozsah a povahu spracovania v rámci mzdového a personálneho outsourcingu (najmä rozsiahle systematické spracovanie osobitných kategórií údajov podľa čl. 9 GDPR).

3Kategórie spracovávaných osobných údajov

V rámci výkonu oboch rolí (správca / spracovateľ) spracovávame nasledujúce kategórie osobných údajov. Konkrétny rozsah sa vždy riadi účelom a zásadou minimalizácie podľa čl. 5 ods. 1 písm. c) GDPR:

  • Identifikačné údaje — meno, priezvisko, akademický titul, dátum a miesto narodenia, rodné číslo, štátne občianstvo, číslo a typ dokladu totožnosti.
  • Kontaktné údaje — adresa trvalého pobytu, doručovacia adresa, telefón, e-mail, ID dátovej schránky.
  • Údaje o pracovnom pomere — dátum nástupu a ukončenia, pracovná pozícia, druh pracovnoprávneho vzťahu, výška a zložky mzdy, pracovný úväzok, miesto výkonu práce.
  • Mzdové údaje — výplata, daňové odvody, zrážky zo mzdy, exekúcie, dávky nemocenského poistenia, dovolenka, dochádzka.
  • Vzdelanie a kvalifikácia — dosiahnuté vzdelanie, certifikáty, kurzy, lekárske prehliadky a povinné školenia (BOZP).
  • Údaje o rodinných príslušníkoch — len ak sú nevyhnutné pre daňové úľavy, zdravotné poistenie alebo nárokové dávky (manžel/ka, vyživované deti).
  • Bankové údaje — číslo účtu pre výplatu mzdy.
  • Osobitné kategórie údajov (čl. 9 GDPR):
    • Údaje o zdravotnom stave — v rozsahu nevyhnutnom pre pracovnolekárske prehliadky, dávky nemocenského poistenia, invalidný dôchodok, ZŤP/P pre daňové úľavy.
    • Členstvo v odborovej organizácii — len ak si zamestnanec žiada o zrážku členského príspevku zo mzdy.

4Účely spracovania

  • Plnenie zákonných povinností v oblasti miezd a personalistiky — výpočet a výplata miezd, zrážky daní, odvody na sociálne a zdravotné poistenie, plnenie oznamovacích povinností.
  • Plnenie oznamovacích povinností voči orgánom verejnej správy — Česká správa sociálneho zabezpečenia, zdravotné poisťovne, finančný úrad, úrad práce, Český štatistický úrad.
  • Vedenie mzdovej a personálnej evidencie v rozsahu vyžadovanom najmä zákonom č. 262/2006 Zb., zákonníkom práce (ČR), zákonom č. 586/1992 Zb., o daniach z príjmov, a zákonom č. 582/1991 Zb., o organizácii a vykonávaní sociálneho zabezpečenia.
  • Prevádzka zamestnaneckého portálu — bezpečný prístup zamestnanca k vlastným výplatným páskam, dovolenkám, dokumentom.
  • Archivácia dokumentov — v rozsahu a po dobu stanovenú právnymi predpismi (viď čl. 8).
  • Vedenie záznamov o činnostiach spracovania podľa čl. 30 GDPR a plnenie povinností voči Úradu na ochranu osobných údajov.
  • Ochrana oprávnených záujmov Elvianu — vymáhanie pohľadávok, obhajoba právnych nárokov, zaistenie bezpečnosti IT systémov (logovanie prístupov).

5Právne základy spracovania

Účel Právny základ
Spracovanie miezd a personálnej evidencie podľa pokynov klienta (Elvian ako spracovateľ) čl. 28 GDPR vo väzbe na čl. 6 ods. 1 písm. c) GDPR (zákonná povinnosť správcu – klienta)
Plnenie zákonných povinností (odvody, hlásenia, archivácia) čl. 6 ods. 1 písm. c) GDPR — plnenie právnej povinnosti
Spracovanie údajov vlastných zamestnancov Elvianu čl. 6 ods. 1 písm. b) GDPR (zmluva) + čl. 6 ods. 1 písm. c) GDPR
Zamestnanecký portál a IT bezpečnosť (logy) čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem
Osobitné kategórie údajov — zdravotný stav čl. 9 ods. 2 písm. b) GDPR (povinnosti v oblasti pracovného práva a sociálneho zabezpečenia) + § 11 ZSOÚ
Osobitné kategórie údajov — členstvo v odboroch čl. 9 ods. 2 písm. a) GDPR (výslovný súhlas zamestnanca)
Marketingová komunikácia voči obchodným partnerom čl. 6 ods. 1 písm. a) GDPR (súhlas) alebo čl. 6 ods. 1 písm. f) (oprávnený záujem)

6Príjemcovia osobných údajov a sub-spracovatelia

Osobné údaje odovzdávame len nasledujúcim kategóriám príjemcov a vždy v rozsahu nevyhnutne nutnom pre plnenie konkrétneho účelu:

  • Klient (zamestnávateľ) — v režime BPO je klient správcom údajov svojich zamestnancov a Elvian mu odovzdáva výstupy spracovania.
  • Orgány verejnej správy — Česká správa sociálneho zabezpečenia, zdravotné poisťovne, finančný úrad, úrad práce, súdy a orgány činné v trestnom konaní (v rozsahu zákonnej oznamovacej povinnosti alebo na základe vyžiadania podľa zákona).
  • Banky a poskytovatelia platobných služieb — pre účely výplaty miezd a úhrady odvodov.
  • Profesionálni poradcovia — audítori, daňoví poradcovia, advokáti (vždy pod zákonnou povinnosťou mlčanlivosti).
  • Poisťovne a exekútori — v rozsahu vyžadovanom zákonom (zrážky zo mzdy, výkon rozhodnutia).
  • Sub-spracovatelia — poskytovatelia IT a cloudových služieb — prevádzkovatelia mzdového a personálneho softvéru, hosting, e-mail, zálohovanie, kybernetická bezpečnosť. Sub-spracovatelia sú viazaní zmluvou o spracovaní podľa čl. 28 ods. 4 GDPR. Aktualizovaný zoznam sub-spracovateľov Elvian sprístupní klientovi na vyžiadanie.

Osobné údaje nepredávame tretím stranám a nevykonávame automatizované rozhodovanie s právnymi účinkami pre subjekt údajov v zmysle čl. 22 GDPR.

7Odovzdanie mimo EÚ/EHP

Osobné údaje spracovávame primárne na území Európskej únie a Európskeho hospodárskeho priestoru. K odovzdaniu do tretích krajín dochádza len vo výnimočných a jasne odôvodnených prípadoch, a to vždy za podmienok stanovených kapitolou V GDPR (čl. 44 a nasl.):

  • Na základe rozhodnutia Európskej komisie o zodpovedajúcej úrovni ochrany podľa čl. 45 GDPR, alebo
  • S využitím štandardných zmluvných doložiek prijatých Európskou komisiou podľa čl. 46 ods. 2 písm. c) GDPR, doplnených o doplnkové ochranné opatrenia, ak to vyžadujú okolnosti, alebo
  • Na základe inej záruky uvedenej v čl. 46 a 47 GDPR (záväzné podnikové pravidlá, schválené kódexy správania).
Informácie o odovzdávaní: Ak v rámci konkrétnej služby dochádza k odovzdaniu osobných údajov mimo EÚ/EHP, Elvian o tom klienta informuje vopred a na žiadosť sprístupní kópiu uplatnených záruk.

8Doba uchovávania údajov

Doba uchovávania jednotlivých kategórií osobných údajov zodpovedá zákonným archivačným lehotám stanoveným najmä nasledujúcimi predpismi:

Kategória údajovLehotaPrávny základ
Mzdové listy 30 rokov po roku, ktorého sa týkajú § 35a ods. 4 zákona č. 582/1991 Zb., o organizácii a vykonávaní sociálneho zabezpečenia
Rovnopisy evidenčných listov dôchodkového poistenia 3 kalendárne roky po roku, ktorého sa týkajú § 38 ods. 4 zákona č. 582/1991 Zb.
Daňové doklady a evidencia pre účely DPH 10 rokov od konca zdaňovacieho obdobia § 35 zákona č. 235/2004 Zb., o dani z pridanej hodnoty
Účtovné záznamy a doklady (vrátane doloženia mzdových nákladov) 5 rokov, mzdové listy a daňové doklady 10 rokov § 31 zákona č. 563/1991 Zb., o účtovníctve
Mzdové podklady pre daň z príjmov (potvrdenia, vyhlásenia) 10 rokov po skončení zdaňovacieho obdobia § 38n zákona č. 586/1992 Zb., o daniach z príjmov, vo väzbe na § 148 zákona č. 280/2009 Zb., daňový poriadok
Evidencia pracovného času zamestnanca Počas trvania pracovného pomeru § 96 zákona č. 262/2006 Zb., zákonníka práce (ČR)
Pracovnoprávna dokumentácia (zmluvy, dohody, výpovede) 10 rokov od skončenia pracovného pomeru Zmluvná prax a premlčacie lehoty podľa § 629 a § 636 OZ
Údaje o uchádzačoch o zamestnanie, ktorí neboli prijatí 6 mesiacov od ukončenia výberového konania (dlhšie len so súhlasom) Oprávnený záujem & čl. 6 ods. 1 písm. a) GDPR

Po uplynutí archivačnej lehoty sú osobné údaje bezpečne skartované v listinnej podobe a nenávratne zmazané alebo anonymizované v elektronickej podobe.

9Práva subjektov údajov

Každý subjekt údajov (zamestnanec, uchádzač, kontaktná osoba) má v súlade s kapitolou III GDPR nasledujúce práva:

  • Právo na prístup (čl. 15) — získať potvrdenie, či sú údaje spracovávané, a kópiu spracovávaných údajov.
  • Právo na opravu (čl. 16) — opraviť nepresné údaje alebo doplniť neúplné.
  • Právo na výmaz (čl. 17, „právo byť zabudnutý") — v prípadoch, keď spracovanie nie je nutné pre plnenie zákonnej povinnosti alebo iného právneho titulu.
  • Právo na obmedzenie spracovania (čl. 18) — pozastaviť spracovanie v zákonom stanovených prípadoch.
  • Právo na prenosnosť (čl. 20) — získať údaje v štruktúrovanom strojovo čitateľnom formáte, ak je spracovanie založené na súhlase alebo zmluve a prebieha automatizovane.
  • Právo vzniesť námietku (čl. 21) — proti spracovaniu založenému na oprávnenom záujme.
  • Právo nebyť predmetom automatizovaného rozhodovania (čl. 22) — Elvian také rozhodovanie nevykonáva.
  • Právo odvolať súhlas (čl. 7 ods. 3) — kedykoľvek, ak je spracovanie založené na súhlase (odvolanie nemá spätnú účinnosť).
  • Právo podať sťažnosť u dozorného úradu — Úrad na ochranu osobných údajov, Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz.
Kde uplatniť žiadosť: Ak je Elvian správcom (vlastní zamestnanci, partneri, web), žiadosť adresujte priamo nám na gdpr@elvian.cz. Ak Elvian spracováva údaje ako spracovateľ (v rámci BPO služieb pre zamestnávateľa), uplatnite žiadosť u svojho zamestnávateľa ako správcu; Elvian mu poskytne potrebnú súčinnosť.

Elvian na žiadosť reaguje bez zbytočného odkladu, najneskôr do 1 mesiaca od jej prijatia. V komplexných prípadoch môže byť lehota predĺžená o ďalšie 2 mesiace, o čom subjekt údajov vopred informujeme.

10Zabezpečenie a postup pri bezpečnostnom incidente

Elvian s ohľadom na povahu, rozsah, kontext a účely spracovania a na pravdepodobnosť a závažnosť rizík pre práva subjektov údajov prijíma vhodné technické a organizačné opatrenia podľa čl. 32 GDPR, najmä:

  • Šifrované úložisko (data at rest) a šifrovaný prenos (TLS 1.2+/HTTPS pre zamestnanecký portál a všetky webové aplikácie).
  • Riadenie prístupov na princípe „need-to-know" a „least privilege", viacfaktorové overovanie (MFA) pre administrátorské účty.
  • Pravidelné zálohovanie s testovaným obnovením a geografickou redundanciou.
  • Logovanie prístupov a detekcia neoprávnených alebo nezvyčajných operácií.
  • Mlčanlivosť zamestnancov a subdodávateľov — zmluvne, na úrovni vnútornej smernice aj periodických školení.
  • Pravidelné školenia zamestnancov v oblasti ochrany osobných údajov a kybernetickej bezpečnosti.
  • Vedenie záznamov o činnostiach spracovania podľa čl. 30 GDPR.
  • Posúdenie vplyvu na ochranu osobných údajov (DPIA) podľa čl. 35 GDPR pri spracovaní s vysokým rizikom pre práva subjektov údajov.

Postup pri bezpečnostnom incidente: Ak dôjde k porušeniu zabezpečenia osobných údajov v zmysle čl. 4 ods. 12 GDPR, postupuje Elvian podľa interného plánu reakcie na incident:

  • Ak je Elvian správcom, ohlási porušenie Úradu na ochranu osobných údajov bez zbytočného odkladu, najneskôr do 72 hodín od okamihu, keď sa o ňom dozvedel, podľa čl. 33 GDPR. Subjekty údajov informuje podľa čl. 34 GDPR, ak je riziko pre ich práva vysoké.
  • Ak je Elvian spracovateľom, oznámi porušenie správcovi (klientovi) bez zbytočného odkladu po tom, čo sa o ňom dozvedel, spravidla do 24 hodín, podľa čl. 33 ods. 2 GDPR, a poskytne mu nevyhnutnú súčinnosť pre splnenie jeho oznamovacích povinností.

11Rola spracovateľa a Zmluva o spracovaní (DPA)

Pri poskytovaní služieb mzdového účtovníctva a personálnej agendy vystupuje Elvian spravidla v role spracovateľa v zmysle čl. 28 GDPR. Správcom zostáva klient (zamestnávateľ), ktorý určuje účely a prostriedky spracovania a udeľuje Elvianu pokyny.

Pravidlá spracovania sú upravené samostatnou Zmluvou o spracovaní osobných údajov (Data Processing Agreement, DPA), ktorá tvorí prílohu hlavnej Zmluvy s klientom a spĺňa požiadavky čl. 28 ods. 3 GDPR. DPA upravuje najmä:

  • Predmet, dobu trvania, povahu a účel spracovania, kategórie subjektov údajov a typy osobných údajov.
  • Zdokumentované pokyny správcu a povinnosti spracovateľa.
  • Povoľovanie ďalších sub-spracovateľov (obecné povolenie s povinnosťou predchádzajúcej informácie o zmenách).
  • Technické a organizačné opatrenia zabezpečenia.
  • Postup oznamovania porušenia zabezpečenia správcovi.
  • Súčinnosť pri uplatnení práv subjektov údajov, DPIA a pri auditoch.
  • Povinnosti pri ukončení zmluvy — vrátenie alebo výmaz osobných údajov (voľba správcu).

12Kontakt pre otázky GDPR a sťažnosti

E-mail pre GDPR: gdpr@elvian.cz
Všeobecný kontakt: info@elvian.cz
Adresa: Elvian Technologies s.r.o., Na Folimance 2155/15, 120 00 Praha 2, Česká republika
Zodpovedná osoba za ochranu osobných údajov (DPO): Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Reagujeme najneskôr do 1 mesiaca od prijatia žiadosti. V komplexných prípadoch môže byť lehota predĺžená o ďalšie 2 mesiace, o čom Vás budeme informovať.

Dozorný úrad: Úrad na ochranu osobných údajov, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, posta@uoou.cz.