Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov, v nadaljevanju: GDPR), in Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2) izdaja Soča Trout - Bojan Rusjan, športna dejavnost, s.p.
PRAVILNIK O VARSTVU OSEBNIH PODATKOV
UVODNE DOLOČBE
1. člen (Namen in pravna narava pravilnika)
S tem pravilnikom se opredeljujejo tehnični in organizacijski ukrepi, s katerimi podjetnik Soča Trout - Bojan Rusjan, športna dejavnost, s.p. (v nadaljnjem besedilu: podjetnik) varuje osebne podatke.
Ukrepi iz prejšnjega odstavka se izvajajo z namenom, da: • so osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (načelo zakonitosti, pravičnosti in preglednosti); • so osebni podatki zbrani za določene, izrecne in zakonite namene, in se ne obdelujejo na način, ki ni združljiv s temi nameni (načelo omejitve namena) ; • se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave; ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost (načelo najmanjšega obsega podatkov in načelo omejitve shranjevanja); • se spoštujejo in zaščitijo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; • da so obdelovani osebni podatki točni oziroma ustrezno posodobljeni (načelo točnosti); • se zagotovi varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti) ; • lahko podjetnik dokaže skladnost z zakonodajo s področja varstva osebnih podatkov.
Ta pravilnik je splošni akt v smislu zakonodaje s področja delovnih razmerij in določa obveznosti, ki jih morajo delavci poznati zaradi izpolnjevanja svojih pogodbenih in drugih obveznosti.
Ta pravilnik velja tudi za osebe, ki pri podjetniku ali za podjetnika opravljajo delo na podlagi pogodb, ki niso pogodbe o zaposlitvi, vključno z dijaki in študenti.
V 3. in 4. odstavku tega člena navedene osebe ter druge osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke, morajo biti pred obdelavo osebnih podatkov seznanjene z določbami vsakokrat veljavnega zakona o varstvu osebnih podatkov, Uredbe (EU) o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: GDPR) ter z vsebino tega pravilnika in so pri obdelavi osebnih podatkov zavezane k zaupnosti. Katerakoli od oseb, navedenih v 3. in 4. odstavku tega člena in katerikoli od pooblaščenih/pogodbenih obdelovalcev, je dolžna/dolžan ob kakršnemkoli dvomu glede pomena navedenih predpisov ali določb tega pravilnika poiskati strokovno razlago oziroma pomoč pri podjetniku.
V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljata ZVOP-2 in GDPR.
2. člen (Opredelitev pojmov) V tem pravilniku imajo izrazi »osebni podatek«, »posebne vrste osebnih podatkov«, »zbirka«, »obdelava«, »posameznik«, upravljavec«, »obdelovalec«, »uporabnik«, »tretja oseba« in »privolitev posameznika, na katerega se nanašajo osebni podatki« enak pomen kot v GDPR, razen če so v nadaljevanju oziroma na posameznih mestih tega pravilnika drugače urejeni.
»Nosilec podatkov« pomeni vse vrste sredstev, na katerih so zapisani ali posneti osebni podatki (listine, akti, gradiva, spisi, računalniška oprema, fotokopije, zvočno in slikovno gradivo, itd.).
»Zaposleni« pomeni osebe, ki imajo s podjetnikom sklenjeno pogodbo o zaposlitvi, osebe, ki opravljajo delo pri podjetniku kot dijaki ali študenti, osebe, ki opravljajo delo pri podjetniku na podlagi pogodbe med podjetnikom in njihovim delodajalcem, ki opravlja dejavnost zagotavljanja dela drugim delodajalcem, ter osebe, ki opravljajo delo za podjetnika na podlagi pogodb civilnega prava.
»Varnostni incident« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
3. člen (Evidenca dejavnosti obdelave osebnih podatkov) Podjetnik zaradi neobstoja pogojev iz petega odstavka 30. člena GDPR ne vodi evidence dejavnosti obdelave osebnih podatkov.
4. člen (Obdelava osebnih podatkov, varnost in obveščanje posameznikov) Podjetnik pri sprejetju in izvajanju varnostnih ukrepov ter postopkov upošteva naravo osebnih podatkov in stopnjo tveganja, ki ga pomeni posamezna obdelava.
Pri podjetniku oziroma za potrebe podjetnika (s pomočjo obdelovalcev) se lahko obdelujejo le tisti osebni podatki, za katere obstaja ustrezna pravna podlaga po določbah GDPR ali druge aplikativne in vsakokrat veljavne zakonodaje s področja varstva osebnih podatkov. Če pravna podlaga za obdelavo ne obstaja, je potrebno osebne podatke takoj prenehati aktivno obdelovati in onemogočiti dostop do njih ter o neobstoju podlage obvestiti podjetnika, ki določi nadaljnje ravnanje s takimi podatki.
Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Kadar namerava podjetnik nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, je potrebno predhodno preveriti, ali je nov namen združljiv s prvotnim in izdelati o tem pisno poročilo.
Ukrepe za zagotovitev varnosti konkretnih zbirk osebnih podatkov, kot so med drugim psevdonimizacija in šifriranje, omejitev roka hrambe in dostopa, omejitev obdelave, omejitev namenov ipd., ter način izvedbe določi podjetnik.
Posebnih vrst osebnih podatkov podjetnik ne obdeluje in jih ne hrani.
O pridobitvi in obdelavi osebnih podatkov mora biti posameznik obveščen v skladu z določbami 12., 13. in 14. člena GDPR. Za izvedbo obvestil je pristojen podjetnik oz. s strani podjetnika pooblaščena oseba.
Podjetnik (za vsako posamezno zbirko) določi in vodi pisen seznam oseb, ki lahko zaradi narave svojega dela in/ali funkcije pri podjetniku obdelujejo določene osebne podatke oziroma imajo dostop do zbirk (v nadaljevanju »pooblaščeni obdelovalci«).
Pooblaščeni obdelovalci morajo biti pred obdelavo osebnih podatkov seznanjeni z določbami ZVOP-2, GDPR ter z vsebino tega pravilnika, o čemer so dolžni podpisati posebno izjavo.
Article 5
(Ensuring and realizing the rights of individuals)
The individual has the right to obtain confirmation from the entrepreneur as to whether his personal data is being processed, and if so, the right to obtain access to personal data (inspection) and information from Paragraph 1 of Article 15 of the GDPR.
Kadar obdelava temelji na privolitvi v obdelavo osebnih podatkov v enega ali več določenih namenov ima posameznik v skladu z določbami GDPR pravico, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica.
Posameznik ima pravico doseči, da podjetnik brez nepotrebnega odlašanja popravi netočne oziroma dopolni nepopolne osebne podatke v zvezi z njim. Posameznik ima pravico doseči, da podjetnik brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eden od naslednjih razlogov: • osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani; • posameznik prekliče privolitev, na podlagi katere poteka obdelava in za obdelavo ne obstaja nobena druga pravna podlaga; • posameznik obdelavi ugovarja v skladu z določbami GDPR (21. člen), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;
• osebni podatki so bili obdelani nezakonito; • osebne podatke je treba izbrisati za izpolnitev pravne obveznosti zaradi izpolnitve zakonskih obveznosti; • osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletnega posameznika.
Prejšnji odstavek tega člena se ne uporablja oziroma ne velja, če je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Posameznik ima pravico doseči, da podjetnik omeji obdelavo, kadar velja en od naslednjih primerov: • posameznik oporeka točnosti podatkov, in sicer za obdobje, ki podjetniku omogoča preveriti točnost osebnih podatkov; • je obdelava nezakonita in posameznik nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe; • podjetnik osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; • je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Posameznik ima pravico, da prejme osebne podatke ki jih je posredoval podjetniku, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga podjetnik pri tem oviral, kadar obdelava temelji na privolitvi.
Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.
Podjetnik poskrbi za to, da so posamezniki na primeren način, ki je skladen z zahtevami GDPR, obveščeni o pravicah iz prejšnjih odstavkov tega člena.
Za uveljavitev pravic posameznikov in za komunikacijo z njimi je zadolžen podjetnik.
6. člen (Ocena učinka v zvezi z varstvom podatkov) Podjetnik ali druga oseba, ki to zazna, je dolžna opozoriti na dejstvo, da bi lahko načrtovana obdelava osebnih podatkov, zlasti (toda ne izključno) z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave osebnih podatkov, povzročila veliko tveganje za pravice in svoboščine posameznikov.
V tem primeru podjetnik odloči, ali je potrebno izvesti oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Za samo izvedbo ocene učinka je odgovoren podjetnik. Vsi zaposleni, ki lahko dajo na razpolago potrebne podatke in ocene, so dolžni sodelovati.
Ocena učinka se izvede v pisni obliki in obsega vsaj: • sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva podjetnik; • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; • oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti z GDPR, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.
Če podjetnik ali druga oseba, ki je izdelala oceno učinka, ugotovi, da bi predvidena obdelava povzročila veliko tveganje, če podjetnik ne bi sprejel ukrepov za ublažitev tveganja, podjetnik presodi, ali je potrebno posvetovanje z nadzornim organom.
OPREDELITEV ZBIRK OSEBNIH PODATKOV
7. člen (Zbirke osebnih podatkov) Osebni podatki pri podjetniku se strukturirano obdelujejo v elektronski obliki v naslednjih zbirkah: • kadrovska evidenca, • evidence kupcev storitev in poslovnih partnerjev, • evidenco video gradiv izvedenih aktivnosti.
Osebni podatki kadrovske evidence se pri podjetniku strukturirano obdelujejo tudi v fizični obliki, in sicer v personalnih mapah.
8. člen (kadrovska evidenca) Zbirke osebnih podatkov zaposlenih se vzpostavijo ob sklenitvi delovnega oziroma pogodbenega razmerja oziroma se ažurirajo ob vsaki spremembi, ki jo javi zaposleni. Kadrovska evidenca vsebuje osebne podatke zaposlenih v skladu s pomenom tega izraza, opisanem v 2. členu tega pravilnika. Podjetnik zbira izključno osebne podatke, ki so obvezni v skladu s predpisi za posamezno pravno področje (npr. zakonodaja s področja delovnih razmerjih in predpisih s področja socialne varnosti, področje davčne zakonodaje ipd.). Podjetnik ne obdeluje osebnih podatkov zaposlenih v noben drug namen, jih ne posreduje nobenemu uporabniku oziroma drugi tretji osebi z izjemo tistih, ki za to izkažejo zakonit interes, prav tako pa podjetnik teh podatkov ne iznaša v tujino.
Kadrovska evidenca v elektronski obliki se hrani izključno v računalniku podjetnika, ki je zaščiten z vsemi tehničnimi ukrepi, opisanimi v tem pravilniku. Kadrovska evidenca je v obliki personalnih map shranjena v zaklenjeni ognjevarni omari.
Dostop do osebnih podatkov kadrovske evidence imata izključno podjetnik in za to pooblaščena oseba.
Vsi zaposleni pri podjetniku ob sklenitvi pogodbe, ki je podlaga za njihovo delo, podpišejo posebno izjavo o seznanitvi z vsemi dejstvi in pravicami, ki jih imajo v zvezi s temi podatki na podlagi ZVOP-2, GDPR in na podlagi tega pravilnika. Izjava je lahko del pogodbe o zaposlitvi. Tisti, ki so pri podjetniku že zaposleni, podpišejo takšno izjavo o seznanitvi naknadno.
Osebni podatki, ki se obdelujejo v kadrovski evidenci, se hranijo v času trajanja pogodb s posamezniki, na katere se ti podatki nanašajo, in še določen čas po prenehanju veljavnosti teh pogodb, če zakonodaja tako določa. Po izteku tega roka se podatki trajno izbrišejo. Osebni podatki, za katere posebna zakonodaja določa trajno hrambo, se po izteku roka iz tega odstavka ne brišejo.
9. člen (evidenca kupcev storitev in poslovnih partnerjev) Podjetnik vodi enotno evidenco kupcev svojih storitev in poslovnih partnerjev v elektronski evidenci, ki se nahaja na strežniku ponudnika tovrstnih storitev.
Podjetnik v evidenci kupcev storitev in poslovnih partnerjev ne obdeluje posebnih vrst osebnih podatkov, ampak zgolj kontaktne osebne podatke (ime in priimek, naslov, zaposlitev, telefonska številka, naslov elektronske pošte), na podlagi katerih je mogoče stopiti v stik s posamezniki, na katere se ti osebni podatki nanašajo. Prav tako podjetnik na podlagi podatkov iz te evidence ne izvaja avtomatiziranega sprejemanja posameznih odločitev niti na njihovi podlagi ne oblikuje profilov.
Dostop na strežnik z enotno evidenco kupcev svojih storitev in poslovnih partnerjev je mogoč le z uporabniškim imenom in geslom, s katerim razpolagajo izključno zaposleni pri podjetniku.
Obdelava vseh osebnih podatkov posameznikov v evidenci kupcev storitev in poslovnih partnerjev temelji na njihovi osebni privolitvi ali pa je obdelava teh podatkov skladna s 6. členom GDPR potrebna za izvajanje pogodb, katerih pogodbene stranke so posamezniki, na katere se osebni podatki nanašajo.
Osebni podatki, ki se obdelujejo v evidenci kupcev storitev in poslovnih partnerjev zaradi izvajanja pogodb, katerih pogodbene stranke so posamezniki, se hranijo in obdelujejo za obdobje, ki je potrebno za izpolnitev pogodbe, vključno z jamčevalnimi in zastaralnimi roki (ti so običajno 5 letni). Po izteku tega roka se podatki trajno izbrišejo.
Osebni podatki, ki se obdelujejo v evidenci kupcev storitev in poslovnih partnerjev na podlagi privolitve posameznikov, se iz te evidence trajno izbrišejo takoj, ko posameznik prekliče svoje soglasje.
Osebni podatki, za katere posebna zakonodaja določa trajno hrambo, se po izteku roka iz tega člena ne brišejo.
9.a člen (objave na družabnih omrežjih)
Podjetnik vodi enotno evidenco video gradiv izvedenih aktivnosti podjetnika. Za zbiranje in obdelavo podatkov, ki je predstavljeno v nadaljevanju, je deloma odgovoren podjetnik, deloma pa zadevni upravljavci platform družbenih omrežij. Pri določenih vidikih obdelave podjetnik in upravljavci platform delujejo kot skupno odgovorni v smislu člena 26 GDPR.
Podjetnik upravlja naslednje strani na družbenih omrežjih: • Facebook: [https://www.facebook.com/socatrout.flyfishing/] • Instagram: [https://www.instagram.com/socatrout.flyfishing/]
Za obdelavo osebnih podatkov iz evidence video gradiv izvedenih aktivnosti se smiselno uporabljajo določbe 9. člena tega pravilnika ter določbe Izjave o varstvu osebnih podatkov za naše strani na družbenih omrežjih, ki je objavljena na spletni strani upravljavca, kar morajo upoštevati vsi zaposleni in druge osebe podjetnika.
UKREPI ZA VAROVANJE OSEBNIH PODATKOV
10. člen (Varovanje prostorov in nosilcev podatkov) Prostori podjetnika se nahajajo v poslovni stavbi na naslovu ulica Trg golobarskih žrtev 50, 5230 Bovec. V teh prostorih se nahajajo nosilci podatkov in strojna ter programska oprema kot tudi omare z vsemi listinami zbirk iz 6. člena tega pravilnika (v nadaljnjem besedilu: varovani prostori) in so varovani z organizacijskimi ali/ter tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Vhod v prostore, v kateri se nahaja podjetnik, je možen le v delovnem času. Zaposleni imajo za dostop do prostorov. Prostori imajo vhodna vrata s ključavnico. Dostop v varovane prostore je mogoč in dopusten le v delovnem času, izven delovnega časa pa samo na podlagi dovoljenja podjetnika. V primeru, da posamezni zaposleni redno opravljajo delo tudi izven delovnega časa, v obliki nadur ali na drug način, lahko ti dostopajo v varovane prostore brez posebnega dovoljenja tudi izven rednega delovnega časa.
Varovani prostori ne smejo ostajati nenadzorovani oziroma jih je treba zaklepati ob odsotnosti zaposlenih, ki jih nadzorujejo.
V varovane prostore ne smejo brez spremstva ali prisotnosti zaposlenega, ki te prostore nadzoruje, vstopati osebe, ki niso zaposlene pri podjetniku. Zaposleni, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti.
Vzdrževalci, čistilci, varnostniki, serviserji, obiskovalci, poslovni partnerji se smejo zadrževati v varovanih prostorih samo z vednostjo zaposlenih. Izven delovnega časa se lahko delavci, kot so čistilci ali varnostniki, če je to nujno potrebno, gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
Nosilci osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oz. izven varovanih prostorov (hodniki, skupni prostori ipd.), morajo biti stalno zaklenjeni, razen kadar so neposredno v uporabi.
Posebnih vrst osebnih podatkov v nobenem primeru ni dovoljeno hraniti izven varovanih prostorov. Varovani prostori, v katerih se nahajajo nosilci podatkov, ki vsebujejo posebne vrste osebnih podatkov, morajo biti varovani tako, da je zagotovljen popolni nadzor nad delom in gibanjem v teh prostorih.
Zaposleni, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom nenadzorovano puščati nosilcev osebnih podatkov na pisalni mizi ali jih kako drugače izpostavljati nevarnosti, da bi nepooblaščene osebe dobile vpogled v osebne podatke ( tudi računalniški prikazovalniki morajo biti nameščeni tako, da stranke nimajo vpogleda vanje).
Ključe, kartice, gesla in ostala sredstva, ki omogočajo dostop do varovanih prostorov, je treba varovati, upravljati in hraniti vestno in skrbno. Vsako izgubo ali odtujitev ali sum o zlorabi, mora zaposleni takoj sporočiti podjetniku, ki mora sprejeti ustrezne ukrepe.
11. člen (Kraj obdelave osebnih podatkov) Obdelava osebnih podatkov je dovoljena le v prostorih podjetnika in zunaj, ko gre za izvajanje marketinških aktivnosti. Izjemoma je v primerih kadar delavec dela na domu ali na terenu ob uporabi tehnologije dostopa na daljavo dovoljena obdelava osebnih podatkov izven prostorov podjetnika, pri tem pa morajo biti zagotovljeni vsi potrebni ukrepi za zavarovanje osebnih podatkov.
Podjetnik dovoli iznos nosilcev osebnih podatkov, pri čemer je potrebno zabeležiti razlog za iznos nosilcev. Za več iznosov oziroma za ponavljajoče iznašanje se lahko da eno dovoljenje.
Posredovanje osebnih podatkov uporabnikom dovoli podjetnik. Posredovanje osebnih podatkov iz prejšnjega odstavka tega člena se ustrezno evidentira.
VAROVANJE PROGRAMSKE OPREME ZA OBDELAVO OSEBNIH PODATKOV
12. člen (Splošno) Dostop do programske opreme, s katero ali s pomočjo katere se obdelujejo osebni podatki, mora biti varovan na način, ki dovoljuje dostop samo za to vnaprej določenim zaposlenim in osebam, ki za podjetnika po pogodbi opravljajo servisiranje ali vzdrževanje strojne ali programske opreme, pri čemer si zaposleni med seboj ali s tretjimi osebami ne smejo izmenjevati ali razkrivati podatkov za dostop (ne glede na nivo pravic, ki jim je dodeljen).
Za dodeljevanje dostopa do programske opreme za zaposlene in vodenje evidence o tem je pristojen podjetnik.
Popravljanje, spreminjanje in dopolnjevanje (posodabljanje) programske opreme oziroma sestava navodil v zvezi s tem so v pristojnosti podjetnika.
Zaposleni ne smejo brez odobritve podjetnika na strojno opremo in druge naprave, ki so v lasti ali uporabi podjetnika, namestiti nobene programske opreme. Zaposleni ne smejo odnašati programske opreme iz prostorov podjetnika brez vednosti podjetnika.
Popravljanje, spreminjanje in dopolnjevanje (posodabljanje) programske opreme s strani zunanjih izvajalcev je dovoljeno samo na podlagi odobritve podjetnika, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo s podjetnikom sklenjeno pogodbo, ki vključuje ustrezne določbe o pogodbeni obdelavi osebnih podatkov.
Vse spremembe in dopolnitve programske opreme, je potrebno dokumentirati na način, ki omogoča sledljivost sprememb ali dopolnitev. Zaposleni, ki v okviru svojih delovnih nalog ustvari ali dovoli ustvariti kopijo (baze) osebnih podatkov za namene servisiranja, popravila, spreminjanja ali dopolnjevanja programske opreme ali za nudenje podpore, je dolžan poskrbeti, da se, ko preneha potreba, kopija učinkovito uniči ali izbriše.
Podjetnik podrobneje določi oziroma predpiše izdelavo kopij (baz) osebnih podatkov, tako da je mogoča restavracija osebnih podatkov v primeru neželenega izbrisa, spremembe ali uničenja osebnih podatkov ali nosilca, na katerem se nahajajo osebni podatki.
13. člen (Omejevanje in nadzor dostopa do osebnih podatkov) Dostop do osebnih podatkov preko programske opreme mora biti varovan z enotnim in centraliziranim sistemom gesel ali drugih varnih sredstev za avtorizacijo in identifikacijo uporabnikov. Pri programski opremi mora biti spremljanje dogodkov v posamezni aplikaciji, ki omogoča možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov,
uporabljeni ali drugače obdelovani ter kdo je to storil, in sicer za obdobje 5 let od zadnje obdelave osebnih podatkov.
Vsi računalniki oziroma programska oprema podjetnika so zavarovani z licencirano antivirusno opremo, ki onemogoča tudi nepooblaščene vdore v sistem in se samodejno posodablja v skladu z navodili proizvajalca omenjene opreme. Ob pojavu računalniškega virusa se tega čim prej odpravi, po potrebi s pomočjo ustrezne strokovne službe iz 5. odstavka prejšnjega člena, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu podjetnika. Vsak računalnik je dodatno zaščiten z osebnim varnostnim geslom, ki onemogoča odklepanje sistema nepooblaščenim uporabnikom. Vse zbirke osebnih podatkov, ki se vodijo v elektronski obliki, se varnostno shranjuje tudi na zunanjem trdem disku zaradi nevarnosti uničenja ali nepovratne onesposobitve trdega diska v računalniku, v katerem se nahaja.
Za določitev režima sistema oziroma načina dodeljevanja, hranjenja in spreminjanja gesel je pristojen podjetnik.
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hrani in varuje pred dostopom nepooblaščenih oseb. V primeru nepooblaščenega dostopa do teh podatkov se določi nova vsebina gesel.
14. člen (Hramba podatkov izven baz) Osebni podatki se lahko zgolj izjemoma, kadar je to glede na naravo dela nujno potrebno, shranjujejo in obdelujejo lokalno (na lokalnih računalnikih in drugih podobnih napravah). Po prenehanju potrebe po takem shranjevanju in obdelavi osebnih podatkov, se morajo osebni podatki prenesti v centralizirane baze podatkov ali pa se trajno izbrisati.
Morebitne kopije vsebin zbirk osebnih podatkov na lokalnih nosilcih (zunanji diski, USB-ključi in drugo) se hranijo v zaklenjenih omarah.
Morebitne kopije vsebine mrežnega strežnika in lokalnih postaj za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se hranijo na za to določenih mestih, ki morajo biti ustrezno varovana ter zaklenjena.
POGODBENA OBDELAVA OSEBNIH PODATKOV
15. člen (Splošno) Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov (obdelovalec), se sklene pisna pogodba, predvidena v 28. členu GDPR. Podjetnik s takšnim obdelovalcem sklene pogodbo zgolj ob zagotovilu, da ima implementirane vse ustrezne ukrepe za varstvo osebnih podatkov in izpolnjuje svoje dolžnosti, kot jih določa vsakokrat veljavni ZVOP-2 in GDPR ter ta pravilnik.
V pogodbi, sklenjeni v skladu s prvim odstavkom tega člena, morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Pred sklenitvijo pogodbe z obdelovalcem je zakoniti podjetnik dolžan od upravljalca pridobiti podatke, ki omogočajo preveritev, ali obdelovalec izpolnjuje zahteve zakonodaje s področja varstva osebnih podatkov; to vključuje tudi razkritje vseh podpogodbenih obdelovalcev, vključno z njihovimi nazivi in sedeži.
Že zgolj možnost dostopa do podatkov, četudi na izrecno zahtevo podjetnika (npr. v okviru servisnega posega na strojni opremi ipd.), se šteje za pogodbeno obdelavo v smislu 1. odstavka tega člena.
Obdelovalci smejo opravljati storitve obdelave osebnih podatkov samo v okviru pooblastil, podeljenih v pogodbi, in v okviru drugih ustrezno dokumentiranih navodil podjetnika in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen, k čemur se jih zaveže s pogodbo.
Obdelovalec mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
Poleg drugih zahtev si mora podjetnik v pogodbah z obdelovalci zagotoviti pravico, da najmanj enkrat letno pri pogodbenem obdelovalcu izvede pregled ali revizijo na področju varstva osebnih podatkov. Pregled ali revizijo je potrebno izvesti ob vsakem sumu ali indicu, da obdelovalec krši sklenjeno pogodbo ali da ne zagotavlja zadostne ravni varstva osebnih podatkov. Revizija se izvede na stroške podjetnika, pri čemer obdelovalec morebitnega angažmaja svojih ljudi in/ali podpogodbenih obdelovalcepri podjetniku ne sme zaračunati.
BRISANJE, UNIČENJE IN ANONIMIZACIJA OSEBNIH PODATKOV
16. člen (Splošno) Osebni podatki se lahko shranjujejo le toliko časa, kolikor določa zakon ali za čas, ki je potreben za izpolnitev pogodbe, vključno z jamčevalnimi in zastaralnimi roki (običajno znašajo ti 5 let), ali za čas, za katerega je posameznik privolil v obdelavo svojih osebnih podatkov. Rok hrambe za konkretne (baze) osebnih podatkov določi podjetnik.
Po prenehanju potrebe po vodenju osebnih podatkov se osebni podatki učinkovito izbrišejo, uničijo ali anonimizirajo, razen če zakon ali drug akt določa drugače. Uničenje, izbris ali anonimizacijo osebnih podatkov odredi podjetnik. O uničenju, izbrisu ali anonimizaciji osebnih podatkov se napravi zapisnik, ki ne sme vsebovati osebnih
podatkov posameznikov, katerih podatki so se izbrisali, uničili ali anonimizirali.
Za brisanje podatkov z računalnikov, strežnikov in podobnih naprav oziroma nosilcev osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča rekonstrukcija brisanih podatkov.
Podatki na fizičnih nosilcih, ki jih ni mogoče izbrisati, se uničijo na način, ki zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv. Točen način uničenja za posamezne tipe osebnih podatkov ali nosilcev določi podjetnik.
Prepovedano je odmetavati nosilce podatkov na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov.
UKREPANJE OB VARNOSTNIH INCIDENTIH V ZVEZI Z OSEBNIMI PODATKI
17. člen (Splošno) Zaposleni so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov takoj obvestiti podjetnika, sami pa morajo poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti.
Podjetnik ob vsakem sumu kršitve varstva osebnih podatkov takšno kršitev sporočit Informacijskemu pooblaščencu v 72 urah. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, podjetnik poskrbi za to, da so prizadeti posamezniki brez nepotrebnega odlašanja obveščeni o tem, da je prišlo do kršitve varstva osebnih podatkov. V primeru suma storitve kaznivega dejanja je potrebno varnostni incident prijaviti policiji ali tožilstvu.
18. člen (Interni ukrepi) Podjetnik poskrbi za to, da se po varnostnem incidentu opravi analiza vzrokov in predlog ukrepov, ki naj zmanjšajo ali izničijo tveganje za take in bodoče varnostne incidente, ter da se, če je to smiselno in mogoče, predlagani ukrepi tudi izvedejo.
Če se izkaže, da je varnostni incident povzročil ali bil pri njem udeležen zaposleni ali je do varnostnega incidenta prišlo zaradi malomarnosti s strani zaposlenega, podjetnik, ne glede na ostale določbe tega pravilnika, sprejme ustrezne delovnopravne ukrepe zoper zaposlenega.
ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV
19. člen (Splošno) Za nadzor nad izvajanjem postopkov in ukrepov za zavarovanje osebnih podatkov je odgovoren podjetnik, ki lahko za posamezne naloge pooblasti druge osebe, ki niso zaposlene pri podjetniku.
Nadzor iz 1. odstavka tega člena vključuje tudi postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Pri tem so dolžni sodelovati vsi zaposleni, pogodbeni sodelavci in druge osebe.
Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, s katerimi je bil seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja ali drugega pogodbenega razmerja, na podlagi katerega določena oseba opravlja delo za podjetnika.
Pred nastopom dela na delovnem mestu, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov. Izjava je lahko tudi del pogodbe o zaposlitvi.
Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami ZVOP-1 ter GDPR, izjava pa mora vsebovati tudi pouk o posledicah kršitve.
Za kršitev določil iz tega pravilnika so zaposleni pri podjetniku disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti. Odgovornost ne izključuje prekrškovne, kazenske ali odškodninske odgovornosti.
KONČNE DOLOČBE
20. člen (Datum uveljavitve) Ta pravilnik velja in se uporablja od 01.02.2023 naprej.
21. člen (Objava, dostopnost) Ta pravilnik se v elektronski obliki pošlje vsem zaposlenim pri podjetniku, v elektronski obliki ga hrani podjetnik v svojem centralnem računalniku, v fizični obliki pa se vloži v posebno mapo, ki je namenjena dokumentom s področja varovanja osebnih podatkov.
V Bovcu, januar 2023.
VARSTVO OSEBNIH PODATKOV NA DRUŽABNIH OMREŽJIH
Izjava o varstvu osebnih podatkov za naše strani na družbenih omrežjih
V nadaljevanju vas želimo seznaniti z ravnanjem z vašimi podatki skladno s 13. členom Splošne uredbe EU o varstvu podatkov (v nadaljevanju: GDPR).
1. Odgovornost Za zbiranje in obdelavo podatkov, ki ju predstavljamo v nadaljevanju, smo deloma odgovorni mi,
Soča Trout - Bojan Rusjan, športna dejavnost, s.p. Trg golobarskih žrtev 50, 5230 Bovec E-naslov: info@socatrout.com
deloma pa zadevni upravljavci platform družbenih omrežij. Pri določenih vidikih obdelave mi in upravljavci platform delujemo kot skupno odgovorni v smislu člena 26 GDPR (obdelava v skladu s 4. točko te izjave).
Mi upravljamo naslednje strani na družbenih omrežjih: • Facebook: [https://www.facebook.com/socatrout.flyfishing/] • Instagram: [https://www.instagram.com/socatrout.flyfishing/]
2. Odgovornost upravljavcev platform Na upravljanje osebnih podatkov, ki ga izvajajo upravljavci platform družbenih omrežij (npr. upravljanje sledilcev in deljenih informacij) ima podjetnik le omejen vpliv. Na področjih, na katere ima vpliv in na katerih lahko obdelavo osebnih podatkov, si v okviru možnosti, ki jih ima na voljo, prizadeva, da bi upravljavec platforme družbenega omrežja osebne podatke ustrezno varoval. Na številnih področjih pa na obdelavo osebnih podatkov, ki jo izvaja upravljavec platforme družbenega omrežja, ne more vplivati in tudi ne ve natančno, katere podatke ta obdeluje.
Upravljavec platforme upravlja celotno IT-infrastrukturo storitve, ima lastne določbe o varstvu osebnih podatkov in lastno uporabniško razmerje s posameznikom (če je registriran uporabnik storitve družbenega omrežja). Poleg tega je samo upravljavec platforme odgovoren za vsa vprašanja v zvezi s podatki uporabniškega profila posameznika, do katerega podjetnik nima dostopa.
Podrobnejše informacije o obdelavi podatkov, ki jo izvajajo ponudniki platform družbenih omrežij, in o nadaljnjih možnostih ugovora najdete v izjavi o varstvu podatkov posameznega ponudnika: - Facebook: https://www.facebook.com/privacy/explanation - Instagram: https://help.instagram.com/519522125107875
Pri uporabi platforme vaše osebne podatke običajno obdeluje tudi zadevni upravljavci platforme med drugim tudi na strežnikih v tretjih državah, zlasti v ZDA in Veliki Britaniji.
3.Naša odgovornost Namen obdelave podatkov z naše strani/pravna podlaga Namen obdelave podatkov z naše strani v okviru naših strani na družbenih omrežjih je seznanjanje kupcev s ponudbami, aktivnostmi, izdelki, novostmi v podjetju; interakcija z obiskovalci strani na družbenih omrežjih v zvezi s temi temami; ter odzivanje na ustrezna povratna vprašanja, pohvale ali kritike.
Pridržujemo si pravico, da nezakonite vsebine izbrišemo, kadar je to potrebno. To velja npr. za sporne in nezakonite objave, sovražne komentarje, opolzke komentarje (izrecno spolno obarvane vsebine) ali priloge (npr. slike ali videoposnetke), ki bi lahko kršili avtorske pravice, osebnostne pravice, kazensko zakonodajo ali naša etična načela.
Vaše vsebine evtl. delimo na svoji strani, kadar je to funkcija platforme družbenega omrežja, in z vami komuniciramo prek platforme družbenega omrežja. Pravna podlaga je člen 6(1f) GDPR. Obdelava podatkov se vrši z namenom promocije in komunikacije.
Kot smo že omenili, na področjih, kjer nam ponudnik platforme družbenega omrežja to omogoča, pazimo, da svoje strani na družbenih omrežjih oblikujemo čim bolj skladno z zahtevami varstva osebnih podatkov.
Podatke, ki jih vnesete na naših straneh na družbenih omrežjih, kot so npr. komentarji, videoposnetki, slike, všečki, javne novice itd., objavi platforma družbenega omrežja in jih nikoli ne uporabimo ali obdelamo za druge namene.
Prejemniki/kategorije prejemnikov: Vaše vsebine evtl. delimo na svoji strani, kadar je to funkcija platforme družbenega omrežja, in komuniciramo prek platforme družbenega omrežja. Če nam prek platforme družbenega omrežja postavite vprašanje, vas glede na potrebni odgovor evtl. napotimo na druge, varnejše poti komunikacije, ki zagotavljajo zaupnost. Vedno imate možnost, da nam zaupna vprašanja pošljete na naš naslov, naveden pod 1. točko.
Kar zadeva podatke, ki nam jih posredujete po zaupni poti (npr. s funkcijo pošiljanja zasebnega sporočila, v pismu ali po e-pošti), je posredovanje podatkov tretjim osebam praviloma izključeno. Izjemoma podatke po našem naročilu obdelujejo pogodbeni obdelovalci.
Vse vaše javne objave na naših straneh na teh družbenih omrežjih ostanejo časovno neomejeno objavljene na časovnici, razen če jih izbrišemo zaradi posodobitve prvotne teme, nezakonitosti objave ali kršitve naših smernic ali če objavo izbrišete vi sami.
Kar zadeva izbris vaših podatkov s strani upravljavca družbenega omrežja, na to ne moremo vplivati. Zato pri tem kot dopolnilo veljajo določbe o varstvu osebnih podatkov upravljavca družbenega omrežja/platforme.
4. Skupno upravljanje, člen 26(1) GDPR Z upravljavci sledečih storitev družbenega omrežja v določeni meri obstoji razmere skladno s 26(1) členom GDPR (skupna upravljavca):
):
• Facebook: https://en-gb.facebook.com/legal/terms/page_controller_addendum
Pri metodah spletnega sledenja, ki jih uporabljajo upravljavci platform družbenih omrežij, upravljavci platform in mi delujemo kot skupno odgovorni. Spletno sledenje lahko pri tem poteka neodvisno od tega, ali ste prijavljeni ali registrirani na platformi družbenega omrežja. Kot že omenjeno, tudi na metode spletnega sledenja s strani platforme družbenega omrežja žal skoraj ne moremo vplivati.
Tega npr. ne moremo izklopiti.
Pravna podlaga za metode spletnega sledenja je privolitev v skladu s členom člen 6(1a) GDPR.
Nadaljnje informacije o prejemnikih oz. kategorijah prejemnikov in o obdobju hrambe oz. merilih za določitev obdobja hrambe lahko najdete v izjavah o varstvu podatkov posameznih upravljavcev platform. Na te ne moremo vplivati.
Možnosti v zvezi z uveljavljanjem vaših pravic do onemogočenja teh metod spletnega sledenja lahko najdete v izjavah o varstvu podatkov posameznih upravljavcev platform, naštetih pod 2. točko. Kontaktirate lahko tudi upravljavce platform, in sicer s pomočjo kontaktnih podatkov, navedenih v sklopu pravnih informacij zadevnega upravljavca platforme.
V povezavi s statistikami, ki nam jih ponuja ponudnik platforme družbenega omrežja, lahko na te vplivamo in jih onemogočimo le pogojno. Pri tem izpostavljamo, da smo pozorni na to, da nam ponudnik ne posreduje nobenih dodatnih opcijskih statistik.
Zavedajte se naslednjega: ni mogoče izključiti, da ponudnik platforme družbenega omrežja ne bi uporabljal vaših profilnih podatkov in podatkov o spletnem vedenju za analizo vaših navad, osebnih odnosov, preferenc itd. Mi ne moremo vplivati na to, da ponudnik platforme družbenega omrežja obdeluje ali posreduje vaše podatke.
Mi smo prisotno tudi na Facebooku, kjer nastopamo kot upravljalec svoje Facebook strani, Facebook Ireland Ltc. pa nastopa kot upravljalec družbenega omrežja Facebook. V skladu s prvim odstavkom 26. člena Splošne uredbe o varstvu podatkov (GDPR) smo Facebook Ireland Ltd. (1. upravljalec) in mi (2. upravljalec) skupna upravljalca (joint controllers), ki procesirata Insights podatke Facebook strani našega podjetja (agregirani analitični podatki obiskovalcev).
Facebok Ireland Ltd. nam nudi dostop do anomiziranih statističnih podatkov obiskovalcev naše Facebook strani. Mi te podatke uporabljamo za optimiziranje naše Facebook strani, tako da obiskovalcem nudimo relevantnejšo vsebino. Pravna podlaga za obdelavo teh podatkov je legitimen interes (6. člen (1f) GDPR). Več informacij glede odgovornosti podjetja Facebook Ireland Ltd. in našega podjetja, skupaj s podrobnejšo razlago o tem, kateri podatki se zbirajo, kako se obdelujejo in katere pravice v zvezi s tem ima uporabnik, je možno najti v dokumentu Page Insights Controller Addendum in v dokumentu Facebook Data Privacy policy. Obiskovalec družbenega omrežja Facebook se mora zavedati, da objavlja vsebino in pošilja sporočila na Facebook strani našega podjetja na podlagi Facebook pravilnika o varstvu podatkov (Facebook Data Privacy Policy) in izbranih nastavitev zasebnosti, razen če ni drugje drugače določeno.
5. Obdelava podatkov v tretjih državah Če podatke posredujemo prejemnikom v tretji državi (s sedežem izven Evropskega gospodarskega prostora), lahko to izveste v informacijah o prejemnikih/kategorijah prejemnikov v opisu zadevne obdelave podatkov. Evropska komisija s tako imenovan sklepom o ustreznosti potrjuje, da imajo nekatere tretje države standard varstva podatkov, ki je primerljiv z ravnijo v Evropskem gospodarskem prostoru. Seznam teh držav je na voljo na https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sl. Če v državi ni primerljivega standarda za varstvo podatkov, zagotavljamo, da je varstvo podatkov ustrezno zagotovljeno z drugimi ukrepi. To je mogoče na primer prek zavezujočih poslovnih internih predpisov, standardnih pogodbenih klavzul Evropske komisije za varstvo osebnih podatkov, potrdil ali priznanih kodeksov ravnanja. Če želite več informacij o tem, se obrnite na našo pooblaščeno osebo za varstvo podatkov (razdelek 8).
Vaša uporaba platforme lahko povzroči tudi , da upravljavec platforme vaše podatke obdeluje v tretji državi (s sedežem zunaj Evropskega gospodarskega prostora). Za več informacij o obdelavi vaših podatkov v tretji državi, na katero mi nimamo vpliva, glejte izjave o varstvu podatkov upravljavcev platforme, navedene v razdelku 2.
6. Vaše pravice v zvezi z osebnimi podatki a) Pregled Ob pravici do preklica vaših, nam podeljenih soglasij imate ob obstoju posameznih zakonskih pogojev še naslednje pravice: • pravica do informacij o vaših pri nas shranjenih osebnih podatkih skladno s 15. členom GDPR, • pravica do popravka nepravilnih ali za dopolnitev nepopolnih podatkov skladno s 16. členom GDPR, • pravica do brisanja vaših pri nas shranjenih podatkov skladno s 17. členom GDPR, • pravica do omejitve obdelave vaših podatkov skladno z 18. členom GDPR, • pravica do prenosljivosti podatkov skladno z 20. členom GDPR, • pravica do ugovora v skladu z 21. členom GDPR.
Pravica do informacij skladno s 15. členom GDPR Skladno s prvim odstavkom 15. člena GDPR imate pravico na zahtevo brezplačno prejeti informacije o pri nas, o vas shranjenih osebnih podatkih. To obsega zlasti: • namene, za katere se osebni podatki obdelujejo; • vrste osebnih podatkov, ki se obdelujejo; • prejemnike oz. vrste prejemnikov, ki so jim bili osebni podatki o vas razkriti ali se jim še razkrivajo;
• načrtovano trajanje hrambe osebnih podatkov o vas, ali če konkretnih podatkov o tem ni mogoče pridobiti, merila za določitev obdobja hrambe; • obstoj pravice, da se zahteva popravek ali izbris osebnih podatkov o vas, obstoj pravice do omejitve obdelave osebnih podatkov s strani odgovornega ali obstoj pravice do ugovora taki obdelavi; • obstoj pravice do vložitve pritožbe pri nadzornem organu; • vse razpoložljive informacije o poreklu podatkov, če se osebni podatki ne pridobivajo pri zadevnem posamezniku; • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz prvega in četrtega odstavka 22. člena GDPR ter vsaj v takih primerih smiselne informacije o razlogih zanj kot tudi pomen in predvidene posledice take obdelave za zadevnega posameznika.
Če se osebni podatki posredujejo v tretjo državo ali mednarodni organizaciji, imate preko ustreznih garancij skladno s 46. členom GDPR pravico do obveščenosti v povezavi s posredovanjem podatkov.
Pravica do popravka skladno s 16. členom GDPR Pravico imate od nas zahtevati, da brez nepotrebnega odlašanja popravimo zadevne netočne osebne podatke.
Ob upoštevanju namenov obdelave imate pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
Pravica do izbrisa skladno s 17. členom GDPR Pravico imate od nas zahtevati, da zadevne osebne podatke brez nepotrebnega odlašanja izbrišemo, kadar velja eden od naslednjih razlogov: • osebni podatki niso več potrebni v namene, za katere so bili pridobljeni ali kako drugače obdelani; • prekličete vaše soglasje, na katerem temelji obdelava skladno s točko a, prvega odstavka 6. člena ali točko a, drugega odstavka 9. člena GDPR in ni druge pravne podlage za obdelavo; • v skladu s prvim in drugim odstavkom 21. člena GDPR ugovarjate obdelavi, za obdelavo pa glede na prvi odstavek 21. člena GDPR ne obstajajo nobeni prevladujoči zakoniti razlogi; • osebni podatki so bili obdelani nezakonito; • izbris osebnih podatkov je nujen za izpolnjevanje pravne obveznosti; • osebni podatki so bili pridobljeni v povezavi s ponujenimi storitvami informacijskih družb skladno s prvim odstavkom 8. člena GDPR.
Če smo objavili osebne podatke in smo jih obvezani izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejmemo razumne ukrepe, da tretje osebe, ki obdelujejo vaše osebne podatke, obvestimo, da tudi od njih zahtevate, naj izbrišejo vse povezave do teh osebnih podatkov ali njihove kopije.
Pravica do omejitve obdelave skladno z 18. členom GDPR Pravico imate od nas zahtevati omejitev obdelave, kadar velja eden od naslednjih pogojev: • oporekate točnosti osebnih podatkov; • obdelava je nezakonita in vi nasprotujete izbrisu osebnih podatkov ter namesto tega zahtevate omejitev njihove uporabe; • odgovorni osebnih podatkov ne potrebuje več za namene obdelave, zadevni posameznik pa jih potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali • ste vložili ugovor proti obdelavi skladno s prvim odstavkom 21. člena GDPR, dokler še ni določeno, ali pretehtajo razlogi odgovornega napram tistim prizadete osebe.
Pravica do prenosljivosti podatkov skladno z 20. členom GDPR Pravico imate prejeti zadevne osebne podatke, ki ste nam jih posredovali, v strukturirani, splošno uporabljani in strojno berljivi obliki, ter pravico, da te podatke posredujete drugemu odgovornemu, ne da bi ga mi pri tem ovirali, kadar: • temelji obdelava na soglasju skladno s točko a, prvega odstavka 6. člena ali točko a, drugega odstavka 9. člena GDPR ali na pogodbi skladno s točko b, prvega odstavka 6. člena GDPR in • poteka obdelava s pomočjo avtomatiziranih postopkov.
Pri izvajanju pravice do prenosljivosti podatkov imate pravico, da se osebni podatki prenesejo neposredno od nas k drugemu odgovornemu, kadar je to tehnično izvedljivo.
Pravica do ugovora skladno z 21. členom GDPR
Pod pogoji iz prvega odstavka 21. člena GDPR je mogoče obdelavi podatkov ugovarjati iz razlogov, povezanih z vašim posebnim položajem. Pričujoča splošna pravica do ugovora velja za vse v teh določilih o varstvu podatkov opisane namene obdelave, ki se obdelujejo na podlagi točka f prvega odstavka 6. člena GDPR. Drugače kot pri pravici do ugovora, posebej usmerjeni v obdelavo podatkov v reklamne namene, smo skladno s Splošno uredbo dolžni tovrstno splošno pravico do zavrnitve priznati le, če nam navedete razloge nadrejenega pomena, npr. morebitno nevarnost za življenje ali zdravje. Poleg tega obstaja možnost, da se obrnete na nadzorni organ, odgovoren za naše podjetje
Pravica do vložitve pritožbe pri nadzornem organu skladno s 77. členom GDPR Vedno imate možnost, da se obrnete na pristojen nadzorni organ (Informacijski pooblaščenec RS) ali na pooblaščenca za varstvo podatkov našega podjetja.
7. Kontaktna oseba Če imate kakršna koli vprašanja glede naših strani na družbenih omrežjih ali za uveljavljanje svojih pravic pri obdelavi vaših podatkov (pravice do varstva podatkov), se lahko obrnete nas na e-naslov iz razdelka 1.