Ni izdelkov v košarici.
Vrni se v trgovinoPRAVILNIK O VAROVANJU OSEBNIH PODATKOV
I. SPLOŠNE DOLOČBE
1. člen (predmet urejanja)
S tem pravilnikom se podrobneje urejajo pravila, načela, varnostni ukrepi in postopki obdelave osebnih podatkov posameznikov v zvezi z delovanjem Zavod Podjetni (v nadaljevanju upravljavec).
Pogoji zasebnosti so pripravljeni v skladu z Zakonom o varstvu osebnih podatkov (ZVOP-1, Ur. list RS, št. 94/2007 in sprem.), Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, GDPR), Zakonom o elektronskih komunikacijah (ZEKom-1, Ur. list RS, št. 109/12 in sprem.) ter drugo slovensko in evropsko zakonodajo, ki ureja posamezna področja.
Upravljavec osebnih podatkov uporabnikov je:
Zavod Podjetni, Studenška Ulica 109, Maribor
Matična številka: 8789665000
Davčna številka: 16142063
Datum vpisa pri registrskem organu: 07.01.2021
Registrski organ: Okrožno sodišče Maribor
Zastopnik: Babuder Mojca, direktor
Glavna dejavnost po SKD: 85.590 (D.n. izobraževanje, izpopolnjevanje in usposabljanje)
Naziv in naslov banke: Delavska hranilnica d.d., Ljubljana
Imetnik računa: Zavod podjetni
IBAN: SI56 6100 0002 5065 826
Koda SWIFT oz. BIC: HDELSI22
2. člen (opredelitev pojmov)
Pogoji zasebnosti
Pogoji zasebnosti so interni akt upravljavca in veljajo za vsa pravna razmerja med njim, obdelovalci in uporabniki. Akt določa pravice in obveznosti upravljavca in obdelovalcev pri upravljanju in obdelovanju osebnih podatkov uporabnikov.
Osebni podatek
Osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom, ki je fizična oseba. Določen posameznik je tisti, katerega osebni podatki so določeni in obdelovani v skladu z nameni, ki jih določi upravljavec. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti ter njegove osebne podatke obdelovati v skladu z nameni, ki jih določi upravljavec.
Uporabnik
Uporabnik je posameznik, ki je fizična oseba, katere osebni podatki so obdelovani na zakoniti ali pogodbeni podlagi med upravljavcem in tem posameznikom ali na podlagi izrecne privolitve, ki jo je posameznik dal upravljavcu.
Upravljavec
Upravljavec določa namene in sredstva obdelave v okviru svoje registrirane dejavnosti in/ali zakonskih pooblastil. Uporabnik je vnaprej seznanjen, kdo je upravljavec osebnih podatkov in kdo je obdelovalec njegovih osebnih podatkov.
Obdelovalec
Obdelovalec obdeluje osebne podatke posameznikov v imenu upravljavca, po njegovih navodilih, v okviru zakonitih namenov in načinov obdelave. Upravljavec zagotavlja uporabniku podatke o obdelovalcih njihovih osebnih podatkov v teh pogojih zasebnosti.
Podobdelovalec
Podobdelovalec obdeluje osebne podatke posameznikov v imenu in po navodilih obdelovalca, v okviru zakonitih namenov in načinov obdelave. Podobdelovalec neposredno odgovarja obdelovalcu, obdelovalec upravljavcu.
Obdelava
Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
3. člen (načela v zvezi z obdelavo osebnih podatkov)
Osebni podatki so obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (zakonitost, poštenost in preglednost).
Osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena).
Osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov).
Osebni podatki so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točnost in posodobljenost).
Osebni podatki so hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe).
Osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost, zaupnost in razpoložljivost).
Upravljavec in obdelovalec morata biti vedno zmožna dokazati skladnost svojih obdelav osebnih podatkov, skladno s prejšnjimi odstavki tega člena ter morata voditi tudi ustrezno predpisano dokumentacijo v skladu z zakonom (odgovornost).
II. OSEBNI PODATKI
4. člen (vrste osebnih podatkov)
Vrste osebnih podatkov uporabnikov, ki jih obdelujemo za vnaprej določene namene:
5. člen (zakonitost obdelave)
Obdelava je zakonita le in kolikor:
Obdelava osebnih podatkov za druge namene kot za tiste, za katere so bili osebni podatki prvotno zbrani, je dovoljena le, kadar ni nezdružljiva z nameni, za katere so bili osebni podatki prvotno zbrani ali kadar to določa zakon.
6. člen (izrecna privolitev kot pravna podlaga
Izrecna privolitev je podlaga za obdelavo tistih osebnih podatkov, za katere upravljavec nima zakonite ali pogodbene pravne podlage za obdelavo. Osebna privolitev uporabnika je njegova prostovoljna izjava volje, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih zagotavlja upravljavec s temi pogoji zasebnosti in neposredno na spletni strani, preden uporabnik izrecno privoli v obdelavo.
7. člen (javni interes)
Upravljavec lahko obdeluje osebne podatke uporabnikov, v kolikor je obdelava potrebna za:
1. opravljanje nalog v javnem interesu ali
2. za izvajanje javne oblasti, ki je bila dodeljena upravljavcu.
8. člen (namen zbiranja osebnih podatkov)
Upravljavec obdeluje osebne podatke uporabnikov za namene, ki so navedeni ter pri tem opredeljuje pravno podlago, na kateri te podatke obdeluje in določa, ali je izrecna privolitev uporabnika potrebna ali ne:
9. člen (Novi nameni za obdelavo osebnih podatkov)
Upravljavec lahko obdeluje osebne podatke za nove namene, za katere nima ustrezne pravne podlage in ne izrecne privolitve le pod pogojem, da uporabniku zagotovi vse potrebne informacije za obdelavo njegovih osebnih podatkov za nove namene in od njega pridobi novo izrecno privolitev za obdelavo osebnih podatkov.
Upravljavec lahko posreduje osebne podatke uporabnikov tretjim le v primeru kazenskih in civilnih postopkov v obsegu, kot ga določa zakonodaja.
III. PRAVICE UPORABNIKOV
10. člen (pravica dostopa)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, dostop do osebnih podatkov in naslednje informacije:
11. člen (pravica do popravka)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
12. člen (pravica do izbrisa)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati.
Upravljavec je dolžan izbrisati osebne podatke zlasti:
Kadar upravljavec objavi osebne podatke in je v skladu s prvim odstavkom tega člena osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
13. člen (pravica do omejitve obdelave)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od primerov, določenih v 18. členu Splošne uredbe.
Kadar je bila obdelava osebnih podatkov omejena v skladu s prvim odstavkom tega člena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.
Upravljavec, ki je dosegel omejitev obdelave v skladu s prvim odstavkom tega člena, pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.
14. člen (obveznost obveščanja)
Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu z določbami prejšnjih členov tega poglavja in Splošne uredbe, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor.
Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
15. člen (pravica do prenosljivosti podatkov)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:
Pri uresničevanju pravice do prenosljivosti podatkov v skladu s prvim odstavkom tega člena ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.
Uresničevanje pravice do prenosljivosti podatkov ne posega v pravico do izbrisa.
Pravica iz prvega odstavka tega člena ne vpliva negativno na pravice in svoboščine drugih.
16. člen (pravica do ugovora)
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Upravljavec mora vedno ugoditi zahtevi uporabnika, ko ta ugovarja, da se njegovi osebni podatki obdelujejo za namene neposrednega trženja, vključno z oblikovanjem profilov, kolikor je to povezano z neposrednim trženjem. Upravljavec mora prenehati obdelovati te osebne podatke za namene
neposrednega trženja.
V ta namen ima upravljavec na mestih, kjer od uporabnika pridobi privolitev za obdelavo njegovih podatkov za namene neposrednega trženja, jasno in ločeno informacijo, da lahko uporabnik kadarkoli prekliče privolitev in ugovarja obdelavi teh podatkov za te namene.
17. člen (preklic izrecne privolitve)
Upravljavec je zavezan, da pri vsaki obliki neposrednega trženja da uporabniku možnost, da z obvestilom preko elektronske pošte izpolni pravico do izvzetja, ki mu jo zagotavlja zakonodaja.
Upravljavec v 15 dneh prepreči uporabo osebnih podatkov za namen neposrednega trženja ter o tem obvesti uporabnika, ki je to zahteval in sicer pisno v nadaljnjih petih dneh ali na drug dogovorjen način.
18. člen (pravica do pritožbe)
Uporabnik lahko, če meni da so mu kršene pravice iz teh pogojev zasebnosti, vloži pritožbo pri pristojnem nadzornem organu, ki je v Republiki Sloveniji: Urad informacijskega pooblaščenca.
IV. POSTOPEK UVELJAVLJANJA PRAVIC
19. člen (Evidenca dejavnosti obdelave osebnih podatkov)
Zavod vodi evidenco o vrsti osebnih podatkov, s katerimi razpolaga kot upravljavec ali obdelovalec. Vrste zbirk osebnih podatkov, ki jih družba vodi, so določene v Katalogu evidenc osebnih podatkov, ki je priloga tega pravilnika.
Evidenca osebnih podatkov vsebuje zlasti, ne pa izključno oziroma nujno, podatke o:
20. člen (zagotavljanje preglednih informacij)
Posameznika, na katerega se nanašajo osebni podatki, katerih obdelava temelji na zakonski podlagi, pogodbeni podlagi oz. je izkazan zakonit interes, se z javno objavo na svoji internetni strani, obvesti, s čimer se šteje, da je posameznik seznanjen s pravicami, ki mu gredo po tem pravilniku, zakonu, ki ureja varstvo osebnih podatkov in Splošni uredbi.
21. člen (zahteva o varstvu osebnih podatkov)
Zahtevo za uveljavljanje pravic v skladu s 15. do 22. členom Splošne uredbe se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov (obrazec priložen).
Upravljavec posamezniku, na katerega se nanašajo osebni podatki, ob prejemu zahteve, če je to vsebovano v zahtevi, pisno ali na drug način potrdi njen prejem. Če to zaradi načina vložitve zahteve ni mogoče, mu potrditev v pisni obliki pošlje v sedmih delovnih dneh od njenega prejema.
Upravljavec o zahtevi posameznika, na katerega se nanašajo osebni podatki, odloči brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev.
Če upravljavec o zahtevi ne ravna skladno s prejšnjim odstavkom, se šteje, da je zahtevo zavrnil.
Odločba oziroma pisno obvestilo mora vsebovati obrazložitev razlogov za odločitev in informacijo o možnosti pritožbe.
V postopku odločanja o zahtevi o varstvu osebnih podatkov se neposredno uporabljajo določbe Splošne uredbe ter zakon, ki ureja varstvo osebnih podatkov.
22. člen (sodno varstvo pravic posameznika)
Posameznik, na katerega se nanašajo osebni podatki, ki ugotovi, da so kršene njegove pravice, določene z Splošno uredbo, zakonom, ki ureja varstvo osebnih podatkov ali tem pravilnikom, lahko zahteva sodno varstvo tudi v skladu z zakonom, ki ureja obligacije, pred pristojnim sodiščem, ki odloča po zakonu, ki ureja pravdni postopek.
Postopek iz tega člena je nujen in prednosten.
V. POSTOPEK RAVNANJA V PRIMERU KRŠITVE VARSTVA OSEBNIH PODATKOV
23.člen (obvestilo Informacijskemu pooblaščencu)
V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, uradno obvesti Informacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene človekove pravice in temeljne svoboščine posameznika. Kadar uradno obvestilo Informacijskemu pooblaščencu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.
Upravljavec oz. obdelovalec takoj po zaznani kršitvi zavarujeta dnevniške zapise in druge podatke, na podlagi katerih bi se dalo ugotoviti dejstva v zvezi s kršitvijo, ter jih na poziv predložita Informacijskemu pooblaščencu.
Uradno obvestilo iz prvega odstavka tega člena vsebuje vsaj:
Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe v Knjigi evidenc o kršitvi varstva osebnih podatkov. Ta dokumentacija Informacijskemu pooblaščencu omogoči, da preveri skladnost s tem členom.
24. člen (obvestilo upravljavcu)
Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti tudi upravljavca.
25. člen (obvestilo posamezniku, na katerega se nanašajo osebni podatki)
Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja v skladu z drugim odstavkom tega člena sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.
V sporočilu posamezniku, na katerega se nanašajo osebni podatki, je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz druge, tretje in četrte točke tretjega odstavka 39. člena tega pravilnika.
Sporočilo posamezniku, na katerega se nanašajo osebni podatki, ni potrebno, če je izpolnjen kateri koli izmed pogojev iz 3. odstavka 36. člena Splošne uredbe.
VI. ROK HRAMBE IN IZBRIS OSEBNIH PODATKOV
26. člen (rok hrambe)
Rok hrambe osebnih podatkov je zaradi spoštovanja določenega namena obdelave osebnih podatkov omejen na najkrajše možno obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi katerega so se osebni podatki zbrali in nadalje obdelovali, razen če zakon za posamezne obdelave določa rok hrambe.
Po prenehanju potrebe po obdelavi osebnih podatkov, se podatki zbrišejo oziroma uničijo nosilci podatkov.
27. člen (izbris podatkov)
Brisanje osebnih podatkov na računalniških medijih se ob upoštevanju določb tega pravilnika in Splošne uredbe ter zakona, ki ureja varstvo osebnih podatkov, opravi na način in po postopku ter metodi, ki onemogoča restavriranje brisanih podatkov.
Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo pod nadzorom odgovorne osebe, tako da se bodisi papir razreže ali pa odda v industrijsko predelavo.
Z vestnostjo in skrbnostjo, določeno s tem pravilnikom za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke.
VII. PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE
28. člen (tretje države ali mednarodne organizacije)
Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju določb Splošne uredbo oz. zakona, ki ureja varstvo osebnih podatkov lahko izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo.
Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Evropska Komisija s sklepom predhodno ugotovila, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje Informacijskega pooblaščenca.
Če Evropska Komisija za zadevno tretjo državo ali mednarodno organizacijo ni sprejela sklepa o tem, da zagotavlja ustrezno raven varstva podatkov, lahko upravljavec ali obdelovalec osebne podatke prenese v to državo ali mednarodno organizacijo le ob upoštevanju določb Splošne uredbe o varstvu podatkov ter če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.
VIII. PREHODNE IN KONČNE DOLOČBE
29. člen (reševanje sporov)
Upravljavec in uporabnik se zavezujeta morebitna nesoglasja in spore reševati mirno in sporazumno. Kolikor sporazumna rešitev ne bo mogoča, je za reševanje spora pristojno sodišče v Republiki Sloveniji po sedežu upravljavca.
30. člen (krajevna pristojnost)
Pogoji zasebnosti veljajo za vse uporabnike, ne glede na državo dostopa in za vse vrste obdelav osebnih podatkov, ne glede na sedež uporabnika.
31. člen (objava in začetek veljavnosti tega pravilnika)
Ta pravilnik se objavi na spletni strani podjetni.si in začne veljati z dnem 01.02.2022 naslednji dan po objavi.