PRAVILNIK O VARSTVU OSEBNIH PODATKOV (GDPR)
Pravica do zasebnosti je ena najpomembnejših človekovih pravic. Na spletni strani . LEP d.o.o. (v nadaljnjem besedilu: družba) se tega zelo dobro zavedamo, zato spoštujemo zasebnost svojih strank in z njihovimi osebnimi podatki ravnamo odgovorno, skrbno in v skladu z veljavno zakonodajo. Dostop do osebnih podatkov je dovoljen le pooblaščenemu osebju družbe in pogodbenim obdelovalcem, in sicer v obsegu in z namenom, ki je nujno potreben za nemoteno izvajanje, zagotavljanje in izpolnjevanje pravic in obveznosti iz sklenjenih pogodbenih razmerij.
Z ustreznimi ukrepi zagotavljamo, da nepooblaščene osebe nimajo dostopa do osebnih podatkov, varujemo njihovo zaupnost in celovitost ter preprečujemo njihovo izgubo ali nenamerno uničenje ves čas obdelave. Za morebitne "vdore" v računalniški sistem ne odgovarjamo!
Družba in njeni obdelovalci v celoti spoštujejo splošna načela glede obdelave osebnih podatkov, ki so:
- Osebne podatke uporabnikov obdelujemo zakonito, pošteno in pregledno.
- Osebne podatke zbiramo za vnaprej določene, izrecne in zakonite namene; osebnih podatkov ne obdelujemo za noben drug namen, razen v primeru obdelave v znanstveno- ali zgodovinskoraziskovalne namene in pod določenimi pogoji v statistične namene.
- Osebni podatki se obdelujejo v minimalnem obsegu za namene, za katere se obdelujejo.
- Zagotavljamo, da so osebni podatki, ki jih obdelujemo, točni in se redno posodabljajo; napačne podatke popravimo ali izbrišemo.
- Osebne podatke hranimo le toliko časa, kolikor je potrebno za namene, za katere jih obdelujemo.
- Z ustreznimi tehničnimi in organizacijskimi ukrepi zagotavljamo ustrezno varnost osebnih podatkov, ki vključuje preprečevanje nepooblaščene ali nezakonite obdelave ter nenamerne izgube, uničenja ali poškodovanja.
1. STIK ZA ZASEBNOST
Za vprašanja v zvezi z obdelavo in uporabo osebnih podatkov, informacijami, popravki, blokiranjem, izbrisom osebnih podatkov ali preklicem privolitve za obveščanje, preklicem privolitve se obrnite na [email protected] (v nadaljnjem besedilu: e-poštni naslov pod točko 1).
2. KATERI OSEBNI PODATKI SE ZBIRAJO.
- Osnovni osebni podatki (npr. ime in priimek);
- komunikacijski podatki (npr. naslov, pošta, telefonska številka);
- informacije o komunikaciji med družbo in vami;
- podatki o plačilih;
- vse druge podatke, pridobljene na podlagi privolitve.
3. KATERE SO PRAVNE PODLAGE ZA OBDELAVO VAŠIH OSEBNIH PODATKOV
Z osebnimi podatki lahko ravnamo v skladu z veljavno zakonodajo s področja varstva osebnih podatkov:
- če je to potrebno za sklenitev in/ali izpolnitev pogodbe (prijava na dogodek, delavnico itd.)
- če to zahteva zakon;
- če je dano soglasje (ki ga je mogoče kadar koli preklicati);
- če je obdelava potrebna za zakonite interese družbe ali tretje osebe.
3.1. OBDELAVA NA PODLAGI SKLENJENE POGODBE
Družba obdeluje osebne podatke posameznikov za izpolnjevanje obveznosti iz pogodbenega razmerja za organizacijo dogodkov, delavnic ali drugih storitev, dogovorjenih med pogodbenima strankama. V okviru uveljavljanja pravic in izpolnjevanja pogodbenih obveznosti družba obdeluje osebne podatke posameznikov za naslednje namene:
- identifikacijo posameznika;
- priprava ponudbe in sklenitev pogodbe;
- zagotavljanje storitev, pri čemer lahko družba podatke posreduje pogodbenim partnerjem, ki bodo izvajali posamezne storitve (npr. ponudnik prenočišč itd.).
- pošiljanje obvestil posameznikom v zvezi z izvajanjem pogodbenega razmerja;
- obveščanje o spremembah zakonodaje na določenem področju ali spremembah prodajnih pogojev;
- storitve izdajanja računov;
- reševanje ugovorov ali pritožb;
- izvajanje vseh postopkov izterjave, prodajo terjatev;
- za druge namene, ki so potrebni za sklenitev ali izvajanje pogodbenega razmerja.
Družba obdeluje podatke v obsegu, ki je nujno potreben za avtentikacijo in identifikacijo transakcij, za pripravo poročil in načrtovanje nadaljnjih dejavnosti.
Družba za namene organizacije dogodkov in z njimi povezanih storitev ali drugih storitev, ki jih naroči posameznik, obdeluje vse potrebne informacije. To vključuje zlasti, vendar ne izključno: ime, priimek, datum rojstva, naslov, kraj, državo, telefonsko številko, e-pošto itd.
Za pogodbeno obdelavo osebnih podatkov ne potrebujemo izrecne privolitve.
Na dogodkih ali delavnicah, ki so strogo povezani s fotografiranjem in objavo slik (na Facebooku, Twitterju, YouTubu in Instagramu), je treba upoštevati, da sta fotografiranje in objava slik del dogodka ali delavnice. Kljub temu, da sta fotografiranje in objava slik pogodbeno razmerje, bo družba še vedno pridobila izrecno soglasje posameznika. Če izrecno soglasje za fotografiranje in objavo slik ne bo podano in družba ne bo mogla zagotoviti, da posameznik ne bo na fotografiji, lahko upravičeno zavrne prijavo na tak dogodek ali delavnico.
Če posameznik ne posreduje vseh osebnih podatkov, ki jih družba potrebuje za izpolnitev pogodbenega razmerja, družba ne more izvršiti posameznikovega naročila. Družba pri tem vedno pridobi in nadalje obdeluje le tiste osebne podatke, ki so potrebni za izpolnitev pogodbenega razmerja.
3.2. OBDELAVA NA PODLAGI ZAKONA
Pravna podlaga pomeni, da družba obdeluje osebne podatke posameznika zaradi izpolnjevanja veljavnih pravnih obveznosti, ki jih nalaga zakonodaja. V Republiki Sloveniji pravne obveznosti za obdelavo določenih osebnih podatkov določajo zlasti:
Zakon o davku na dodano vrednost ZDDV-1;
Zakon o davčnem postopku;
Zakon o gospodarskih družbah;
Zakon o računovodstvu;
Pravilnik o izvajanju Zakona o davku na dodano vrednost;
Slovenski računovodski standardi.
Če družba obdeluje osebne podatke posameznika, ki je opravil spletni nakup ali naročilo storitve, hrani račun 10 let (kot tudi podatke posameznika/kupca na računu).
3.3. OBDELAVA NA PODLAGI ZAKONITEGA INTERESA
Družba lahko obdeluje podatke na podlagi zakonitega interesa, za katerega si prizadeva družba ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar se podatki nanašajo na otroka. V primeru nadaljnje uporabe zbranih podatkov o posamezniku družba izvede oceno v skladu s Splošno uredbo o varstvu podatkov. Takšna nadaljnja uporaba podatkov v psevdonimizirani ali združeni obliki na primer predstavlja zakonito uporabo podatkov za trženje in druge poslovne ali tehnične analize družbe.
V skladu s Splošno uredbo o varstvu podatkov spada tudi neposredno trženje med zakonite interese. Za namene neposrednega trženja lahko družba brez privolitve ustvari posamezne profile na podlagi osnovnih informacij o izbranih storitvah, kot so npr. vrsta ali posebne značilnosti izbrane storitve, čas izbire ali pretekli trženjski stiki s posameznikom, zlasti v zvezi z izraženim zanimanjem ali nezainteresiranostjo za določene storitve. Takšno osnovno profiliranje nikoli ne vključuje občutljivih podatkov. Posameznik lahko ugovarja obdelavi v skladu s pravico do omejitve (točka 7.4).
Družba lahko na podlagi zakonitega interesa stopi v stik s posameznikom, da bi izboljšala storitev ali ugotovila njegovo zadovoljstvo s storitvami, tudi če to ni nujno potrebno za izvajanje pogodbe. Zaradi interesa posameznikov družba ne vzpostavi stika s tistimi posamezniki, ki so temu nasprotovali.
Družba ima zakonit interes, da podatke hrani in nadalje uporablja za analize in raziskave za trženje, poslovno načrtovanje in podobno do izteka zakonsko predpisanega obdobja hrambe.
3.4. OBDELAVA NA PODLAGI PRIVOLITVE ZA OBDELAVO OSEBNIH PODATKOV
Izrecna privolitev je podlaga za obdelavo osebnih podatkov, za katero družba nima zakonske ali pogodbene pravne podlage. Privolitev se lahko na primer nanaša na:
- obveščanje o drugih ponudbah in storitvah družbe, ki se izvaja izključno prek komunikacijskega kanala, ki ga izbere posameznik;
- fotografiranje in snemanje dogodka ali delavnice z namenom predstavitve dejavnosti družbe ter objave fotografij, videoposnetkov in zvočnih posnetkov na spletnem mestu družbe ter v profilih na Facebooku, Twiterju, YouTubu in Instagramu.
Posameznik da soglasje sam, v primeru otroka pa soglasje poda eden od staršev ali zakoniti zastopnik.
V teh primerih se obdelava osebnih podatkov do preklica izvaja v obsegu in za namene, ki so dovoljeni z izjavo posameznika, in prek dogovorjenih komunikacijskih kanalov.
Če posameznik ne privoli v zbiranje in obdelavo osebnih podatkov za enega ali več namenov, določenih v individualni privolitvi, to nima nobenih posledic za podatke, katerih obdelava se izvaja na podlagi drugih pravnih podlag.
Osebni podatki, zbrani na podlagi privolitve, bodo obdelani samo v okviru in za namen dane privolitve in ne bodo posredovani tretjim osebam, razen če je to izrecno navedeno v privolitvi in se posameznik strinja, da se osebni podatki lahko posredujejo obdelovalcu, ki je naveden v privolitvi.
Posameznik lahko kadar koli prekliče privolitev za obdelavo osebnih podatkov, tako da se obrne na našo točko za varstvo podatkov (točka 8). Soglasje lahko prekličete z elektronskim sporočilom, poslanim na elektronski naslov iz točke 1.
4. KAKO DOLGO SE HRANIJO OSEBNI PODATKI
Osebni podatki se hranijo v skladu z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov. Hranijo se le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo, ali v skladu z zakonom. Osebne podatke, ki jih obdelujemo na podlagi osebne privolitve posameznika, hranimo trajno, do preklica. Osebne podatke, ki jih obdelujemo na podlagi zakona ali pogodbenega razmerja, hranimo tako dolgo, kot določa zakon.
Če se podatki obdelujejo na podlagi privolitve posameznika zaradi trženja družbe, se lahko podatki obdelujejo v potrebnem obsegu toliko časa, kolikor je potrebno za takšno trženje ali storitve.
Po izteku obdobja hrambe se osebni podatki dejansko in trajno izbrišejo ali anonimizirajo, tako da jih ni več mogoče povezati s posameznikom.
5. KAKO VARUJEMO OSEBNE PODATKE
Uporabljamo tehnične in organizacijske varnostne ukrepe za zaščito osebnih podatkov pred nezakonitim ali nepooblaščenim dostopom ali uporabo ter pred nenamerno izgubo ali oslabitvijo njihove celovitosti. Te ukrepe smo zasnovali glede na našo infrastrukturo IT, možen vpliv na zasebnost posameznika in stroške ter v skladu z veljavnimi industrijskimi standardi in praksami. Naši pogodbeni obdelovalci obdelujejo vaše osebne podatke le, če izpolnjujejo te tehnične in organizacijske varnostne ukrepe.
Zagotavljanje varnosti podatkov pomeni varovanje zaupnosti, celovitosti in razpoložljivosti osebnih podatkov:
- zaupnost in celovitost: osebni podatki posameznikov so zaščiteni pred nepooblaščeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo;
- razpoložljivost: zagotovimo, da lahko pooblaščeni obdelovalci dostopajo do osebnih podatkov le, če je to potrebno.
Naši varnostni postopki vključujejo varnost dostopa, varnostne kopije, spremljanje, revizijo in vzdrževanje, upravljanje varnostnih incidentov itd.
6. KDO OBDELUJE OSEBNE PODATKE
Glede na namene, za katere obdelujemo osebne podatke posameznikov, lahko te podatke razkrijemo naslednjim kategorijam obdelovalcev:
- a) znotraj podjetja zaposlenega.
- b) Naši poslovni partnerji od katerih zahtevamo, da spoštujejo veljavne zakone in politiko varstva osebnih podatkov ter posvečajo veliko pozornost zaupnosti osebnih podatkov:
- oglaševalske, trženjske in promocijske agencije in ponudniki.MailChimp, Google (Google - samo identifikator piškotka za remarketing, e-poštni naslov za prikazovanje oglasov v Google AdWords, identifikator piškotka za analizo v Google Analytics; Facebook - samo identifikator piškotka za remarketing, e-poštni naslov za prikazovanje oglasov v Facebook Custom Audiences), ki nam pomagajo izvajati in analizirati učinkovitost naših kampanj in promocij.
- podjetja, ki opravljajo storitve za družbo, tj. ponudnik računovodskih storitev
- fizične in pravne osebe, ki so naši pogodbeni partnerji. in opravljajo svetovalne ali individualne storitve za družbo z namenom izvajanja pogodbenega razmerja med družbo in posameznikom (npr. partnerske agencije, hoteli, letalske družbe, prevozniki itd.);
- c) Druge tretje osebe če to zahteva zakon ali je zakonsko predpisano za zaščito:
- Družba (skladnost z zakoni, zahtevami organov, sodnimi nalogi, pravnimi postopki, obveznostmi poročanja in obveščanja organov itd.), preverjanje ali uveljavljanje skladnosti s politiko in sporazumi družbe;
- pravice, premoženje ali varnost družbe in/ali njenih strank v zvezi s podjetniškimi transakcijami: v okviru prenosa ali odtujitve celotne ali delne dejavnosti družbe ali drugače v povezavi z združitvami, konsolidacijami, spremembami nadzora, reorganizacijo družbe.
Naši poslovni partnerji, našteti zgoraj v točki b), lahko obdelujejo osebne podatke posameznikov samo v okviru naših navodil in ne smejo uporabljati osebnih podatkov za uresničevanje lastnih interesov. Vsak posameznik se mora zavedati, da lahko obdelovalci, navedeni v točkah b) in c) zgoraj, zlasti ponudniki storitev, ki ponujajo storitve v okviru aplikacij in/ali prek lastnih kanalov, ločeno zbirajo vaše osebne podatke. V tem primeru so izključno odgovorni za njihov nadzor, njihovo sodelovanje s posamezniki pa mora potekati v skladu z njihovimi pogoji.
7. VAŠE MOŽNOSTI IN PRAVICE V ZVEZI Z VAŠIMI OSEBNIMI PODATKI
Družba zagotavlja, da posamezniki uveljavljajo svoje pravice brez nepotrebnega odlašanja, v vsakem primeru pa najkasneje v enem mesecu po prejemu zahteve. Družba lahko rok za uveljavljanje pravic posameznika podaljša za največ dva meseca, pri čemer upošteva zahtevnost in število zahtevkov. V primeru podaljšanja roka družba posameznika o podaljšanju obvesti v enem mesecu po prejemu zahteve in navede razloge za zamudo.
Kadar posameznik, na katerega se nanašajo osebni podatki, pošlje zahtevo po elektronski pošti, se informacije, kadar je to mogoče, zagotovijo v elektronski obliki, razen če posameznik zahteva drugače.
7.1. PRAVICA DO DOSTOPA DO PODATKOV
Vsak posameznik se lahko obrne na nas na e-poštni naslov E-naslov pod točko 1., da bi izvedel, katere osebne podatke obdelujemo. Vsak posameznik ima pravico do dostopa do osebnih podatkov in dodatnih informacij v zvezi z obdelavo osebnih podatkov, vključno z
- namen obdelave;
- kategorije osebnih podatkov;
- uporabnike in pravne osebe, ki so jim bili ali jim bodo razkriti osebni podatki;
- če je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, uporabljena za določitev obdobja hrambe;
- obstoj pravice od upravljavca zahtevati popravek ali izbris osebnih podatkov ali omejitev osebnih podatkov v zvezi s posameznikom, na katerega se osebni podatki nanašajo, ali obstoj pravice do ugovora taki obdelavi;
- pravico do pritožbe pri nadzornem organu;
- kadar se osebni podatki ne zbirajo od posameznika, vse razpoložljive informacije v zvezi z njihovim virom.
7.2. PRAVICA DO POPRAVKA
Če posameznik v svojih osebnih podatkih ugotovi kakršno koli napako ali če ugotovi, da so nepopolni ali napačni, lahko od družbe zahteva, da brez nepotrebnega odlašanja popravi ali dopolni netočne ali nepopolne osebne podatke.
7.3. PRAVICA DO IZBRISA
Posameznik lahko zahteva izbris svojih osebnih podatkov brez nepotrebnega odlašanja. Družba mora osebne podatke izbrisati brez nepotrebnega odlašanja:
- ko osebni podatki niso več potrebni za namene, za katere so bili zbrani ali drugače obdelani;
- če posameznik prekliče privolitev, ki je podlaga za obdelavo osebnih podatkov, in če za obdelavo ni druge pravne podlage;
- če posameznik ugovarja obdelavi na podlagi zakonitega interesa družbe, medtem ko za obdelavo osebnih podatkov ni prevladujočih pravnih razlogov;
- če posameznik nasprotuje obdelavi za namene neposrednega trženja;
- kadar je treba osebne podatke izbrisati zaradi izpolnitve pravne obveznosti v skladu s pravom EU ali slovenskim pravnim redom;
- v primeru nepravilno zbranih podatkov od mladoletne osebe za uporabo informacijske družbe, ki v skladu z veljavno zakonodajo ne more zagotoviti takšnih podatkov.
(razen v nekaterih primerih, na primer za dokazovanje transakcije ali če to zahteva zakon).
7.4. PRAVICA DO OMEJITVE
Vsak posameznik lahko zahteva omejitev obdelave svojih osebnih podatkov, kadar:
- izpodbija pravilnost podatkov, in sicer za obdobje, ki družbi omogoča, da preveri pravilnost osebnih podatkov;
- obdelava je nezakonita in posameznik nasprotuje izbrisu osebnih podatkov ter zahteva omejitev njihove uporabe;
- Družba osebnih podatkov ne potrebuje več za namene obdelave, vendar jih posameznik, na katerega se osebni podatki nanašajo, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- posameznik je vložil ugovor glede obdelave, dokler se ne preveri, ali zakoniti razlogi družbe prevladajo nad razlogi posameznika.
7.5. PRAVICA DO PRENOSLJIVOSTI PODATKOV
Vsak posameznik ima pravico prejeti osebne podatke, ki se nanašajo nanj in jih je posredoval družbi, v strukturirani, splošno uporabljani in strojno berljivi obliki ter pravico, da te podatke brez ovir družbe posreduje drugemu upravljavcu, kadar obdelava temelji na privolitvi na podlagi pogodbe ali na podlagi pogodbe in se obdelava izvaja z avtomatiziranimi sredstvi.
7.6. PRAVICA DO UGOVORA
Vsak posameznik ima na podlagi razlogov, povezanih z njegovimi posebnimi okoliščinami, pravico, da kadar koli ugovarja obdelavi svojih osebnih podatkov na podlagi pravnih interesov, za katere si prizadeva družba ali tretja oseba. V tem primeru Družba preneha obdelovati osebne podatke, razen če se izkaže, da so potrebni razlogi za obdelavo, ki prevladajo nad posameznikovimi interesi, pravicami in svoboščinami, ali za uveljavljanje ali obrambo pravnih zahtevkov. Kadar se osebni podatki obdelujejo za namen neposrednega trženja, ima vsak posameznik pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, če se nanaša na tako neposredno trženje. Če neposredno trženje temelji na privolitvi, se lahko pravica do ugovora uveljavlja s preklicem dane privolitve.
8. NA KOGA SE LAHKO OBRNEM, ČE IMAM VPRAŠANJA V ZVEZI S SVOJIMI OSEBNIMI PODATKI
Organizirali smo kontaktno točko, ki bo odgovorila na vaša vprašanja ali zahteve v zvezi z vašimi osebnimi podatki (in njihovo obdelavo) ter uveljavljanjem vaših pravic. Pošljete nam lahko e-poštni naslov pod točko 1.
Za zanesljivo identifikacijo pri uveljavljanju pravic, povezanih z osebnimi podatki, lahko od vas zahtevamo dodatne podatke, ukrepanje pa lahko zavrnemo le, če dokažemo, da vas ne moremo zanesljivo identificirati.
9. PRAVICA DO VLOŽITVE PRITOŽBE V ZVEZI Z OBDELAVO OSEBNIH PODATKOV
Vsakdo ima pravico vložiti pritožbo v zvezi z obdelavo osebnih podatkov Pritožbe je treba poslati na e-poštni naslov iz točke 1. Prav tako imate pravico vložiti pritožbo neposredno pri Informacijskem pooblaščencu, če menite, da obdelava osebnih podatkov v zvezi z vami krši slovenske predpise ali predpise EU o varstvu osebnih podatkov. Če ste uveljavljali pravico do dostopa do podatkov in po prejemu odločbe menite, da osebni podatki, ki ste jih prejeli, niso osebni podatki, ki ste jih zahtevali, ali da niste prejeli vseh zahtevanih osebnih podatkov, lahko pred vložitvijo pritožbe pri Informacijskem pooblaščencu v 15 dneh vložite obrazloženo pritožbo na Družbo. Družba bo o pritožbi odločila kot o novi zahtevi v petih delovnih dneh po prejemu.
GDPR začne veljati z dnem 09.04.2019.