Politika zasebnosti na portalu 1nadan.si
Ta dokument predstavlja politiko varstva osebnih podatkov po splošni uredbi o varstvu podatkov (GDPR) za podjetje Media Lab d.o.o. (v nadaljevanju Upravljalec).
Upravljalec upravlja z družino spletnih storitev (v nadaljevanju Storitve), namenjenih oglaševanju, promociji, trženju in prodaji (1nadan.si). Upravljalec za svojo osnovno delovanje obdeluje in hrani osebne podatke uporabnikov storitev (v nadaljevanju Posameznik).
Posameznik Storitve, ki jih Upravljalec ponuja, uporablja za lastno korist, na lastno odgovornost in prostovoljno. Na enak način Posameznik tudi deli svoje osebne podatke z Upravljalcem, saj Upravljalec za zagotavljanje čimboljše kvalitete Storitve od Posameznika potrebuje čimveč informacij, oziroma si Posameznik s posredovanjem osebnih podatkov Upravljalcu personalizira izkušnjo pri uporabi Storitev.
Upravljalec se zavezuje k zakonitemu in korektnemu ravnanju z osebnimi, občutljivimi in komercialno občutljivimi podatki, kar je nujno potrebno za uspešno delovanje in zagotovitev kvalitete Storitev.
Zavezujemo se k spoštovanju načel v zvezi z obdelavo osebnih podatkov Posameznikov, ki so:
- Zakonitost, pravičnost in preglednost
- Omejitev namena
- Najmanjši obseg podatkov
- Točnost
- Omejitev shranjevanja
- Celovitost in zaupnost
- Odgovornost
Upravljalec mora za zagotavljanje kvalitetnih storitev in za izvrševanje zakonskih obveznosti zbirati Posameznikove osebne podatke in jih hraniti in z njimi ravnati ustrezno in v skladu z načeli za obdelavo osebnih podatkov.
Upravljalec mora za skladnost z zakonom zagotoviti vsaj en legitimen razlog za obdelavo (zbiranje, uporaba, upravljanje ali razkritje) osebnih podatkov. V nekaterih okoliščinah privolitev Posameznika ni potrebna.
Politika varstva podatkov je sestavljena tako, da razlaga in zagotavlja skladnost z zakonom. Kjer obstaja možnost dvoumnosti, dokument poskuša razložiti podrobno in razumljivo, za zmanjšanje tveganja in s tem zaščito Posameznika.
Splošna uredba o varstvu podatkov (GDPR) zahteva jasno, razumljivo in pregledno razlago načinov obdelave osebnih podatkov Posameznika, kar je razloženo v tem dokumentu, s čimer se tudi dokazuje skladnost z zakonom.
- Upravljalec podatkov pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje in hrani osebne podatke;
- Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
- psevdonimizacija - obdelava osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;
- zbirka pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
- obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
- privolitev posameznika, na katerega se nanašajo osebni podatki pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
- kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
- predstavnik pomeni fizično ali pravno osebo s sedežem v Evropski Uniji, ki jo pisno imenuje upravljalec ali obdelovalec, ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi
Politika varstva podatkov bo redno pregledana in revidirana za zagotavljanje skladnosti z zakonom.
Načela zahtevajo, da osebni podatki:
- Se obdelujejo pošteno in zakonito, kar pomeni, da mora Upravljalec:
- Imeti zakonite razloge za zbiranje in uporabo osebnih podatkov
- Ne uporablja podatkov na načine, ki imajo neupravičene škodljive učinke na Posameznika
- Biti pregleden glede tega, kako namerava Upravljalec uporabljati podatke in nuditi Posamezniku ustrezna jasna pojasnila, ko zbira Posameznikove osebne podatke
- Osebne podatke Posameznika uporabljati samo za namene, za katere so osebni podatki bili pridobljeni
- Poskrbeti, da Upravljalec z osebnimi podatki ne bo storil nič nezakonitega
- So zbrani samo za enega ali več namenov, jasno opredeljenih v tem dokumentu in se ne obdelujejo na noben način, neskladen s temi nameni. To pomeni, da mora Upravljalec:
- Biti jasen o razlogih za zbiranje osebnih podatkov in kaj namerava z njimi početi
- Biti skladen z načeli v zvezi z obdelavo osebnih podatkov
- Zagotoviti ponovno pridobivanje privolitve, če želi Upravljalec osebne podatke obdelovati za namene, ki niso skladni s prvotnimi nameni obdelave osebnih podatkov
- So zadostni, relevantni in ne preobširni za namene obdelave. To pomeni da:
- Upravljalec hrani osebne podatke Posameznika, ki so zadostni za obdelavo informacij, ki se tičejo Posameznika
- Upravljalec ne hrani podatkov, ki za obdelavo niso potrebni
- So točni, kjer je mogoče, posodobljeni. To pomeni da mora Upravljalec:
- Posrkbeti za ustrezne korake za zagotavljanje točnosti podatkov
- Poskrbeti, da je vir osebnih informacij jasen
- Previdno preveriti kakršnekoli izzive glede točnosti informacij
- Premisliti, ali je nujno posodobiti informacije
- Niso hranjeni dlje časa, kot je to potrebno za namen obdelave, za katerega so bili pridobljeni. To pomeni, da mora Upravljalec:
- Preveriti čas hranjenja osebnih podatkov
- Razmisliti o namenu ali namenih hranjenja osebnih informacij in času hranjenja le-teh
- Varno izbrisati osebne informacije, ki jih več ne potrebuje za namene obdelave osebnih informacij, za katere so bili pridobljeni
- Posodabljati, arhivirati in varno brisati osebne podatke, ki niso več aktualni
- So obdelani v skladu s pravicami Posameznika, kot so opisane v tem dokumentu. To pomeni, da ima Posameznik:
- Pravico do dostopa do kopije podatkov, ki jih Upravljalec hrani o Posamezniku
- Pravico do odstopa od obdelave podatkov, v primeru, da obdelava lahko kakorkoli škodi Posamezniku
- Pravico do odstopa od obdelave podatkov za namen direktnega trženja
- Pravico do odklonitve sprejemanja odločitev na osnovi avtomatskega procesiranja osebnih podatkov
- Pravico do, v nekaterih okoliščinah, popravka, izbrisa ali blokade neveljavnih, oziroma nepravilnih osebnih podatkov
- Pravico do kompenzacije v primeru škode povzročene zaradi neskladnosti s politiko varovanja osebnih podatkov
- So hranjeni varno s strani Upravitelja in Obdelovalca podatkov, ki izkoristita vse mogoče tehnične in druge ukrepe za preprečitev nezakonite obdelave, izgube, uničenja ali škode do osebnih podatkov. To pomeni, da Upravitelj in Obdelovalci morajo:
- Razviti in organizirati varnost, ki zadošča hranjenju osebnih podatkov, tako, da preprečuje škodo, ki bi lahko nastala zaradi varnostnega vdora
- Biti jasni glede odgovornih vlog v podjetju, ki zagotavljajo varnost podatkov
- Zagotoviti zadostno tehnično in fizično varnost hranjenih osebnih podatkov
- Biti pripravljeni na odziv v primeru vdora, oziroma zlorabe baze osebnih podatkov
- Niso posredovani v tretjo državo, oziroma državo izven območja Evropske Ekonomske Cone, razen če država zagotavlja zadosten nivo zaščite pravic in svoboščin Posameznikov v odnosu do obdelave osebnih podatkov.
Upravljalec zagotavlja, da izvaja ustrezne akcije, s katerimi spoštuje načela v zvezi z obdelavo osebnih podatkov. To pomeni da:
- Opazuje in spremlja pogoje za pravično zbiranje in obdelavo podatkov
- Zadosti zakonskim zahtevam po jasni specifikaciji načinov obdelave osebnih podatkov
- Zbira in obdeluje osebne podatke samo v obsegu, ki je potreben za obdelavo, ali za zadostitev kakršnim koli zakonskim zahtevam
- Zagotavlja kvaliteto obdelanih podatkov
- Zagotavlja uveljavljanje pravic Posameznikov v zvezi z obdelavo osebnih podatkov
- Sprejema ustrezne tehnične in organizacijske varnostne prijeme za zagotavljanje varnosti osebnih podatkov
- Obdeluje osebne podatke Posameznikov pravično, neglede na starost, vero, raso, spol, spolno usmerjenost, invalidnost
- Postavlja jasne postopke za reagiranje v primeru zahtevkov za podatke
Upravljalec zagotavlja zbiranje podatkov v skladu s politiko varstva podatkov. To velja za osebne podatke, zbrane osebno, preko telefona ali elektronsko preko formularjev.
Upravljalec pri vsakem zbiranju osebnih podatkov zagotavlja, če je mogoče, prisotnost jasnih in razumljivih pojasnil Posamezniku, katere osebne podatke zbiramo, za katere namene se bodo uporabljali, kakšne so posledice nestrinjanja z obdelavo osebnih podatkov, pojasnila s kom je mogoče, da bodo ti osebni podatki deljeni.
Zgoraj naštete točke, zagotavljajo, da ima Posameznik dovolj informacij za oddajo privolitve.
Obstajajo situacije v katerih je zbiranje osebnih podatkov podano implicitno; kot je naprimer komunikacija s podporo preko telefona ali elektronske pošte, kjer so osebni podatki nujno potrebni za obdelavo zahteve same.
Osebni podatki in zapisi v zvezi s Posamezniki so varno hranjeni, do teh podatkov imajo dostop samo avtorizirani posamezniki (zaposleni, ali pogodbeni sodelavci).
Osebni podatki bodo shranjeni samo toliko časa, kot je potrebno za njihovo obdelavo. Podatki, ki za nadaljno obdelavo niso več potrebni, bodo v skladu z zakonom odstranjeni.
Vsak posameznik ima pravico pridobivanja informacij o osebnih podatkih Posameznika, ki jih Upravljalec hrani o njem. Upravljalec bo izvajal ukrepe za zagotavljanje ažurnosti teh podatkov z vprašanji Posamezniku o spremembah.
Vsi zaposleni in pogodbeni sodelavci Upravljalca so dolžni zagotavljati, da so osebni podatki Posameznika dejanski in ne subjektivni.
Upravljalec bo zagotavljal da:
- Ima imenovano uradno osebo za varstvo osebnih podatkov, ki skrbi za skladnost s to politiko varstva osebnih podatkov
- Vsak, ki obdeluje osebne podatke razume, da je z obdelavo teh podatkov odgovoren za sledenje dobri praksi varovanja podatkov
- Vsak, ki obdeluje osebne podatke, dobi ustrezen trening za obdelavo osebnih podatkov
- Je vsak, ki obdeluje osebne podatke, ustrezno nadzorovan
- Vsak, ki obdeluje osebne podatke, poroča o sumu ali dejanski zlorabi podatkov, po postopku poročanja o kršitvi varstva podatkov
- Kdorkoli, ki bi želel pridobiti informacije o obdelavi osebnih podatkov, jasno razume kaj mora za to narediti
- Vse poizvedbe o obdelavi osebnih podatkov obdela kar se da hitro
- Jasno predstavi kako obdeluje osebne podatke
- Bo redno pregledoval in popravljal postopke in načine obdelave osebnih podatkov tako, da bodo skladni z zakonom
- Redno preverja in ocenjuje metode in uspešnost v zvezi z obdelavo osebnih podatkov
- Se vsi zaposleni in pogodbeni sodelavci Upravljalca zavedajo, da vsaka zloraba ali neizpolnjevanje pravil in postopkov definiranih v tem dokumentu lahko sprožijo disciplinski postopek proti njim
Po splošni uredbi o varstvu osebnih podatkov (GDPR), je potrebna zakonita zahteva po obdelavi osebnih podatkov, preden so osebni podatki lahko obdelani. Če ni nobenega drugega zakonitega namena, se mora Posameznik s privolitvijo strinjati z obdelavo osebnih podatkov.
Da je obdelava osebnih podatkov obravnavana kot zakonita, se šteje če:
- Je obdelava osebnih podatkov nujna za izvedbo pogodbe s Posameznikom, ali za vstop v pogodbeno razmerje s Posameznikom. Tak primer je lahko nakup kupona ali izdelka in podobno
- Je obdelava osebnih podatkov nujna za izpolnitev pravnih obveznosti
- Je obdelava osebnih podatkov nujna za zaščito interesov Posameznika ali druge osebe
- Je obdelava osebnih podatkov nujna za izvajanje opravil v javnem interesu, ali za izvajanje uradnih pooblastil, ki jih ima Upravljalec
- Je obdelava osebnih podatkov nujna za namene legitimnih interesov Upravljalca in ne prevlada z morebitno škodo pravicam in interesom posameznika
- Ima obdelava privolitev Posameznika
Kot veljavna privolitev se šteje, če:
- Je privolitev dana prostovoljno: Posameznik ima možnost izbire in nadzora kako se lahko njegove osebne podatke obdeluje
- Je privolitev specifična in informirana: Posameznik razume vse namene obdelave osebnih podatkov. Če obstaja več različnih namenov obdelave, mora biti privolitev dana za vsakega od njih
- Je privolitev nedvoumna: Posameznik ve s čim soglaša in da je dal privolitev
- Je privolitev dana kot namerna akcija Posameznika, naprimer podpis, ustno, elektronska izbira med opcijami
Privolitev je lahko implicirana, naprimer z zaključevanjem vprašalnika. Osebni podatki zbrani na vprašalniku, so lahko obdelani samo za namene, opisane na vprašalniku. Osebni podatki ne smejo biti uporabljeni za drugačne načine obdelave podatkov, razen če je Posameznik oddal posebno privolitev za drugačne načine obdelave podatkov.
Privolitev je lahko smatrana kot strinjanje z naknadno komunikacijo med Upravljalcem in Posameznikom. Naprimer v primeru zbiranja osebnih podatkov za en tip storitve, če Upravljalec ponudi drugo, podobno storitev, je razumno, da Upravljalec Posameznika kontaktira v zvezi z drugo storitvijo, če obenem ponudi možnost preklica privolitve za nadaljno komuniciranje v zvezi z drugo storitvijo.
Privolitev mora biti jasna in prepoznavna od ostalih zadev, napisana v razumljivi obliki in v jasnem in razumljivem jeziku.
Jasno mora biti kdo soglaša, kdaj je privolitev bila dana, kako je bila dana, za kaj je bila dana, in kdaj je Posameznik privolitev prekinil.
Če je Posameznik še vedno v interakciji z Upravljalcem na način, za katerega je Posameznik že oddal privolitev za obdelavo osebnih podatkov, se privolitev šteje kot še vedno veljavna. Če Posameznik ni več v interakciji z Upravljalcem, je po ponovni interakciji morda potrebno zahtevati ponovno privolitev, odvisno od časa pretečenega od zadnje interakcije.
Kadar je bila privolitev sprejeta skladno z Direktivo 95/46/ES, Posamezniku ni potrebno ponovno dati privolitve za obdelavo podatkov, če je privolitev bila dana na način, ki je v skladu s pogoji iz aktualne uredbe GDPR.
Upravljalec zagotavlja Posamezniku informacije o njegovih pravicah v jedrnati, pregledni, razumljivi in lahko dostopni obliki, ter jasnem in preprostem jeziku, pisno ali v e-obliki
Upravljalec zahteve glede pravic uresničuje brez nepotrebnega odlašanja v roku enega meseca po prejemu zahteve, oziroma največ dva dodatna meseca kasneje, ob upoštevanju kompleksnosti in števila zahtev.
Če zahtevo predloži z elektronskimi sredstvi, odgovor, kadar je mogoče, Upravljalec zagotovi v elektronski obliki.
Posameznik ima možnost vložitve pritožbe pri nadzornem organu in možnost uveljavljanja pravnih sredstev.
Če so zahteve Posameznika očitno neutemeljene ali pretirane, zlasti če se ponavljajo, lahko Upravljalec:
- Zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij, ali sporočila, ali izvajanja zahtevanega ukrepa
- Zavrne ukrepanje v zvezi z zahtevo, pri čemer Upravljalec nosi dokazno breme očitne neutemeljenosti ali pretiranosti
Posameznik ima pravico do dostopa do naslednjih informacij, kadar se od Posameznika pridobivajo Osebni podatki:
- Identiteta in kontaktni podatki upravljalca in njegovega predstavnika, če ta obstaja
- Kontaktni podatki pooblaščene osebe za varstvo podatkov, če ta obstaja
- Nameni obdelave osebnih podatkov, pravna podlaga za njihovo obdelavo
- Zakoniti interesi za uveljavljanje katerih si prizadeva Upravljalec ali tretja oseba
- Uporabnike ali kategorije uporabnikov osebnih podatkov, če ti obstajajo
- Informacija o morebitnih prenosih osebnih podatkov v tretjo državo
Posameznik ima pravico do naslednjih informacij, za zagotavljanje poštene in pregledne obdelave, kadar se od Posameznika pridobivajo Osebni podatki:
- Obdobje hrambe osebnih podatkov, ali merila, ki se uporabljajo za določitev tega obdobja
- Obstoj pravice, da Posameznik zahteva odstop od obdelave osebnih podatkov, ali popravek ali izbris osebnih podatkov, ali omejitev obdelave, obstoj pravice do ugovora pri obdelavi in pravice do prenosa podatkov
- Kadar obdelava temelji na privolitvi, obstoj pravice do preklica privolitve, ne da bi to vplivalo na zakonitost obdelave, ki se je na podlagi privolitve izvajala do njenega preklica
- Obstoj pravice do vložitve pritožbe pri nadzornem organu
- Obstoj pravice do informacije, če je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe in morebitne posledice, če se taki podatki ne zagotovijo
- Obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, razlogi, pomen in predvidene posledice
Posameznik ima pravico od Upravljalca zahtevati potrditev, če se njegovi osebni podatki obdelujejo in kako. V primeru, da se njegovi osebni podatki obdelujejo, ima Posameznik pravico pridobiti naslednje informacije o obdelavi:
- Namen obdelave
- Vrste osebnih podatkov
- Uporabnike ali kategorije uporabnikov, ki so jim osebni podatki razkriti, zlasti če gre za uporabnike v tretjih državah
- Kadar je mogoče, predvideno obdobje hrambe osebnih podatkov, ali merila po katerih se obdobje hrambe določi
- Obstoj pravice da se od Upravljalca zahteva popravek ali izbris osebnih podatkov, ali omejitev obdelave osebnih podatkov in obstoj pravice do ugovora pri taki obdelavi
- Pravico do vložitve pritožbe pri nadzornem organu
- Kadar osebni podatki niso zbrani pri Posamezniku, informacije o njihovih virih
- Obstoj avtomatiziranega sprejemanja odločitev, informacije o razlogih, pomenu in predvidene posledice
Posameznik ima pravico do izbrisa, oziroma pravico do pozabe, pri čemer mora Upravljalec Posameznika brez nepotrebnega odlašanja izbrisati iz hrambe, če:
- Osebni podatki niso več potrebni za namene obdelave, za katere so bili zbrani ali kako drugače obdelani
- Posameznik prekliče privolitev, na podlagi katerega poteka obdelava in ne obstaja nobena druga pravna podlaga za nadaljno obdelavo
- Posameznik obdelavi ugovarja, za obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi
- So bili osebni podatki obdelani nezakonito
- Je osebne podatke treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za Upravljalca
Posameznik ima pravico da Upravljalcu omeji obdelavo v naslednjih primerih:
- Posameznik oporeka točnosti podatkov za obdobje, ki omogoča Upravljalcu preveriti točnost osebnih podatkov
- Obdelava je nezakonita in posameznik nasprotuje izbrisu osebnih podatkov, ter namesto tega zahteva omejitev uporabe
- Upravljalec ne potrebuje več osebnih podatkov za namene, za katere so bili zbrani, jih pa Posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov
- Posameznik vloži ugovor in se preverjanje o zakonitih razlogih Upravljalca nad razlogi posameznika še ni zaključilo
Kadar je obdelava osebnih podatkov omejena, se taki osebni podatki, razen shranjevanja, uveljavljanja, izvajanja ali obrambe pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe, ali zaradi javnega interesa EU ali države članice, obdelujejo samo z dovoljenjem Posameznika.
Upravljalec drugim Obdelovalcem osebnih podatkov sporoča spremembe, popravke, izbrise ali omejitve uporabe osebnih podatkov, razen v primerih, ko to zahteva nesorazmeren napor, ali se izkaže za nemogoče.
Posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval Upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga Upravljalec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:
- obdelava temelji na privolitvi (ali pogodbi),
- se obdelava izvaja z avtomatiziranimi sredstvi.
Posameznik ima pravico da kadarkoli ugovarja obdelavi njegovih osebnih podatkov. Upravljalec v tem primeru preneha z obdelavo osebnih podatkov, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Posameznik ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.
Dopustno pa je, če je odločitev:
- Nujna za sklenitev ali izvajanje pogodbe med Posameznikom in Upravljalcem
- Dovoljena v pravu EU ali pravu države članice, ki velja za Upravljalca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov Posameznika
- Utemeljena z izrecno privolitvijo Posameznika
Pravice posameznika se lahko z zakonom omeji, v naslednjih primerih:
- Če je to v interesu državne varnosti
- Za namen obrambe
- Zaradi javne varnosti
- Zaradi preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij
- Zaradi varstva neodvisnosti sodstva in sodnega postopka
- Zaradi uveljavljanja civilnopravnih zahtevkov
Dva ali več Upravljalcev, ki skupaj določijo namene in načine obdelave, so skupni Upravljalci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, in nalogami vsakega od njih glede zagotavljanja informacij o pravicah posameznika, razen če in kolikor so dolžnosti vsakega od Upravljalcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike.
Dogovor ustrezno odraža vlogo vsakega od skupnih Upravljalcev in njegovo razmerje do posameznikov. Vsebina dogovora se da na voljo posamezniku.
Posameznik lahko ne glede na pogoje dogovora uresničuje svoje pravice v skladu s to uredbo glede vsakega od Upravljalcev in proti vsakemu od njih.
V primeru kršitve varstva osebnih podatkov Upravljalec brez nepotrebnega odlašanja, najpozneje v 72 urah s seznanitvijo o kršitvi, o njej uradno obvesti pristojni nadzorni organ, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Če uradno obvestilo ni bilo podano v roku 72 ur, Upravljalec obvestilu priloži razloge za zamudo.
Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti Upravljalca.
Uradno obvestilo vsebuje:
- Opis vrste kršitve, število zadevnih Posameznikov, vrste in število zadevnih evidenc osebnih podatkov
- Ime in kontaktne podatke pooblaščene osebe za varstvo podatkov
- Opis verjetnih posledic kršitve varstva osebnih podatkov
- Opis ukrepov, ki jih Upravljalec sprejme za obravnavanje in ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno
Če informacij ni mogoče zagovotiti sočasno, se sporočajo postopoma, brez nepotrebnega dodatnega odlašanja.
Upravljalec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete ukrepe. Dokumentacija omogoči nadzornemu organu preverjanje skladnosti s tem členom.
Če je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine Posameznikov, Upravljalec brez nepotrebnega odlašanja sporoči Posamezniku, da je do kršitve prišlo in v sporočilu jasno opiše vrsto kršitve varstva osebnih podatkov in vključuje tudi informacije in priporočila v zvezi s kršitvijo.
Sporočilo Posamezniku ni potrebno, če:
- Je Upravljalec že izvedel ustrezne tehnične in organizacijske ukrepe, za zaščito osebnih podatkov, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, naprimer šifriranje
- Je Upravljalec sprejel ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine Posameznikov verjetno ne bo več udejanjilo
- Bi to zahtevalo nesorazmeren napor
Upravljalec zbira in hrani osebne podatke Posameznikov, ki ji Posameznik prostovoljno odda neposredno Upravljalcu, ko želi uporabljati Storitve, ki jih Upravljalec zagotavlja. Tipično se to zgodi v trenutku registracije za uporabo Storitev.
Alternativne situacije, v katerih Upravljalec pridobiva osebne informacije so nagradne igre, prijava na sekundarne Storitve (naprimer prijava na prejemanje mesečnika).
Pri vseh primerih, kjer Upravljalec zbira osebne podatke obstaja zakonska podlaga, ali Posameznikova privolitev za obdelavo osebnih podatkov.
Posameznikovi osebni podatki, ki jih Upravljalec zbira so pridobljeni v naslednjih situacijah in so sledeči:
- Kreiranje uporabniškega profila za uporabo Storitev, oziroma uporaba vsaj ene od ponujenih Storitev. Tako zbrani osebni podatki se obdelujejo bodisi za kvaliteto izvajanja Storitve, za personalizacijo profila ali za zadostitev zakonskih zahtev pri izvajanju Storitve oziroma vstopu v pogodbeno razmerje z Upravljalcem, kot je naprimer nakup izdelka, rezervacija turističnega aranžmaja (Ime, Priimek, Elektronski naslov, Naslov, Telefonska številka, Spol, Rojstni datum, Primarni kraj, Sekundarni kraj, Profilna fotografija). Tako zbrani osebni podatki so lahko obvezni ali neobvezni. Obvezni osebni podatki so tisti, brez katerih bi bilo normalno delovanje Storitev omejeno ali nemogoče (naprimer Elektronska pošta), neobvezni osebni podatki so pa taki, ki uporabniško izkušnjo izboljšajo, niso pa ključni za osnovno delovanje Storitve (naprimer Telefonska številka za pošiljanje kode preko SMS sporočila).
- Zahteva za pomoč s strani uporabniške podpore bodisi preko elektronske pošte, spletnega obrazca, ali telefonske podpore. Tako zbrani osebni podatki so nujni za obdelavo zahteve same (Ime, Priimek, Elektronski naslov)
- Prijava preko elektronskega obrazca, ali prijava na elektronske novice ali mesečnik (Elektronski naslov, Ime, Priimek, Naslov)
- Sodelovanje v nagradnih igrah, vprašalnikih, prijava za službo, ali kakršnokoli drugo sodelovanje v dejavnostih, ki zahtevajo Posameznikove osebne informacije
Drugi načini zbiranja osebnih podatkov, oziroma podatkov s pomočjo katerih je mogoče določiti Posameznika so:
- Podatki o uporabniškem računu. Mednje sodijo kode kuponov, nakupi in komunikacija v zvezi z nakupi (povpraševanja in ocene)
- Podatki o uporabi Storitev, ki so samodejno zbirani med uporabo Storitev (tip naprave, tip brskalnika, lokacija, jezikovne preference, piškotki, IP naslov, čas prijave, nakup, morebitne napake, ki so se zgodile med uporabo Storitev) in Upravljalcu pomagajo pri:
- Zagotavljanju višje kvalitete storitve s prepoznavo tehničnih zmožnosti in preferenc Posameznika in njegovih naprav, s katerimi uporablja Upravljalčeve Storitve
- Zagotavljanju višje varnosti Posameznika s prepoznavo nenavadnih prijav, nenavadnih nakupov, poskusa zlorab
- Zagotavljanju hitrejše in boljše odzivnosti v primeru reševanja težav in sporov
- Podatki pridobljeni s strani Obdelovalcev podatkov
Konkreten način obdelave osebnih podatkov je odvisen od Storitve, ki jo Posameznik koristi, uporablja in od preferenc Posameznika.
Uporaba primarnih storitev in personalizacijaPosameznikove osebne podatke obdelujemo za preverjanje pristnosti in prepoznavo Posameznika pri prijavi v sistem, za personalizacijo prikazanih vsebin, za personalizacijo prejetih elektronskih sporočil.
Komunikacija v zvezi s StoritvamiPosameznikove osebne podatke obdelujemo za komunikacijo v zvezi s storitvami, ki jih Upravljalec ponuja, oziroma za zagotavljanje Storitve same (komunikacija v zvezi z dnevno ponudbo je tudi Upravljalčeva primarna Storitev).
Upravljalec obdeluje osebne podatke tudi v zvezi z nakupi in kuponi. Od tovrstne obdelave se ni mogoče odjaviti, saj je nujna za zagotavljanje Storitve same in je vezana na Posameznikov vstop v pogodbeno razmerje z Upravljalcem (nakup).
Upravljalec lahko komunicira s Posameznikom o alternativnih in novih Storitvah, ki so neposredno ali posredno povezane s Storitvami za katere je Upravljalec že dobil Posameznikovo privolitev.
Trženje in promocija StoritevNa osnovi predhodnih privolitev, oziroma uporabe Storitev lahko Upravljalec priporoča, predlaga, ali kako drugače promovira in trži nove Storitve, oziroma ponudbe v sklopu Storitev. Odstop od tovrstne obdelave osebnih podatkov je mogoč.
Podpora strankamZa podporo strankam, je obdelava osebnih podatkov Posameznika nujna. Za natančnejšo analizo, hitrejše in boljše reševanje problemov ali sporov, Upravljalec lahko zahteva dodatne osebne in druge informacije.
Varnost in zaščitaOsebne podatke obdelujemo za zagotavljanje varnosti in zaščite Posameznikov, Upravljalca in Obdelovalcev. Med tovrstno obdelavo sodi spremljanje prijav v storitev, spremljanje rabe storitev, spremljanje dejavnosti Posameznika v sklopu Storitev, s čimer Upravljalec lažje prepozna grožnje in poskuse zlorabe za Storitev, Posameznika, Upravljalca ali Obdelovalcev.
Izvrševanje zakonitih interesovČe je to zakonsko zahtevano, Upravljalec lahko obdeluje osebne podatke brez Posameznikovega privoljenja, ali za izvrševanje pogodbe med Upravljalcem in Posameznikom šteje nadaljevanje uporabe Storitve. Konkreten primer take obdelave osebnih podatkov je naprimer nakup izdelka, pri čemer izvajanje Storitve brez obdelave osebnih podatkov ni mogoča.
Upravljalec lahko obdeluje osebne podatke tudi v primeru, ko je prepričan, da ščiti lastne zakonite interese, ali da ščiti interese drugih vpletenih fizičnih ali pravnih oseb.
S privolitvijoČe ne obstaja nobeden od zgoraj navedenih razlogov za obdelavo osebnih podatkov, Posameznik pa se je strinjal z obdelavo podatkov za točno določen namen, se Posameznikovi osebni podatki lahko obdelujejo za ta namen do preklica, ali dokler ni drugače rečeno s spremembo politike varstva osebnih podatkov.
Za zagotavljanje kvalitete Storitev, oziroma za zagotavljanje Storitev samih, lahko pridobljene osebne podatke delimo s tretjimi osebami. V teh primerih ima Upravljalec z Obdelovalcem sklenjeno pogodbo o obdelavi osebnih podatkov, razen če je obdelava osebnih podatkov nujna za izvrševanje zakonitih interesov.
Upravljalec nikakor ne izkorišča podatkovnih baz osebnih podatkov za prodajo le-teh, ampak jih obdeluje in posreduje v obdelavo samo za namene izvajanja Storitev.
Če ne obstaja noben drug zakoniti interes za posredovanje osebnih podatkov tretjim osebam, Upravljalec od Posameznika pridobi privolitev za tako obdelavo.
Osebni podatki Posameznikov se hranijo in obdelujejo na spletnih strežnikih v Sloveniji in EU. Upravljalec se nenehno trudi vzdrževati in razvijati informacijski sistem v skladu z najnovejšimi tehnološkimi standardi varnosti, da bi zaščitil Posameznikove osebne podatke.
Kljub visokim standardom in implementiranim zaščitam, ki jih je Upravljalec uspel implementirati v svoj informacijski sistem, zaradi narave Interneta ne more zagotavljati kasnejše zlorabe osebnih podatkov, ki bi se zgodila po prenosu iz Upravljalčevih strežnikov do Posameznika, ali v primeru vdora v informacijski sistem, kjer Upravljalec nima lastnih virov ali zmožnosti preprečevanja takih zlorab.
Dolžina trajanja hrambe osebnih podatkov je odvisna od tipa osebnega podatka, Posameznikove rabe Storitve, načina obdelave, zakonskih zahtev.
Ko in če osebni podatki za obdelavo niso več nujno potrebni, ali če se Posameznik odloči, da bo uporabniški profil dekativiral, Upravljalec take podatke izbriše, psevdonimizira ali anonimizira, razen v primerih, ko so nujno potrebni za Upravljalčevo nadaljevanje izvajanja Storitve, ali morajo ostati hranjeni zaradi zakonskih zahtev.
Uporabniški profilPodatki zbrani za potrebe uporabniškega profila uporabnika so hranjeni dokler je uporabnik Storitve aktiven, oziroma razumen čas po koncu aktivnosti za primer, da se uporabnik odloči spet postati aktiven.
Kot aktivnost se šteje kakršnakoli aktivnost uporabnika Storitve, od registracije, prijave, nakupa, prebranega elektronskega sporočila ali odprtja spletne strani.
Podatki, ki Upravljalcu pomagajo obdelovati razne zahtevke ali spore s strani Posameznika, ali so kakorkoli drugače zakonsko zahtevani, da se hranijo dlje časa, se tudi v primeru deaktivacije uporabniškega profila ohranijo. Tipičen primer tega so podatki o kuponih in nakupih.
Podatki za trženjeOsebni podatki, neposredno povezani s trženjem (piškotki, kliki oglasov), se tudi v primeru prekinitve privolitve obdelave lahko hranijo še razumen čas po prekinitvi privolitve, če je to potrebno za poslovne procese Upravljalca ali zagotavljanje kvalitete Storitve. V primeru prenehanja uporabe Storitev in s tem prenehanja zbiranja in obdelave podatkov neposredno povezanih s trženjem, se osebni podatki, zbrani za namene trženja lahko brišejo v razumnem času, če nikakor drugače ne vplivajo na kvaliteto izvajanja Storitev, ki jih nudi Upravljalec.
Osebni podatki zbrani preko obrazcev, nagradnih iger in ostalih virovOsebni podatki, zbrani za namene obdelave, ki niso neposredno povezani s Storitvami, ki jih Upravljalec nudi, imajo lahko različne čase hranjenja, odvisno od namena obdelave.
Če osebni podatek ni drugače označen za alternativne namene obdelave (za zagotovitev zakonskih interesov, s privolitvijo Posameznika), se tak osebni podatek po preteku časa, potrebnega za obdelavo, lahko briše, anonimizira ali psevdonimizira, odvisno od tipa podatka in načina obdelave.
Posameznik, ki je uporabnik Storitev, ki jih Upravljalec nudi, lahko dostopa do zbirk osebnih podatkov preko svojega uporabniškega profila, kjer ima tudi možnost nadzora, posodobitev osebnih podatkov in sprememb privolitev.
Nekaterih osebnih podatkov uporabnik sam ne more upravljati, v teh primerih je na voljo kontakt podpore uporabnikom, ki spremembo, če je mogoče, opravi v Posameznikovem imenu, na njegovo zahtevo.
Posameznik kot uporabnik lahko dostopa tudi do podatkov preko katerih je mogoče doloćiti Posameznika in niso bili posredovani s strani Posameznika, kot so kuponi, nakupi, česar pa Posameznik ne more spreminjati, do teh podatkov lahko samo dostopa. V primeru sprememb, je na voljo kontakt uporabniške podpore, ki spremembo, če je mogoče, opravi v imenu Posameznika.
Osebni podatki, zbrani preko vprašalnikov, nagradnih iger, zaposlitvenih formularjev ali drugih spletnih ali fizičnih obrazcev, ki niso povezani v profil uporabnika Storitev in jih Upravljalec še vedno hrani, so praviloma veljavni in obdelovani krajši čas, kot osebni podatki, zbrani za primarne namene obdelave, zato osebni podatek, ki ni del zbirke osebnih podatkov, ki so dostopni v uporabniškem profilu, uporabniku ni enostavno dostopen, razen na zahtevo preko kontakta uporabniške podpore, ki na zahtevo dostavi take informacije, oziroma opravi spremembo osebnih podatkov.
Posameznik ima na voljo deaktivacijo uporabniškega profila, v primeru, da ne želi več uporabljati Storitev, ki jih Upravljalec nudi. Deaktivacijo Posameznik lahko opravi s kontaktom podpore uporabnikom, ki deaktivacijo, če je mogoče in če ne ovira ostalih poslovnih procesov, ali zakonskih interesov Upravljalca ali povezanih oseb, opravi na zahtevo Posameznika.
Alternativno je mogoče odstopiti od posameznih storitev ali posameznih načinov obdelave podatkov, pri čemer popolna deaktivacija uporabniškega profila ni nujna.
V primeru deaktivacije uporabniškega profila Upravljalec hrani vse zbrane osebne podatke za razumno dobo, za primer, če se Posameznik premisli in želi ponovno začeti uporabljati Storitve.
Osebne podatke, za katere Posameznik ne želi več, da se jih obdeluje, ima možnost izbrisati, ali omejiti njihovo obdelavo, če to ne ovira poslovnih procesov Upravljalca, ali Upravljalec nima drugih zakonitih razlogov za nadaljevanje hrambe teh osebnih podatkov.
Nekateri tipi osebnih podatkov so taki, da je brisanje teh tipov omogočeno že v uporabniškem profilu, tisti, ki pa te možnosti nimajo, so podatki za katere je potrebno kontaktirati podporo uporabnikom, ki to opravi v imenu Posameznika.
Posameznik lahko zahteva omejitev uporabe osebnih podatkov, pri čemer pa si Upravljalec pridržuje pravico zahtevati razloge za tako omejitev, če tip osebnega podatka ni preprost in če omejitev obdelave osebnega podatka lahko vpliva na poslovne procese ali za obdelavo obstajajo drugi zakoniti razlogi.
V primeru, da gre za preproste tipe osebnih podatkov, je možnost omejitve obdelave za določen namen že omogočena in na voljo v uporabniškem profilu, ali v nogi elektronskega sporočila, kjer lahko Posameznik sam upravlja s privolitvami in omejitvami obdelave posameznih osebnih podatkov za določene namene. Če take možnosti ni, ali je Posameznik ne najde, lahko kontaktira podporo uporabnikom, ki spremembo omejitev ali privolitev opravi namesto Posameznika.
Posameznik lahko od Upravljalca zahteva zbirko osebnih podatkov, ki jo Upravljalec vodi o Posamezniku, pri čemer je taka zbirka v elektronsko berljivem formatu, tako da je mogoč prenos osebnih podatkov v drugo podobno Storitev. Upravljalec zagotavlja možnost izvoza zbirk osebnih podatkov, vendar to ne velja za vse tipe osebnih podatkov, saj vseh tipov ni mogoče prenesti v drugo storitev.
V primeru zahtevkov za izvoz osebnih podatkov, Posameznik kontaktira podporo uporabnikom, ki v razumnem času pripravi tak izvoz, izvoz ni samodejen in ni takojšen.
V primeru večkratnih zaporednih neutemeljenih zahtevkov izvozov zbirk osebnih podatkov, ali zahtevkov, za katere Upravljalec upravičeno smatra, da gre za nagajanje, si Upravljalec pridržuje pravico do zaračunavanja plačila za storitev izvoza osebnih podatkov.
Upravljalec za zagotavljanje Storitev sodeluje z drugimi pravnimi osebami, ki lahko obdelujejo nekatere tipe osebnih podatkov, s katerimi upravlja Upravljalec.
Za vsakega obdelovalca osebnih podatkov ima Upravljalec sklenjeno pogodbo o sodelovanju in obdelavi osebnih podatkov, razen če je obdelava osebnih podatkov nujna za zakonite interese Upravljalca ali Obdelovalca.
Obdelovalci osebnih podatkov so med drugim lahko:
- Procesorji plačil in ponudniki plačilnih sredstev
- Ponudniki storitev tehnične ali druge podpore pri poslovanju
- Oglaševalci
- Ponudniki načinov komunikacije, kot so elektronska obvestila in elektronski pogovor
- Ponudniki orodij za upravljanje s strankami
- Ponudniki orodij za analizo uporabe Storitev in lažjo odpravo težav s Storitvami
- Izvajalci storitev, ki jih Upravljalec promovira, trži, prodaja
Obdelovalci osebnih podatkov so sledeči (seznam se lahko spreminja glede na zahteve Upravljalca):
Naziv | Kategorija | Država |
---|---|---|
Salesmanago | Komunikacija, Analitika | Poljska |
Amazon (Sendy) | Komunikacija, Analitika | ZDA |
Oglaševalci, Analitika | ZDA | |
Oglaševalci, Analitika | ZDA | |
Aconto d.o.o. | Podpora pri poslovanju | Slovenija |
Ponudniki storitev | Ponudniki storitev | Driava ponudnika je odvisna od ponudnika storitve |
Obdelovalci in načini obdelave, ki niso našteti na zgornjem seznamu, lahko obdelujejo osebne podatke psevdonimizirane, ali anonimizirane in so tako izvzeti iz zahtev Splošne uredbe o varstvu podatkov.
Posameznik lahko, če sumi, da je prišlo do zlorabe ali kršitve pri obdelavi njegovih osebnih podatkov, sum kršitve prijavi na elektronskem naslovu Upravljalca, navedenem med kontaktnimi informacijami.
Za čim hitrejšo obdelavo zahtevka, mora Posameznik sporočiti čimveč relevantnih informacij (kateri uporabniški profil, kateri osebni podatki naj bi bili zlorabljeni, na kak način in zaradi česa je Posameznik mnenja, da gre za kršitev ali zlorabo).
Upravljalec zahteve glede krištev in zlorab osebnih podatkov uresničuje brez nepotrebnega odlašanja v roku enega meseca po prejemu zahteve, oziroma največ dva dodatna meseca kasneje, ob upoštevanju kompleksnosti in števila zahtev.
Upravljalec je prepričan, da zbira in hrani osebne podatke Posameznikov v skladu s splošno uredbo o varstvu podatkov (GDPR) in ostalimi veljavnimi zakoni na območju Republike Slovenije in Evropske Unije.
V primeru vprašanj in pritožb v zvezi s splošno uredbo o varstvu podatkov, se lahko obrnete na organ za varstvo podatkov, ki je v Republiki Sloveniji Informacijski Pooblaščenec RS, dosegljiv na spodnjem naslovu:
Informacijski pooblaščenec
Zaloška cesta 59
1000 Ljubljana, Slovenija
T: 01 230 97 30
F: 01 230 97 78
E-pošta: [email protected]
Ta politka varstva osebnih podatkov je na voljo tudi v PDF dokumentu, ki je na voljo na zahtevo preko elektronske pošte [email protected]
Osebne podatke obdeluje Media Lab d.o.o.. Za vsa vprašanja v zvezi z osebnimi podatki in njihovo obdelavo, nas lahko kontaktirate preko elektronske pošte na naslovu [email protected].
Za zahtevke v zvezi s spremembo, ali posodobitvijo osebnih podatkov ali izbrisom uporabniških računov, odjavo ali drugo morebitno težavo z uporabniškim profilom nas kontaktirate preko elektronske pošte na naslovu [email protected]. Zahteva mora biti podana iz elektronskega naslova na katerega je vezan uporabniški profil za katerega želite uveljavljati spremembe.
Za prijavo suma kršitve pri obdelavi osebnih podatkov nas kontaktirajte preko elektronske pošte na naslovu [email protected].
Na vse zahtevke v zvezi z varstvom osebnih podatkov se Upravljalec zavezuje k odgovoru v roku 30 dni od prejema zahtevka. Za težje spore ali težave si pridržujemo pravico do podaljšanja tega roka na dodatnih 60 dni.
Media Lab d.o.o.
Šmartinska 106
1000 Ljubljana
Za več informacij v zvezi s splošno uredbo o varovanju podatkov obiščite https://www.eugdpr.org