Obvestilo o obdelavi osebnih podatkov

Družba Aga24 Online s.r.o. (Veľký Harčáš 139, Komárno 94501, Slovaška, davčna številka: SK2120459418, matična številka: 50704931), (v nadaljevanju: Ponudnik, upravljavec podatkov) se zavezuje k upoštevanju naslednjih pravil:

V skladu z UREDBO (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) podajamo naslednje informacije.

Ta pravilnik o varstvu osebnih podatkov velja za obdelavo podatkov na naslednjih spletnih straneh: www.inlea.si

Pravilnik o varstvu osebnih podatkov je dostopen na naslednji povezavi:www.inlea.si

Spremembe tega obvestila začnejo veljati z objavo na zgoraj navedeni spletni strani.

UPRAVLJAVEC PODATKOV IN NJEGOVI KONTAKTNI PODATKI:

Ime: Aga24 Online s.r.o.
Sedež: Veľký Harčáš 139, Komárno 94501
E-naslov: info@inlea.si

OPREDELITEV POJMOV

1. "Osebni podatek": katera koli informacija v zvezi z določenim ali določljivim posameznikom ("posameznik na katerega se nanašajo osebni podatki"); določljiv je posameznik, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali z enim ali več dejavniki, značilnimi za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto tega posameznika;

2. "Obdelava": vsaka dejanska ali avtomatizirana operacija ali niz operacij v zvezi z osebnimi podatki ali nizi osebnih podatkov, kot so zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, iskanje, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugo omogočanje dostopa, usklajevanje ali kombiniranje, omejevanje, izbris ali uničenje;

3. "Upravljavec podatkov": fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva te obdelave določa pravo Unije ali pravo države članice, lahko to pravo določa tudi upravljavca ali posebna merila za njegovo imenovanje;

4. "Obdelovalec podatkov": fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

5. "Prejemnik": fizična ali pravna oseba, javni organ, agencija ali drugo telo, kateremu se razkrijejo osebni podatki, ne glede na to, ali gre za tretjo osebo ali ne. Vendar se javni organi, ki lahko v okviru določene preiskave v skladu s pravom Unije ali države članice prejmejo osebne podatke, ne štejejo za prejemnike; obdelava teh podatkov s strani teh javnih organov mora biti v skladu z veljavnimi pravili o varstvu podatkov glede na namen obdelave;

6. "Soglasje posameznika na katerega se nanašajo osebni podatki": vsaka prostovoljna, posebna, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali z jasnim pritrdilnim dejanjem izrazi soglasje za obdelavo osebnih podatkov, ki se nanašajo nanj;

7. "Kršitev varstva osebnih podatkov": kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so bili posredovani, shranjeni ali kako drugače obdelani.

   NAČELA OBDELAVE OSEBNIH PODATKOV

   Osebne podatke je treba:

   a) obdelovati zakonito, pošteno in na pregleden način za posameznika, na katerega se nanašajo osebni podatki („zakonitost, poštenost in preglednost“);

   b) zbirati za določene, izrecne in zakonite namene ter jih ne obdelovati na način, ki ni skladen s temi nameni; nadaljnja obdelava osebnih podatkov za namene arhiviranja v javnem interesu, znanstvenoraziskovalne ali zgodovinske raziskave ali za statistične namene v skladu s členom 89(1) se ne šteje za nezdružljivo z začetnimi nameni („omejitev namena“);

   c) biti ustrezni, relevantni in omejeni na tisto, kar je potrebno glede na namene, za katere se obdelujejo („minimizacija podatkov“);

   d) biti točni in po potrebi posodobljeni; sprejeti je treba vse razumne ukrepe, da se osebni podatki, ki so netočni glede na namene, za katere se obdelujejo, brez odlašanja izbrišejo ali popravijo („točnost“);

   e) hraniti v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, samo toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebne podatke je dovoljeno hraniti dlje le za namene arhiviranja v javnem interesu, znanstvenoraziskovalne ali zgodovinske raziskave ali za statistične namene v skladu s členom 89(1), ob ustreznem izvajanju tehničnih in organizacijskih ukrepov, določenih v tej uredbi, za zagotovitev pravic in svoboščin posameznikov („omejitev shranjevanja“);

   f) obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z varstvom pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z uporabo ustreznih tehničnih ali organizacijskih ukrepov („integriteta in zaupnost“).

   Upravljavec je odgovoren za spoštovanje zgoraj navedenih načel ter mora biti sposoben skladnost tudi dokazati („odgovornost“).

   Upravljavec izjavlja, da obdelava osebnih podatkov poteka v skladu z načeli, določenimi v tej točki.

   ---

   Obdelava osebnih podatkov v zvezi z delovanjem spletne trgovine/uporabo storitev

   Osebni podatek	Namen obdelave podatkov	Pravna podlaga
   Uporabniško ime	Identifikacija, omogočanje registracije.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   Geslo	Zagotavljanje varnega dostopa do uporabniškega računa.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   Ime in priimek	Potrebno za vzpostavitev stika, nakup, izdajo pravilnega računa in uveljavljanje pravice do odstopa od pogodbe.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   E-poštni naslov	Komunikacija.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   Telefonska številka	Komunikacija, učinkovitejše usklajevanje vprašanj v zvezi z računom ali dostavo.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   Ime in naslov za izstavitev računa	Izdaja pravilnega računa, sklepanje pogodbe, določitev, sprememba, spremljanje izpolnjevanja pogodbe, zaračunavanje stroškov in uveljavljanje terjatev iz pogodbe.	čl. 6(1)(c) GDPR in § 169(2) Zakona C iz leta 2000 o računovodstvu.
   Ime in naslov za dostavo	Omogočanje dostave na dom.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   Datum in čas nakupa/registracije	Izvajanje tehničnega postopka.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).
   IP naslov nakupa/registracije	Izvajanje tehničnega postopka.	čl. 6(1)(b) GDPR in § 13/A(3) Zakona o elektronskem poslovanju (Elker tv.).

   2. Krog posameznikov, na katere se nanašajo osebni podatki:
   Vsi posamezniki, ki so registrirani/kupci na spletni strani spletne trgovine. Uporabniško ime in e-poštni naslov ni nujno, da vsebujeta osebne podatke.

   3. Trajanje obdelave podatkov, rok za izbris podatkov:
   Če je izpolnjen eden od pogojev iz člena 17(1) GDPR, se podatki hranijo do zahteve posameznika za izbris. Upravljavec podatkov posameznika elektronsko obvesti o izbrisu vseh osebnih podatkov, ki jih je podal, v skladu s členom 19 GDPR. Če zahteva za izbris vključuje tudi e-poštni naslov, se po obvestilu ta e-poštni naslov prav tako izbriše. Izjema so računovodski dokumenti, saj jih je treba v skladu s členom 169(2) Zakona C iz leta 2000 o računovodstvu hraniti 8 let. Podatki o pogodbenem razmerju posameznika se lahko izbrišejo po preteku civilnopravnega zastaralnega roka na podlagi zahteve za izbris.

   Računovodske listine, ki neposredno ali posredno podpirajo računovodsko evidenco (vključno z glavnimi knjigami, analitičnimi in podrobnimi evidencami), je treba hraniti najmanj 8 let v čitljivi obliki ter na način, ki omogoča poznejšo priklicljivost glede na računovodske zapise.

   4. Osebe, ki so lahko upravljavci podatkov in prejemniki osebnih podatkov:
   Osebne podatke lahko obdelujejo zaposleni v prodaji in marketingu upravljavca podatkov, ob spoštovanju zgoraj navedenih načel.

   5. Pojasnilo pravic posameznikov v zvezi z obdelavo podatkov:
   Posameznik lahko od upravljavca zahteva dostop do osebnih podatkov, ki se nanašajo nanj, njihovo popravo, izbris ali omejitev obdelave. Prav tako ima posameznik pravico do prenosljivosti podatkov in kadar koli pravico do preklica privolitve.

   6. Načine uveljavljanja pravic do dostopa, izbrisa, spremembe, omejitve obdelave, prenosljivosti podatkov ter ugovora zoper obdelavo podatkov:

   • po pošti na naslov: Veľký Harčáš 139, Komárno 94501, Slovaška,

   • po elektronski pošti na naslov: info@inlea.si

7. Pravna podlaga za obdelavo podatkov:

7.1. člen 6(1)(b) in (c) GDPR,

7.2. člen 13/A(3) Zakona CVIII iz leta 2001 o elektronskem poslovanju in nekaterih storitvah informacijske družbe (Elker tv.):

Ponudnik storitev lahko obdeluje osebne podatke, ki so tehnično nujno potrebni za zagotavljanje storitve. Ponudnik mora pri enakih pogojih izbrati in uporabljati orodja informacijske družbe tako, da obdeluje osebne podatke samo, če je to nujno potrebno za zagotavljanje storitve ter izpolnjevanje ciljev določenih s tem zakonom – tudi v tem primeru le v potrebnem obsegu in času.

7.3. člen 6(1)(c) GDPR v primeru izdaje računa v skladu z računovodskimi predpisi.

7.4. Za uveljavljanje terjatev iz pogodbe: člen 6:22. Zakona V iz leta 2013 o civilnem zakoniku – 5 let.

6:22. člen [Zastaranje]

(1) Če ta zakon ne določa drugače, terjatve zastarajo v petih letih.
(2) Zastaranje začne teči, ko terjatev zapade.
(3) Dogovor o spremembi zastaralnega roka mora biti sklenjen v pisni obliki.
(4) Dogovor o izključitvi zastaranja je ničen.

8. Obveščamo vas, da:

• obdelava podatkov je potrebna za izpolnitev pogodbe in pripravo ponudbe,
• posredovanje osebnih podatkov je obvezno za izvedbo naročila,
• če podatkov ne posredujete, naročila ne bomo mogli obdelati.

Upravljanje piškotkov (cookies)

1. Za uporabo tako imenovanih „piškotkov za seje, zaščitene z geslom”, „piškotkov, potrebnih za nakupovalno košarico”, „varnostnih piškotkov”, „nujnih piškotkov”, „funkcionalnih piškotkov” ter „piškotkov, odgovornih za statistiko spletne strani” ni potrebno predhodno soglasje uporabnika.

2. Dejstvo obdelave podatkov, obseg obdelanih podatkov:
Edinstvena identifikacijska številka, datumi, časovni podatki.

3. Krog posameznikov, na katere se nanašajo osebni podatki:
Vsi obiskovalci spletne strani.

4. Namen obdelave podatkov:
Identifikacija uporabnikov in sledenje obiskovalcem.

5. Trajanje obdelave podatkov, rok za izbris podatkov:

6. Osebe možni upravljavci podatkov, ki imajo pravico do dostopa do podatkov:
Upravljavec osebnih podatkov z uporabo piškotkov ne obdeluje osebnih podatkov.

7. Pravice posameznikov v zvezi z obdelavo podatkov:
Posameznik ima možnost izbrisati piškotke v meniju Orodja/Nastavitve brskalnika, običajno v razdelku Nastavitve zasebnosti.

8. Pravna podlaga za obdelavo podatkov:
Privolitev posameznika ni potrebna, če je izključni namen uporabe piškotkov prenos sporočil po elektronskem komunikacijskem omrežju ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo izrecno zahteva naročnik ali uporabnik.

9. Večina brskalnikov, ki jih uporabljajo naši uporabniki, omogoča nastavitev, katere piškotke je treba shraniti, in omogoča ponovno brisanje (določenih) piškotkov. Če omejite shranjevanje piškotkov na določenih spletnih mestih ali onemogočite piškotke tretjih oseb, lahko to v določenih okoliščinah pomeni, da naša spletna stran ne bo več v celoti uporabna. Tukaj najdete informacije o tem, kako lahko nastavite možnosti piškotkov v najpogosteje uporabljenih brskalnikih:

• Google Chrome: https://support.google.com/chrome/answer/95647?hl=hu

• Internet Explorer: https://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies

• Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn

• Safari: https://support.apple.com/hu-hu/guide/safari/sfri11471/mac

  Uporaba sledenja konverzijam Google Ads

1. Upravljavec podatkov uporablja spletni oglaševalski program »Google Ads« in v okviru tega tudi storitev sledenja konverzijam podjetja Google. Sledenje konverzijam Google je analitična storitev podjetja Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, ZDA; »Google«).
2. Ko uporabnik obišče spletno stran prek oglasa Google, se na njegov računalnik namesti piškotek, potreben za sledenje konverzijam. Veljavnost teh piškotkov je časovno omejena in ne vsebujejo nobenih osebnih podatkov, zato uporabnika ni mogoče identificirati.
3. Če uporabnik obišče določene strani spletnega mesta in piškotek še ni potekel, lahko Google in upravljavec podatkov vidita, da je uporabnik kliknil na oglas.
4. Vsaka stranka storitve Google Ads prejme svoj piškotek, zato piškotke ni mogoče slediti prek spletnih strani strank Ads.
5. Informacije, pridobljene s pomočjo piškotkov za sledenje konverzijam, služijo temu, da se strankam Ads, ki so izbrale sledenje konverzijam, pripravijo statistični podatki o konverzijah. Stranke tako izvedo število uporabnikov, ki so kliknili njihov oglas in bili preusmerjeni na stran z oznako za sledenje konverzijam. Vendar pa ne prejmejo informacij, s katerimi bi bilo mogoče identificirati posamezne uporabnike.
6. Če ne želite sodelovati pri sledenju konverzijam, lahko to zavrnete tako, da v svojem brskalniku onemogočite nameščanje piškotkov. V tem primeru ne boste vključeni v statistiko sledenja konverzijam.
7. Več informacij ter izjavo o zasebnosti podjetja Google najdete na naslednji spletni strani: https://policies.google.com/privacy

   Uporaba storitve Google Analytics

8. Ta spletna stran uporablja Google Analytics, storitev za spletno analitiko podjetja Google Inc. (»Google«). Google Analytics uporablja tako imenovane »piškotke«, besedilne datoteke, ki se shranijo na vaš računalnik in omogočajo analizo uporabe spletne strani s strani uporabnika.
9. Informacije, ki jih piškotki ustvarijo o vaši uporabi te spletne strani, se običajno prenesejo na enega od Googlovih strežnikov v ZDA in se tam shranijo. Z aktivacijo anonimizacije IP naslovov na tej spletni strani bo Google predhodno skrajšal vaš IP naslov znotraj držav članic Evropske unije ali v drugih državah pogodbenicah Sporazuma o Evropskem gospodarskem prostoru.
10. Le v izjemnih primerih bo celoten IP naslov prenesen na Googlov strežnik v ZDA in tam skrajšan. V imenu upravljavca te spletne strani bo Google te informacije uporabil za oceno vaše uporabe spletne strani, za pripravo poročil o aktivnosti spletne strani za njenega upravljavca ter za zagotavljanje drugih storitev, povezanih z uporabo spletne strani in interneta.
11. IP naslov, ki ga vaš brskalnik posreduje v okviru storitve Google Analytics, Google ne bo združeval z drugimi podatki, s katerimi razpolaga. Shranjevanje piškotkov lahko preprečite z ustrezno nastavitvijo programske opreme vašega brskalnika; vendar vas opozarjamo, da v tem primeru morda ne boste mogli uporabljati vseh funkcij te spletne strani v celoti. Poleg tega lahko preprečite zbiranje in obdelavo podatkov, ki jih ustvarijo piškotki in se nanašajo na vašo uporabo spletne strani (vključno z vašim IP naslovom), s strani Googla, tako da prenesete in namestite vtičnik za brskalnik, ki je na voljo na naslednji povezavi: https://chromewebstore.google.com/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=en-GB

Družbena omrežja

1. Dejstvo zbiranja podatkov, obseg obdelanih podatkov: Uporabniško ime, s katerim je posameznik registriran na družbenih omrežjih Facebook/Google+/Twitter/Pinterest/Youtube/Instagram itd., ter javno dostopna profilna slika uporabnika.

2. Krog posameznikov, na katere se podatki nanašajo: Vsi posamezniki, ki so registrirani na družbenih omrežjih Facebook/Google+/Twitter/Pinterest/Youtube/Instagram itd. in so »všečkali« spletno stran.

3. Namen zbiranja podatkov: Deljenje, »všečkanje« ter promocija določenih vsebinskih elementov, izdelkov, akcij ali same spletne strani na družbenih omrežjih.

4. Trajanje obdelave podatkov, rok za izbris podatkov, možni upravljavci podatkov, ki so upravičeni do vpogleda v podatke, ter seznanitev posameznikov z njihovimi pravicami v zvezi z obdelavo podatkov: Posameznik se lahko na ustreznem družbenem omrežju seznani z virom podatkov, načinom in pravno podlago njihove obdelave ter posredovanja. Obdelava podatkov poteka na družbenih omrežjih, zato zanje veljajo pravila o trajanju, načinu obdelave ter možnostih izbrisa in spremembe podatkov, ki jih določa posamezno družbeno omrežje.

5. Pravna podlaga za obdelavo podatkov: Prostovoljno soglasje posameznika za obdelavo osebnih podatkov na družbenih omrežjih.

Stiki s strankami in druge obdelave podatkov

1. Če ima posameznik kakršnakoli vprašanja ali težave v zvezi s storitvami upravljavca podatkov, se lahko z upravljavcem podatkov obrne preko kontaktnih poti, navedenih na spletni strani (telefon, e-pošta, družbena omrežja itd.).

2. Upravljavec podatkov prejeta e-poštna sporočila, sporočila, podatke, posredovane po telefonu, na Facebook-u itd., skupaj z imenom in e-poštnim naslovom posameznika ter drugimi prostovoljno posredovanimi osebnimi podatki, izbriše najpozneje v 2 letih od njihovega prejema.

3. O obdelavah podatkov, ki niso navedene v tem obvestilu, bo posameznik obveščen ob pridobitvi podatkov.

4. V primeru izjemne zahteve pristojnega organa ali na podlagi pooblastila iz zakona je ponudnik dolžan posredovati informacije, osebne podatke ali dokumentacijo.

5. V takšnih primerih ponudnik posameznim organom posreduje osebne podatke le v obsegu in obsegu, ki je nujno potreben za dosego namena zahteve ter le, če je namen in obseg podatkov jasno določen.

Pravice posameznika

1. Pravica dostopa
   Imate pravico pridobiti potrditev upravljavca, ali se obdelujejo osebni podatki, ki se nanašajo na vas, in kadar je temu tako, dostop do osebnih podatkov ter informacij, navedenih v Uredbi.

2. Pravica do popravka
   Imate pravico zahtevati, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke, ki se nanašajo na vas. Upoštevajoč namene obdelave imate pravico, da zahtevate dopolnitev nepopolnih osebnih podatkov, tudi z dopolnilno izjavo.

3. Pravica do izbrisa ("pravica do pozabe")
   Imate pravico zahtevati, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke, ki se nanašajo na vas, upravljavec pa je dolžan brez nepotrebnega odlašanja izbrisati osebne podatke pod določenimi pogoji.

4. Pravica do pozabe
   Če je upravljavec javno objavil osebne podatke in je dolžan izbrisati osebne podatke, bo ob upoštevanju razpoložljive tehnologije in stroškov izvedbe sprejel razumne ukrepe, vključno s tehničnimi ukrepi, da obvesti upravljavce podatkov, ki obdelujejo osebne podatke, da ste zahtevali izbris vseh povezav do teh osebnih podatkov ali njihovih kopij ali replik.

5. Pravica do omejitve obdelave
   Imate pravico zahtevati, da upravljavec omeji obdelavo, kadar velja eden od naslednjih pogojev:

• Oporekate točnosti osebnih podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;

• Obdelava je nezakonita in nasprotujete izbrisu osebnih podatkov ter namesto tega zahtevate omejitev njihove uporabe;

• Upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih vi potrebujete za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

• Vložili ste ugovor v zvezi z obdelavo podatkov; v tem primeru velja omejitev, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad vašimi razlogi.

6. Pravica do prenosljivosti podatkov
   Imate pravico, da prejmete osebne podatke, ki ste jih posredovali upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, ter pravico, da te podatke prenesete drugemu upravljavcu brez ovir s strani prvotnega upravljavca.

7. Pravica do ugovora
   Imate pravico, da zaradi razlogov, povezanih z vašim posebnim položajem, kadar koli ugovarjate obdelavi osebnih podatkov (...), vključno s profiliranjem na podlagi teh določb.

8. Ugovor v primeru neposrednega trženja
   Če se osebni podatki obdelujejo za namene neposrednega trženja, imate pravico, da kadar koli ugovarjate obdelavi osebnih podatkov v ta namen, vključno s profiliranjem, če je povezano z neposrednim trženjem. Če ugovarjate obdelavi za namene neposrednega trženja, osebnih podatkov ni več dovoljeno obdelovati v te namene.

9. Avtomatizirano sprejemanje posameznih odločitev, vključno s profiliranjem
   Imate pravico, da vas ne zadeva odločitev, ki temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem, ki ima pravne učinke na vas ali nanje pomembno vpliva.

To ne velja, če je odločitev:

• potrebna za sklenitev ali izvajanje pogodbe med vami in upravljavcem;

• dovoljena s pravom Unije ali države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika;

• sprejeta z vašim izrecnim soglasjem.

Rok za ukrepanje

Upravljavec vam brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, posreduje informacije o ukrepih, sprejetih na podlagi vaše zahteve. Ta rok se lahko po potrebi podaljša za največ dva meseca. O morebitnem podaljšanju roka ter razlogih za zamudo bo upravljavec obvestil vas v enem mesecu po prejemu zahteve.

Če upravljavec ne ukrepa na vašo zahtevo, vas bo brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvestil o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in uveljavljanja pravnega sredstva.

Varnost obdelave podatkov

Upravljavec in obdelovalec osebnih podatkov izvajata ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju, ob upoštevanju dosežkov znanosti in tehnike, stroškov izvedbe ter narave, obsega, okoliščin in namenov obdelave ter različnih verjetnosti in resnosti tveganj za pravice in svoboščine posameznikov, vključno z naslednjimi ukrepi:

1. psevdonimizacija in šifriranje osebnih podatkov;

2. zagotavljanje stalne zaupnosti, celovitosti, razpoložljivosti in odpornosti sistemov in storitev, ki se uporabljajo za obdelavo osebnih podatkov;

3. zmožnost pravočasnega povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

4. postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

Podatke je treba hraniti tako, da onemogočijo dostop nepooblaščenim osebam:

• Pri papirnih nosilcih: z ustreznim fizičnim shranjevanjem in arhiviranjem;

• Pri elektronski obliki: z uporabo centralnega sistema za upravljanje pravic dostopa.

Način elektronskega shranjevanja podatkov mora omogočiti njihovo nepopravljivo brisanje po preteku roka hrambe ali iz drugih razlogov.

Papirne nosilce je treba uničiti s pomočjo uničevalnika dokumentov ali pooblaščene organizacije, ki se ukvarja z uničenjem dokumentov. Elektronske nosilce je treba uničiti v skladu s posebnimi pravili za odpis elektronskih naprav ali zagotoviti njihovo varno in nepopravljivo brisanje.

Posebni ukrepi za varnost osebnih podatkov (papirna oblika):

1. Dokumenti se hranijo v varnem, zaklenjenem in suhem prostoru;

2. V primeru digitalizacije papirnih dokumentov veljajo pravila za elektronsko hrambo;

3. Zaposleni, ki obdeluje osebne podatke, mora ob zapustitvi delovnega prostora zakleniti ali ustrezno zaščititi nosilce podatkov;

4. Osebne podatke smejo poznati le pooblaščene osebe;

5. Prostori ponudnika storitev so opremljeni s protipožarnimi in varnostnimi napravami.

Informacijska zaščita

1. Računalniki in mobilne naprave (drugi nosilci podatkov), ki se uporabljajo pri obdelavi podatkov, so last Ponudnika storitev.

2. Računalniški sistem, ki ga uporablja Ponudnik storitev in vsebuje osebne podatke, je zaščiten s protivirusno programsko opremo.

3. Za varnost digitalno shranjenih podatkov Ponudnik storitev izvaja varnostne kopije in arhiviranje podatkov.

4. Dostop do centralnega strežnika imajo le pooblaščene osebe z ustreznimi pravicami dostopa.

5. Do podatkov, shranjenih na računalnikih, je mogoče dostopati le z uporabniškim imenom in geslom.

Obveščanje posameznika o kršitvi varstva osebnih podatkov

Če kršitev varstva osebnih podatkov verjetno pomeni veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec brez nepotrebnega odlašanja obvestiti prizadetega posameznika.

Obvestilo posamezniku mora biti jasno in razumljivo ter mora vsebovati naslednje podatke:

• opis narave kršitve varstva osebnih podatkov;

• ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne osebe, ki lahko posreduje dodatne informacije;

• opis verjetnih posledic kršitve varstva osebnih podatkov;

• opis ukrepov, ki jih je upravljavec sprejel ali jih namerava sprejeti za odpravo kršitve varstva osebnih podatkov, vključno z morebitnimi ukrepi za ublažitev njenih morebitnih škodljivih posledic.

Obveščanje posameznika ni potrebno, če je izpolnjen kateri koli od naslednjih pogojev:

• upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe ter so bili ti ukrepi uporabljeni za osebne podatke, na katere se nanaša kršitev varstva osebnih podatkov, zlasti tiste ukrepe – kot je uporaba šifriranja –, ki onemogočajo dostop do osebnih podatkov nepooblaščenim osebam;

• upravljavec je po kršitvi varstva osebnih podatkov sprejel nadaljnje ukrepe, ki zagotavljajo, da veliko tveganje za pravice in svoboščine posameznika verjetno ne bo več nastopilo;

• obveščanje bi zahtevalo nesorazmeren napor. V takih primerih je treba posameznike obvestiti z javno objavljenimi informacijami ali z enako učinkovitimi ukrepi, ki zagotovijo učinkovito obveščenost posameznikov.

Če upravljavec posameznika še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ po oceni, ali kršitev varstva osebnih podatkov verjetno pomeni veliko tveganje, zahteva, da upravljavec obvesti posameznika.