PRAVILNIK O ZAVAROVANJU OSEBNIH PODATKOV

Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov, v nadaljevanju: GDPR), in Zakona o varstvu osebnih podatkov (Uradni list RS, v nadaljevanju: ZVOP-2) izdaja direktorica družbe OPTIKA PETRA VOGA KUMER PETRA s.p., (v nadaljevanju Optika Petra).

POLITIKA ZASEBNOSTI
Politika zasebnosti ureja zbiranje, hrambo in obdelavo osebnih podatkov, ki jih upravljavec zbira od obiskovalcev preko kontaktnega obrazca na strani http://privaline.si/kontakt.html.

UPRAVLJAVEC

Privaline, storitve in trgovina d.o.o. (Parketarstvo in Čistilni servis)
Višnjevarjeva ulica 37
1260 Ljubljana-Polje

E-pošta: optikapetra1@gmail.com

NAMEN OBDELAVE OSEBNIH PODATKOV

PETRA VOGA KUMER s.p. zbira in hrani naslednje podatke o uporabnikih: Ime in priimek, naslov elektronske pošte, datum vnosa zadeve (Prošnje za ponudbo) v kontaktni obrazec.

PETRA VOGA KUMER s.p. ločeno od vseh ostalih podatkov zbira naslednje podatke o prometu na strežniku: IP naslov, čas in naslov obiskane strani (URL), stran s katere je obiskovalec prišel na obiskano stran (referrer) — če je ta podatek posredovan.

PETRA VOGA KUMER s.p. navedene podatke zbira na podlagi izrecne privolitve, razen podatkov iz podatkov iz prejšnjega odstavka (potrebni za obvladovanje varnostnih tveganj spletne strani), ki se hranijo na podlagi zakonitega interesa.

PETRA VOGA KUMER s.p. ne uporablja sistemov za sprejemanje avtomatiziranih odločitev, vključno z oblikovanjem profilov, v smislu 22. člena Splošne Uredbe o varstvu podatkov (UREDBA (EU) 2016/679).

I. Splošne določbe

1.člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v družbi Optika Petra. z namenom, da se zagotovi, da: • so osebni podatki obdelani zakonito, pošteno in na pregleden način; • so osebni podatki zbrani za določene, izrecne in zakonite namene, in se ne obdelujejo na način, ki ni združljiv s temi nameni; • se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave; ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost; • se spoštujejo in zaščitijo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; • se zagotovi varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo; • lahko družba dokaže skladnost z zakonodajo s področja varstva osebnih podatkov. • Z določbami tega pravilnika in se določijo obveznosti zaposlenih v družbi Optika Petra, ki jih morajo le ti spoštovati. Določbe tega pravilnika veljajo tudi za druge osebe, ki v družbi opravljajo delo na podlagi pogodb, ki niso pogodbe o zaposlitvi. V primeru dvoma glede pomena katere izmed določb tega dokumenta se obrnite na direktorico Petro Voga Kumer.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

2. Osebni podatek – pomen je enak kot ga določa GDPR

3. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;

4. Zbirka osebnih podatkov – pomen je enak kot ga določa GDPR

5. Obdelava osebnih podatkov – pomen je enak kot ga določa GDPR

6. Upravljavec osebnih podatkov – pomen je enak kot ga določa GDPR

7. Občutljivi osebni podatki – pomen je enak kot ga določa GDPR

8. Uporabnik osebnih podatkov – pomen je enak kot ga določa GDPR

9. Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov ipd.).

10. Zaposleni – pomeni osebe, ki imajo z družbo sklenjeno pogodbo o zaposlitvi, osebe, ki opravljajo delo v družbi kot dijaki ali študenti, osebe, ki opravljajo delo v družbi na podlagi pogodbe med družbo in njihovim delodajalcem, ki opravlja dejavnost zagotavljanja dela drugim delodajalcem, ter osebe, ki opravljajo delo za družbo na podlagi pogodb civilnega prava.

11. Varnostni incident – pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3. člen1

Družba vodi in vzdržuje evidenco dejavnosti obdelave osebnih podatkov s predpisani sestavinami, skladno z določbo 30. člena GDPR, in sicer za vsako zbirko posebej. Evidenca dejavnosti obdelave se vodi v elektronski obliki, dostop je možen po predhodnjem zaprosilu. Za vodenje evidence dejavnosti obdelave je pristojen vsak vodja oddelka, v okviru katerega se vodi posamezna zbirka, nadzor pa izvaja direktor

4. člen

V družbi oziroma za potrebe družbe se lahko obdelujejo le tisti osebni podatki, za katere obstaja ustrezna pravna podlaga po določbah GDPR ali druge zakonodaje. Če pravna podlaga za obdelavo ne obstaja, je potrebno osebne podatke takoj prenehati aktivno obdelovati in onemogočiti dostop do njih ter o neobstoju podlage obvestiti direktorja družbe, ki določi nadaljnje ravnanje s takimi podatki. Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Kadar namerava družba nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, je potrebno predhodno preveriti, ali je nov namen združljiv s prvotnim in izdelati o tem pisno poročilo. Ukrepe za zagotovitev varnosti konkretnih (zbirk) osebnih podatkov, kot so med drugim psevdonimizacija in šifriranje, omejitev roka hrambe in dostopa, omejitev obdelave, omejitev namenov ipd., ter način izvedbe določi direktor na predlog vodje.

1 Po GDPR vodenje te evidence ni potrebno za družbe z manj kot 250 zaposlenimi, RAZEN če: – je verjetno, da obdelava predstavlja tveganje za pravice in svoboščine posameznikov (je torej invazivna); – obdelava NI občasna; – obdelava vključuje posebne vrste podatkov. Glede na navedeno, predvsem na pogoj glede (ne)občasnosti obdelave, priporočamo, da evidenco dejavnosti obdelave vodijo tudi družbe z manj kot 250 zaposlenimi. Posebne vrste osebnih podatkov se lahko obdelujejo le v skladu z določbami GDPR in druge zakonodaje. Pri obdelavi morajo biti ti podatki posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. O obdelavi osebnih podatkov mora biti posameznik obveščen v skladu z določbami 12., 13. in 14. člena GDPR. Za izvedbo obvestil je pristojen vsak vodja oddelka, v okviru katerega se vodi posamezna zbirka. Vsak vodja oddelka, v okviru katerega se vodi posamezna zbirka, je dolžan (za vsako posamezno zbirko) določiti in voditi pisen seznam oseb, ki lahko zaradi narave svojega dela in/ali funkcije v družbi obdelujejo določene osebne podatke oziroma imajo dostop do zbirk (v nadaljevanju »pooblaščeni obdelovalci«). Vodje oddelkov so dolžni pisne sezname pooblaščenih obdelovalcev posredovati direktorju družbe. Pooblaščeni obdelovalci morajo biti pred obdelavo osebnih podatkov seznanjeni z določbami GDPR ter z vsebino tega pravilnika, o čemer so dolžni podpisati posebno Izjavo “Dodatek k pogodbi o obdelavi podatkov”.

5. člen

Posameznik ima pravico od družbe dobiti potrditev, ali se obdelujejo njegovi osebni podatki, in če se, pravico dobiti dostop do osebnih podatkov (vpogled) in informacije iz 1. odstavka 15. člena GDPR. Posameznik ima pravico doseči, da družba brez nepotrebnega odlašanja popravi netočne oziroma dopolni nepopolne osebne podatke v zvezi z njim. Posameznik ima pravico doseči, da družba brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eden od naslednjih razlogov: – osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani; – posameznik prekliče privolitev, na podlagi katere poteka obdelava in za obdelavo ne obstaja nobena druga pravna podlaga; – posameznik obdelavi ugovarja, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi; – osebni podatki so bili obdelani nezakonito; – osebne podatke je treba izbrisati za izpolnitev pravne obveznosti zaradi izpolnitve zakonskih obveznosti; – osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletnega posameznika. Posameznik ima pravico doseči, da družba omeji obdelavo, kadar velja en od naslednjih primerov: – posameznik oporeka točnosti podatkov, in sicer za obdobje, ki družbi omogoča preveriti točnost osebnih podatkov; – je obdelava nezakonita in posameznik nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe; – družba osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; – je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki. Posameznik ima pravico, da prejme osebne podatke ki jih je posredoval družbi, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga družba pri tem ovirala, kadar: – obdelava temelji na privolitvi in – se obdelava izvaja z avtomatiziranimi sredstvi. Direktor družbe je dolžan poskrbeti za to, da so posamezniki na primeren način, ki je skladen z zahtevami GDPR, obveščeni o pravicah iz prejšnjih odstavkov tega člena. Direktor tudi poskrbi za enotno kontaktno točko, na katero se lahko obrnejo posamezniki pri uveljavljanju svojih pravic. Za uveljavitev pravic posameznikov in za komunikacijo z njimi je zadolžen vodja oddelka, v okviru katerega se vodi zbirka, v kateri so osebni podatki posameznika. Če se osebni podatki posameznika nahajajo v več zbirkah, direktor družbe določi pristojnega vodjo oddelka.

6. člen

Vodja oddelka ali druga oseba, ki to zazna, je dolžna direktorja opozoriti na dejstvo, da bi lahko načrtovana obdelava osebnih podatkov, zlasti (toda ne izključno) z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave osebnih podatkov, povzročila veliko tveganje za pravice in svoboščine posameznikov. V tem primeru direktor odloči, ali je potrebno izvesti oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Za samo izvedbo ocene učinka je odgovoren vodja, ali druga od direktorja pooblaščena oseba. Vsi zaposleni, ki lahko dajo na razpolago potrebne podatke in ocene, so dolžni sodelovati. Ocena učinka se izvede v pisni obliki in obsega: – sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva družba; – oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; – oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; – ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti z GDPR, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva. Če vodja oddelka ali druga oseba, ki je izdelala oceno učinka, ugotovi, da bi predvidena obdelava povzročila veliko tveganje, če družba ne bi sprejela ukrepov za ublažitev tveganja, je dolžan o tem obvestiti direktorja družbe, da presodi, ali je potrebno posvetovanje z nadzornim organom. II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

7. člen

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov. Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja direktorja ali vodje. Ključi se ne puščajo v ključavnici v vratih od zunanje strani. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo. Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni. Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje. Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori), morajo biti stalno zaklenjeni. Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov. Zaposleni, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom nenadzorovano puščati nosilcev osebnih podatkov na pisalni mizi ali jih kako drugače izpostavljati nevarnosti, da bi nepooblaščene osebe dobile vpogled v osebne podatke. Ključe, kartice, gesla in ostala sredstva, ki omogočajo dostop do varovanih prostorov, je treba varovati, upravljati in hraniti vestno in skrbno. Vsako izgubo ali odtujitev ali sum o zlorabi, mora zaposleni takoj sporočiti

8. člen

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

9.člen

Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z družbo Optika Petra sklenjeno ustrezno pogodbo ali izdano naročilnico.

10.člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni). III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

11. člen

Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu z naročilom opravljajo dogovorjene storitve.

12. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z družbo Optika Petra sklenjeno ustrezno pogodbo ali jim je dano naročilo.

13. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.

14. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čimprej odpravi, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem. Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo Optika Petra na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

15. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz poslovnih prostorov brez dovoljenja direktorja.

16. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

17. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oziroma nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih.

18. člen

Osebni podatki se lahko zgolj izjemoma, kadar je to glede na naravo dela nujno potrebno, shranjujejo in obdelujejo lokalno (na lokalnih računalnikih in drugih podobnih napravah). Po prenehanju potrebe po takem shranjevanju in obdelavi osebnih podatkov, se morajo osebni podatki prenesti v centralizirane baze podatkov ali pa se trajno izbrisati. Morebitne kopije vsebin zbirk osebnih podatkov na lokalnih nosilcih (zunanji diski, USB-ključi in drugo) se hranijo v zaklenjenih omarah. Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj,če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena. IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

19. člen

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni oziroma naročeni obdelovalec), se sklene pisna pogodba, predvidena v drugem odstavku 28. Členu Splošne uredbe o varstvu podatkov. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Pred sklenitvijo pogodbe z obdelovalcem je odgovorna oseba (praviloma vodja oddelka) dolžna od njega pridobiti podatke, ki omogočajo preveritev, ali obdelovalec izpolnjuje zahteve zakonodaje s področja varstva osebnih podatkov; to vključuje tudi razkritje vseh podpogodbenih obdelovalcev, vključno z njihovimi nazivi in sedeži. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo. Zunanje pravne ali fizične osebe smejo opravljati samo storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen. Pooblaščena pravna ali fizična oseba, ki za družbo Optika Petra opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kot ga predvideva ta pravilnik. Poleg drugih zahtev si mora družba v pogodbah z obdelovalci zagotoviti pravico, da najmanj enkrat letno pri pogodbenem obdelovalcu izvede pregled ali revizijo na področju varstva osebnih podatkov. Pregled ali revizijo je potrebno izvesti ob vsakem sumu ali indicu, da obdelovalec krši sklenjeno pogodbo ali da ne zagotavlja zadostne ravni varstva osebnih podatkov. Revizija se izvede na stroške družbe, pri čemer obdelovalec morebitnega angažmaja svojih ljudi in/ali podpogodbenih obdelovalcev družbi ne sme zaračunati. V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV

20. člen

Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena. Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v upravni organ prinesejo jih stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena. Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis. Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov upravnega organa.

21. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino. Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico. Osebni podatki se pošiljajo priporočeno. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

22. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana. Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

23. člen

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo. Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo. V primeru pridobivanja in posredovanja osebnih podatkov med organi javne uprave, je potrebno upoštevati tudi določbe uredbe o, ki ureja upravno poslovanje. Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo. VI. BRISANJE PODATKOV

24. člen

Po preteku roka hranjenja, se osebni podatki učinkovito izbrišejo, uničijo, ali anonimizirajo, razen če zakon ali drug akt ne določa drugače. O izbrisu, uničenju ali anonimizaciji osebnih podatkov odloči vodja oddelka. O uničenju, izbrisu ali anonimizaciji osebnih podatkov se napravi zapisnik, ki ne sme vsebovati osebnih podatkov posameznikov, katerih podatki so se izbrisali, uničili ali anonimizirali.

25. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. Podatki na klasičnih medijih (listine, kartoteke, register, seznam…) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov. Točen način uničenja za posamezne tipe osebnihpodakov ali nosilcev določi direktor družbe. Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.). Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti. Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa. VII. UKREPANJE OB VARNSOTNIH INCIDENTIH V ZVEZI Z OSEBNIMI PODATKI

25. člen

Zaposleni so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik. Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali predstojnika, sami pa poskušajo takšno aktivnost preprečiti. Direktor družbe mora ob vsakem sumu kršitve varstva osebnih podatkov takšno kršitev sporočiti Informacijskemu pooblaščencu v 72 urah. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora direktor družbe poskrbeti za to, da so prizadeti posamezniki brez nepotrebnega odlašanja obveščeni o tem, da je prišlo do kršitve varstva osebnih podatkov.

26. člen

Direktor družbe je dolžan poskrbeti za to, da se po varnostnem incidentu opravi analiza vzrokov in predlog ukrepov, ki naj zmanjšajo ali izničijo tveganje za take in bodoče varnostne incidente, ter da se, če je to smiselno in mogoče, predlagani ukrepi tudi izvedejo. Če se izkaže, da je varnostni incident povzročil ali bil pri njem udeležen zaposleni ali je do varnostnega incidenta prišlo zaradi malomarnosti s strani zaposlenega, direktor družbe, ne glede na ostale določbe tega pravilnika, sprejme ustrezne delovnopravne ukrepe zoper zaposlenega. VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

27. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov je odgovoren direktor družbe in pooblaščene osebe, ki niso zaposlene v družbi. Nadzor iz 1. odstavka tega člena vključuje tudi postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Pri tem so dolžni sodelovati vsi zaposleni in druge osebe v družbi.

28. člen

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja. Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbamiSplošne uredbe o varstvu podatkov, izjava pa mora vsebovati tudi pouk o posledicah kršitve.

29. člen

Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti. IX. KONČNE DOLOČBE:

30. člen

Ta pravilnik začne veljati november 2020.

POLITIKA VARSTVA OSEBNIH PODATKOV

1. člen (Upravljavec osebnih podatkov in kontaktni podatki)

Določbe tega dokumenta veljajo za zbiranje in obdelavo vseh osebnih podatkov, ki jih zbira in obdeluje družba OPTIKA PETRA VOGA KUMER PETRA s.p. (nadalje upravljalec).

Podatki o upravljavcu:

Firma: OPTIKA PETRA VOGA KUMER PETRA s.p.

Naslov: Drofenikova ulica 16, 3230 Šentjur

Telefon: 03 574 01 52

E-pošta: optikapetra2@gmail.com

Podatki o pooblaščeni osebi za varstvo podatkov:

Ime in Priimek/firma: OPTIKA PETRA VOGA KUMER PETRA s.p.

Kontaktni telefon: 03 574 01 52

Kontaktni e-poštni naslov: optikapetra2@gmail.com

2. člen

(vrste obdelovanih osebnih podatkov)

Vrste osebnih podatkov, ki jih obdelujemo:

1. osnovni kontaktni podatki

• Ime in priimek

• Telefonska številka

• Ime podjetja (če se prijavljate kot podjetje)

• E-mail

3.člen

(podlaga za obdelavo osebnih podatkov) Osebne podatke obdelujemo kadar je to potrebno, za izpolnitev naših obveznosti, ki nam jih nalaga zakonodaja, oziroma kadar je to potrebno za izpolnitev naših obveznosti, na podlagi sklenejne pogodbe z vami. Osebne podatke obdelujemo tudi, kadar se podali soglasje za obdelavo vaših osebnih podatkov. Podano soglasje pa lahko kadarkoli prekličete.

4. člen

(Nameni obdelave osebnih podatkov) Osebne podatke zbiramo in obdelujemo z namenom:

Ponudnik zbira in obdeluje osebne podatke na podlagi privolitve oz. soglasja posameznikov. Ponudnik obdeluje in shranjuje naslednje uporabnikove podatke:

Kontaktni obrazec: ime, priimek, e-naslov, IP.

Piškotki za delovanje spletnih stran

Če ste le obiskovalec spletne strani, o vas zbiramo podatke le z uporabo piškotkov.

Zbranih osebnih podatkov ne posredujemo tretjim osebam. Zbirke osebnih podatkov ponudnik hrani na območju Republike Slovenije ter jih ne iznaša v druge države.

5. člen

(hramba osebnih podatkov) Osnovne kontaktne oseben podatke hranimo dokler imate na naši spletni strani status registriranega uporabnik. Osebne podatke, ki smo jih pridobili na podlagi vašega soglasja hranimo do preklica. Podatke o izdanih računih hranimo 10 let od izdaje. Podatke ki smo jih pridobili zaradi izpolnitve obveznosti, ki so nastale na podlagi sklenejen pogodbe hranimo še 5 let po izpolnitvi pogodbe . Po izteku obdobja hrambe osebne podatk trajno in učinkovito izbrišemo, oziroma anonimiziramo, tako da izgubijo značaj osebnih podatkov.

6. Člen

(posredovanje osebnih podatkov) O tem ali nam boste posrdovali vaše osebne podatke se odločate prostovoljno. Neposredovanje določenih kategorij osebnih podatkov se lahko odrazi v nemožnosti zagotavljanja storitve ali zavrnitvi sklenitve pogodbe.

7. člen

(dostop do osebnih podatkov) Dostop do vaših osebnih podatkov imajo zgolj osebe znotraj družbe Optika Petra, ki imajo pooblastila za obdelavo osebnih podatkov in tretje osebe s katerimi je družba Optika Petra sklenila pogodbo o obdelovanju podatkov t.i. pogodbeni obdelovalci osebnih podatkov. Pogodbeni obdelovalci izvajajo storitevobdelave osebnih podatkov v skladu z določili pogodbe sklenjenen med družbo Optika Petra in njimi. Pogodbenim obdelovalcem je prepovedano iznašanje osebnih podatkov v tretje države in mednarodnem organizacije.

8. člen

(pravice v zvezi z osebnimi podatki) Od družbe Optika Petra lahko kadarkoli zahtevate, da vas seznani ali obdeluje vaše osebne podatke, katere osebne podatke obdeluje, namen obdelave osebnih podatkov, kdo so uporabniki teh osebnih podatkov, obdobje hrambe osebnih podatkov in merila za določitev trajanja hrambe osebnih podatkov. Prav tako lahko zahtevate, da vas družba seznani z obstojem avtomatiziranega sprjemanja odločitev ter razlogi za njegovo uporabo, pomen njegove uporab in predvidene posledice. Prav tako lahko zahtevate popravek netočnih podatkov, ter omejitev obdelave kadar: – oporekate točnosti podatkov, za določen čas, ki je potreben, da se točnost podatkov preveri. – Je obdelava nezakonita, vendar ne zahtevate izbrisa podatkov, temveč omejitev njihove obdelave – Kadar osebnih podatkov ne potrebujemo več, jih pa potrebujete vi za uveljavljanje in obrambo pravnih zahtevkov. V primeru, ko so izpolnjeni pogoji, ki so določeni v členu 17 Splošne uredbe o varstvu osebnih podatkov, lahko zahtevate izbris vseh svojih osebnih podatkov (Right to be forgotten). V vsakem primeru pa kadar so bili podatki zbrani na podlagi vaše privolitve, ki ste jo je naknadno preklicali. Zahtevate lahko tudi izpis svojih osebnih podatkov v strukturirani in berljivi obliki. Te podatke lahko brez ovir posredujete drugemu upravljalcu osebnih podatkov Zoper družbo Optika Petra imate možnost vložiti pritožbo pri informacijskem pooblaščencu, če menite da družba Optika Petra ali druga oseba z obdelavo vaših osebnih podatkov krši veljavno zakonodajo.

9.člen

(uveljavljanje pravic) Svoje zahtevke iz prejšnjega člena naslovit na katerikoli kontakt upravljalca, ki je naveden v 1. Členu tega dokumenta. Za posredovanje osebnih podatkov lahko od vas zahtevamo, da predložite dokaze o vaši identitiet. V kolikor ne uspete zanesljivo dokazati, lastne identitete lahko vaš zahtevek iz preješnjega člena zavrnemo. Na vašo zahtevo iz prejšnjega člena smo vam dolžni odgovoriti takoj ko se z njo seznanimo in pridobimo ustrezne podatke. Najkasneje pa v roku 15 dni od prejema vaše zahteve.

IZJAVA O VARSTVU PODATKOV

  1. Ali bodo vaši osebni podatki posredovani tretjim osebam?

Privaline, storitve in trgovina d.o.o. vaših osebnih podatkov, pridobljenih z vnosom v kontaktni obrazec, ne bo posredoval tretjim osebam, razen, če zakon ne določa drugače.

  1. Ali in kako lahko izvem, katere moje osebne podatke obdeluje PETRA VOGA KUMER s.p. ?

PETRA VOGA KUMER s.p. , bo na vašo zahtevo v skladu z veljavno zakonodajo glede podatkov, ki se nanašajo na vas, omogočil vpogled v osebne podatke, njihovo prepisovanje ali kopiranje ter njihov izpis, posredoval vam bo seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen. Prav tako vam bo na vašo zahtevo v skladu z veljavno zakonodajo podal tudi druge informacije v zvezi z vašimi osebnimi podatki, ki jih zbira.
Za pridobitev potrditve, ali se v zvezi s posameznikom obdelujejo osebni podatki in posledično še ostale informacije, lahko uporabite elektronski naslov optikapetra1[at]gmail.com

3. Varnost zbranih podatkov

PETRA VOGA KUMER s.p.  , se zavezuje, da bo varoval zaupnost osebnih podatkov uporabnikov spletnega mesta. Zbrane podatke bo uporabil izključno za namene, za katere jih bodo posredovali uporabniki spletnega mesta. Osebnih podatkov in kontaktnih informacij ne bodo uporabljeni v druge namene in brez izrecnega dovoljenja uporabnika spletnega mesta ne bodo razkriti tretjim strankam, razen če zakon ne določa drugače. Naša spletna stran gostuje na strežniški infrastrukturi pogodbenega obdelovalca s sedežem v Sloveniji. Storjeno bo vse za zaščito osebnih podatkov pred kakršnimi koli kršitvami in zlorabami.

4. Zahteva za spremembo, odstranitev ali dostop do lastnih osebnih podatkov

Zahtevo za spremembo ali odstranitev lastnih osebnih podatkov je potrebno poslati upravljavcu spletne strani. V zahtevi je potrebno določno našteti podatke za katere se zahteva umik. V kolikor je podlaga za njihovo hrambo oz. objavo vaše soglasje bodo podatki odstranjeni oz. izbrisani.

5. Preklic soglasja za obdelavo osebnih podatkov

Preklic soglasja za obdelavo osebnih podatkov se izvaja z izbrisom omenjenih podatkov (glej prejšnji odstavek).

6. Prenosljivost osebnih podatkov

Vsi vaši osebni podatki in vsebine so v strojno berljivi obliki na voljo na zahtevo pri upravljavcu.

7. Pristojnost za nadzor

Pritožbe v zvezi z varstvom osebnih podatkov obravnavamo resno in hitro. V kolikor ste mnenja, da pri tem nismo uspešni, lahko na spletni strani Informacijskega pooblaščenca prek obrazca podate prijavo, zaradi kršitev zakonodaje s področja varstva osebnih podatkov.

8. Spremembe izjave o varstvu osebnih podatkov

Izjava je bila zadnjič posodobljena marca 2023.