PRAVILNIK O VARSTVU OSEBNIH PODATKOV
PRAVILNIK O VARSTVU OSEBNIH PODATKOV
uvodne določbe
1. Člen – namen in pravna narava pravilnika
S tem pravilnikom se opredeljujejo tehnični in organizacijski ukrepi, s katerimi podjetje Do Avta d.o.o. (v nadaljnjem tudi: podjetje) varuje osebne podatke.
Ukrepi se izvajajo z namenom, da:
- so osebni podatki obdelani skladno z zakonom, pošteno in pregledno, v zvezi s posameznikom, na katerega se osebni podatki nanašajo (načela zakonitosti, pravičnosti in preglednosti),
- so osebni podatki zbrani v jasno določene namene ki so nedvoumni in zakoniti, podatki pa se ne obdelujejo, shranjujejo ali pošiljajo na način, ki ni v skladu s temi nameni (načelo omejitve namena),
- se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja tako za količino zbranih osebnih podatkov, obseg obdelave, obdobje hrambe in dostopnost le teh (načela najmanjšega obsega podatkov in omejitve shranjevanja),
- se zaščitijo pravice in svoboščine oseb, na katere se nanašajo osebni podatki
- so osebni podatki točni in pravilno posodobljeni (načelo točnosti),
- se zagotovi varnost osebnih podatkov, kar vključuje zaščito pred nedovoljeno in/ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti),
- lahko podjetje dokaže skladnost z zakonodajo na področju varstva osebnih podatkov
Ta pravilnik predstavlja splošni predpis v okviru zakonodaje, ki ureja delovna razmerja, in opredeljuje dolžnosti, ki jih morajo zaposleni razumeti in spoštovati v skladu s svojimi pogodbenimi in drugimi obveznostmi.
Ta pravilnik velja tudi za osebe, ki izvajajo delo za podjetje na podlagi različnih vrst pogodb, ki niso povezane s formalnimi zaposlitvami, vključno z dijaki in študenti.
Osebe, ki so navedene v tretjem in četrtem odstavku tega člena, in druge osebe, ki zaradi značilnosti svojega dela obdelujejo specifične osebne podatke, morajo biti pred začetkom obdelave osebnih podatkov obveščene o določbah, ki jih vsebuje veljavni Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1). Uredbe (EU) o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, ter razveljavitvi Direktive 95/46/ES (v nadaljevanju tudi: GDPR), in določbe tega pravilnika zavezujejo k zagotavljanju zaupnosti pri obdelavi osebnih podatkov. Katerakoli od oseb, navedenih v 3. in 4. odstavku tega člena in katerikoli od pooblaščenih/pogodbenih obdelovalcev, je dolžna ob kakršnemkoli dvomu glede pomena navedenih predpisov ali določb tega pravilnika poiskati strokovno razlago oziroma pomoč pri lastniku podjetja Mateju Lavriču (v nadaljevanju tudi: vodja prodaje) ali Romanu Lavriču (v nadaljevanju tudi: direktor).
2. Člen – opredelitev pojmov
V tem pravilniku so pojmi, kot so “osebni podatek,” “posebne vrste osebnih podatkov,” “zbirka,” “obdelava,” “posameznik,” “upravljavec,” “obdelovalec,” “uporabnik,” “tretja oseba” in “privolitev posameznika, na katerega se nanašajo osebni podatki“, opredeljeni na enak način kot v
Splošni uredbi o varstvu podatkov (GDPR), razen če so v nadaljevanju ali na določenih mestih tega pravilnika drugače določeni.
Izraz “nosilec podatkov” obsega različna sredstva, na katerih so osebni podatki zabeleženi ali shranjeni, kot so listine, akti, gradiva, spisi, računalniška oprema, fotokopije, zvočno in slikovno gradivo ter podobno.
Izraz “zaposleni” zajema posameznike, ki imajo s tem podjetjem sklenjeno pogodbo o zaposlitvi, osebe, ki opravljajo delo v okviru tega podjetja kot dijaki ali študenti, osebe, ki delajo za to podjetje na podlagi pogodbe med podjetjem in njihovim delodajalcem, ki posreduje delovno silo drugim delodajalcem, in osebe, ki izvajajo delo za to podjetje na podlagi civilnopravnih pogodb.
“Varnostni incident” je dogodek, ki vključuje kršitev varnosti, ki lahko povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so bili poslani, shranjeni ali kako drugače obdelani.
3. Člen – evidenca dejavnosti obdelave osebnih podatkov
Podjetje ne vzdržuje dokumentacije o obdelavi osebnih podatkov zaradi pomanjkanja zahtev iz 5. odstavka 30. člena GDPR.
4. Člen – obdelava osebnih podatkov, varnost in obveščanje posameznikov
Pri izvajanju varnostnih ukrepov in postopkov upoštevamo naravo osebnih podatkov ter raven tveganja, ki jo predstavlja vsaka posamezna obdelava.
V podjetju, ali za potrebe podjetja s pomočjo obdelovalcev, je dovoljena obdelava osebnih podatkov samo, če obstaja ustrezna zakonska osnova v skladu z določbami GDPR ali drugo veljavno zakonodajo o varstvu osebnih podatkov. Če takšna pravna osnova ni na voljo, je treba prenehati aktivno obdelovati osebne podatke, onemogočiti dostop do njih ter o tej odsotnosti pravne osnove obvestiti direktorja podjetja, ki bo določil nadaljnje ukrepe v zvezi s temi podatki.
Podjetje ne obdeluje ali hrani posebnih vrst osebnih podatkov.
V skladu z določbami 12., 13. in 14. člena GDPR mora posameznik biti ustrezno obveščen o pridobivanju in obdelavi osebnih podatkov. Za izvajanje teh obvestil je odgovoren zaposleni na delovnem mestu “vodja prodaje.”
Pred obdelavo osebnih podatkov morajo pooblaščeni obdelovalci podpisati posebno izjavo, imenovano “Izjava o varstvu osebnih podatkov,” s čimer se zavežejo k spoštovanju določb ZVOP-1, GDPR in tega pravilnika.
5. Člen – zagotavljanje in uresničevanje pravic posameznikov
Posameznik ima pravico zahtevati od podjetja potrditev, ali so njegovi osebni podatki v obdelavi, ter če to drži, ima tudi pravico zahtevati dostop do svojih osebnih podatkov (vpogled) in prejem informacij v skladu s 1. odstavkom 15. člena GDPR.
Če je obdelava osebnih podatkov temeljila na privolitvi za enega ali več določenih namenov, ima posameznik v skladu z določbami GDPR pravico, da to privolitev kadar koli prekliče, pri čemer tak preklic ne vpliva na zakonitost obdelave podatkov, ki je bila izvedena na podlagi privolitve pred njenim preklicem.
Posameznik ima pravico zahtevati, da podjetje takoj izbriše njegove osebne podatke, če se izpolnjuje eden od naslednjih pogojev:
- Osebni podatki niso več potrebni za namene, za katere so bili prvotno zbrani ali kako drugače obdelani.
- Posameznik prekliče privolitev, na podlagi katere poteka obdelava, in ne obstaja druga pravna podlaga za nadaljnjo obdelavo.
- Posameznik ugovarja obdelavi v skladu z določbami GDPR (člen 21), pri čemer ni prevladujočih zakonitih razlogov za nadaljnjo obdelavo.
- Osebni podatki so bili obdelani nezakonito.
- Izbris je potreben za izpolnitev zakonskih obveznosti ali pravne obveznosti.
- Osebni podatki so bili zbrani od mladoletnega posameznika v zvezi s ponudbo storitev informacijske družbe
Posameznik ima pravico zahtevati omejitev obdelave s strani podjetja, če velja eden od naslednjih primerov:
- Posameznik izpodbija točnost osebnih podatkov in zahteva omejitev obdelave za obdobje, ki omogoča podjetju preverjanje točnosti teh podatkov.
- Obdelava osebnih podatkov je nezakonita, vendar posameznik nasprotuje izbrisu teh podatkov in namesto tega zahteva omejitev njihove uporabe.
- Podjetje osebnih podatkov ne potrebuje več za svoje obdelovalne namene, vendar jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
- Posameznik je vložil ugovor glede obdelave, in sicer do preverbe, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Posameznik ima pravico zahtevati, da mu podjetje zagotovi svoje osebne podatke v obliki, ki je organizirana, uporabna za širok spekter uporabe in primerna za avtomatsko branje ter ima pravico, da te podatke brez oviranja s strani podjetja prenese k drugemu upravljavcu, če:
- Njihova obdelava temelji na privolitvi
- Se obdelava izvaja z avtomatiziranimi sredstvi
Direktor podjetja je odgovoren za zagotavljanje, da so posamezniki pravilno obveščeni o svojih pravicah v skladu z zahtevami GDPR. Poleg tega je odgovoren za vzpostavitev enotne kontaktne točke, kamor se lahko posamezniki obrnejo, ko želijo uveljavljati svoje pravice.
6. Člen – ocena učinka v zvezi z varstvom podatkov
V tem primeru direktor odloča, ali je potrebna ocena vpliva na varstvo osebnih podatkov pred izvedbo načrtovanih obdelovalnih postopkov. Vodja prodaje, ki je Matej Lavrič, je odgovoren za samo izvedbo ocene vpliva. Vsi zaposleni, ki imajo potrebne podatke in ocene na voljo, so dolžni sodelovati pri tem procesu.
Ocena vpliva se izvede v pisni obliki in zajema najmanj:
- Detaljen opis načrtovanih obdelovalnih postopkov in namenov obdelave, ter ko je primerno, zakonite interese, ki jim podjetje sledi.
- Presojo potrebnosti in sorazmernosti obdelovalnih postopkov v odnosu do njihovih namenov.
- Ocenjevanje tveganj za pravice in svoboščine posameznikov, katerih osebni podatki so vpleteni.
- Določitev ukrepov za obvladovanje tveganj, vključno z zaščitnimi ukrepi, varnostnimi ukrepi ter mehanizmi za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti z GDPR. Pri tem se upoštevajo pravice in zakoniti interesi posameznikov, katerih osebni podatki so vpleteni, kot tudi drugih vpletenih oseb
opredelitev zbirk osebnih podatkov
7. Člen – zbirke osebnih podatkov
V podjetju se osebni podatki obdelujejo v elektronski obliki in so organizirani v naslednjih zbirkah:
- Kadrovska evidenca,
- Evidence o strankah, ki uporabljajo storitve in poslovni partnerji
Poleg tega se osebni podatki v kadrovski evidenci podjetja obdelujejo tudi v fizični obliki in se hranijo v personalnih mapah.
8. Člen – kadrovska evidenca
Vsi zaposleni v podjetju ob sklenitvi pogodbe, ki je podlaga za njihovo zaposlitev, podpišejo posebno izjavo o seznanitvi z vsemi dejstvi in pravicami, ki izhajajo iz Zakona o varstvu osebnih podatkov (ZVOP-1), Splošne uredbe o varstvu podatkov (GDPR) in tega pravilnika.
9. Člen – evidenca kupcev storitev in poslovnih partnerjev
Obdelava vseh osebnih podatkov v evidenci strank in poslovnih partnerjev temelji na osebni privolitvi ali pa je v skladu s 6. členom GDPR potrebna za izpolnitev pogodb, ki so sklenjene s posamezniki, na katere se ti podatki nanašajo.
ukrepi za varovanje osebnih podatkov
10. Člen – varovanje prostorov in nosilcev podatkov
Prostori podjetja se nahajajo v na naslovu Ob železnici 16, Ljubljana. V teh prostorih se hranijo nosilci podatkov ter strojna in programska oprema, skupaj z omaricami, ki vsebujejo dokumentacijo iz člena 6 tega pravilnika (v nadaljevanju imenovani “varovani prostori“). Ti prostori so zaščiteni z ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
11. Člen – kraj obdelave osebnih podatkov
varovanje programske opreme za obdelavo osebnih podatkov
12. Člen – splošno
13. Člen – omejevanje in nadzor dostopa do osebnih podatkov
14. Člen – hramba podatkov izven baz
pogodbena obdelava osebnih podatkov
15. Člen – splošno
Z vsako zunanjo pravno ali fizično osebo, ki izvaja določene naloge v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov (obdelovalec), se sklene pisna pogodba, kot predpisano v 28. členu GDPR. Podjetje bo sklenilo takšno pogodbo s preverjenimi obdelovalci le, če obdelovalec zagotovi, da ima izvajane vse potrebne ukrepe za varstvo osebnih podatkov in izpolnjuje svoje obveznosti v skladu s trenutno veljavnim ZVOP-1, GDPR in tem pravilnikom.
brisanje, uničenje in anonimizacija osebnih podatkov
16. Člen – splošno
ukrepanje ob varnostnih incidentih v zvezi z osebnimi podatki
17. Člen – splošno
18. Člen – interni ukrepi
odgovornost za izvajanje ukrepov zavarovanja osebnih podatkov
19. Člen – splošno
Iz podpisane izjave mora biti jasno razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter z zakonodajo, ki se nanaša na varstvo osebnih podatkov, vključno s Splošno uredbo o varstvu podatkov (GDPR). Izjava mora tudi vsebovati informacijo o posledicah kršenja teh določb.
SPREMEMBE pravilnika o varstvu osebnih podatkov
Ta pravilnik o varstvu osebnih podatkov je lahko predmet sprememb in posodobitev. Vse spremembe bodo objavljene na naši spletni strani, zato vas naprošamo, da jo redno preverjate.
Vaša varnost je za nas zelo pomembna in v našem največjem interesu je, da vas zaščitimo.
končne določbe
21. Člen – objava, dostopnost
V kolikor imate kakršna koli vprašanja ali pomisleke, vas prosimo da nas kontaktirate pred koriščenjem naših storitev na elektronsko pošto info@doavta.si ali telefonsko številko 068 636 403.
21. Člen – objava, dostopnost
22. Člen – datum uveljavitve
Ta pregledan dokument pravilnika o varstvu osebnih podatkov je uveljavljen in uporabljen od 01.11.2023 dalje.
Imate vprašanjE?
Pokličite nas
⇒ 070 659 101
Pišite nam
⇒ info@doavta.si
obiščite nas
⇒ Ob železnici 16, 1000 Ljubljana
Matej Lavrič
Vodja uvoza in prodaje
- +386 (0)68 636 403
- matej@doavta.si
Iztok Lavrič
Upravitelj voznega parka
- +386 (0)41 659 103
- iztok@doavta.si
Miha Čobec
Asistent pri prodaji
- +386 (0)70 659 021
- miha@doavta.si
Jan Lavrič
Vodja avtokozmetične delavnice
- +386 (0)31 373 071
- jan@doavta.si