Politika varstva osebnih podatkov

Politika varstva osebnih podatkov

Neobična putovanja d.o.o. namenja posebno pozornost varovanju osebnih podatkov svojih strank. V skladu z najboljšo poslovno prakso ter veljavno hrvaško in evropsko zakonodajo, vključno s Splošno uredbo o varstvu podatkov (Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016.)

Namen te politike je vsem zainteresiranim zagotoviti vse potrebne informacije o načinu obdelave in varstva osebnih podatkov ter pravicah, ki jih imajo stranke v zvezi z obdelavo osebnih podatkov.

1. Uvod

Politika varstva osebnih podatkov (v nadaljevanju politika) ureja način in obseg priporočenih ravnanj pri posameznem zbiranju, obdelavi in hrambi osebnih podatkov s strani agencije NEOBIČNA PUTOVANJA d.o.o., Ilica 66, OIB: 60129171925 (v nadaljevanju agencija). Omenjeni pravilnik določa smernice, katerih cilj je, v kolikor je to mogoče glede na okoliščine vsakega posameznega primera, vzpostaviti skladnost z Uredbo EU 2016/679 Evropskega parlamenta in Sveta o zaščiti posameznikov v zvezi z obdelavo osebnih podatkov in prostega pretoka teh podatkov od 27. aprila 2016 (Splošna uredba o varstvu podatkov).

Namen te politike je vzpostavitev enotnih standardov za vse vodje, delavce in druge zaposlene pri njihovem delu in poklicnem delovanju v agenciji, v zvezi z ravnanjem z osebnimi podatki. Končni cilj bi bil minimizirati tveganje morebitnega nespoštovanja veljavnih predpisov, od česar je seveda odvisna pravočasna in kakovostna reakcija zaposlenih v vsakem posameznem primeru. V zvezi s tem vabimo zaposlene, da si v primeru nerazumevanja posameznih določil te politike oziroma nejasnosti pri izvajanju le-teh v poslovanju ali morebitnih dvomov v zvezi s sedanjim ali prihodnjim zbiranjem, obdelavo ali hrambo osebnih podatkov dodatno posvetujejo pred nadaljnjim ukrepanjem.

Varstvo osebnih podatkov je ena izmed temeljnih človekovih pravic. Agencija se zaveda pomena zanesljive in varne obdelave osebnih podatkov svojih strank, zaposlenih in drugih fizičnih oseb, katerih osebne podatke zbira in obdeluje.

Agencija s to Politiko ustvarja edinstveno in visoko raven varstva osebnih podatkov, ki jih zbira in obdeluje.

Agencija varstvo osebnih podatkov dosega predvsem na naslednje načine:

1. s sprejemom tega pravilnika, ki ureja splošna pravila v zvezi z varstvom osebnih podatkov agencije,
2. s sprejetjem posebnih internih predpisov ali protokolov, ki podrobneje urejajo obdelavo osebnih podatkov,
3. z uporabo kadrovskih, organizacijskih in tehničnih ukrepov za varovanje osebnih podatkov,
4. z vodenjem ažurnih evidenc dejavnosti obdelave osebnih podatkov,
5. s stalnim izobraževanjem delavcev o pomenu varovanja osebnih podatkov.

2. Definiranje in razumevanje ključnih pojmov

Za boljše razumevanje pojmov, ki bodo prisotni v številnih določbah politike, so spodaj podane naslednje definicije:

2.1. Osebni podatki

Ta izraz vključuje vse podatke v zvezi s posameznikom, katerega identiteta je bila ugotovljena ali jo je mogoče ugotoviti neposredno ali posredno. To je s pomočjo identifikatorjev, kot so ime, identifikacijska številka, podatki o lokaciji, identifikatorjem omrežja ali s pomočjo enega ali več dejavnikov, ki so specifični za fizično, fiziološko, genetsko, mentalno, ekonomsko, kulturno ali družbeno identiteto tega posameznika.

2.2. Obdelava in shranjevanje osebnih podatkov

Obdelava osebnih podatkov pomeni vsak postopek ali niz postopkov, ki se izvajajo na osebnih podatkih ali na nizih osebnih podatkov, bodisi z avtomatiziranimi ali ne avtomatiziranimi sredstvi. Primeri tega so zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, pregled, uporaba, razkritje s prenosom, razširjanje ali dajanje na voljo, ujemanje ali združevanje, omejevanje, izbris ali uničenje osebnih podatkov.

Zbiranje, obdelava ali hramba osebnih podatkov se lahko izvaja na osebnih podatkih v kakršni koli obliki, bodisi ne avtomatizirani (kot so obrazci, dokumenti strank, dokumenti zaposlenih, ročno vnesene evidence osebnih podatkov), polavtomatski (ročni vnos v Excel tabele ali skeniranje, po katerem se podatki pošljejo v nadaljnjo obdelavo) in avtomatizirano (bodisi prek elektronskih obrazcev ali kartic za dostop, spletnih strani ipd.).

Obdelani podatki ali tisti, ki so v postopku obdelave, so shranjeni v določenih sistemih. To je v strukturiranem nizu osebnih podatkov, dostopnih in razvrščenih po posebnih kriterijih (kategorije osebnih podatkov, bodisi splošnih ali posebnih) ne glede na to ali so centralizirani, decentralizirani ali razpršeni na funkcionalni ali geografski podlagi. Določena odstopanja glede obdelave osebnih podatkov lahko obstajajo pri obdelavi za znanstvene, javne ali statistične namene.

2.3. Respondenti in prejemniki osebnih podatkov

Pojem respondent pomeni fizično osebo, katere osebne podatke zbira agencija. V ožjem smislu je to oseba, ki je podatke posredovala agenciji ali so bili njeni osebni podatki posredovani iz razlogov, ki jih določa zakon (stranke, sedanji ali potencialni zaposleni agencije, zunanji sodelavci itd.).

Izraz prejemnik osebnih podatkov pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki se mu osebni podatki iz določenih razlogov razkrijejo.

2.4. Vodja obdelave in obdelovalec

Vodja obdelave je agencija, ki samostojno ali skupaj z drugim upravljavcem obdelave (npr. v primeru zbiranja osebnih podatkov skupaj z drugo partnersko družbo) določa namene in sredstva obdelave osebnih podatkov. 

Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drug organ, ki v imenu agencije obdeluje osebne podatke (npr. zunanje računovodstvo).

2.5. Avtomatizirano odločanje in profiliranje

Avtomatizirano odločanje pomeni stanje, ko računalniški program agencije na podlagi svojih tehničnih nastavitev in programske opreme obdeluje osebne podatke respondenta brez človekovega posredovanja. To pomeni izključno na podlagi vnaprej določenega algoritma (npr. program, ki samodejno sprejema oziroma zavrne določeno zahtevo stranke na podlagi določenih predpostavk).

Profiliranje pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki obsega uporabo osebnih podatkov za ovrednotenje določenih vidikov v zvezi s posameznikom. Zlasti za analizo ali napovedovanje glede delovne uspešnosti, ekonomskega položaja, zdravja, osebnih preferenc, interesov, vedenja, lokacijo ali gibanje tega posameznika (npr. program, ki analizira potrošniške navade respondentov in na podlagi njih pošilja posebne ponudbe).

2.6. Psevdonimizacija

Ta izraz pomeni obdelavo, pri kateri osebnih podatkov ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij. Pod pogojem, da se te dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov, ki zagotavljajo, da osebnih podatkov ni mogoče pripisati posamezniku, katerega identiteta je ugotovljena ali se lahko ugotovi.

3. Uporaba politike

Politika velja za vsako zbiranje in obdelavo osebnih podatkov fizičnih oseb, ne glede na fazo. Ne glede na to ali je postopek v začetnih pripravah ali je postopek že v teku.

Osebni podatki, ki so izvzeti iz uporabe tega pravilnika, so:

1. podatki o pravnih osebah (primer - trgovske družbe, društva, javni organi),
2. podatki o umrlih osebah,
3. podatki, na podlagi katerih ni mogoča identifikacija fizične osebe - niti samostojno niti z združevanjem z drugimi podatki (primer psevdonimizacije).

Ta politika je temeljni akt agencije, ki se uporablja za vse dejavnosti obdelave osebnih podatkov, ki jih izvaja agencija. Zlasti vključujoč:

1. obdelavo osebnih podatkov delavcev pri sklepanju, izvrševanju in obdelavi pogodb o zaposlitvi ter za kontaktiranje potencialnih delavcev v selekcijskih postopkih pred odločitvijo o zaposlitvi,
2. obdelavo osebnih podatkov fizičnih oseb, ki jih agencija angažira na podlagi pogodb o delu, avtorskih pogodb in podobnih pogodb,
3. obdelavo osebnih podatkov delavcev, zaposlenih pri dobaviteljih agencije,
4. obdelavo osebnih podatkov dijakov in študentov, ki na agenciji opravljajo strokovno prakso ali so na občasnem dijaškem ali študentskem delu ter pri izbiri, sklepanju in izvajanju postopkov štipendiranja dijakov in/ali študentov s strani agencije,
5. obdelavo osebnih podatkov družinskih članov zaposlenih delavcev. V delu, ki je potreben za izvajanje zakonskih obveznosti ali uresničevanje pravice po veljavni kolektivni pogodbi (npr. uresničevanje pravice do davčne olajšave, plačanega dopusta, nagrade za rojstvo otroka, pravica do darila za otroka in podobno),
6. obdelavo osebnih podatkov v zvezi s sklepanjem, izvedbo in obdelavo turističnih aranžmajev ali posredniških pogodb s poslovnimi in zasebnimi uporabniki ter izvajanje ustreznih oglaševalskih in tržnih raziskovalnih aktivnosti z namenom informiranja uporabnikov storitev in zainteresiranih tretjih oseb o storitvah, ki jih ponuja agencija,
7. obdelava osebnih podatkov v zvezi s sklepanjem, izvajanjem in obdelavo drugih vrst pogodb, katerih predmet je opravljanje nekaterih storitev, ki so del registrirane dejavnosti agencije
8. obdelavo podatkov o lastnikih agencije glede na pravno obliko agencije,
9. vse druge dejavnosti obdelave osebnih podatkov, ki jih agencija izvaja ali bi jih lahko izvajala v prihodnosti (občasno ali stalno).

Ta pravilnik je zavezujoč za vse organizacijske enote agencije.

Ta pravilnik je zavezujoč tudi za vsa tista podjetja, od katerih agencija zahteva, da ga sprejmejo (npr. obdelovalci).

Določbe politike so namenjene zagotavljanju visoke in edinstvene ravni varstva osebnih podatkov v agenciji. Ta politika ne vpliva na obstoječe ali prihodnje obveznosti, ki so določene z zakoni in drugimi predpisi in jih agencija mora spoštovati. To so pravilniki in zakoni glede obdelave in uporabe osebnih podatkov, ki so po obsegu širši od načel, ki jih določa ta politika.

Določbe te politike ne vplivajo na veljavnost nacionalne zakonodaje. To je zakonodaje sprejete v zvezi z nacionalno varnostjo, obrambo ali javno varnostjo ali za preprečevanje in preiskovanje kaznivih dejanj ter pregon storilcev.

4. Naslovniki

Vsi vodje, delavci in zaposleni v agenciji (v nadaljevanju zaposleni) so naslovniki uporabe te politike. S tem so nosilci odgovornosti za pravilno zbiranje, obdelavo in hrambo osebnih podatkov. Omenjena odgovornost predstavlja tudi eno od delovnih obveznosti vsakega zaposlenega.

V vseh zgoraj navedenih in/ali podobnih dejanjih in/ali situacijah naslovniki ravnajo v dobri veri in s potrebno skrbnostjo. Pri čemer upoštevajo najboljše interese vseh respondentov, katerih osebne podatke zbiramo, obdelujemo in hranimo. To je osnovni predpogoj za pravilno uporabo te politike.

Pravila za posamezna področja obdelave osebnih podatkov v agenciji bodo podrobneje urejena s posameznimi predpisi, ki morajo biti v skladu z vsemi relevantnimi predpisi s področja varstva osebnih podatkov in to politiko.

Za podrobnejšo ureditev posameznih področij obdelave osebnih podatkov lahko agencija sprejme akte (npr. Politiko varnosti informacijskega sistema, Pravilnik o obdelavi osebnih podatkov delavcev in drugih oseb, zaposlenih pri agenciji, Pravilnik o videonadzoru, Pravilnik o varstvo in obdelavi arhivskega in registraturnega gradiva ipd.). Agencija lahko kadarkoli sprejme predpise, za katere meni, da so potrebni za doseganje višje ravni varstva osebnih podatkov na posameznem poslovnem področju. Pri čemer predpisi dopolnjujejo določila te politike in ji ne smejo biti v nasprotju.

5. Načela

Osnova vseh dejanj iz te politike temelji na naslednjih načelih, ki jih je potrebno upoštevati pri ravnanju z osebnimi podatki.

5.1. Načelo zakonite, pravične in transparentne obravnave

Načelo zakonite, poštene in transparentne obravnave določa, da mora biti vsaka obravnava v skladu z zakonom ali drugimi veljavnimi predpisi ter izvedena na pošten in transparenten način.

Da bi bilo respondentom jasno, da njihove podatke zbira in obdeluje ter za kakšne namene to počne, agencija respondente ustrezno seznani z namenom obdelave. Ta vključuje informacije o tem, kateri podatki se zbirajo, obdelujejo in uporabljajo, za kakšne namene in koliko časa se hranijo ter katerim prejemnikom se podatki razkrijejo. Obvestila respondentom se posredujejo po različnih poteh, odvisno od tega, kaj je glede na okoliščine primera najprimernejše in lahko vključujejo: obvestila preko spletne strani agencije, pisna obvestila v prostorih agencije, pisna obvestila na obrazcih, ki jih uporablja agencija, pisna obvestila v okviru pogodb, ki jih je agencija sklenila z respondentom, obveščanje po e-mailu, ustno obvestilo s strani delavcev agencije in po potrebi tudi na druge načine.

Agencija respondente seznanja z njihovimi pravicami in načini njihovega uveljavljanja.

5.2. Načelo zbiranja podatkov izključno na podlagi razlogov, ki jih dovoljuje zakon

Načelo zbiranja podatkov izključno na podlagi zakonsko dovoljenih razlogov določa, da se osebni podatki zbirajo samo za določene, izrecne in zakonite namene in se ne smejo obdelovati na način, ki je v nasprotju z navedenimi nameni.

5.3. Načelo omejitve podatkov in sorazmernosti

Načelo omejevanja količine podatkov in sorazmernosti določa, da mora biti vsako zbiranje osebnih podatkov omejeno na najnujnejšo raven in da se zbirajo le tisti podatki, ki so relevantni in sorazmerni z namenom, za katerega se obdelujejo.

5.4. Načelo točnosti in pravočasnosti

Načelo točnosti in pravočasnosti določa, da je treba skrbeti za točnost podatkov, ki se zbirajo in vnašajo v zbirke ter da je treba sprejeti vse razumne ukrepe, da se netočni osebni podatki nemudoma izbrišejo ali popravijo, ob upoštevanju namenov, za katere se obdelujejo.

5.5. Načelo omejitve hrambe

Načelo omejitve hrambe določa, da je potreba po hrambi podatkov, ki omogočajo identifikacijo fizičnih oseb, omejena z namenom, za katerega se osebni podatki obdelujejo. Osebne podatke je treba hraniti v obliki, ki omogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. V primerih, ko bo to mogoče, lahko agencija uporabi postopke za izbris identifikacijskih karakteristik respondentov (anonimizacija) ali zamenjavo identifikacijskih karakteristik z drugimi (psevdonimizacija).

Roki hrambe različnih vrst osebnih podatkov so določeni v evidenci dejavnosti obdelave (če se vodi) ločeno za različne vrste osebnih podatkov. Obdobja hrambe so določena ob upoštevanju zakonskih zahtev in potrebe po zaščiti interesov agencije.

Agencija lahko z odlokom o varstvu in obdelavi arhivskega in registraturnega gradiva uredi roke hrambe dokumentacije za posamezna poslovna področja agencije.

5.6. Načelo varnosti osebnih podatkov

Načelo varnosti osebnih podatkov določa, da mora vsako ravnanje z osebnimi podatki potekati na način, ki zagotavlja najvišjo možno raven varnosti podatkov, vključno z zaščito pred nepooblaščeno in/ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodovanjem pri uporabi ustreznih tehničnih ali organizacijskih ukrepov.

6. Nameni obdelave osebnih podatkov

Nujno je, da ima vsako zbiranje ali obdelava osebnih podatkov svoj namen. To je razlog, na podlagi katerega se določeni osebni podatki zbirajo ali obdelujejo. Navedeni razlogi so točno določeni, opredeljeni in izčrpno navedeni ter morajo biti jasno in nedvoumno navedeni pri vsaki obdelavi osebnih podatkov.

6.1. Soglasje respondenta

Zbiranje in obdelava podatkov temelji na privolitvi respondenta, ki je dana za enega ali več določenih namenov.

6.2. Izvedba pogodbe

Zbiranje in obdelava podatkov je potrebna za izvedbo pogodbe, v kateri je respondent stranka ali za izvedbo dejanj na zahtevo respondenta pred sklenitvijo pogodbe (npr. za sklenitev pogodbe je potrebno opredeliti pogodbene stranke, ki jih je mogoče identificirati le preko osebnih podatkov).

6.3. Pravna obveza agencije

Zbiranje in obdelava določenih podatkov izhaja iz zakonskih obveznosti, ki agencijo zavezujejo k navedenim dejanjem in sodelovanju z javnimi organi (npr. zbiranje podatkov o delavcih za zavod za pokojninsko in zdravstveno zavarovanje, davčno upravo, upravne organe).

6.4. Legitimni interesi agencije ali tretjih oseb

Zbiranje in obdelava podatkov je potrebna zaradi legitimnih interesov agencije ali tretje osebe, razen v primerih, kadar so od teh interesov močnejši interesi ali temeljne pravice in svoboščine posameznika, ki zahtevajo varstvo osebnih podatkov, še posebej če gre za otroka.

V primeru, ko agencija osebne podatke obdeluje na podlagi svojega legitimnega interesa, ki je očiten, se narava njenega legitimnega interesa in okoliščine, na podlagi katerih je agencija ugotovila, da njen legitimni interes prevlada nad interesi, pravicami in svoboščinami osebnih podatkov, navede v evidenci dejavnosti obdelave, če jih je dolžan voditi. V primerih, ko zakoniti interes ni očiten, ampak zahteva uporabo podrobnejšega testa sorazmernosti in poglobljeno analizo, agencija pisno dokumentira razloge, na podlagi katerih je ugotovila, da je prevladal legitimni interes agencije.

6.4.1. Obdelava za namene neposrednega trženja

Šteje se, da obstaja legitimen interes agencije za obdelavo osebnih podatkov za namene neposrednega trženja. Pri tem gre za osebne podatke, ki jih je agencija predhodno zakonito zbirala. Uporaba podatkov za namene neposrednega trženja pa mora biti v okviru tistega, kar lahko respondent utemeljeno pričakuje na podlagi svojega razmerja do agencije kot upravljavca podatkov. V nasprotnem primeru obdelava osebnih podatkov za namene neposrednega trženja ne more temeljiti na legitimnem interesu, temveč le na izrecni privolitvi respodenta, na katerega se nanašajo osebni podatki.

Če se osebni podatki obdelujejo za namene neposrednega trženja na podlagi zakonitega interesa agencije, ima posameznik, na katerega se nanašajo osebni podatki, pravico kadar koli ugovarjati obdelavi osebnih podatkov za namene neposrednega trženja, kar vključuje oblikovanje profila v obsegu, ki je povezan z neposrednim trženje. Najkasneje v trenutku prve komunikacije z respondentom se respondenta opozori na to pravico, in sicer na jasen način, informacija pa se mu poda ločeno od vseh drugih informacij. Če posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se njegovi osebni podatki ne smejo več obdelovati za te namene.

V izogib dvomu agencija potrjuje, da je pošiljanje različnih sporočil (npr. novic, novic o ugodnostih in storitvah agencije) možno le na podlagi soglasja respondenta. V vseh tovrstnih sporočilih, naslovljenih na respondenta, je jasno poudarjena možnost odjave od nadaljnjega prejemanja sporočil. Odjava je preklic soglasja. V primeru odjave agencija izbriše osebne podatke respondentov, ki jih je zbirala za namen neposrednega trženja.

6.5. Naloga javnega interesa

Zbiranje in obdelava podatkov je potrebna za opravljanje nalog v javnem interesu ali za izvajanje dejanj po službeni dolžnosti.

6.6. Zaščita ključnih interesov respondentov ali drugih fizičnih oseb

Zbiranje in obdelava podatkov je potrebna zaradi varovanja ključnih interesov respondenta ali druge fizične osebe.

7. Soglasje respondenta

Privolitev subjekta je veljavna podlaga za zbiranje osebnih podatkov le, če je sporočena agenciji z jasnim pritrdilnim dejanjem, ki izraža prostovoljno, izrecno, informirano in nedvoumno privolitev respondenta. To je na pisni ali ustni način ali pa v elektronski obliki.

Pri tem je pomembno upoštevati dejstvo, da agencija nosi breme dokazovanja, da je respondent res dal soglasje za zbiranje oziroma obdelavo osebnih podatkov. Upoštevajoč navedeno, prejemanje privolitve izključno v ustni obliki praviloma ni priporočljivo.

Ne glede na obliko privolitve mora komunikacija z respondentom v zvezi z navedenim potekati v lahko razumljivi obliki, z uporabo jasnega in enostavnega jezika ter brez kakršnih koli nepoštenih pogojev.

7.1. Soglasje respondenta v pisni obliki

Anketiranec lahko poda soglasje pisno, pri čemer je zaželeno, da se na koncu anketiranec podpiše in navede datum soglasja.

Prav tako je treba v primeru, da agencija zaprosi za pisno soglasje, v katerem zahteva še druge podatke (druge izjave in odgovore), zahtevo predstaviti tako, da se lahko jasno loči od teh drugih vprašanj. To pomeni, da ni predstavljeno na način, ki bi lahko zmedel anketiranca.

7.2. Soglasje respondenta v elektronski obliki

Subjekt lahko poda soglasje v elektronski obliki. Zahteva agencije za soglasje mora biti jasna, jedrnata in ne sme po nepotrebnem posegati v uporabo storitve (npr. agresivni piškotki, ki onemogočajo dostop do vsebin ipd.).

Upoštevajoč dejstvo, da mora biti privolitev nedvoumna in prostovoljna, je treba upoštevati, da privolitve ni dovoljeno »označevati«, zlasti na način, da je polje, kjer je privolitev dana, vnaprej označeno s kljukico, ali kako drugače, kar bi bistveno vplivalo na uporabo določenih internetnih strani. Že z izbiro tehničnih nastavitev je nujno, da je izbira »nevtralna«. Prav tako je pri sestavljanju navedenega treba upoštevati, da molk ali nedejavnost respondenta v nobenem primeru ne sme biti interpretirana kot dajanje soglasja.

7.3. Prostovoljno soglasje

V obrazcih oziroma zahtevah naj bo respondentu res ponujena prosta izbira, pri kateri je možno zahtevo brez posledic zavrniti ali dano privolitev umakniti.

V primeru, da je obrazec ali zahteva za razkritje osebnih podatkov tesno povezana z opravljanjem storitve ali izvedbo ponujene pogodbe, agencija zahteva le podatke, ki so potrebni za opravljanje navedene storitve ali izvedbo pogodbe. 

7.4. Postopek v primeru preklica soglasja

Respondent ima pravico do preklica danega soglasja. Agencija omogoča vsakemu respondentu, da soglasje kadarkoli enostavno prekliče, o tej možnosti mora biti respondent predhodno obveščen. Respondentu mora biti preklic omogočen tako, da enostavno kontaktira agencijo pisno ali preko interneta. Po preklicu soglasja je prepovedana vsakršna nadaljnja obdelava osebnih podatkov respondenta. Morebiten preklic privolitve ne vpliva na zakonitost obdelave podatkov pred preklicem privolitve.

8. Izpolnjevanje predhodne obveznosti obveščanja respondenta

Agencija prejme osebne podatke respondenta od respondenta samega in iz drugega vira. Agencija v obeh primerih respondenta obvesti o vseh relevantnih informacijah v zvezi z zbiranjem in obdelavo osebnih podatkov, ki se nanašajo nanj.

Vendar pa obveznosti posredovanja podatkov ni treba izpolniti, v naslednjih primerih:

a) če respondent že ima te podatke,

b) če je evidentiranje ali razkritje osebnih podatkov izrecno predpisano z zakonom,

c) če je posredovanje informacij respondentu nemogoče ali bi zahtevalo nesorazmeren napor,

d) če osebni podatki morajo ostati zaupni v skladu z obveznostjo varovanja poslovne skrivnosti, ki je lahko predpisana z veljavnimi predpisi ali zakoni.

8.1. Informacije, ki jih agencija posreduje respondentu v primeru zbiranja podatkov neposredno od respondenta

Pri prvem zbiranju osebnih podatkov od respondenta Agencija respondentu posreduje naslednje podatke v zvezi s samo obdelavo:

1. identiteto in kontaktne podatke agencije, tj. predstavnika agencije (navedba zaposlenega, ki bo kontaktna oseba)
2. kontaktni podatki pooblaščene osebe za varstvo podatkov, če je le ta imenovana
3. namen obdelave osebnih podatkov ter pravno podlago za obdelavo, če namen temelji na legitimnih interesih agencije. Intere je potrebno opredeliti,
4. opredeliti prejemnike podatkov, če ti obstajajo. Torej opredeliti komu bodo ti osebni podatki poslani, v primeru, da se nameravajo posredovati izven agencije;
5. če agencija namerava osebne podatke respondenta prenesti v tretjo državo ali mednarodni organizaciji. Za te namene mora obstajati odločitev komisije o primernosti takšne države, to pomeni, da obstajajo ustrezni zaščitni ukrepi in načini pridobitve njihovih kopij ali kraji, kjer so kopije na voljo,
6. obdobje, v katerem bodo osebni podatki shranjeni ali, če to ni mogoče, merila, ki se uporabljajo za določitev tega obdobja (dokler traja pravna podlaga za obdelavo ali interna omejitev),
7. respondenta seznaniti z njegovimi pravicami. To je, da ima respondent (I) pravico do vpogleda v osebne podatke, ki se obdelujejo, (II) pravico do popravka ali izbrisa osebnih podatkov, (III) pravico do omejitve obdelave, (IV) pravico do prigovora obdelavi, (V) pravico do prenosa podatkov drugemu upravljavcu podatkov, (VI) pravico do preklica privolitve, (VII) pravica do vložitve pritožbe pri nadzornem organu in na kakšen način lahko pravice uveljavlja (pisno, po e-mailu, z izpolnjevanjem obrazca itd.),
8. informacijo o tem, ali je posredovanje osebnih podatkov zakonska ali pogodbena obveznost oziroma nujen pogoj za sklenitev pogodbe ter ali je respondent dolžan posredovati osebne podatke in kakšne so možne posledice, če teh podatkov ne posreduje,
9. informacijo, ali obstaja sistem avtomatiziranega odločanja, ki vključuje izdelavo profila respondenta.

Poleg tega je agencija dolžna v primeru, ko se zbrani podatki naknadno obdelujejo za namen, ki je drugačen od tistega, za katerega so bili osebni podatki prvotno zbrani, respondentu navesti nov namen obdelave in vse relevantne informacije.

8.2. Podatki, ki jih agencija posreduje respondentu v primeru zbiranja podatkov od vira, ki ni respondent

Agencija v obravnavanem primeru posreduje enake podatke kot pod 8.1. razen pod h) in poleg navede vir pridobljenih osebnih podatkov (ali če je vir pridobivanja javno dostopen).

Agencija posreduje navedene informacije v razumnem roku, najkasneje pa v enem mesecu od dneva pridobitve ustreznih osebnih podatkov respondenta. Obstajata pa dva primera, ki odstopata od navedenega pravila in v katerih je postopek drugačen, in sicer:

1. če se bodo zbrani osebni podatki uporabljali za komunikacijo z respondentom, agencija informacije respondentu posreduje najkasneje ob prvi komunikaciji in
2. če je predvideno razkritje podatkov drugemu prejemniku, agencija posreduje informacijo najkasneje v trenutku, ko so osebni podatki prvič razkriti.

Poleg tega agencija tudi v tem primeru posreduje vse relevantne informacije, če se predmetni osebni podatki naknadno obdelujejo za namen, ki je drugačen od prvotnega.

9. Čas hrambe osebnih podatkov

V zvezi s časom hrambe nekaterih osebnih podatkov obstajajo osebni podatki, katerih čas hrambe je predpisan z zakonom (npr. posebni pravilnik o delovnih evidencah študentov določa, da se podatki ne smejo izbrisati 6 let po prenehanju delovnega razmerja, ali v zvezi s knjigovodskimi listinami določajo, da se ne smejo izbrisati 11 let od dneva nastanka) in osebnih podatkov, katerih rok hrambe ni predpisan z zakonom.

V vsakem primeru agencija podatke hrani minimalno obdobje, ki je zakonsko dovoljeno in/ali zahtevano v zvezi s poslovanjem agencije in jih takoj zatem izbriše. Agencija lahko po potrebi z internim aktom odloči, kateri podatki se izbrišejo ročno ali avtomatsko po določenem času (npr. 1 leto, 2 leti) ali glede na določen dogodek (npr. konec računovodskega leta).

10. Obdelava posebnih vrst osebnih podatkov

Načeloma se ne obdelujejo naslednje vrste osebnih podatkov: podatki v zvezi z rasnim ali etničnim poreklom, političnimi prepričanji, verskimi ali filozofskimi prepričanji, članstvom v sindikatu, genetski podatki, biometrični podatki za namen enolične identifikacije posameznika in podatki v zvezi z zdravjem, spolnim življenjem in spolno usmerjenostjo posameznika.

Zgoraj navedene kategorije osebnih podatkov agencija še vedno obdeluje v naslednjih primerih:

1. respondent je dal izrecno privolitev v obdelavo teh osebnih podatkov za enega ali več posebnih namenov. Razen v primerih, če veljavni predpisi določajo, da taka privolitev nima učinka,
2. če je obdelava potrebna za namene izpolnjevanja obveznosti in uveljavljanja posebnih pravic agencije ali respondentov s področja delovnopravnega prava in socialne varnosti ter pravic iz socialnega varstva, v kolikor je to določeno v okviru veljavnih predpisov ali kolektivne pogodbe,
3. če je obdelava potrebna za zaščito življenjskih interesov respondenta ali drugega posameznika in respondent fizično ali pravno ne more dati privolitve,
4. če se obdelava nanaša na osebne podatke, ki jih respondent objavi,
5. če je obdelava potrebna za vzpostavitev, uresničitev ali obrambo pravnih zahtevkov ali kadarkoli sodišča delujejo v sodni pristojnosti,
6. če je obdelava je potrebna za namene javnega interesa in na podlagi veljavnih predpisov, ki so sorazmerni z želenim ciljem in ki spoštujejo bistvo pravice do varstva podatkov ter zagotavljajo ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki,
7. če je obdelava potrebna za namene preventivne medicine ali medicine dela za namene ocene delovne zmožnosti zaposlenega, zdravstvene diagnoze, zagotavljanja zdravstvenega ali socialnega varstva ali zdravljenja ali upravljanja zdravstvenih ali socialnih sistemov in storitev na podlagi veljavnih predpisov.

Vsi zaposleni morajo pri zbiranju, obdelavi ali shranjevanju posebnih vrst osebnih podatkov ravnati skrbno.

Obstaja možnost nadaljnjih sprememb veljavnih predpisov glede ravnanja s posebnimi vrstami osebnih podatkov, o čemer se je potrebno posvetovati s pooblaščeno osebo za varstvo podatkov.

10.1. Posebnosti obdelave podatkov, pridobljenih z videonadzorom

Agencija v primeru vzpostavitve videonadzora osebne podatke obdeluje le za namen, ki je nujen in upravičen za zaščito oseb in premoženja. Pri čemer upošteva, da interesi respondentov, ki so v nasprotju z obdelavo podatkov preko videonadzor ne prevladujejo.

Agencija na vidnem mestu označi, da je objekt ali posamezen prostor v njem pod video nadzorom. Objavlje morajo vsebovati kontaktne podatke agencije, preko katerih lahko respondent uveljavlja svoje pravice.

Obdelava osebnih podatkov delavcev prek video-nadzornega sistema se izvaja le, če so poleg pogojev, določenih s tem zakonom, izpolnjeni tudi pogoji, določeni s predpisi, ki urejajo varstvo pri delu, in če so bili delavci predhodno obveščeni glede takega ukrepa in če je agencija seznanila zaposlene pred odločitvijo o vzpostavitvi video-nadzornega sistema. Omenjeni videonadzor ne sme vključevati prostorov za počitek, osebno higieno in preoblačenje.

Pravico do vpogleda v osebne podatke, zbrane z videonadzorom, imajo le pooblaščene osebe. Posnetke, pridobljene z videonadzorom, pa lahko hranimo največ 6 mesecev, razen če drug zakon ne predpisuje daljšega roka hrambe ali če so dokaz v sodnih, upravnih, arbitražnih postopkih.

10.2. Posebnost obdelave biometričnih podatkov in fotografij

Agencija obdeluje biometrične podatke le, če je to predpisano z zakonom ali če je to potrebno zaradi varovanja oseb, premoženja, poslovne skrivnosti ali za individualno in varno identifikacijo uporabnikov storitev. Pri čemer upošteva, da ne prevladajo interesi respondentov, ki so v nasprotju z obdelavo biometričnih podatkov.

Pravna podlaga za obdelavo biometričnih podatkov respondentov za varno identifikacijo je izrecna privolitev respondenta.

Agencija obdeluje biometrične podatke zaposlenega za namene evidentiranja delovnega časa ter vstopa in izstopa iz službenih prostorov, če je to predpisano z zakonom ali če se taka obdelava izvaja kot alternativa drugi rešitvi evidentiranja delovnega časa ali vstopa in izstopa iz službenih prostorov. Pod pogojem, da je delavec dal izrecno soglasje za tovrstno obdelavo biometričnih podatkov.

Obdelave fotografij ne smemo šteti za obdelavo posebnih vrst osebnih podatkov, saj so zajeti v definiciji biometričnih podatkov. Obdelujejo se s posebnimi tehničnimi sredstvi, ki omogočajo enolično identifikacijo ali avtentifikacijo posameznika, in takih osebnih podatkov se ne sme obdelovati, razen če je obdelava dovoljena v posebnih primerih.

10.3. Posebnosti obdelave osebnih podatkov otroka

Veljavni predpisi posebej varujejo osebne podatke otrok, še posebej mlajših od 16 let, iz razloga, ker se omenjena kategorija respondentov praviloma morda manj zaveda morebitnih tveganj in posledic.

Navedeno velja zlasti za uporabo osebnih podatkov otrok za namene trženja ali ustvarjanje osebnih ali uporabniških profilov ter zbiranje osebnih podatkov o otrocih pri uporabi storitev, ki so neposredno ponujene otroku.

Obdelava predmetnih podatkov je praviloma zakonita le pod pogojem, da je podana privolitev nosilca starševske odgovornosti nad otrokom (starš, skrbnik, rejnik ipd.). Agencija si prizadeva preveriti oziroma ugotoviti, ali navedena privolitev staršev obstaja (npr. prek spletnih obrazcev). Pri čemer upošteva razpoložljivo tehnologijo. Privolitev starševske odgovornosti ni potrebna v okviru preventivnih storitev ali svetovalnih storitev, ki se ponujajo neposredno otroku.

11. Postopki pri uveljavljanju pravic respondenta

Respondent ima v zvezi z lastnimi osebnimi podatki, ki jih agencija zbira in obdeluje, določene pravice, ki jih agencija mora spoštovati v primeru, da jih respondent uveljavlja.

Agencija ugotavlja identiteto osebe, ki se predstavlja kot respondent in zahteva vpogled v osebne podatke oziroma uveljavljanje drugih pravic. Navedeno se ugotavlja tako, da se zahteva identifikacija preko uradnih dokumentov kot so osebna izkaznica, potni list ali vozniško dovoljenje ali referenčna številka respondenta. Agencija po potrebi vodi tudi evidenco vseh poizvedb in dejavnosti, ki se izvajajo v skladu s temi poizvedbami. Navedeni postopek gre v breme agencije, v primeru večjega števila povpraševanj istega naročnika pa obstaja možnost zaračunavanja administrativnih stroškov.

11.1. Uresničevanje respondentove pravice do dostopa do osebnih podatkov

Agencija v primeru zahtevka v pisni ali elektronski obliki izda potrdilo, ali se osebni podatki respondenta obdelujejo, in navede, kateri podatki se obdelujejo, oziroma omogoči vpogled v te podatke (predloži kopijo navedenih osebnih podatkov, razen če kopija vsebuje tudi osebne podatke drugih respondentov).

Agencija poleg tega navede tudi podatke o:

1. namenih obdelave,
2. vrste osebnih podatkov,
3. prejemniki ali kategorije prejemnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti prejemniki v tretjih državah ali mednarodnih organizacijah,
4. če je mogoče, predvideno obdobje, v katerem bodo osebni podatki shranjeni, ali, če to ni mogoče, merila, uporabljena za določitev tega obdobja,
5. obstoj pravice, da se od agencije zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s respondentom ali pravico do ugovora takšni obdelavi ali pravico do vložitve ugovora pri nadzornem organu,
6. vse razpoložljive informacije o viru osebnih podatkov, če niso zbrani od respondentov,
7. informacijo, ali obstaja sistem avtomatiziranega odločanja, ki vključuje izdelavo profila respondenta.

11.2. Način uveljavljanja pravic

Respondent lahko uveljavlja svoje pravice tako, da pošlje pisno zahtevo pooblaščeni osebi za varstvo podatkov po e-mailu ali po pošti (če je le-ta imenovana) ali drugi odgovorni osebi v agenciji.

Za nekatere kategorije respondentov (npr. delavci) se lahko s posebnim pravilnikom določijo druge, dodatne kontaktne osebe, na katere se respondenti obrnejo zaradi lažjega uveljavljanja svojih pravic.

V primeru, da kateri koli uslužbenec agencije prejme zahtevo od respondenta v kakršni koli obliki, bo v zvezi z njo ukrepal oziroma o tem obvestil nadrejenega, ki bo v zvezi z navedeno zahtevo ukrepal. O dolžnosti takega ravnanja je agencija dolžna delavce seznaniti oziroma posredovati zahtevo pooblaščeni osebi za varstvo osebnih podatkov, če je le ta imenovana. Izjemoma uradne osebe ni treba obvestiti v primerih, ko pooblaščeni uslužbenec agencije na zahtevo uslužbenca ali drugih respondentov posodobi njihove osebne podatke v evidenci, ki jo vodi agencija.

Po prejemu pisne zahteve respondenta jo zaposleni obravnava. Zaposleni se lahko glede na zahtevnost zahteve odloči, da bo odgovor na zahtevo pripravil sam ali da osnutek odgovora na zahtevo vlagatelja pripravi zaposleni agencije, na katerega delovne naloge se nanaša zahtevek vlagatelja. V slednjem primeru je zaposleni tisti, ki pregleda odgovor, preden ga pošlje respondentu.

11.3. Uveljavljanje pravice posameznika do popravka in izbrisa osebnih podatkov

Agencija v primeru predmetne zahteve brez nepotrebnega odlašanja popravi netočne osebne podatke respondenta. Nepopolne osebne podatke pa dopolni na način, da prejme dodatno izjavo respondenta.

Poleg navedenega agencija vse prejemnike osebnih podatkov obvesti o opravljenih popravkih ali dopolnitvah ter o teh prejemnikih obvesti respondenta, če respondent to zahteva.

11.4. Uveljavljanje pravice do izbrisa osebnih podatkov

Agencija izbriše osebne podatke bodisi na izrecno zahtevo respondenta ali če je izpolnjen vsaj eden od naslednjih pogojev:

1. osebni podatki niso več potrebni glede na namene, za katere so bili zbrani ali kako drugače obdelani,
2. respondent prekliče soglasje, na katerem temelji obdelava, in za obdelavo ne obstaja druga pravna podlaga,
3. respondent vloži ugovor zoper obdelavo osebnih podatkov in za obdelavo ne obstajajo močnejši zakoniti razlogi ali če respondent vloži ugovor zoper obdelavo podatkov za namene neposrednega trženja,
4. osebni podatki so bili obdelani v nasprotju z zakonskimi določili,
5. osebne podatke je treba izbrisati zaradi izpolnjevanja zakonskih obveznosti na podlagi veljavnih predpisov,
6. osebni podatki so bili zbrani v zvezi s ponudbo storitev (npr. družbena omrežja).

Agencija izbriše osebne podatke na način, ki omogoča trajno odstranitev teh podatkov iz glavnih sistemov, pri čemer mora obstajati določena evidenca izbrisa (v primeru morebitne potrebe po dokazovanju, da je bil izbris dejansko opravljen) in določiti načine, na katere bodo določeni podatki uničeni (npr. podatki v pisni obliki, USB, CD ipd.).

V primeru, da ima agencija javno objavljene osebne podatke, je dolžna ob upoštevanju razpoložljive tehnologije in stroškov izvedbe sprejeti tehnične ukrepe za izbris vseh povezav do njih, to je kopij ali rekonstrukcij teh osebnih podatkov. Agencija je dolžna obvestiti tudi druge povezane upravljavce podatkov, v primeru, da je respondent zahteval njihov izbris.

Agencija je dolžna obvestiti vse prejemnike osebnih podatkov o izbrisu teh podatkov in o teh prejemnikih obvestiti respondenta, če respondent to zahteva.

Agencija določi rok, v katerem bo preverila potrebo po obdelavi in hrambi osebnih podatkov in izbrisala tiste, za katere ni več potrebe po obdelavi ali hrambi.

11.4.1. Omejitev izvršitve zahtev za izbris osebnih podatkov

Agencija pa ne izvede izbrisa kljub zahtevi respondenta ali obstoju razlogov, navedenih v 11.3, v kolikor je obdelava teh osebnih podatkov nujna:

• zaradi izpolnjevanja zakonske obveznosti, ki zahteva obdelavo in ki velja za agencijo, ali za opravljanje nalog javnega interesa,
• za uresničevanje pravice do svobode izražanja in obveščanja,
• zaradi javnega interesa na področju javnega zdravja,
• za namene javnega interesa, zgodovinske ali znanstvene raziskave ali za statistične namene ali za ustvarjanje in obrambo pravnih zahtevkov.

11.5. Uveljavljanje pravice do omejitve obdelave

Agencija na zahtevo respondenta omeji obdelavo osebnih podatkov na način, da se določeni osebni podatki lahko obdelujejo le s soglasjem respondenta (z izjemo potrebe po uveljavljanju ali obrambi pravnih zahtevkov ali varstvu pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa) v primeru, da:

• respondent oporeka točnosti osebnih podatkov, za čas, v katerem je agenciji omogočeno preverjanje točnosti osebnih podatkov;
• je obdelava nezakonita in respondent nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
• agencija osebnih podatkov ne potrebuje več za namene obdelave, vendar jih respondent zahteva za uveljavljanje, izpolnitev ali obrambo pravnih zahtevkov;
• je respondent vložil pritožbo na agencijo in čaka na potrditev.

V primeru, da je prišlo do omejitve obdelave in se ta omejitev odpravi, agencija obvesti respondenta, pri čemer mora takšno obvestilo slediti tik pred samim preklicem.

Agencija vse prejemnike osebnih podatkov obvesti o omejitvah obdelave in o teh prejemnikih obvesti tudi respondenta, če respondent to zahteva.

V praksi bi predmetne metode za omejitev obdelave osebnih podatkov vključevale začasno premestitev izbranih osebnih podatkov v drug sistem obdelave, onemogočanje izbranih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletnega mesta. V sistemih avtomatiziranega shranjevanja mora biti omejitev obdelave zagotovljena s tehničnimi sredstvi na način, da osebni podatki niso predmet nadaljnje obdelave in jih ni mogoče spreminjati, v sistemu pa mora biti jasno navedeno, da je obdelava osebnih podatkov omejena.

11.6. Uveljavljanje pravice do prenosljivosti podatkov

Agencija respondentu na njegovo zahtevo posreduje zahtevane osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki, tako da lahko respondent neovirano posreduje podatke drugemu potencialnemu upravljavcu podatkov (respondent se odloči, ali bo skupaj s prenosom zahteval izbris podatkov ali ne).

Če je to tehnično izvedljivo in če subjekt to zahteva, se zadevni podatki prenesejo neposredno drugemu upravljavcu podatkov, ki ga izbere subjekt. Pod pogojem, da se obdelava izvaja avtomatizirano in temelji na privolitvi subjekta ali če je obdelava nujno potrebna v zvezi z izvajanjem pogodbe.

Ob navedenem je treba upoštevati, da prenos podatkov ne bo izveden, če so ogroženi osebni podatki drugih respondentov.

12. Pritožbeni postopek

12.1. Nasprotovanje obdelavi osebnih podatkov, katere namen je legitimni interes agencije

Respondent lahko kadarkoli poda ugovor zoper obdelavo osebnih podatkov, katere namen je varovanje legitimnih interesov agencije. Agencija v tem primeru preneha z vsako obdelavo osebnih podatkov in izvede preizkus sorazmernosti interesa respondenta in interesa agencije za obdelavo osebnih podatkov.

Če v konkretnem primeru legitimni interesi agencije prevladajo nad interesi respondentov ali če je obdelava potrebna za uveljavljanje, uresničevanje ali obrambo pravnih zahtevkov, se obdelava osebnih podatkov nadaljuje. Če interesi respondentov prevladajo nad zakonitimi interesi agencije, se obravnavani osebni podatki ne smejo več obdelovati. Pri izvajanju zgoraj navedenega testa sorazmernosti se je vsekakor treba posvetovati s pristojno pooblaščeno osebo za varstvo podatkov, če je le-ta imenovana.

12.2. Ugovor zoper obdelavo osebnih podatkov v tržne namene

Respondent, na katerega se nanašajo osebni podatki, lahko kadar koli ugovarja obdelavi osebnih podatkov za namene trženja, kar vključuje oblikovanje profila v obsegu, ki je povezan s takim neposrednim trženjem. Agencija v tem primeru preneha z obdelavo osebnih podatkov.

13. Posebnosti avtomatiziranega individualnega odločanja, vključno z izdelovanjem profila

Respondent ima pravico, da zanj ne velja odločitev, ki temelji izključno na avtomatizirani obdelavi, vključno z izdelovanjem profila, ki proizvaja pravne učinke, ki se nanašajo nanj ali nanj pomembno vplivajo. Navedeno je izpolnjeno v primeru, ko računalniški program agencije na podlagi svojih tehničnih nastavitev in programske opreme izbere določene respondente glede na njihove preference brez posredovanja človeka.

Vendar zgoraj navedeno ne velja, če je avtomatska odločitev potrebna za sklenitev ali izvršitev pogodbe med respondentom in upravljavcem podatkov; dovoljeno z veljavnimi predpisi ali temelji na izrecnem soglasju respondenta (v teh primerih ima respondent pravico izraziti svoje stališče in izpodbijati odločitev).

Zadevni način odločanja ni dovoljen v zvezi s posebnimi vrstami osebnih podatkov, razen če je dana izrecna privolitev respondenta in obstajajo ustrezni ukrepi za varstvo pravic in svoboščin ter legitimnih interesov respondenta.

Pri presoji, ali gre v konkretnem primeru za izdelavo profila ali ne, se upošteva, ali je končni cilj zbiranje podatkov, na podlagi katerih se oblikuje določena slika o respondentu in njegovih preferencah (predvsem v primeru spremljanje respondentovih spletnih aktivnosti). Na podlagi te slike se respondentu pošilja določene ponudbe, predloge in podobno (npr. gre za profil o tem, katere storitve respondent običajno uporablja in se nato na podlagi tega pošiljajo tesno povezane ponudbe s temi storitvami). Če je odgovor na prejšnje vprašanje pritrdilen, agencija o tem obvesti respodenta.

13.1. Oblikovanje in vodenje evidenc dejavnosti obdelave osebnih podatkov

Če je to po predpisih obvezno, agencija oblikuje in vodi evidenco dejavnosti obdelave osebnih podatkov, v kateri evidentira oziroma navede vse dejavnosti obdelave osebnih podatkov. Zadevni dokument je v pisni ali elektronski obliki in vsebuje naslednje podatke:

1. ime in kontaktne informacije agencije in, če je ustrezno, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov,
2. namene obdelave,
3. opis vrst respondentov in vrst osebnih podatkov,
4. vrste prejemnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno s prejemniki v tretjih državah ali mednarodnih organizacijah,
5. če je se uporablja, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije,
6. načrtovane roke za izbris različnih kategorij podatkov, v primerih, ko je to mogoče,
7. splošni opis tehničnih in organizacijskih varnostnih ukrepov.

Agencija predloži zadevno evidenco na vpogled na zahtevo nadzornega organa.

Evidenca se ne vodi, če agencija zaposluje manj kot 250 delavcev, razen če je verjetno, da bo obdelava, ki jo izvaja, povzročila veliko tveganje za pravice in svoboščine respondenta. Enako velja, če obdelava ni občasna ali obdelava vključuje posebne vrste podatkov ali če gre za osebne podatke v zvezi s kaznivimi obsodbami in kaznivimi dejanji.

14. Vzdrževanje varnosti osebnih podatkov

Agencija ves čas namenja posebno pozornost varovanju osebnih podatkov, ki jih zbira in obdeluje, v smislu navedenega še posebej izvaja psevdonimizacijo in šifriranje osebnih podatkov, zagotavlja trajno zaupnost, celovitost, dostopnost in odpornost osebnih podatkov in storitev obdelave, vzpostavlja sistem ponovne dostopnosti osebnih podatkov in dostopa do njih v primeru fizičnega ali tehničnega incidenta (rezervni strežniki podatkov) ter vzpostavlja proces rednega testiranja, vrednotenja in ocenjevanja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave, skupaj z možnimi tveganji, kot so nenamerno uničenje ali izguba osebnih podatkov, njihovo nepooblaščeno razkritje ali nepooblaščen dostop do osebnih podatkov, ki so bili preneseni, shranjeni ali kako drugače obdelani.

14.1. Šifriranje

Agencija (če presodi, da je potrebno) varuje osebne podatke s šifriranjem, po možnosti pa tudi s t.i metodami asimetričnega šifriranja, katere algoritme je mogoče dešifrirati le s ključem, ki ga poznajo pooblaščene osebe (npr. priporočljiva je uporaba AES (Advanced Encryption Standard) ali TDEA (Triple Data Encryption Algorithm). To še posebej velja za sistematično shranjevanje podatkov, prenos podatkov izven agencije, shranjevanje podatkov na prenosnih napravah, kot je USB ipd. ali obdelava posebnih kategorij osebnih podatkov.

14.2. Varnost dostopa do osebnih podatkov

Osebne podatke v fizični ali elektronski obliki, shranjene na prenosnih nosilcih (kot so CD, USB ali trdi disk) agencija hrani na varnem mestu, kot so varovani arhivi ali sefi, do katerih imajo dostop samo pooblaščene osebe. Če so podatki v elektronski obliki, se hranijo v računalniških programih, do katerih je dostop mogoč le preko varne prijave. To je sistemov, ki zahtevajo identifikacijo pooblaščene osebe (to velja predvsem pri posebnih vrstah osebnih podatkov).

Priporočljivo je voditi evidenco vseh prenosov ali pošiljk osebnih podatkov, da bi lahko zaznali morebitno nepooblaščeno uporabo ali pošiljanje osebnih podatkov. Ta dejanja se morajo izvajati preko sistema, ki bi avtomatsko navedel pooblaščeno osebo, ki je pošiljko izvedla, kraj kjer so se podatki nahajali, datum in čas pošiljanja ter vsebino podatkov.

Osebni podatki, ki se pošiljajo elektronsko bodo pošiljani izključno preko varnih HTTPS povezav, priporočljivo pa je, da se dostop do podatkov preko spleta ugotavlja z OAUTH IT.

14.3. Sistem za varnostno kopiranje podatkov

Agencija bo (če bo presodila, da je to potrebno) varovala osebne podatke pred morebitnim uničenjem v primeru sesutja računalniškega sistema ali podobnega razloga in to na način, da bo sestavila in zagnala poseben rezervni sistem, ki bo preprečil zgoraj omenjeno (npr. rezervni strežnik ali trdi disk).

15. Pregled obdelave in varnosti osebnih podatkov

Agencija bo po potrebi izvedla notranjo revizijo varstva osebnih podatkov, da bi identificirala morebitne pomanjkljivosti in tveganja v zvezi z varnostjo ter izbrisala osebne podatke, ki jih ni več potrebno hraniti.

Navedeno notranjo revizijo izvajajo pooblaščene osebe v agenciji v sodelovanju s pooblaščeno osebo za varstvo podatkov, če je le ta imenovana.

Agencija bo po potrebi izvedla tudi neodvisno revizijo s strani tretje osebe, pri čemer revizija ne sme vključevati oseb, ki so sodelovale pri izvajanju varnostnih ukrepov in obdelavi osebnih podatkov. Z metodologijo revizije se bodo ugotovile tudi morebitne pomanjkljivosti pri vseh vidikih zbiranja, obdelave in hrambe osebnih podatkov. Revizija bo vključevala svetovanje, kako izboljšati varnost podatkov.

16. Postopek v primeru kršitve

16.1. Na splošno o kršitvah

Kljub ustreznim ukrepom varstva osebnih podatkov, ki jih agencija izvaja za preprečevanje kršitev varstva osebnih podatkov. Možnost kršitve varstva osebnih podatkov ni izključena. Agencija poleg zaščitnih ukrepov, ki naj zagotovijo, da do kršitve ne pride, izvaja tudi tehnične ukrepe, s katerimi ugotavlja, ali je do kršitve prišlo.

Kršitev osebnih podatkov ima lahko za respondente številne škodljive posledice, zato je izjemno pomembno, da agencija na kršitve reagira čim prej.

Kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so bili posredovani, shranjeni ali kako drugače obdelani.

O uničenju osebnih podatkov gre, ko osebni podatki ne obstajajo več ali ne obstajajo v obliki, v kateri jih agencija potrebuje za namene, za katere jih obdeluje.

Izguba izguba pomeni dejanje, ko osebni podatki obstajajo, vendar je agencija izgubila nadzor nad njimi ali možnost dostopa do njih ali pa podatki niso več v posesti agencije. Izguba je lahko začasne ali trajne narave.

Do sprememb lahko pride, ko osebni podatki zaradi sprememb niso več popolni, točni ali ažurni.

Za nepooblaščeno razkritje ali dostop do osebnih podatkov gre, ko se le-ti razkrijejo osebam, ki za to niso pooblaščene.

16.2. Oddaja prijave Agenciji za varstvo osebnih podatkov

Če agencija ugotovi kršitev varstva osebnih podatkov, ki bi lahko povzročila tveganje za pravice in svoboščine respondenta, mora agencija brez odlašanja podati prijavo in sicer najkasneje v 72 urah (v primeru, da je nadležna agencija obveščena kasneje, mora biti zamuda utemeljena).

Predmetno poročilo mora vsebovati:

1. opis narave kršitve varstva osebnih podatkov, vključno, če je le to mogoče, z vrstami in približnim številom respondentov in vrst ter približnim številom zadevnih evidenc osebnih podatkov,
2. ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče dobiti več informacij,
3. opis verjetnih posledic kršitve osebnih podatkov,
4. opis ukrepov, ki jih je agencija sprejela ali jih je predlagala za rešitev morebitne kršitve varstva osebnih podatkov, vključno z ukrepi za zmanjšanje njenih morebitnih škodljivih posledic.

V primeru, da agencija iz kakršnega koli razloga navedenih podatkov ne more zagotoviti v enem poročilu, jih lahko posreduje postopoma, vendar brez odlašanja.

Agencija bo dokumentirala vsako kršitev osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo osebnih podatkov, posledicami in sprejetimi ukrepi za odpravo nastale škode.

Agencija po obvestilu AZOP upošteva vse nadaljnje odredbe, ki jih določi AZOP. V navedenem postopku pa je potrebno izvesti tudi posvetovanje s pristojno pooblaščeno osebo za varstvo podatkov.

16.3. Posredovanje poročila respondentu, katerega podatki se obdelujejo

Agencija bo o kršitvi nemudoma in brez odlašanja obvestila respondenta, če obstaja verjetnost, da le-ta predstavlja visoko tveganje za pravice in svoboščine respondenta. Agencija k navedenemu obvestilu posreduje opis kršitve skupaj s podatki b), c) in d) iz prejšnjega člena, v jasnem in preprostem jeziku.

Obvestilo se respondentu ne dostavi, če je izpolnjen vsaj eden od naslednjih pogojev:

1. sprejeti so bili ustrezni tehnični in organizacijski zaščitni ukrepi, predvsem tisti, zaradi katerih so osebni podatki nerazumljivi za osebe, ki nimajo pooblastil za dostop do njih (šifriranje),
2. sprejeti so bili nadaljnji ukrepi, kar pomeni da ni več verjetno, da bo prišlo do visokega tveganja za pravice in svoboščine respondenta,
3. obveščanje respondenta zahteva nesorazmeren napor. V takem primeru mora obstajati neka oblika javnega obvestila ali podoben ukrep, s katerim so respondenti obveščeni na enako učinkovit način.

16.4. Ravnanje delavcev v primeru kršitve

Naloga vseh zaposlenih v agenciji je, da o storjeni kršitvi ali sumu, da je do kršitve prišlo ali okoliščinah, iz katerih izhaja sum, nemudoma obvestijo pooblaščeno osebo za varstvo podatkov, če je le-ta imenovana.

V primeru odsotnosti ali ne imenovanja uradne osebe je treba o kršitvi obvestiti odgovorno osebo za kadrovske in/ali pravne zadeve.

16.5. Obnašanje uradnih oseb v primeru kršitve

Naloga pooblaščene osebe za varstvo osebnih podatkov (če je imenovana, v ostalih primerih dejanja izvaja druga odgovorna oseba v agenciji) je, da v roku razišče okoliščine, v katerih je prišlo do kršitve oziroma okoliščine, povezane z domnevno kršitvijo. Ta rok znaša 48 ur. V ta namen je pooblaščena oseba za varstvo podatkov dolžna opraviti potrebna preverjanja, ki vključujejo razgovore z ustreznimi zaposlenimi in drugimi osebami, ki bi lahko vedele za kršitev, ter se posvetovati s pravniki in IT strokovnjaki, zaposlenimi v agenciji.

Pooblaščena oseba za varstvo podatkov o opravljenem ukrepanju pripravi pisno poročilo, ki ga predloži upravi agencije, ki bo med drugim vsebovalo:

1. opis in rezultat dejanj in pregledov, ki jih je izvedel uradnik,
2. naravo kršitve varstva osebnih podatkov, vključno, če je le to mogoče, z vrstami in približnim številom respondentov in vrst ter približnim številom s kršitvijo zajetih evidenc osebnih podatkov,
3. opisi tveganja in možne posledice kršitve varstva osebnih podatkov,
4. opis ukrepov, ki jih predlaga za rešitev problema kršitve varstva osebnih podatkov, vključno z ukrepi za zmanjšanje možnih škodljivih posledic,
5. poročilo z zaključkov, ki vsebuje predlog, da je potrebno obvestiti nadzorni organ - AZOP (obvestilo AZOP pa ni potrebno, če je malo verjetno, da bo kršitev povzročila tveganje za pravice in svoboščine posameznika). Vsebovati mora tudi stopnjo nujnosti obveščanja respondenta (kar je nujno, če obstaja verjetnost, da bo kršitev povzročila visoko tveganje za pravice in svoboščine posameznika).

Zaradi zagotavljanja višje stopnje doslednosti lahko agencija pripravi obrazec za prijavo kršitev.

17. Izvedba ocene učinka na varstvo podatkov

Agencija bo izvedla presojo vpliva na varstvo podatkov, če je verjetno, da bo uvedba kakšne nove tehnike in vrste obdelave, zlasti z novimi tehnologijami in ob upoštevanju narave, obsega, konteksta in namenov obdelave, povzročila visoko tveganje za pravice in svoboščine posameznikov. Hkrati se lahko ena ocena nanaša na več podobnih postopkov obdelave, ki predstavljajo enako visoko tveganje. Agencija se bo pri izvajanju presoje posvetovala s pooblaščeno osebo za varstvo podatkov.

Zadevno oceno je treba izvesti v naslednjih primerih:

1. v primeru sistematične in celovite presoje osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z izdelavo profila ter na podlagi katere se sprejemajo odločitve, ki imajo pravne učinke, ki se na respondenta nanašajo ali pomembno vplivajo,
2. v primeru obsežne obdelave posebnih vrst osebnih podatkov ali podatkov v zvezi s kaznivimi obsodbami in kaznivimi dejanji,
3. v primeru sistematičnega spremljanja javno dostopnega prostora.

Agencija za varstvo osebnih podatkov oziroma drugi nadzorni organi določijo in javno objavijo tudi seznam vrst postopkov, za katere je potrebno opraviti presojo.

17.1. Vsebina ocenjevanja

Ocena mora vsebovati naslednje podatke:

1. sistematičen opis načrtovanih postopkov obdelave in namenov obdelave, vključno z legitimnim interesom agencije, če je le to primerno,
2. presojo nujnosti in sorazmernosti postopkov obdelave v zvezi z njihovimi nameni;
3. oceno ogroženosti pravic in svoboščin respondenta. To je ocena verjetnosti, da bi obravnavana kršitev lahko povzročila fizično, materialno ali nematerialno škodo ali povzročila diskriminacijo, krajo identitete ali prevaro, finančno izgubo, škodo ugledu, izgubo zaupnosti osebnih podatkov, varovanih s poslovno skrivnostjo, nepooblaščen postopek povratne psevdonimizacije ali če bi bila povzročena kakršna koli druga pomembna gospodarska ali družbena škoda. Enako velja če so respondentom morda odrekane njihove pravice in svoboščine ali onemogočen nadzor nad njihovimi osebnimi podatki,
4. če se obdelujejo posebne vrste podatkov
5. če se ocenjujejo osebni vidiki, zlasti analiziranje ali napovedovanje vidikov, povezanih z delovno uspešnostjo, ekonomskim položajem, zdravjem, osebnimi preferencami ali interesi, zanesljivostjo ali vedenjem, lokacijo ali gibanjem, z namenom ustvarjanja ali uporabe osebnega profila,
6. če se obdelujejo osebni podatki občutljivih posameznikov, predvsem otrok,
7. če obdelava vključuje veliko količino osebnih podatkov in vpliva na veliko število respondentov,
8. ukrepe, namenjene reševanju tveganja, ki vključuje zaščitne ukrepe, varnostne ukrepe in mehanizme za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti, ob upoštevanju pravic in legitimnih interesov respondentov in drugih udeleženih oseb.

Agenciji pa presoje ni treba opraviti, če je namen obdelave zakonska obveznost agencije in če predpisi, na katerih temelji obveznost, urejajo posebne postopke obdelave ali skupino ustreznih postopkov in če je presoja vpliva na varstvo podatkov že izvedena, razen v primerih, ko veljavni predpisi ne določajo drugače.

17.2. Postopek posvetovanja z nadzornim organom

Agencija se pred morebitno tvegano obdelavo posvetuje z nadzornim organom. To velja v primeru, da predhodno opravljena presoja vpliva na varstvo podatkov pokaže, da bi obdelava lahko predstavljala visoko tveganje, če ne bi bili sprejeti določeni varnostni ukrepi.

Pri posvetovanju z nadzornim organom je potrebno predložiti:

1. ustrezne podatke agencije, nosilcev skupne obdelave in obdelovalce, ki sodelujejo pri obdelavi, zlasti za obdelavo znotraj skupine podjetnikov,
2. namen in sredstva predvidene obdelave,
3. zaščitne ukrepe in druge ukrepe za varstvo pravic in svoboščin respondentov,
4. kontaktne podatke pooblaščene osebe za varstvo podatkov,
5. oceno učinka na varstvo podatkov
6. vse druge informacije, ki jih zahteva nadzorni organ.

Če nadzorni organ meni, da bi nameravana obdelava pomenila kršitev veljavnih predpisov, predvsem pa, če tveganje ni dovolj reducirano, mora nadzorni organ v največ osmih tednih od prejema zahteve za posvetovanje (navedeni rok se lahko podaljša za nadaljnjih šest tednov) pisno obvestiti agencijo, pri čemer lahko uporabi katero od pooblastil, določenih z zakonom (prisilne odredbe, pridobitev dostopa do osebnih podatkov ali izvedba revizije varstva osebnih podatkov).

18. Postopek v primeru prenosa osebnih podatkov v tretje države

Če se osebni podatki posredujejo izven EU, to pomeni v tretjo državo ali mednarodno organizacijo (npr. združenje turističnih agencij iz tujine), agencija preveri, ali obstaja dovoljenje za pošiljanje podatkov v obliki tako imenovane odločbe o ustreznosti. Takšne odločbe izda Evropska komisija in so objavljene v Uradnem listu EU. V zvezi z zgoraj navedenim se nadaljnje ukrepanje razlikuje glede na tri možne situacije:

1. če takšna odločba obstaja, je prenos dovoljen.
2. če take odločbe ni, prenos načeloma ni dovoljen, je pa še vedno možen, pod pogojem, da ima agencija ali obdelovalec predvidene ustrezne zaščitne ukrepe in da imajo respondenti na voljo izvršljive pravice in učinkovito sodno varstvo. V okviru navedenih ukrepov so še posebej pomembne standardne klavzule za varstvo podatkov,
3. v primeru, da takega sklepa ni in ni ustreznih ukrepov iz točke b), je prenos še vedno mogoč. V primeru, da je respondent po seznanitvi s prenosom izrecno privolil ali če je prenos je potrebno izvesti v okviru pogodbene obveznosti. To je v zvezi z uveljavljanjem, uresničevanjem ali obrambo pravnih zahtevkov in če obstaja kakšen drug pomemben javni interes ali pomemben interes respondenta.

Agencija bo v smislu točke b) prejšnjega odstavka poskušala dati prednost zaščitnemu ukrepu, ki zagotavlja višjo raven zaščite (npr. uporaba standardnih pogodbenih klavzul, ki jih je sprejela Evropska komisija, ali posebnih pogodbenih klavzul, ki jih je potrdila Evropska komisija ali drugi pristojni organ). Razen če je glede na okoliščine primera očitno bolj primerno uporabiti eno od odstopanj za posebne primere, ki so opredeljeni v 49. členu splošne uredbe.

Predmet poslovanja agencije je med drugim tudi prodaja aranžmajev partnerskih agencij iz tretjih držav, pri čemer se relevantni podatki respondentov posredujejo v te države in/ali subjektom v tretjih državah glede na končno destinacijo aranžmaja (npr. hoteli, lokalni ponudniki turističnih storitev ipd.). Navedeni subjekti v razmerju do agencije nastopajo kot ločeni upravljavci/izvajalci obdelav in agencija ni in ne more biti odgovorna za njihova dejanja. Takšni subjekti imajo lahko sedež v državah, ki ne zagotavljajo ustrezne ravni zaščite. Takšne povratne izmenjave osebnih podatkov z zgoraj navedenimi partnerji temeljijo na 49. členu, 1. odstavku, točki c) Splošne uredbe (prenos, ki je potreben za sklenitev ali izvršitev pogodbe, sklenjene v interesu respondenta, na katerega se nanašajo osebni podatki, med upravljavcem in drugo fizično ali pravno osebo; kot zgoraj pod točko c)) ali na podlagi izrecnega soglasja respondenta, katerega podatki se prenašajo. Respondent mora razumeti vsa tveganja, ki lahko izhajajo iz takega prenosa.

V primeru dvoma, ali je dovoljen prenos osebnih podatkov v državo, ki ne zagotavlja ustrezne ravni varstva, je potrebno najprej pridobiti nasvet in mnenje pooblaščene osebe za varstvo podatkov.

19. Obdelovalec

Agencija lahko del obdelave osebnih podatkov zaupa obdelovalcu (npr. revizorju, odvetniku ipd.).

Obdelovalec mora v zadostni meri zagotoviti izvajanje ustreznih tehničnih in organizacijskih ukrepov, ki so skladni z veljavnimi predpisi o varstvu osebnih podatkov. Obdelovalec mora ravnati v skladu z navodili agencije. Razmerja z obdelovalci glede varstva osebnih podatkov se urejajo s posebnimi dogovori ali v okviru temeljnih pogodb.

19.1. Sklenitev pogodb z obdelovalci

Agencija se lahko odloči, da določene vidike obdelave osebnih podatkov zaupa obdelovalcem, ki bodo osebne podatke obdelovali v imenu in po navodilih agencije. Agencija lahko angažira samo tiste obdelovalce, ki v zadostni meri zagotavljajo izvajanje ustreznih tehničnih in organizacijskih ukrepov za varstvo osebnih podatkov.

Agencija mora z obdelovalcem skleniti pisno pogodbo, s katero uredi predmet in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov in vrsto respondentov ter pravice in obveznosti agencije. in procesor. V okviru take pogodbe daje obdelovalec agenciji določena jamstva glede varstva osebnih podatkov.

Glede na okoliščine primera ter glede na vrsto in obseg obdelave, ki jo izvaja obdelovalec, lahko agencija, preden angažira določenega obdelovalca, izvede preglede, za katere meni, da so ustrezni:

1. zahtevati informacijo, ali je obdelovalec imenoval pooblaščeno osebo za varstvo podatkov,
2. zahtevati informacije o tem, ali obdelovalec angažira podizvajalce, kdo so in v katerih državah se nahajajo,
3. preveriti, ali vodi evidenco dejavnosti obdelave,
4. preveriti, ali obstajajo interni pravilniki in postopki glede varovanja osebnih podatkov,
5. pogovoriti se o načinu, na katerega so organizirani ustrezni procesi obdelovalca,
6. zahtevati informacijo, ali ima izvršitelj potrdilo, da je skladen z GDPR (certifikat ni obvezen, je pa priporočljivo, da ga ima),
7. zahtevati informacijo, ali ima izvajalec kakšne ISO certifikate s področja IT varnosti,
8. preučiti, v kolikšni meri ima agencija možnost nadzora nad obdelovalcem,
9. obiskati poslovne prostore obdelovalca.

V primeru, da gre za obdelovalca, s katerim agencija že dlje časa sodeluje, se lahko upošteva njihova dosedanja vestnost in pravilnost pri izvajanju pogodbenih obveznosti.

Za namen stalnega preverjanja obdelovalca lahko agencija enkrat letno, po potrebi pa tudi večkrat, od obdelovalca zahteva predložitev podpisane izjave, s katero obdelovalec potrjuje skladnost. Osnutek izjave je lahko priložen pogodbi, ki jo agencija podpiše s obdelovalcem.

Agencija obdelovalce navede v evidenci dejavnosti obdelave (če je vodenje le-te obvezno), skupaj z vsemi pregledi, ki jih je agencija opravila pred angažiranjem. Služba za kadre in pravne zadeve vodi seznam obdelovalcev in hrani pogodbe z obdelovalci.

19.2. Pogodbe, ki vključujejo izmenjavo podatkov z drugimi prejemniki

Agencija lahko pri svojem poslovanju vstopa v pravna razmerja z drugimi pravnimi in fizičnimi osebami, s katerimi ne nastopa kot skupni vodja obdelave ali jih angažira obdelovalce. V tovrstnih pravnih razmerjih se lahko izmenjujejo nekateri osebni podatki. Na enak način lahko pride do izmenjave osebnih podatkov z državnimi organi.

Agencija v vseh teh primerih glede na okoliščine presodi, ali je treba skleniti pisno pogodbo, ki podrobneje opredeljuje pravice in obveznosti pogodbenih strank. Agencija presodi ali je potrebno v pogodbo vključiti dodatne določbe o izmenjavi osebnih podatkov. To je potrebno vključiti v primeru, da ni dovolj splošna določba o obveznosti obeh pogodbenih strank, da varujeta zaupnost vseh informacij in osebnih podatkov, ki jih druga od druge prejmeta za namen izpolnjevanja pogodbenih obveznosti.

Take dodatne določbe o izmenjavi osebnih podatkov lahko vključujejo zlasti določbe, ki določajo namen izmenjave osebnih podatkov, vrsto prenesenih osebnih podatkov, pravno podlago za prenos podatkov, omejitev glede nadaljnjih prejemnikov osebnih podatkov, obveznost varovanja zaupnosti, rok hranjenja osebnih podatkov, posledice kršitev in podobno.

Osebni podatki, izmenjani s prejemniki, bodo v vsakem primeru omejeni na tisto, kar je potrebno za dosego namena, za katerega se prenos izvaja.

20. Uporaba piškotkov

Spletna stran agencije uporablja piškotke. Piškotki so majhne besedilne datoteke, ki jih spletna mesta shranijo v računalnik obiskovalca, ko ta obišče spletno mesto. Piškotki se uporabljajo, da si spletna stran zapomni obiskovalca in ga prepozna ob naslednjem obisku ter si zapomni njegove preference.

Piškotki lahko zbirajo informacije o naslovu IP, mestu in državi, iz katere prihaja obiskovalec spletne strani, starosti in spolu obiskovalca ter druge podatke. Uvodna določba (30) GDPR izrecno določa, da se lahko spletni identifikatorji, kot so piškotki, uporabljajo za ustvarjanje profilov posameznikov in njihovo identifikacijo. Agencija zato obiskovalce spletne strani seznanja z logiko avtomatske obdelave in posledicami, ki jih ima profiliranje na podlagi piškotkov za posameznike.

Agencija v izogib dvomom ne uporablja piškotkov za ugotavljanje identitete posameznikov, temveč jih uporablja le za namene nadzora podatkov. Agencija zbira in obdeluje osebne podatke za namene rezervacij in vodenja uporabnikov storitev, računov in zaračunavanja, marketinških akcij in anket o zadovoljstvu. Podatki so namenjeni agenciji in njenim ponudnikom storitev. Respondent ima pravico pregledati, dostopati, popraviti ali ugovarjati takšni obdelavi v pisni obliki naši pooblaščeni osebi za varstvo podatkov.

Uporaba elektronskih komunikacijskih omrežij za shranjevanje podatkov ali dostop do podatkov, ki so že shranjeni v uporabnikovi opremi, je dovoljena le v primeru, ko je respondent dal soglasje ter po tem, ko je prejel jasno in popolno obvestilo, ki je v skladu s posebnimi predpisi o varstvu osebnih podatkov in je bil obveščen o namenih obdelave osebnih podatkov. Skladno z navedenim določilom agencija pred namestitvijo piškotkov zahteva soglasje obiskovalca.

Ob obisku spletnega mesta agencije se obiskovalec seznani z vrsto piškotkov, ki jih uporablja spletno mesto in njihovim namenom. Obiskovalec lahko izbere, katere piškotke dovoli in katere zavrne.

Podrobnejše informacije o piškotkih so obiskovalcu na voljo na spletni strani agencije. Prav tako so mu na voljo informacije o tem, kako lahko spremeni nastavitve piškotkov in izbriše predhodno nameščene piškotke.

Zgoraj opisani postopek glede uporabe piškotkov bo agencija pravočasno pregledala in po potrebi revidirala po morebitnem sprejetju uredbe na ravni Evropske unije, ki ureja predmetno področje (e-privacy Regulation).

21. Pravice in dolžnosti pooblaščene osebe za varstvo podatkov

Pooblaščena oseba za varstvo podatkov je pri svojem delu samostojna in neodvisna ter je pooblaščena za izvajanje vseh potrebnih aktivnosti in ukrepov za zagotavljanje skladnosti delovanja agencije s predpisi o varstvu osebnih podatkov.

Pooblaščena oseba za varstvo podatkov je za svoje delo neposredno odgovorna vodstvu agencije.

Agencija bo pri odločanju o imenovanju pooblaščene osebe za varstvo podatkov skrbela, da ima imenovana oseba ustrezna strokovna znanja za izvajanje vseh ukrepov in aktivnosti za varstvo osebnih podatkov. Ta oseba mora imeti potrebno strokovno usposobljenost, predvsem pa strokovno poznavanje zakonodaje in prakse na področju varstva osebnih podatkov. Pridobljeni certifikati pooblaščene osebe so lahko v pomoč, vendar je pomembnejše nenehno izobraževanje, poznavanje procesov in razumevanje informacijskega sistema agencije ter pravnega okvira delovanja agencije in njenih potreb po varnosti in zaščiti osebnih podatkov.

Uprava se odloči, ali bo pooblaščeno osebo za varstvo osebnih podatkov zaposlila agencija ali pa bo zanjo pogodbeno angažiran zunanji izvajalec storitev.

V primeru sklenitve delovnega razmerja je pooblaščena oseba za varstvo podatkov lahko zaposlena za polni ali krajši delovni čas. Poleg delovnih nalog, ki jih ima z opravljanjem nalog lahko opravlja tudi druga dela, ki ne privedejo do nasprotja interesov. 

Pooblaščena oseba za varstvo osebnih podatkov je oseba, ki mora biti ves čas ustrezno in pravočasno vključena v vsa vprašanja varstva osebnih podatkov v agenciji. Priporočljivo je, da se vsi zaposleni in tretje osebe v primeru morebitnih morebitnih težav obrnejo nanjo glede vprašanj v zvezi z osebnimi podatki. Agencija skrbi, da so vse organizacijske enote agencije, od vodij naprej, seznanjene z obstojem pooblaščene osebe v agenciji in njenimi nalogami ter s pomenom obveščanja pooblaščene osebe pri razvoju novih storitev, predvideni uporabi nove tehnologije, novih vrstah obdelav osebnih podatkov, kršitev varstva osebnih podatkov in zahtev za uveljavljanje pravic respondentov.

Agencija je dolžna zagotoviti:

1. v primeru nameravane nove vrste obdelave osebnih podatkov ali nameravane obdelave osebnih podatkov za drugačen namen od obstoječega in v primeru uporabe novih tehnologij, je treba pooblaščeno osebo vključiti v predhodna srečanja (predvsem na sestanke, ki se tičejo obdelovanja podatkov), da bi lahko izrazil svoje mnenje in pomagal s svojimi nasveti,
2. prizadevati si, da bo pooblaščena oseba prisotna na rednih sejah upravnega odbora in višjega vodstva in bo lahko s svojo prisotnostjo koristno prispevala k varstvu osebnih podatkov (zlasti na tistih sejah, ki bi lahko vplivale na obdelavo osebnih podatkov),
3. da ima pooblaščena oseba na razpolago ustrezne kadrovske, organizacijske in tehnične vire za opravljanje svojih nalog,
4. vse organizacijske enote agencije so dolžne nemudoma obveščati pooblaščeno osebo za varstvo podatkov o vseh dogodkih in spremembah v zvezi s poslovanjem agencije, ki bi lahko vplivale na varstvo osebnih podatkov,
5. pred spremembo politik in predpisov v zvezi z varstvom osebnih podatkov bo vodstvo zaprosilo za mnenje pooblaščenca,
6. pooblaščena oseba ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog.

Pooblaščena oseba za varstvo podatkov med opravljanjem svojih nalog ne sme prejemati navodil glede opravljanja svojih nalog in ne sme biti zaradi opravljanja teh nalog razrešena ali kaznovana.

Pooblaščena oseba je dolžna svoje naloge opravljati samostojno, redno in vestno. Pooblaščena oseba za varstvo osebnih podatkov je odgovorna za izvajanje vseh ukrepov in dejavnosti za doseganje ciljev politike zasebnosti in varstva osebnih podatkov agencije. Pooblaščena oseba je odgovorna za izvajanje zakonskih, podzakonskih in drugih zavezujočih aktov s področja varstva osebnih podatkov.

Dolžnosti in naloge pooblaščene osebe za varstvo podatkov so:

1. obveščanje in svetovanje vodstvu in zaposlenim agencije o obveznostih iz splošne uredbe in drugih veljavnih zakonov in predpisov o varstvu osebnih podatkov,
2. izvajanje rednih izobraževanj delavcev, zaposlenih na agenciji, s področja varstva osebnih podatkov z namenom seznanitve z zakonskimi zahtevami in internimi zahtevami agencije glede varstva osebnih podatkov,
3. izvajanje notranjih presoj za preverjanje skladnosti poslovanja in ravnanja posameznih organizacijskih enot z zahtevami splošne uredbe in internih aktov agencije. Pooblaščena oseba o opravljenem nadzoru sestavi pisni zapisnik, v katerem mora opisati rezultate pregleda in morebitne ugotovljene pomanjkljivosti,
4. izvajanje občasnih revizij politik in predpisov agencije o varstvu osebnih podatkov,
5. priprava in pregled dokumentacije v zvezi z varstvom osebnih podatkov (npr. pogodbe z obdelovalci, pogodbe s skupnimi obdelovalci, pogodbe na podlagi izmenjave osebnih podatkov s prejemniki, obvestila respondentom, interne politike ipd.),
6. pregledovanje vseh sprememb v evidencah aktivnosti obdelovanja podatkov in pomoč pristojnim delavcem pri njihovem izpolnjevanju,
7. pripravo oziroma pregledovanje odgovorov na zahteve za uveljavljanje pravic respondentov iz tretjega dela tega pravilnika ter vodenje evidence prejetih zahtevkov za uveljavljanje pravic respondentov in odgovorov na njihove zahteve,
8. vodenje evidenc o kršitvah varstva osebnih podatkov in ravnanje v skladu z določili šestega dela tega pravilnika v primeru, da do kršitve pride, ter aktivno sodelujovanje pri raziskovanju in poročanju o morebitnih kršitvah varstva osebnih podatkov,
9. izdelava ocene učinka na varstvo osebnih podatkov iz 35. člena Splošne uredbe (kadar obstaja obveznost izdelave ocene učinka),
10. redno se izpopolnjevanje na izobraževanjih, namenjenih pooblaščenim osebam za varstvo osebnih podatkov skladno z dogovoru z vodstvom. Samostojno spremljanje sprememb in prakse na področju varstva osebnih podatkov, predvsem smernice in mnenja AZOP, smernice delovne skupine, ustanovljene dne na podlagi 29. člena Direktive 95/46/ES in Odbora za varstvo podatkov, ustanovljenega na podlagi Splošne uredbe,
11. sodelovanje z nadzornim organom in delovanje kot kontaktna točka pri komunikaciji z  nadzornim organom,
12. opravljanje drugih dejavnosti, ki prispevajo k dvigu ravni varstva osebnih podatkov.

Pooblaščena oseba je pooblaščena, da pri ugotovitvi ravnanja, ki ni v skladu s Splošno uredbo ali tem pravilnikom, ustno opozori delavce in jim da navodila, kako odpraviti ugotovljene neskladnosti.

Pooblaščena oseba za varstvo podatkov je dolžna opozoriti vodstvo agencije na vse ugotovljene neskladnosti na področju varstva osebnih podatkov. O ukrepih za odpravo morebitnih neskladij odloča vodstvo agencije.

V primeru, da je zaradi opustitve dela pooblaščene osebe za varstvo podatkov povzročena škoda respondentom, agenciji ali drugim osebam, je lahko za škodo neposredno odgovorna pooblaščena oseba za varstvo podatkov. Morebitno takšno dejanje bo presojeno po veljavnih zakonskih predpisov ali je do tega prišlo naklepno ali iz hude malomarnosti pooblaščene osebe.

Pooblaščena oseba je dolžna trajno varovati zaupnost vseh informacij in osebnih podatkov, ki jih je izvedela v zvezi z opravljanjem svojih nalog.

22. Izobraževanje delavcev

Vsi delavci podpišejo izjave o zaupnosti oziroma se s pogodbo o zaposlitvi zavežejo trajne tajnosti osebnih podatkov. Da pa bi delavce čim bolje seznanili s pomenom varstva podatkov, je agencija dolžna že v prvem mesecu dela vse svoje delavce poučiti o pomenu in načinih varovanja osebnih podatkov. Izobraževanje organizira odgovorna oseba organizacijske enote za kadre, načrtovanje in izvajanje izobraževanj in usposabljanj.

Agencija v skladu z analizo stanja varstva osebnih podatkov, spremembami zakonskih predpisov ali notranjih politik, številom kršitev ali na predlog pooblaščene osebe za varstvo osebnih podatkov izvaja občasna izobraževanja zaposlenih. Agencija izvaja izobraževanja z namenom dviga ravni varstva osebnih podatkov in ozaveščenosti delavcev o potrebi po varovanju le teh. Ta izobraževanja potekajo vsaj enkrat letno.

Izvedbo izobraževanj je potrebno evidentirati.

Program izobraževanja določi pooblaščena oseba za varstvo osebnih podatkov v soglasju z vodstvom agencije, pri čemer upošteva stopnjo tveganja za posamezna delovna mesta tako, da je vsebina programa prilagojena delovnim nalogam zaposlenih in obsegu, skladno s tem koliko prihajajo v stik z osebnimi podatki.

Delavci bodo na izobraževanjih seznanjeni, da lahko vse ugotovljene pomanjkljivosti in neskladnosti na področju varstva osebnih podatkov prijavijo uradni osebi ali vodstvu.

23. Odgovornost

Agencija je odgovorna za spoštovanje veljavnih predpisov v zvezi z varstvom osebnih podatkov in mora biti sposobna dokazati skladnost oziroma zakonito postopanje.

24. Zaključek

Predmetna politika predstavlja dobro prakso varstva osebnih podatkov in služi kot neke vrste vodilo. Navedena politika poskuša zajeti večino predvidljivih situacij, ki bi lahko nastale. V praksi to seveda ni mogoče, zato bo treba vsako situacijo ovrednotiti glede na okoliščine, ki so edinstvene v vsakem posameznem primeru.

Ta politika se razlaga v skladu s Splošno uredbo in veljavno zakonodajo Republike Hrvaške s področja varstva osebnih podatkov. Vsa vprašanja respondenta v zvezi s to politiko lahko naslovite na pooblaščeno osebo za varstvo osebnih podatkov ali drugo odgovorno osebo v agenciji, ki bo na povpraševanje odgovorila v najkrajšem možnem času, najkasneje pa v enem mesecu.

Za vse morebitne spore, ki izhajajo iz kršitve osebnih podatkov s strani agencije, se uporabljajo zakoni in drugi predpisi, ki veljajo v Republiki Hrvaški. Za morebitno reševanje spora je pristojno stvarno sodišče po sedežu agencije.

Ta politika preneha veljati, če agencija o tem odloči. To je v primeru, da pride do likvidacije agencije ali druge statusne spremembe, zaradi katere agencija preneha obstajati. Kljub temu pa prenehanje veljavnosti te politike ne odvezuje zaposlenih v agenciji obveznosti varovanja osebnih podatkov v zvezi s podatki, ki so bili do takrat zbrani in/ali obdelani.

Tematika varstva osebnih podatkov je obsežna in kompleksna, zato je ključno, da se je vsi zaposleni lotimo resno, skrbno in umirjeno, saj se le tako lahko odzovemo na vse izzive, ki jih to dinamično področje nalaga vsakodnevnemu delovanju agencije.