Obvestilo o varstvu in obdelavi osebnih podatkov
Altum AE Group d.o.o.
Dimičeva ulica 9
1000 Ljubljana
OBVESTILO O VARSTVU IN OBDELAVI OSEBNIH PODATKOV
Obveščamo vas, da bomo vse zbrane osebne podatke varovali v skladu z Zakonom o varstvu osebnih podatkov (ZVOP-2), Splošno uredbo EU o varstvu osebnih podatkov (GDPR), ostalo zakonodajo in predpisi.
Obveščamo vas, da imate za osebne podatke, ki se nanašajo na vas, kadarkoli pravico do vpogleda, popravka, izbrisa, pozabe osebnih podatkov in do omejitve obdelave osebnih podatkov ter ugovora k obdelavi osebnih podatkov.
Kadarkoli imate pravico pridobiti naslednje informacije o vaših osebnih podatkih:
– namene obdelave,
– vrste osebnih podatkov,
– uporabniki ali kategorije uporabnikov,
– predvideno obdobje hrambe osebnih podatkov,
– obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
– pravico do vložitve pritožbe pri nadzornem organu;
– kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
– pravico do preklica soglasja za obdelavo osebnih podatkov, če se osebni podatki obdelujejo na podlagi soglasja.
Podatki o upravljavcu osebnih podatkov:
| Naziv | |
| Naslov | |
| Poštna številka in pošta | |
| Telefon | |
| Elektronski naslov |
Zbrani osebni podatki se bodo uporabljali izključno za namene zaradi katerih ste jih posredovali oziroma zaradi katerih so bili pridobljeni.
Dostop do osebnih podatkov imajo samo zaposleni in pogodbeni sodelavci upravljavca osebnih podatkov, ki so seznanjeni z obveznostmi varovanja osebnih podatkov.
V _______________, dne ___________
Odgovorna oseba _________________
Na podlagi Zakona o varstvu osebnih podatkov (ZVOP-2) (Uradni list RS 163/22 z dne 27.12.2022) in Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov – GDPR) je
Altum AE Group d.o.o.
Dimičeva ulica 9
1000 Ljubljana
(v nadaljevanju: upravljavec osebnih podatkov)
sprejel
PRAVILNIK O VARSTVU OSEBNIH PODATKOV
SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski in tehnični postopki in ukrepi za zavarovanje osebnih podatkov pri upravljavcu osebnih podatkov.
Z navedenimi postopki in ukrepi se preprečuje:
– nepooblaščen ali neregistriran dostop do zbirk osebnih podatkov,
– slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali izguba,
– nepooblaščena uporaba, obdelava in posredovanje osebnih podatkov.
PRIDOBIVANJE OSEBNIH PODATKOV
2. člen
Osebni podatki se pridobijo na podlagi opravlja dejavnosti. Pridobijo se neposredno od stranke. Osebni podatki o zaposlenih in ostalih pogodbenih sodelavcih se pridobijo ob sklenitvi pogodbe o zaposlitvi oziroma med trajanjem delovnega razmerja ali drugega pogodbenega razmerja neposredno od posameznika na katerega se nanašajo.
3. člen
Osebni podatki se lahko pridobijo in obdelujejo brez osebne privolitve v naslednjih primerih:
– za izvedbo ali sklenitev pogodbe,
– za izpolnitev zakonskih obveznosti,
– za zaščito življenjskih interesov osebe,
– če je obdelava v javnem interesu,
– če je obdelava v zakonitem interesu upravljavca osebnih podatkov.
4. člen
V vseh ostalih primerih, ki niso navedeni v prejšnjem členu, je potrebno za obdelavo osebnih podatkov pridobiti pisno izjavo, iz katere je jasno, za katere namene določena oseba dovoli obdelavo njenih osebnih podatkov. Vsak posameznik ima možnost izbrati za katere namene dovoli obdelavo osebnih podatkov in za katere namene ne dovoli obdelave osebnih podatkov.
5. člen
Ob pridobitvi osebnih podatkov se vsakega posameznika obvesti o:
– identiteti in kontaktnih podatkih upravljavca,
– namenih, za katere se osebni podatki obdelujejo,
– pravni podlagi za obdelavo,
– zakonitem interesu za obdelavo,
– uporabnikih ali kategorijah uporabnikov osebnih podatkov,
– obdobju hrambe osebnih podatkov,
– obstoju pravice, da se zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov,
– možnosti preklica privolitve za obdelavo,
– pravici do vložitve pritožbe pri nadzornem organu;
– morebitnih posledicah, če posameznik ne zagotovi osebnih podatkov, ki jih mora na podlagi zakona ali sklenjene pogodbe.
DOSTOP DO OSEBNIH PODATKOV
6. člen
Dostop do osebnih podatkov imajo vsi zaposleni in zunanji sodelavci, ki se pri svojem delu srečujejo z osebnimi podatki. Posameznik ima dostop samo do tistega dela osebnih podatkov, ki ga potrebuje zaradi opravljanja svojega dela.
7. člen
Če imajo dostop do osebnih podatkov tudi zunanji obdelovalci osebnih podatkov, se mora o tem pred začetkom obdelave osebnih podatkov s strani zunanjega obdelovalca, o tem obvestiti osebe, katerih osebne podatke bo obdeloval zunanji obdelovalec. Zunanji obdelovalec lahko začne z obdelavo osebnih podatkov, za katere je potrebna osebna privolitev posameznika šele na podlagi izjave posamezne osebe, da dovoli obdelavo svojih osebnih podatkov zunanjemu obdelovalcu osebnih podatkov.
8. člen
Uporabniki posameznih zbirk osebnih podatkov ter morebitne omejitve so določeni v posameznih zbirkah osebnih podatkov.
9. člen
Za zbiranje, obdelavo, shranjevanje in posredovanje osebnih podatkov se določajo odgovorne osebe. Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, oziroma imajo na katerikoli način dostop do osebnih podatkov, morajo biti seznanjeni z zakonodajo s področja varstva osebnih podatkov in z vsebino tega pravilnika.
10. člen
Posamezne zbirke osebnih podatkov vzpostavi odgovorna oseba. Glede na naravo dela lahko zbirko osebnih podatkov dopolnijo vsi zaposleni in zunanji sodelavci, ki pri svojem delu uporabljajo osebne podatke iz posamezne zbirke.
ZBIRKE PODATKOV
11. člen
Zbirke osebnih podatkov:
– zbirka osebnih podatkov o zaposlenih,
– zbirka osebnih podatkov o strankah,
– zbirka osebnih podatkov o kupcih nepremičnin,
– zbirka osebnih podatkov o prodajalcih nepremičnin.
OBDELAVA OSEBNIH PODATKOV
12. člen
V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno zakonsko podlago ali osebno privolitev posameznika. Osebne podatke je dovoljeno zbirati in obdelovati samo za namene, zaradi katerih so se osebni podatki pridobili. Osebni podatki se ne smejo nadalje obdelovati, če je ta obdelava v nasprotju s temi nameni.
Pri obdelavi občutljivih osebnih podatkov morajo biti le-ti posebej označeni in zavarovani, tako da se nepooblaščenim osebam prepreči dostop. Posameznik (oziroma njegov zakoniti zastopnik, če gre za mladoletno osebo), na katerega osebni podatki se obdelujejo mora biti o tem obveščen.
POGODBENA OBDELAVA OSEBNIH PODATKOV
13. člen
Osebne podatke obdelujejo tudi zunanji obdelovalci osebnih podatkov. Z zunanjimi obdelovalci osebnih podatkov se sklene pogodba o obdelavi osebnih podatkov, oziroma se v pogodbi o poslovnem sodelovanju določijo vsebine, ki se nanašajo na varstvo in obdelavo osebnih podatkov.
14. člen
V pogodbi o obdelavi osebnih podatkov se določi:
– razlog za posredovanje osebnih podatkov,
– vrste posredovanih osebnih podatkov,
– način varovanja posredovanih osebnih podatkov,
– namen obdelave osebnih podatkov,
– način posredovanja osebnih podatkov,
– način vračila osebnih podatkov.
PRAVICE POSAMEZNIKOV PRI OBDELAVI OSEBNIH PODATKOV
15. člen
Vsak posameznik ima pravico zahtevati od upravljavca osebnih podatkov popravek osebnih podatkov, izbris osebnih podatkov ali pozabo osebnih podatkov. V tem primeru mora upravljavec osebnih podatkov osebne podatke popraviti oziroma jih trajno izbrisati in uničiti vse osebne podatke, ki se nanašajo na posameznika, razen kadar je upravljavec posamezne osebne podatke dolžan hraniti na podlagi zakona.
16. člen
Vsak posameznik ima pravico omejiti obdelavo njegovih osebnih podatkov. Obdelavo osebnih podatkov omeji tako, da prekliče morebitno izjavo s katero soglaša z obdelavo osebnih podatkov za določene namene, oziroma tako, da izjavo spremeni in soglaša zgolj z obdelavo za izbrane namene.
17. člen
Vsak posameznik ima pravico pridobiti informacijo o tem, ali se obdelujejo njegovi osebni podatki.
18. člen
Vsak posameznik, katerega osebni podatki se obdelujejo ima pravico do vpogleda v osebne podatke, ki se nanašajo nanj ter do naslednjih informacij o njegovih osebnih podatkih:
– namene obdelave,
– vrste osebnih podatkov,
– uporabniki ali kategorije uporabnikov,
– predvideno obdobje hrambe osebnih podatkov,
– obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
– pravico do vložitve pritožbe pri nadzornem organu;
– kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom.
NAČIN VAROVANJA OSEBNIH PODATKOV
19. člen
Osebni podatki se varujejo tako, da je nepooblaščenim osebam onemogočen dostop ali vpogled v osebne podatke.
20. člen
Ob prisotnosti nepooblaščenih oseb morajo biti zbirke osebnih podatkov in računalniški monitorji nameščeni tako, da te nepooblaščene osebe nimajo neposrednega vpogleda v osebne podatke, ki se nahajajo v zbirkah oziroma so prikazani na računalniku.
21. člen
Osebni podatki se hranijo v pisarni v omari. V pisarni je vedno prisotna oseba, ki ima dostop do osebnih podatkov. V primeru odsotnosti se mora pisarna zakleniti.
22. člen
Osebni podatki v elektronski obliki se hranijo na računalniku, ki je zaščiten z geslom. Geslo za dostop do računalnika imajo samo osebe, ki imajo dostop do osebnih podatkov.
23. člen
Izven delovnega časa je poslovna stavba varovana z alarmom.
POSREDOVANJE OSEBNIH PODATKOV
24. člen
Osebni podatki se smejo posredovati samo tistim uporabnikom in samo na podlagi ustrezne zakonske podlage oziroma na podlagi pisne zahteve ali s privolitvijo posameznika (oziroma njegovega zakonitega zastopnika, če gre za mladoletno osebo), na katerega se podatki
nanašajo.
25. člen
Osebni podatki se posredujejo tretjim osebam samo na podlagi osebne privolitve posameznika oziroma njegovega zakonitega zastopnika, če gre za mladoletno osebo, na katerega se podatki nanašajo. Posameznik privoli v posredovanje osebnih podatkov tretji osebi z izdanim
soglasjem ali s podpisom drugega dokumenta, v katerem se izreče, če dovoli posredovanje svojih osebnih podatkov ter komu in za katere namene jih dovoli posredovali.
26. člen
Osebne podatke je potrebno posredovati v obliki, ki nepooblaščeni osebi preprečuje vpogled. Občutljivi osebni podatki se lahko posredujejo samo na podlagi pisne zahteve. Občutljive osebne podatke je preko komunikacijskih omrežij dovoljeno posredovati samo v primeru, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
27. člen
Posamezniku (oziroma njegovemu zakonitemu zastopniku, če gre za mladoletno osebo), o katerem se v zbirki osebnih podatkov hranijo osebni podatki, je potrebno na njegovo zahtevo posredovati osebne podatke, ki se nanašajo nanj.
UNIČENJE IN BRISANJE OSEBNIH PODATKOV
28. člen
Osebni podatki se hranijo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali obdelovali. Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo.
29. člen
Osebni podatki v elektronski obliki se zbrišejo tako, da računalniška obnovitev dela ali celotne zbirke osebnih podatkov ni možna.
Podatki v tiskani obliki se uničijo na način, ki onemogoča branje vseh ali dela uničenih osebnih podatkov.
30. člen
Vsakega posameznika se obvesti, če se njegovi osebni podatki prenehajo uporabljati oziroma se uničijo ali izbrišejo.
OBVEŠČANJE O VDORIH V ZBIRKE OSEBNIH PODATKOV
31. člen
V primeru vdora v zbirke osebnih podatkov, oziroma opustitve nadzora nad zbirkami osebnih podatkov, ki bi lahko imeli za posledico nepooblaščen dostop, je potrebno o tem nemudoma obvestiti Informacijskega pooblaščenca. O vdoru, oziroma opustitvi nadzora nad zbirkami osebnih podatkov, ki bi lahko imeli za posledico nepooblaščen dostop je potrebno obvestiti tudi vse osebe, katerih osebni podatki so bili ali bi lahko bili zlorabljeni oziroma se je do njih ob vdoru nepooblaščeno dostopalo.
IZVAJANJE VARNOSTNIH UKREPOV
32. člen
Za varovanje osebnih podatkov je odgovorno vodstvo upravljavca osebnih podatkov. Nadzor nad varovanjem osebnih podatkov opravlja vodstvo upravljavca osebnih podatkov.
33. člen
Osebne podatke so dolžni varovati vsi zaposleni, ki obdelujejo osebne podatke oziroma so bili z njimi seznanjeni pri opravljanju svojega dela. Ta obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
Pred začetkom obdelave osebnih podatkov mora posameznik podpisati izjavo o varovanju osebnih podatkov, ki ga zavezuje k varovanju osebnih podatkov. Iz izjave mora biti tudi razvidno, da je seznanjen z obveznostmi na področju varstva osebnih podatkov in z vsebino tega pravilnika.
Za kršitev je posameznik disciplinsko, odškodninsko in kazensko odgovoren.
UKREPI IN SANKCIJE V PRIMERU ZLORAB IN NEPOOBLAŠČENIH DOSTOPOV
34. člen
O nepooblaščenem odkrivanju, uporabi, prilaščanju, spreminjanju, poškodovanju ali brisanju osebnih podatkov so zaposleni dolžni nemudoma obvestiti pooblaščeno osebo. Sami pa so dolžni po svojih močeh takšno aktivnost preprečiti.
35. člen
Vsakega posameznika, ki je nezakonito dostopal do osebnih podatkov se prijavi policiji.
36. člen
Vsakega posameznika, ki ima dostop do osebnih podatkov, a je le te uporabljal v nasprotju z nameni uporabe oziroma je pri njihovi uporabi prekoračil pooblastila in ima njegovo dejanje znake kaznivega dejanja, se prijavi policiji.
37. člen
Zoper zaposlenega, ki je nepooblaščeno dostopal do osebnih podatkov oziroma je pri njihovi uporabi zlorabil pooblastila, oziroma jih je uporabljal v nasprotju z nameni uporabe se uvede disciplinski ukrep glede na težo kršitve.
38. člen
Če je zaradi zlorabe osebnih podatkov bila upravljavcu osebnih podatkov povzročena škoda, ima upravljavec osebnih podatkov od kršitelja pravico zahtevati povračilo nastale škode oziroma vložiti odškodninsko tožbo.
KONČNE DOLOČBE
39. člen
S tem pravilnikom se pisno seznani vse zaposlene.
40. člen
Za sprejetje tega pravilnika in njegovih sprememb oziroma dopolnitev je pristojno vodstvo podjetja.
41. člen
Ta pravilnik začne veljati dne ___________.
V ___________________, dne ________________
Odgovorna oseba __________________________
