Pravilnik o zasebnosti in obdelavi osebnih podatkov

I. UVOD

Ta izjava o zasebnosti (v nadaljevanju: »Izjava«) je namenjena zagotavljanju ustreznih informacij o dejavnostih, ki jih opravlja MIT-GS GOSTINSKE STORITVE D.O.O. (poslovni naslov: Velika Preska 11, 1272 Polšnik; v nadaljevanju: »Upravljavec«) kot upravljavec v zvezi z obdelavo osebnih podatkov na spletni strani (v nadaljevanju: »Spletna stran«). Upravljavec sprejema vsebino Izjave kot zavezujoče in se obvezuje, da bo vsa obdelava podatkov, ki jo izvaja, ustrezala zahtevam iz te Izjave in veljavnih zakonov, zlasti Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07; v nadaljevanju: »ZVOP-1«).

Izjava je stalno dostopna na spletni strani https://kuhla.net/pravilnik-o-zasebnosti

Z uporabo Spletne strani, razen določenih izrecnih soglasij, kot uporabnik soglašate, da vas določbe te Izjave zavezujejo.

II. NAČELA V ZVEZI Z OBDELAVO PODATKOV

V trenutku obdelave podatkov namerava Upravljavec vedno ravnati v skladu z naslednjimi evropskimi načeli varstva podatkov:

osebni podatki bodo obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (»zakonitost, pravičnost in preglednost«);
osebni podatki bodo zbrani za določene, izrecne in zakonite namene ter se ne bodo nadalje obdelovali na način, ki ni združljiv s temi nameni (»omejitev namena«);
osebni podatki bodo ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (»najmanjši obseg podatkov«);
osebni podatki bodo točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (»točnost«);
osebni podatki bodo hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (»omejitev shranjevanja«);
osebni podatki se obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (»celovitost in zaupnost«);

Upravljavec je odgovoren za skladnost s predhodnimi alinejami in je to skladnost tudi zmožen dokazati (»odgovornost«).

III. OPREDELITEV POJMOV

Posameznik, na katerega se nanašajo osebni podatki: vsaka določena fizična oseba, identificirana ali neposredno ali posredno določljiva na podlagi svojih osebnih podatkov.

Osebni podatki: vse informacije, ki se nanašajo na posameznika, na katerega se nanašajo osebni podatki, zlasti ime osebe te osebe, identifikator in eno ali več informacij o njegovi fizični, fiziološki, duševni, ekonomski, kulturni ali socialni identiteti, kakor tudi vse sklepe, ki jih je mogoče izpeljati iz nanašajo na posameznika, na katerega se nanašajo podatki.

Privolitev: vsaka prostovoljna, izrecna, informirana in nedvoumna izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj, za določene aktivnosti.
Ugovor: izjava posameznika, na katerega se nanašajo osebni podatki, s katerim ugovarja obdelavi njegovih osebnih podatkov in zahteva prenehanje obdelave in izbris obdelanih podatkov.

Upravljavec: fizična ali pravna oseba ali subjekt brez pravne osebnosti, ki sam ali skupaj z drugimi določi namene obdelave podatkov ter izdela in izvaja odločitve o obdelavi (vključno z uporabljenimi sredstvi) oziroma jih izvaja zanj obdelovalec.

Prenos: razkritje podatkov določeni tretji osebi.

Objava: razkritje podatkov kateri koli osebi.

Brisanje podatkov: zagotovitev neprepoznavnosti podatkov do te mere, da so nepopravljivi.

Blokiranje podatkov: dodelitev identifikacijske oznake, na podlagi katere se nadaljnja podatkovna obdelava trajno ali za določeno obdobje omeji.

Uničenje podatkov: popolno fizično uničenje medija, na katerem so shranjeni podatki.

Obdelava: izvajanje tehničnih dejavnosti v zvezi s dejavnostmi obdelave, ne glede na metodo in sredstva, ki se uporabljajo za takšne postopke in glede na kraj njihove uporabe, če se te tehnične dejavnosti izvajajo na podatkih.

Obdelovalec: fizična ali pravna oseba ali subjekt brez pravne osebnosti, ki obdeluje osebne podatke na podlagi pogodbe, vključno s pogodbo, sklenjeno na podlagi zakonske določbe.

Tretja oseba: fizična ali pravna oseba ali subjekt brez pravne osebnosti, ki ni ali ni isti kot posameznik, na katerega se nanašajo osebni podatki, upravljavec ali obdelovalec.

Država EGP: država članica Evropske unije ali druga država pogodbenica Sporazuma o Evropskem gospodarskem prostoru ali država, katere državljan ima pravni status, ki je enak statusu državljana države pogodbenice Sporazuma o Evropskem gospodarskem prostoru na podlagi mednarodnega sporazuma, sklenjenega med Evropsko unijo in njenimi državami članicami, in državo, ki ni pogodbenica Sporazuma o Evropskem gospodarskem prostoru.

Tretja država: vsaka država, ki ni članica EGP.

Kršitev osebnih podatkov: nezakonito ravnanje ali obdelava osebnih podatkov, zlasti nepooblaščen dostop, sprememba, prenos, objava, izbris ali uničenje ter naključno uničenje ali poškodba.

IV. UPRAVLJAVEC

Ime: MIT-GS GOSTINSKE STORITVE D.O.O.

Matična številka: 6296343000

Davčna številka: SI91308453

Poslovni naslov: Velika Preska 11, 1272 Polšnik

Poštni naslov: Dalmatinova ulica 2, 1000 Ljubljana

V. NAMEN UPORABE PODATKOV

Namen obdelave: obdelava za namen uporabe storitev, ki jih nudi Upravljavec – brskanje po spletni strani in spletni trgovini, obdelava naročil v spletni trgovini.

Pravna podlaga za obdelavo: obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe, v skladu z določbo 10. člena ZVOP-1.

Vrsta osebnih podatkov, ki se obdelujejo: ime, telefonska številka, elektronski naslov.

Trajanje obdelave: do preklica posameznikove zahteve pred sklenitvijo pogodbe ali dokler je potrebna za izvajanje pogodbe, vendar največ 24 mesecev od zadnje dejavnosti (prodaje proizvoda ali storitve) uporabnika.

VI. REGISTRACIJA DOGODKOV

Namen obdelave: zabeležiti prijave za strokovne dogodke, ki jih organizira Upravljavec.

Pravna podlaga za obdelavo: vaša privolitev v skladu z določbo 10. člena ZVOP-1.

Vrsta osebnih podatkov, ki se obdelujejo: ime, kraj bivanja, položaj/poklic, kraj dela, telefonska številka, elektronski naslov.

Trajanje obdelave: do preklica privolitve posameznika, na katerega se nanašajo osebni podatki, vendar največ 30 dni po dnevu izvedbe dogodka zaradi posredovanja gradiva.

VII. DRUGE VRSTE OBDELAVE

Informacije v zvezi z drugimi oblikami podatkovne obdelave, ki niso predhodno navedene v tej Izjavi, se zagotovijo ob zbiranju zadevnih podatkov.

Upravljavec je dolžan na podlagi zahteve sodišča, državnega tožilstva, državnega organa, organa lokalnih skupnosti oz. nosilca javnih pooblastil in Informacijskega pooblaščenca, ki imajo zakonsko pooblastilo, zagotoviti, razkriti ali prenesti podatke, s katerimi razpolaga, in dati na razpolago dokumente.

Pod pogojem, da je pristojni organ določil namen in obseg zahtevanih podatkov, bo Upravljavec osebne podatke razkril samo v delu in obsegu, ki je nujno potreben za dosego namena zahteve.

Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (Splošna uredba o varstvu podatkov, GDPR). Prenos v tretjo državo ali mednarodno organizacijo izvedemo, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje. Kadar sklep v skladu s členom 45(3) GDPR ni sprejet, lahko podjetje osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva v skladu s členom 46 GDPR. Če sklep o ustreznosti v skladu s členom 45(3) GDPR ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46 GDPR, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed pogojev, določenih v členu 49 GDPR.

VIII. PIŠKOTKI

Upravljalec uporablja piškotke, da bi zagotovil najbolj učinkovito delovanje Spletne strani. Piškotki omogočajo spletni strani, da prepozna ponavljajoče se obiskovalce, Upravljavcu pa omogoči zbiranje informacij o vedenju uporabnikov, vključno z državo, iz katere ste dostopali do Spletne strani, programsko spletnega brskalnika in operacijski sistem, ki ga uporabljate, vaš IP naslov, strani, ki ste jih obiskali na Spletni strani in funkcije Spletne strani, ki ste jih uporabili.

Piškotki so del informacij s spremenljivo vsebino, ki jih pošlje spletni strežnik in so shranjeni na uporabnikovem računalniku ter omogočajo pridobivanje določenih informacij o uporabniku. Piškotki so majhne besedilne datoteke, ki jih spletne strani, katere uporabnik obišče, vključijo v spletni brskalnik uporabnikovega računalnika, mobilnega telefona ali druge naprave, povezane z internetom. Piškotki se ne povezujejo z vašim računalniškim sistemom in ne povzročajo škode vašim datotekam.

Piškotki so lahko »trajni« ali »začasni«. Trajni piškotki so shranjeni v spletnem brskalniku do nastavljenega časa poteka, če jih uporabnik ne izbriše prej. Začasni piškotki niso shranjeni v spletnem brskalniku in se samodejno izbrišejo, ko se spletni brskalnik zaprt. Piškotki so »pasivni«, ker ne vsebujejo izvršljivih datotek, virusov ali vohunske programske opreme in nimajo dostopa do informacij, shranjenih na uporabnikovem trdem disku.

Spletna stran uporablja le piškotke nujne za delovanje strani.

Piškotke lahko kadar koli izbrišete iz računalnika ali onemogočite uporabo piškotkov v spletnem brskalniku.

IX. VTIČNIKI ZA SOCIALNE MEDIJE

Spletna stran lahko vsebuje vdelane module (v nadaljevanju: »vtičniki«), družbe LinkedIn Corporation, 2029 Stierlin Courtiz, Mountain View, CA 94043, ZDA (v nadaljevanju: »LinkedIn«), in Facebook. Vse storitve, povezane s temi vtičniki, zagotavlja LinkedIn ali Facebook (v nadaljevanju: »Ponudniki storitev«).

Vtičniki posredujejo informacije Ponudnikom storitev o spletnih mestih, ki jih obiščete. Če ste med brskanjem po naši Spletni strani prijavljeni v svoj uporabniški račun, lahko Ponudniki storitev primerjajo informacije, ki vas zanimajo (tj. Informacije, do katerih dostopate), z vašim uporabniškim računom. Ko uporabljate funkcije vtičnikov (npr. pustite komentarje), bodo te informacije prenesene s programsko opremo spletnega brskalnika Ponudniku storitev in tam shranjene.

Za dodatne informacije o LinkedIn pravilniku o zasebnosti obiščite:

https://www.linkedin.com/legal/privacy-policy
Če želite preprečiti povezavo naše Spletne strani z vašim uporabniškim računom, se morate odjaviti s svojega uporabniškega računa preden odprete našo Spletno stran.

X. PRAVICE IN NAČINI ZA URESNIČEVANJE PRAVIC POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

1. Pravica do obveščenosti

Na zahtevo posameznika, na katerega se nanašajo osebni podatki, bo Upravljavec zagotovil informacije o podatkih, ki jih obdeluje oz. jih obdelujejo njegovi Obdelovalci po navodilih Upravljavca, o viru teh podatkov, namenu, pravni podlagi in trajanju obdelave, imenu in naslovu Obdelovalca in njegovih dejavnosti, povezanih z obdelavo, okoliščinami in vplivi morebitnih kršitev osebnih podatkov in ukrepi, ki so bili sprejeti za njihovo odpravo, in kadar se osebni podatki posameznika, na katerega se nanašajo osebni podatki, o pravni podlagi za prenos ter o prejemniku. Upravljavec bo čim prej po predložitvi zahtevka, vendar v roku največ 25 dni, na zahtevo posameznika, na katerega se nanašajo osebni podatki, predložil zahtevane informacije v lahko dostopnem jeziku. Informacije je treba zagotoviti brezplačno, pod pogojem, da stranka, ki je zahtevala informacije, v istem letu ni predhodno že vložila istovrstne zahteve za dostop do informacij vsaj petkrat v enem letu. V nasprotnem primeru se lahko zaračuna pristojbina.

2. Pravica do popravka

Upravljavec bo popravil netočne osebne podatke v kolikor je seznanjen s pravilnimi osebnimi podatki.

3. Pravica do izbrisa ali blokiranja

Osebni podatki morajo biti izbrisani, če je njihova obdelava nezakonita, posameznik, na katerega se nanašajo osebni podatki, pa zahteva izbris, ali so obdelani podatki pomanjkljivi ali napačni in te pomanjkljivosti oz. napake ni mogoče ustrezno sanirati, pod pogojem, da izbris ni prepovedan na podlagi zakona, da ne obstaja več namen za obdelavo podatkov, da se je zakonito obdobje hrambe podatkov izteklo, če je izbris zahtevalo sodišče ali Informacijski pooblaščenec.

Upravljavec bo blokiral osebne podatke namesto izbrisa, če posameznik, na katerega se podatki nanašajo, to zahteva ali če se na podlagi razpoložljivih informacij domneva, da bi izbris škodoval zakonitim interesom posameznika, na katerega se nanašajo osebni podatki. Osebni podatki, ki so bili blokirani na ta način, se lahko obdelujejo le, dokler obstaja namen obdelave, ki preprečuje izbris.

Posameznik, na katerega se nanašajo osebni podatki, in vse stranke, na katere so bili podatki preneseni za obdelavo, morajo biti obveščeni o popravku, blokiranju ali izbrisu. Obvestilo ni potrebno, če glede na namen obdelave to ne vpliva na zakonite interese posameznika, na katerega se nanašajo osebni podatki. Če Upravljavec ne izpolni zahteve posameznika, na katerega se nanašajo osebni podatki, po popravku, izbrisu ali blokiranju v 25 dneh od prejema zahteve, bo navedel dejanske in pravne razloge za zavrnitev zahteve v pisni obliki oz. s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v elektronski obliki. Če je zahteva posameznika, na katerega se podatki nanašajo, zavrnjena, ga Upravljavec obvesti o možnostih uporabe sodnih pravnih sredstev ali drugih sredstev pred Informacijskim pooblaščencem.

4. Pravica do ugovora

Posameznik, na katerega se nanašajo osebni podatki, lahko kadar koli ugovarja obdelavi osebnih podatkov

(a) če je obdelava ali prenos osebnih podatkov potrebna izključno zato, da lahko Upravljavec ravna v skladu s svojimi zakonskimi obveznostmi oz. če je to potrebno z namenom zasledovanja legitimnih interesov Upravljavca, prejemnika ali tretje osebe, razen če je obdelava obvezna na podlagi zakona;

(b) če se osebni podatki uporabljajo ali prenašajo za namene neposrednega trženja, raziskav javnega mnenja ali znanstvene raziskave; in

Upravljavec bo ugovor obravnaval v najkrajšem možnem času, najkasneje pa v 15 dneh od njegove predložitve. Upravljavec odloča o utemeljenosti ugovora ter o svoji odločitvi v pisni obliki.

Če Upravljavec ugotovi, da je ugovor, ki ga je vložil posameznik, na katerega se nanašajo osebni podatki, utemeljen, prekine obdelavo, vključno z nadaljnjim zbiranjem ali prenosom podatkov, blokira podatke in obvesti vse stranke, katerim so bili osebni podatki, na katere se nanaša ugovor, predhodno preneseni in stranke, ki so dolžne ukrepati, da sprejmejo ustrezne ukrepe za uresničitev pravice posameznika, na katerega se nanašajo osebni podatki, do ugovora.

Če se posameznik, na katerega se nanašajo osebni podatki, ne strinja z odločitvijo Upravljavca ali ta ne ukrepa v predpisanem roku, lahko posameznik, na katerega se nanašajo osebni podatki, zahteva sodno varstvo v 30 dneh po prejemu odločitve Upravljavca, v primeru molka Upravljavca pa le ob dodatnem pogoju, da je ponovno zahtevala (oziroma urgirala) v zvezi z ugovorom in Upravljavec tudi v zvezi s to novo zahtevo ne bi odločil v nadaljnjih 7 dneh.

Upravljavec ne sme izbrisati osebnih podatkov posameznika, če je obdelava predvidena z zakonom.

Ne glede na navedeno se podatki ne smejo prenesti na prejemnika, če je Upravljavec potrdil ugovor oz. če je sodišče ugotovilo, da je ugovor utemeljen.

5. Pravica do odškodnine in odgovornost

Če Upravljavec povzroči škodo drugim osebam zaradi nezakonite obdelave podatkov posameznika, na katerega se nanašajo osebni podatki, ali s kršitvijo zahtev glede varstva podatkov, mora drugim osebam povrniti škodo.

Vsak posameznik, ki je utrpel škodo kot posledico nezakonite obdelave podatkov, ima pravico zahtevati odškodnino od Upravljavca.

Upravljavec je odgovoren za škodo, ki jo povzroči Obdelovalec. Upravljavec je prav tako dolžan plačati odškodnino posamezniku, na katerega se nanašajo osebni podatki, za kršitev osebnostnih pravic s strani Obdelovalca. Upravljavec ne odgovarja za povzročeno škodo, v kolikor dokaže, da je bila škoda ali kršitev osebnih pravic posameznika posledica nepremagljivih ovir, na katere ni mogel vplivati.

Upravljavec ne odgovarja za škodo, ki je nastala kot posledica namernega ali hudo malomarnega ravnanja posameznika, na katerega se nanašajo osebni podatki.

6. Sodno varstvo

Če so bile kršene pravice posameznika, na katerega se nanašajo osebni podatki, lahko zahteva sodno varstvo. Sodišče zahtevo za sodno varstvo obravnava kot nujno. Upravljavec mora dokazati, da je obdelava v skladu z določbami veljavne zakonodaje. Sodno varstvo se lahko zahteva pred pristojnim sodiščem glede na kraj prebivališča posameznika, na katerega se nanašajo osebni podatki. Stranke postopka so lahko tudi subjekti brez pravne osebnosti. Informacijski pooblaščenec lahko vstopi kot intervenient v postopek z namenom doseči ugodno sodbo za posameznika, na katerega se nanašajo osebni podatki.

Če sodišče zahtevi ugodi, mora Upravljavec zagotoviti informacije, popraviti, blokirati ali izbrisati podatke, preklicati odločitev, ki je bila sprejeta z avtomatično obdelavo podatkov, ali pa upošteva pravico do ugovora posameznika, na katerega se nanašajo osebni podatki.

Sodišče lahko odredi javno objavo sodbe, vključno z identifikacijskimi podatki Upravljavca, kadar je to v interesu varstva podatkov in pravic večjega števila posameznikov, na katere se nanašajo osebni podatki, zaščitenih s to Izjavo.

7. Postopek pred Informacijskim pooblaščencem

Zaradi zagotovitve pravice to varstva osebnih podatkov je mogoče obvestiti Informacijskega pooblaščenca, ki je začel ali lahko začne postopek. Če se postopek uvede na podlagi prijave, mora biti prijavitelj obveščen o začetku in zaključku postopka pred organom za varstvo podatkov.

Naziv: Informacijski pooblaščenec

Naslov: Dunajska 22, 1000 Ljubljana

Telefon: 01 230 97 30

Fax: 01 230 97 78

E-mail: gp.ip@ip-rs.si

Spletna stran: https://www.ip-rs.si/

XI. KONČNE DOLOČBE

Upravljavec si pridržuje pravico, da kadarkoli spremeni vsebino Izjave. Spremembe učinkujejo z dnem objave na Spletni strani, zaradi česar priporočamo, da redno preverjate morebitne spremembe. Z uporabo Spletne strani prvič po datumu uveljavitve spremembe kot uporabnik sprejmete nove določbe Izjave kot zavezujoče.

V zadevah, ki v tej Izjavi niso posebej urejene, se bodo uporabljali veljavni zakoni, zlasti določbe ZVOP-1. GDPR se uporablja od 25.5.2018 in uvaja enoten okvir za varstvo osebnih podatkov v vseh državah članicah EU. Od tega datuma se sklicevanje Izjave glede zasebnosti štejejo za sklicevanja na ustrezne določbe Splošne uredbe o varstvu podatkov.

Pravilnik učinkuje od 1. septembra 2021.