DOVOS, d. o. o. je v svoje interne akte in postopke dela vključil določila Uredbe o varovanju osebnih podatkov (GDPR). S pripravo omenjenih internih aktov so bile med drugim podrobneje opredeljene pravice posameznikov in obveznosti tistih, ki obdelujejo osebne podatke, družba pa je sprejela tudi sklep o imenovanju pooblaščene osebe za varstvo osebnih podatkov ( DPO – data protection officer).

Z namenom morebitnega uveljavljanja pravic posameznikov v nadaljevanju objavljamo pravila uveljavljanja pravic posameznikov

i) Temeljna načela v zvezi z zbiranjem in obdelavo osebnih podatkov

Osebni podatki morajo biti obdelani zakonito in v razmerju do posameznika, na katerega se nanašajo, pošteno in na pregleden način (načelo zakonitosti, pravičnosti in preglednosti). Osebni podatki se lahko zbirajo le za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (načelo omejitve namena). Osebni podatki morajo biti ustrezni, relevantni in omejeni le na tisto, kar je potrebno za namene, za katere se obdelujejo (načelo najmanjšega obsega podatkov). Osebni podatki morajo biti točni in, kadar je to potrebno, posodobljeni (načelo točnosti in ažurnosti). Osebni podatki se morajo hraniti v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno ali zgodovinsko raziskovalne namene ali statistične namene v skladu z ZVOP-2 in Uredbo, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te Uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (načelo omejitve shranjevanja). Osebni podatki se lahko obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti).

ii) Zbirka osebnih podatkov in njen opis v seznamu zbirk

Če se v družbi z določenim namenom zbirajo in obdelujejo osebni podatki, je potrebno te podatke vključiti v eno izmed zbirk osebnih podatkov. Vsako zbirko osebnih podatkov je potrebno opisati v seznamu zbirk osebnih podatkov. Posamezna zbirka osebnih podatkov vključuje vse osebne podatke, ki se zbirajo in obdelujejo z istim namenom, ne glede na pravno podlago za njihovo zbiranje in obdelavo. Opis zbirke osebnih podatkov v seznamu zbirk vsebuje njeno zaporedno številko, njen naziv, podatke o upravljavcu, pravno podlago za zbiranje in obdelavo osebnih podatkov, kategorije posameznikov, na katere se ti podatki nanašajo, vrste osebnih podatkov, namen obdelave, rok hrambe, morebitne omejitve posameznikov, ali se in če, katerim uporabnikom se osebni podatki prenašajo, dejstvo, ali se osebni podatki iznašajo v tretjo državo in če se, kam, komu in pravno podlago za iznos, nadalje splošen opis tehničnih in organizacijskih ukrepov za varovanje osebnih podatkov, ali se zbrani osebni podatki povezujejo s kakšnimi drugimi zbirkami iz uradnih evidenc ali javnih knjig. Opis zbirke osebnih podatkov se za vsako posamezno zbirko zagotovi praviloma najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov. Opis zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki. Vpogled v seznam zbirk osebnih podatkov z opisi posameznih zbirk je potrebno omogočiti vsakomur, ki to zahteva, najkasneje v roku 15 dni od dneva prejema zahteve. Seznam zbirk osebnih podatkov, z opisom posameznih zbirk, je javno objavljen na spletnih straneh DOVOS, d. o. o.

iii) Podlaga in namen obdelave osebnih podatkov

Zaradi spoštovanja načela zakonitosti obdelave lahko družba v zbirki osebnih podatkov obdeluje:

  • le tiste osebne podatke, katerih obdelavo določa zakon ali
  • osebne podatke, če je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik ali
  • osebne podatke, če je za obdelavo določenih osebnih podatkov podana privolitev posameznika, na katerega se podatki nanašajo ali
  • osebne podatke za druge namene, določene v Uredbi oz. veljavni zakonodaji.

Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Občutljive podatke se lahko obdeluje le, če so v družbi na voljo pogoji za posebno zaščito teh podatkov in vzpostavljeni primerni dodatni ukrepi za varstvo pravic, svoboščin in interesov posameznika, na katerega se ti podatki nanašajo. Ali so pogoji za posebno zaščito in dodatni ukrepi zagotovljeni, podata mnenje direktor sektorja ter pooblaščenec za varstvo osebnih podatkov, ki tudi določita način izvajanja dodatnih varnostnih ukrepov. Če zbiranje in obdelavo osebnih podatkov določa zakon, mora ta določati tudi namen obdelave in vrste osebnih podatkov, ki se obdelujejo, kategorije posameznikov, na katere se nanašajo osebni podatki in rok hrambe. Če zbiranje in obdelava osebnih podatkov temelji na privolitvi posameznika, mora skrbnik zbirke osebnih podatkov poskrbeti, da je posameznik ob privolitvi seznanjen s pravicami, ki mu gredo po zakonu in Uredbi. Skrbnik mora za namene dokazovanja zakonitosti obdelave nadalje poskrbeti, da bo posameznikova privolitev v pisni ali elektronski obliki vsebovana v zbirki ali v prilogi zbirke, katere skrbnik je.

iv) Pravice posameznika, na katerega se podatki nanašajo

Posamezniku, na katerega se osebni podatki nanašajo, zagotavljajo vse pravice, ki jih ima v skladu s Poglavjem III Uredbe in veljavno zakonodajo. Posameznik, na katerega se osebni podatki nanašajo, se ima pravico seznaniti z vsemi podatki, ki jih o njem zbira in obdeluje družba, z informacijami o virih teh podatkov in metodi obdelave, namenu obdelave in vrsti podatkov ter vsa pojasnila s tem v zvezi. Pojasnila o načinu uveljavljanja pravic posameznika so dostopna na spletnih straneh DOVOS, d. o. o.. Za komunikacijo je posamezniku na voljo elektronski naslov info@dovos.si., kamor posamezniki naslovijo tudi svoje zahteve. Na podlagi slednje posameznik od DOVOS, d. o. o., najkasneje v 15 dneh od vložitve formalne zahteve, pridobi potrditev, bodisi o tem, da se njegovi osebni podatki ne zbirajo in ne obdelujejo, bodisi o tem, da se njegovi osebni podatki res zbirajo in obdelujejo. DOVOS, d. o. o. posamezniku posreduje informacijo, v kateri posamezni zbirki osebnih podatkov se ti podatki vodijo, ne posreduje pa konkretnih podatkov oziroma vsebine podatkov, ki jih o posamezniku oziroma o osebi pod skrbništvom posameznika vsebujejo zbirke osebnih podatkov v upravljanju DOVOS, d. o. o. Če se želi posameznik seznaniti s konkretnimi podatki oziroma z vsebino osebnih podatkov, ki se nanašajo nanj oziroma na osebo pod njegovim skrbništvom, posameznik po pridobitvi informacije o številki in naslovu posamezne zbirke podatkov, v kateri so vsebovani takšni podatki, pošlje dodatno formalno zahtevo prav tako na naslov info@dovos.si. Posameznik v zvezi s konkretnimi podatki, ki jih v posamezni zbirki podatkov o njem ali o osebi pod njegovim skrbništvom zbira in obdeluje DOVOS, d. o. o., lahko uveljavlja tudi pravico do izbrisa, popravka ali omenitve njihove obdelave, kar prav tako naslovi na prej navedeni elektronski naslov.

Posameznik lahko po predhodni najavi vpogleda, prepiše ali fotokopira svoje osebne podatke neposredno pri družbi v terminu, ki ga za posamezen primer določi skrbnik v roku 15 dni od dneva prejema zahteve za vpogled, prepis ali fotokopiranje. V tem primeru se skrbnik prepriča o posameznikovi istovetnosti z vpogledom v njegov uradni osebni dokument. Če skrbnik meni, da niso izpolnjeni pogoji za vpogled, prepis ali fotokopiranje po prejšnjem odstavku, zahtevo za izdajo potrdila oziroma za vpogled, prepis ali fotokopiranje zavrne. Skrbnik zbirke o razlogih za zavrnitev v 15 dneh od dneva prejema zahteve pisno obvesti vložnika zahteve in ga opozori na možnost sodnega varstva. Posameznik, na katerega se osebni podatki nanašajo, ima pravico zahtevati posredovanje izpisa osebnih podatkov, posredovanje seznama uporabnikov, katerim so bili podatki posredovani, skupaj z informacijo kdaj, na kakšni podlagi in za kakšen namen so bili posredovani, kakor tudi posredovanje informacije o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov in informacije o namenu in vrsti osebnih podatkov ter vsa potrebna pojasnila s tem v zvezi. Skrbnik mu izpis, seznam uporabnikov oziroma druge informacije in pojasnila posreduje na nosilcu osebnih podatkov ali preko informacijskega sistema, najkasneje v roku 30 dni od prejema zahteve. Za pravilen postopek in način posredovanja ter nabor posredovanih podatkov posameznikom, na katere se ti podatki nanašajo, je odgovoren skrbnik zbirke, ki o tem, kdaj, komu ter kateri podatki so bili posredovani in pravno podlago za posredovanje, ustrezno evidentira. Če posameznik, na katerega se osebni podatki nanašajo, meni, da so ti podatki netočni, nepopolni, neažurni ali da so zbrani in obdelani v nasprotju z zakonom, ali če se ne strinja z obdelavo svojih osebnih podatkov, za katero je predhodno dal privolitev, ima pravico zahtevati njihov izbris, dopolnitev, popravo ali blokiranje oziroma ugovarjati njihovi obdelavi. O zahtevi za izbris, dopolnitev, popravo ali blokiranje najkasneje v 15 dneh od dneva, ko je zahtevo prejel, odloči skrbnik zbirke, na katero se zahteva nanaša. Če zahtevo zavrne, v 15 dneh pisno obvesti vložnika zahteve o razlogih za zavrnitev in ga pouči o možnosti sodnega varstva. Vse odgovore na zahteve posameznikov, vezane na vsebino osebnih podatkov, pripravi skrbnik ustrezne zbirke. Pred pošiljanjem odgovorov ali pošiljanjem konkretnih osebnih podatkov posamezniku skrbnik zbirke pridobi predhodno pisno potrditev pooblaščenca za varstvo osebnih podatkov. Skrbniki so dolžni obveščati pooblaščenca o celotni komunikaciji, vezani na uveljavljanje pravic posameznikov. Pri pooblaščencu se vzpostavi centralna evidenca vseh posredovanih zahtev posameznikov in posredovanih odgovorov.

v) Hramba in izbris osebnih podatkov

Osebni podatki se lahko shranjujejo le toliko časa, kolikor je to potrebno zaradi namena, za katerega se zbirajo ali če je tako določeno z zakonom. Rok hrambe osebnih podatkov posamezne zbirke je razviden iz opisa, ki je v prilogi. Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug predpis za posamezne vrste osebnih podatkov ne določa drugače (npr. arhivsko gradivo). Za brisanje osebnih podatkov zaradi preteka roka njihove hrambe ali zaradi zahteve posameznika, na katerega se nanašajo, se uporabi takšna metoda brisanja, da je onemogočena rekonstrukcija vseh ali dela brisanih podatkov. Nosilci osebnih podatkov se uničijo na način, s katerim se zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv. Na način in pod pogoji iz prejšnjega odstavka lahko izbriše oziroma odredi izbris osebnih podatkov le skrbnik zbirke, v kateri se ti podatki zbirajo in obdelujejo. Za ustrezno hrambo in pravočasen ter ustrezen izbris osebnih podatkov je zadolžen skrbnik zbirke osebnih podatkov.

vi) Ukrepanje ob zaznavi sumljivih aktivnosti, nevarnosti ali incidenta

O vseh aktivnostih, ki bi lahko bile povezane z nepooblaščenim razkrivanjem ali nepooblaščenim uničevanjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov oziroma nosilcev osebnih podatkov (sumljive aktivnosti), je potrebno nemudoma obvestiti skrbnika zbirke osebnih podatkov in pooblaščenca za varstvo osebnih podatkov.

Ob zaznavi kakršnekoli nevarnosti zaradi pomanjkljivosti v sistemu varovanja osebnih podatkov oziroma o tem, da organizacijski, tehnični in logično tehnični ukrepi ali postopki ne zagotavljajo optimalnega zavarovanja osebnih podatkov, je prav tako potrebno takoj obvestiti skrbnika zbirke osebnih podatkov, ki so v nevarnosti. Če nevarnost izvira iz pomanjkljivosti informacijskega sistema, so dolžni takoj obvestiti tudi direktorja sektorja. Le ta je dolžan nemudoma poskrbeti, da se nevarnost odpravi. Kdor zazna kršitev, mora o kršitelju in naravi kršitve takoj obvestiti skrbnika zbirke osebnih podatkov, na katero se kršitev nanaša in pooblaščenca za varstvo osebnih podatkov. Če je kršitelj skrbnik se o tem obvesti pooblaščenca za varstvo osebnih podatkov. Skrbnik oziroma pooblaščenec nemudoma poskrbita, da kršitev preneha. Če naslovnik tega kodeksa ugotovi, da je prišlo do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, o tem takoj obvesti direktorja sektorja in pooblaščenca za varstvo osebnih podatkov, ki v sodelovanju s skrbnikom zbirke incident obravnavata in nemudoma sprejmeta najbolj nujne ukrepe za preprečitev širitve incidenta. O incidentu pooblaščenec nemudoma obvesti tudi vodstvo družbe. V primeru iz prejšnjega odstavka je pooblaščenec dolžan poskrbeti, da je o incidentu najkasneje v 72 urah od njegove zaznave v skladu s 33. členom Uredbe uradno obveščen Informacijski pooblaščenec. Prav tako je pooblaščenec dejstvo, da se je incident zgodil, dolžan sporočiti posamezniku, katerega osebni podatki so bili udeleženi v incidentu.

Morebitna vprašanja ali zahteve po uveljavljanju pravic lahko pošljete na elektronski naslov info@dovos.si