Pravilnik o varstvu podatkov
Domov » Pravilnik o varstvu podatkov
Na podlagi prve točke 3. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) DOTIK ZDRAVJA Urška Dermota s. p. sprejme dne, 25.5.2018
PRAVILNIK O OBDELAVI IN ZAŠČITI OSEBNIH PODATKOV
I. SPLOŠNE DOLOČBE
1. člen
V procesu obdelave osebnih podatkov in varstva posameznikov glede obdelave osebnih podatkov in pravil, povezanih s prostim pretokom osebnih podatkov, je podjetje DOTIK ZDRAVJA Urška Dermota s. p. (v nadaljnjem besedilu podjetje) dolžno uporabljati Splošno uredbo o varstvu podatkov.
2. člen
V skladu s 4. členom Splošne uredbe o varstvu podatkov je DOTIK ZDRAVJA Urška Dermota s. p. upravljavec osebnih podatkov, ki sam ali skupaj z drugimi določa namen in sredstva za obdelavo osebnih podatkov v skladu z nacionalno zakonodajo ali zakonodajo EU.
3. člen
V skladu s Splošno uredbo o varstvu podatkov imajo izrazi v tem pravilniku naslednji pomen:
– „osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
– „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
– „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
– „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
– „uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
– „tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
– „privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
– „kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
– „psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;
4. člen
Podjetje DOTIK ZDRAVJA Urška Dermota s. p. osebne podatke obdeluje zakonito, pravično in pregledno.
Podjetje zbira ustrezne in relevantne osebne podatke samo za določene, izrecne in zakonite namene ter jih nadalje ne obdeluje na način, ki ni združljiv s temi nameni.
Osebni podatki, ki jih podjetje obdeluje so točni in, kadar je to potrebno, posodobljeni. Netočni osebni podatki se brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo.
Podjetje osebne podatke hrani v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.
Podjetje obdeluje osebne podatke izključno na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.
II. POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV
5. člen.
DOTIK ZDRAVJA Urška Dermota s. p. v skladu z 37. členom Splošne uredbe pooblaščene osebe ne potrebuje.
III. OBDELAVA OSEBNIH PODATKOV
6. člen
Podjetje obdeluje osebne podatke le, če je izpolnjen eden od naslednjih pogojev:
– posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
– obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
– obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za podjetje;
– obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
– obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene podjetje;
ali
– obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva podjetje ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
7. člen
Privolitev za obdelavo osebnih podatkov, ki jo daje posameznik, na katerega se nanašajo osebni podatki, mora biti prostovoljna, dana v pisni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku, jasno izraženim namenom za katerega se daje in brez nepoštenih pogojev.
Kadar gre za obdelavo osebnih podatkov otroka, mlajšega od 16 let, je privolitev iz prvega odstavka tega člena zakonita, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka (starši ali zakoniti zastopnik otroka).
8. člen
V postopku obdelave osebnih podatkov podjetje na primeren način (pisno ali neposredno ustno) posamezniku, na katerega se nanašajo osebni podatki, nudi vse informacije, povezane z obdelavo osebnih podatkov, zlasti o namenu obdelave podatkov, pravni podlagi za obdelavo podatkov, legitimnih interesih podjetja, namenu posredovanja osebnih podatkov tretjim osebam, obdobju hranjenja osebnih podatkov, obstoju pravice posameznika, na katerega se nanašajo osebni podatki, dostopu do osebnih podatkov in popravljanju ali brisanju osebnih podatkov, obdelavi, pravici do pritožbe itd.
IV. PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI
9. člen
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od podjetje dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov, ki se nanj nanašajo.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico do kopije osebnih podatkov, ki se nanj nanašajo.
Podjetje bo brez odlašanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, popravil osebne podatke, ki se nanj nanašajo oziroma jih dopolnil.
Podjetje bo brez odlašanja, na zahtevo posameznika, na katerega se nanašajo osebni podatki, izbrisal osebne podatke, ki se nanj nanašajo, pod pogojem, da niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani ali če bo posameznik, na katerega se nanašajo osebni podatki preklical privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga.
Posameznik, na katerega se nanašajo osebni podatki, ki meni, da mu je kršena katera od pravic, ki mu jo zagotavlja Splošna uredba o varstvu podatkov, ima pravico do vložitve pritožbe pri nadzornemu organu.
10. člen
Za namene varstva osebnih podatkov podjetje v vseh primerih, kjer je to mogoče, in zlasti ob objavljanju informacij v skladu z Zakonom o dostopu do informacij javnega značaja, opravi psevdonimizacijo podatkov.
V. ZBIRKE PODATKOV
11. člen
Podjetje zbira in obdeluje naslednje vrste osebnih podatkov:
– osebni podatki prokuristke podjetja;
– osebni podatki strank, kupcev, dobaviteljev;
– osebni podatki otrok in staršev/skrbnikov otrok uporabnikov storitev podjetja.
12. člen
Za osebne podatke, navedene v 11. členu tega pravilnika podjetje vodi evidenco obdelav osebnih podatkov, ki se nahaja v prilogi tega pravilnika in je njegov sestavni del.
Evidenca obdelav osebnih podatkov vsebuje najmanj naslednje podatke:
– naziv ali ime in kontaktne podatke podjetja, predstavnika;
– namene obdelave;
– opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
– kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki;
– kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
– kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.
13. člen
Zakoniti zastopnik podjetja določi osebe, odgovorne za obdelavo in zaščito podatkov iz 11. člena tega pravilnika.
VI. UKREPI ZA ZAŠČITO OSEBNIH PODATKOV
14. člen
Za preprečevanje nepooblaščenega dostopa do osebnih podatkov, se podatki v pisni obliki hranijo v registratorjih v zaklenjenih omarah, podatki na računalnikih pa se zaščitijo z dodelitvijo uporabniškega imena in gesla, ki je znano osebi, ki je odgovorna za obdelavo podatkov, ter se zaradi nadaljnjega varovanja in zaupnosti shranjujejo na prenosnem pomnilniku.
15. člen
Osebe, odgovorne za obdelavo osebnih podatkov, so dolžne zagotavljati tehnične in organizacijske ukrepe za zaščito osebnih podatkov, ki so potrebni, da bi se osebni podatki zaščitili pred nenamerno izgubo ali uničenjem, nepooblaščenem razkritju ali dostopu do osebnih podatkov, nedopustno spremembo, nedopustno objavo in vsako drugo zlorabo.
16. člen
Ta pravilnik se hrani v registratorju na sedežu podjetja in je objavljen na www.dotikzdravja.com, dne 12.6.2018 in je začel veljati 25.5.2018.