PRAVILNIK
o varovanju osebnih podatkov
(v nadaljevanju: pravilnik)
I. UVODNE DOLOČBE
1. člen
S tem pravilnikom družba Kostra d.o.o., Aškerčeva ulica 15, 3000 Celje, ki jo zastopa direktor Janez Slokan, matična številka: 5637988 (v nadaljevanju: Kostra) določa, katere osebne podatke obdeluje v okviru izvajanja svojih storitev ter kako jih obdeluje. Zasebnost in varnost osebnih podatkov sta za Kostro zelo pomembna, zato si Kostra ves čas prizadeva zagotavljati ustrezne tehnične in organizacijske postopke in ukrepe z namenom varovanja pravic posameznikov na področju varstva osebnih podatkov.
Ta pravilnik je objavljen na spletni strani www.kostra.si, tako da se lahko z njim seznani vsak obiskovalec spletne strani in uporabnik storitev družbe Kostra. Šteje se, da z obiskom spletne strani www.kostra.si ali uporabo storitev družbe Kostra, obiskovalec oz. uporabnik sprejema pogoje varovanja zasebnosti, ki so opisani v tem pravilniku. Če se obiskovalec oz. uporabnik z navedenimi pogoji ne strinja, Kostra predlaga, da spletne strani oz. storitev ne uporablja.
II. POMEN IZRAZOV
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- Predpisi s področja varstva osebnih podatkov so Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), skupaj s tistimi določbami Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; ZVOP-1), ki niso v nasprotju z Splošno uredbo o varstvu podatkov, ali morebitnim zakonom, ki bo nadomestil ZVOP-1;
- Osebni podatek je katera koli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljevanju: posameznik); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
- Obdelava je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
- Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo Republike Slovenije, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom Republike Slovenije;
- Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
- Prejemnik osebnih podatkov je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne;
- Nosilci podatkov so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
III . RAZLAGA PRAVILNIKA
3. člen
Za namen razlage tega Pravilnika velja:
- naslovi posameznih poglavij pravilnika so namenjeni izključno večji preglednosti vsebine pravilnika in ne pomenijo nobenega omejevanja vsebine in veljavnosti posameznega poglavja pravilnika;
- v primerih, ko to izhaja iz smisla in pomena posamezne določbe pravilnika, ednina vključuje tudi množino in obratno, množina vključuje ednino;
- v primerih, ko to izhaja iz smisla in pomena posamezne določbe pravilnika, izraz uporabljen v ženskem slovničnem spolu vključuje tudi moški slovnični spol in obratno, izraz uporabljen v moškem slovničnem spolu vključuje ženski slovnični spol;
- v primerih, ko se ta pravilnik sklicuje na drug dokument, je mišljena zadnja sprememba ali dopolnitev takega dokumenta oz. dokument, ki je nadomestil prej veljavni dokument;
- v primerih, ko se ta pravilnik sklicuje na predpise ali standarde, je mišljena zadnja sprememba ali dopolnitev takega predpisa oz. standarda ter vsi predpisi oz. standardi, ki izhajajo iz predpisa oz. standarda, na katerega se sklicuje ta pravilnik oz. ki so jima podrejeni.
IV. PREDSTAVITEV DRUŽBE KOSTRA
4. člen
2Mobile v okviru izvajanja svojih dejavnosti ponuja ter izvaja storitev SMS PARKIRANJE, izvaja spletno stran www.kostra.si, ki je opisana na spletni strani www.kostra.si (v nadaljevanju: storitev SMS PARKIRANJE), ki uporabnikom parkirišč (v nadaljevanju: uporabniki) omogoča naslednje načine plačevanja parkiranja:
- preko sistema kratkih sporočil SMS bodisi kot enkratno plačilo parkiranja bodisi v obliki naložitve dobroimetja in koriščenja dobroimetja za plačevanje parkiranja;
Kontaktna oseba družbe Kostra za varstvo osebnih podatkov je Nataša Pirnčič, natasa@kostra.si; T: +386 3 490 82 20
Vprašanja v zvezi s tem pravilnikom ali vprašanja v zvezi z obdelavo in varstvom osebnih podatkov pri Kostri, lahko posredujete na naslov: natasa@kostra.si
V. IZVAJANJE STORITVE SMS PARKIRANJE
5. člen
Kostra v okviru izvajanja storitve SMS PARKIRANJE nastopa kot obdelovalec osebnih podatkov, in sicer tako, da opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov v imenu, po pooblastilu in skladno z navodili posameznega upravljavca parkirišča.
V okviru izvajanja storitve SMS PARKIRANJE lahko Kostra po pooblastilu in skladno z navodili upravljavca parkirišča obdeluje naslednje vrste osebnih podatkov, ki so primeroma naštete v nadaljevanju te točke, in jih posredujejo bodisi posamezniki sami ali pa jih posreduje ponudnik komunikacijskih storitev (v primeru plačila preko SMS-ov):
- ime,
- priimek,
- naslov,
- država,
- E-mail,
- telefonska številka,
- registrska številka osebnega vozila,
- cona in čas parkiranja,
- znesek plačila, dobroimetje,
- podatek o načinu plačila,
- uporabniško ime in geslo.
Osebni podatki, navedeni v prejšnjem odstavku, se lahko nanašajo na naslednje kategorije posameznikov:
- posamezniki – uporabniki parkirišč, ki plačajo parkirnino preko SMS-a,
- zaposleni upravljavca parkirišča (npr. redarji, nadzorniki).
6. člen
Osebni podatki se v okviru izvajanja storitve SMS PARKIRANJE obdelujejo za namen:
- omogočanja plačevanja parkiranja uporabnikom,
- obračunavanja parkiranja in obdelave plačil,
- upravljanja s parkirnimi mesti,
- reševanja pritožb uporabnikov,
- izvajanja drugih dejanj, povezanih s plačevanjem in upravljanjem parkirišč,
- sporočanja podatkov v informacijski sistem za vodenje evidence prekrškov in izrekanje glob, ki ga določi upravljavec (npr. iPiramida),
- analize in statistike uporabe storitve SMS PARKIRANJE.
Upravljavec parkirišča je kot upravljavec osebnih podatkov dolžan zagotoviti zakonito podlago za obdelavo osebnih podatkov v okviru izvajanja storitve SMS PARKIRANJE.
Kostra bo osebne podatke v upravljanju upravljavca parkirišča izbrisal iz vseh svojih sistemov in nosilcev podatkov v rokih skladno z navodili upravljavca parkirišča. Kostra lahko osebne podatke hrani daljše časovno obdobje v primeru, če takšna njegova dolžnost izhaja iz veljavnih predpisov oz. če je to potrebno za izpolnitev pravnih obveznosti družbe Kostra ali reševanje sporov.
7. člen
Kostra lahko posamezna opravila v zvezi z obdelavo osebnih podatkov poveri svojemu nadaljnjemu obdelovalcu (v nadaljevanju: podobdelovalec). Podobdelovalci lahko za Kostro izvajajo storitve spletnega gostovanja, najema strežnikov, zagotavljanje poti za pošiljanje elektronske pošte, razvoja programske opreme in vzdrževanja programske in strojne opreme ter lahko v okviru izvajanja navedenih storitev obdelujejo posamezne osebne podatke. Kostra izbira podobdelovalce, ki zagotavljajo varstvo osebnih podatkov skladno s predpisi s področja varstva osebnih podatkov ter si prizadeva, da je obdelava osebnih podatkov na strani podobdelovalcev minimalna, to zgolj v obsegu, ki je nujno potreben za izvajanje njihovih storitev.
VI. IZVAJANJE SPLETNE STRANI
8. člen
V okviru spletne strani www.kostra.si 2Mobile uporablja storitev ponudnika Google, Google Analytics, ki omogoča zbiranje standardnih podatkov o obiskih spletne strani. Podatki, pridobljeni v okviru Google Analytics, so zgolj statistični in analitični ter ne omogočajo identifikacije posameznikov. Kostra nobeni tretji osebi (vključno z Google-om) ne dovoljuje ali omogoča identifikacije obiskovalcev spletne strani.
9. člen
Piškotki so podatkovne datoteke, ki se naložijo na napravo obiskovalca spletne strani z namenom zbiranja standardnih informacij o obiskih spletne strani in obnašanju obiskovalcev spletne strani. Ti podatki se potem uporabijo z namenom, da se spremlja uporaba spletne strani in pridobivajo statistični podatki o aktivnostih povezanih s spletno stranjo.
Informacije, ki jih Kostra zbira s piškotki, se ne uporabljajo za ugotavljanje istovetnosti obiskovalca spletne strani. Piškotki se uporabljajo izključno za namene, ki so izrecno navedeni v tej točki.
Obiskovalec spletne strani lahko ohrani nadzor nad piškotki tako, da jih zbriše – več o tem na aboutcookies.org ali www.allaboutcookies.org. V tem primeru bo moral obiskovalec spletne strani ročno vnesti nekatere nastavitve vsakič, ko bo obiskal spletno stran, nekatere storitve in funkcionalnosti pa mogoče ne bodo delovale.
10. člen
Sporočilo, ki ga posameznik posreduje družbi Kostri preko socialnega omrežja, Kostra hrani 6 mesecev in ga nato izbriše.
Posameznik lahko preko spletne strani družbi Kostra posreduje svoje sporočilo na elektronski naslov info@kostra.si. V okviru tega sporočila, Kostra obdeluje ime in elektronski naslov posameznika, vsebino sporočila ter morebitne druge podatke, ki jih posreduje posameznik v okviru sporočila. Te podatke Kostra hrani še 6 mesecev in jih nato izbriše.
11. člen
Kostra na svoji spletni strani omogoča uporabo spletnega kontaktnega obrazca, preko katerega lahko posameznik stopi v kontakt s 2Mobile. Posameznik preko spletnega kontaktnega obrazca posreduje naslednje podatke:
- ime,
- priimek,
- elektronski naslov,
- telefonsko številko,
- svoje sporočilo.
Kostra zgoraj navedene osebne podatke obdeluje izključno za namen vzpostavitve stika in zagotovitve odgovora posamezniku. Te podatke Kostra hrani še 6 mesecev in jih nato izbriše.
VII. ZAKONITA PODLAGA
12. člen
Kostra lahko posamezne osebne podatke obdeluje zaradi svojih naslednjih zakonitih interesov: zagotavljanje varne, optimalne, učinkovite in posameznikom prilagojene uporabniške izkušnje pri uporabi spletne strani;
- zagotavljanje informacijske varnosti sistemov družbe Kostra in njegovih pogodbenih partnerjev;
- statistična analiza obsega in zgodovine obiskov spletne strani, ki ne omogoča identifikacije posameznikov.
Kostra je izdelala presojo svojih zakonitih interesov, pri kateri je upošteval zlasti:
- namen obdelave osebnih podatkov;
- nujnost obdelave osebnih podatkov za dosego njenega namena;
- vpliv obdelave na interese posameznikov ter njihove pravice in svoboščine.
V vseh primerih, ko Kostra s posameznikom sklene pogodbo o zagotavljanju posamezne storitve družbe Kostra, Kostra osebne podatke obdeluje zaradi izvajanja pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali zaradi izvajanja ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.
Če bi želela Kostra posamezniku v posameznem primeru posredovati e-novice ali v razmerju do posameznika izvajati katero drugo obliko neposrednega trženja, bo od posameznika predhodno pridobila privolitev (soglasje) skladno z veljavnimi predpisi s področja varstva osebnih podatkov. Kostra bo posameznikom tudi omogočila, da svojo privolitev kadarkoli prekličejo na enako enostaven način kot je bila privolitev dana.
VIII. MLADOLETNE OSEBE
13. člen
Storitve družbe Kostra niso namenjene mladoletnim osebam in jih Kostra ne ponuja mladoletnim osebam ter zavestno ne obdeluje nobenih osebnih podatkov povezanih z mladoletnimi osebami.
Mladoletnim osebam družba Kostra svetuje, da ne uporabljajo njegovih storitev. Če bi Kostra ugotovila, da obdeluje osebne podatke mladoletne osebe brez privolitve starša ali skrbnika, bo naredila vse, kar je potrebno, da se podatki izbrišejo. Če starši ali skrbniki mladoletne osebe ugotovijo, da njihov otrok oz. varovanec uporablja storitev Kostre, v okviru katere je posredoval določene osebne podatke, lahko to sporočijo na naslov natasa@gmail.com in zahtevajo izbris osebnih podatkov.
IX. TEHNIČNI IN ORGANIZACIJSKI UKREPI
14. člen
Kostra zagotavlja tehnične in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov kot so navedeni v nadaljevanju, vse z namenom:
- zagotavljanja zaupnosti osebnih podatkov;
- zagotavljanja celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;
- zagotavljanja zmožnosti pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- zagotavljanja postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave;
- zagotavljanja sledljivosti operacij na osebnih podatkih.
X. PRAVICE POSAMEZNIKOV
15. člen
Kostra posameznikom zagotavlja pravice kot jih določajo predpisi s področja varstva osebnih podatkov.
Morebitne zahteve za dostop, popravek, izbris, omejitev obdelave ali prenosa osebnih podatkov, ki so v upravljanju družbe Kostra, lahko posamezniki v okviru svojih pravic posredujejo na naslov natasa@kostra.si. Kostra sme od posameznika zahtevati ustrezno dokazilo o identiteti preden začne obravnavati posamezni zahtevek.
Kostra posameznikom omogoča brezplačen dostop do njihovih podatkov, vendar pa si pridržuje pravico posamezniku dostop do osebnih podatkov zaračunati ali pa njegovo zahtevo zavrniti v primeru, če je ta očitno neutemeljena ali pretirana ali se ponavlja.
XI. IZNOS OSEBNIH PODATKOV V TRETJE DRŽAVE
16. člen
Kostra osebnih podatkov ne iznaša v tretje države. Serverji, na katerih Kostra shranjuje svoje podatkovne baze, se nahajajo v Evropski uniji.
XII. RAZKRITJE OSEBNIH PODATKOV TRETJIM OSEBAM – PREJEMNIKOM
17. člen
Osebni podatki, ki jih Kostra skladno s tem pravilnikom obdeluje v okviru spletne strani so www.kostra.si, lastno uporabo družbe Kostra. Kostra lahko te osebne podatke posreduje svojim pogodbenim partnerjem, ki mu zagotavljajo pomoč in podporo pri izvajanju storitev, tako da zanj izvajajo storitve npr. spletnega gostovanja in najema strežnikov, zagotavljanje poti za pošiljanje elektronske pošte, razvoja programske opreme in vzdrževanja programske in strojne opreme.
Kostra osebnih podatkov ne bo razkril tretjim osebam za namen njihovega marketinga ali prodaje.
XIII. ROK HRAMBE OSEBNIH PODATKOV
18. člen
Kostra osebne podatke hrani samo za čas, ki je potreben za izpolnitev namena, za katerega so bili osebni podatki zbrani, za daljše časovno obdobje pa samo v primeru, če takšna dolžnost izhaja iz veljavnih predpisov oz. če je to potrebno za izpolnitev pravnih obveznosti družbe Kostra ali reševanje sporov.
XIV. PRAVICA DO PRITOŽBE PRI NADZORNEM ORGANU
19. člen
Posameznik, na katerega se nanašajo osebni podatki, ima pravico do vložitve pritožbe pri nadzornem organu, kakor tudi pravico do pravnih sredstev zoper odločitev nadzornega organa ali v primeru neukrepanja nadzornega organa ter pravico do odškodnine.
XV. VELJAVNOST PRAVILNIKA
20. člen
Ta pravilnik začne veljati s 01. 06. 2020.
Kostra ima pravico do spremembe tega pravilnika, pri čemer bo o vsaki spremembi obvestil posameznike z objavo na svoji spletni strani najmanj 10 dni pred njeno uveljavitvijo.
Kostra d.o.o.