Pravilnik
Na podlagi prvega odstavka 3. člena Splošne uredbe o varstvu podatkov (EU) 2016/679 in člena Družbene pogodbe Mon Perin d.d. Bale, Trg Ia Musa 2, OIB (osebna identifikacijska številka): 06374155285, uprava družbe dne 24.04.2018 sprejme naslednji
PRAVILNIK O OBDELAVI IN VARSTVU OSEBNIH PODATKOV
I. SPLOŠNA DOLOČILA
1. člen
V postopku obdelave osebnih podatkov in varstva posameznikov je družba Mon Perin d.d. Bale (v nadaljnjem besedilu: družba) v smislu obdelave osebnih podatkov in pravil, povezanih s prostim pretokom osebnih podatkov, zavezana k spoštovanju Splošne uredbe o varstvu podatkov (EU) 2016/679 (v nadaljnjem besedilu: Splošna uredba) in Zakona o uporabi Splošne uredbe o varstvu podatkov (hrv. Zakon o primjeni Opće uredbe o zaštiti podataka; NN 42/18).
2. člen
Skladno s 7. točko 4. člena Splošne uredbe je družba upravljavec osebnih podatkov, ki določa namen in sredstva za obdelavo osebnih podatkov skladno z nacionalno zakonodajo in/ali pravom EU.
3. člen
Skladno s Splošno uredbo imajo posamezni izrazi v tem Pravilniku naslednji pomen:
»osebni podatki« pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
»obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
»zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
»upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
»uporabnik« pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne;
»tretja oseba« pomeni fizično ali pravno osebo, javni organ, agencijo ali organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in oseba, ki je pooblaščena za obdelavo podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
»privolitev posameznika, na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
»kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
»psevdonimizacija« pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.
4. člen
Osebne podatke fizičnih oseb družba obdeluje zakonito, pošteno in pregledno. Obdelujejo se samo ustrezni in relevantni osebni podatki, in to samo v posebne, izrecne in zakonite namene, ter se naprej ne obdelujejo na način, ki ne bi bil skladen s temi nameni.
Osebni podatki, ki jih družba obdeluje, so točni in po potrebi posodobljeni. Osebni podatki, ki niso točni, se brez odlašanja izbrišejo ali popravijo.
Družba osebne podatke obdeluje izključno na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodovanjem z ustreznimi tehničnimi in organizacijskimi ukrepi.
Družba osebne podatke hrani trajno (z izjemo podatkov o plačilu, kot so številke računov in ostale povezane informacije kartic, ki se izbrišejo v roku 30 dni od plačila računa) ali do preklica privolitve.
II. OBDELAVA OSEBNIH PODATKOV
5. člen
Družba osebne podatke obdeluje samo in v takšnem obsegu, če je izpolnjen eden izmed naslednjih pogojev:
− da je oseba, na katero se nanašajo osebni podatki, dala privolitev za obdelavo svojih osebnih podatkov v enega ali več posebnih namenov;
− da je obdelava nujna zaradi izpolnitve pogodbe, v kateri je posameznik, na katerega se nanašajo osebni podatki, stranka;
− da je obdelava nujna zaradi spoštovanja pravnih obveznosti družbe;
− da je obdelava nujna za zaščito ključnih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
− da je obdelava nujna za izvajanje naloge v javnem interesu;
− da je obdelava nujna za potrebe legitimnih interesov družbe ali tretje strani, razen kadar so od teh interesov močnejši interesi ali osnovne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, posebej če je takšen posameznik, na katerega se nanašajo osebni podatki, otrok.
6. člen
Privolitev, s katero posameznik, na katerega se nanašajo osebni podatki, daje družbi dovoljenje za obdelavo osebnih podatkov, ki se nanašajo nanj, je prostovoljna, v pisni obliki, napisana v zelo lahko razumljivem, jasnem in enostavnem jeziku, z jasno navedenim namenom, za katerega se privolitev daje, in brez nepoštenih pogojev.
Če gre za obdelavo osebnih podatkov osebe, ki je stara manj kot predpisanih 16 let, privolitev na način iz prvega odstavka tega člena poda nosilec starševske odgovornosti nad otrokom (starš ali zakoniti skrbnik otroka).
Privolitev vključuje deljenje osebnih podatkov s povezanimi družbami same družbe, in sicer: Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o., Obrtnik Jasmina Cuccurin (Italija), kakor tudi deljenje osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, s podjetjem Google Ireland, Facebok Ireland ltd., Instragam Inc.
7. člen
V postopku obdelave osebnih podatkov družba na ustrezen način (pisno ali neposredno ustno) posamezniku, na katerega se nanašajo osebni podatki, nudi vse informacije v zvezi z obdelavo njegovih osebnih podatkov, posebej o namenu obdelave osebnih podatkov, pravni podlagi za obdelavo osebnih podatkov, legitimnih interesih družbe, nameri posredovanja osebnih podatkov tretjim osebam, obdobju, v katerem bodo osebni podatki shranjeni, obstoju pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa, popravka ali izbrisa osebnih podatkov ter omejitve obdelave, pravico do vložitve ugovora in drugo.
III. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI
8. člen
Družba bo takoj, najpozneje pa v roku enega meseca od dneva vložitve zahteve posameznika, na katerega se nanašajo osebni podatki, ali njegovega zakonitega zastopnika ali pooblaščenca:
− posameznika, na katerega se nanašajo osebni podatki, seznanila z namenom obdelave njegovih osebnih podatkov, kategorijami osebnih podatkov, ki se obdelujejo, prejemniki ali kategorijami prejemnikov, ki so jim ali jim bodo osebni podatki razkriti, predvidenim obdobjem hrambe osebnih podatkov in njihovim izvorom, če se ti ne pridobijo od posameznika, na katerega se nanašajo osebni podatki;
− posamezniku, na katerega se nanašajo osebni podatki, dostavila izpis osebnih podatkov, ki se nanj nanašajo, iz sistema za hrambo;
− popravila netočne podatke ali podatke dopolnila;
− izbrisala osebne podatke, ki se nanašajo na posameznika, če osebni podatki niso več nujni glede na namene, za katere so bili zbrani, ali če posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na kateri obdelava temelji.
Rok iz prvega odstavka tega člena se lahko po potrebi podaljša za dodatna dva meseca ob upoštevanju zapletenosti in števila zahtev. O vsakem takšnem podaljšanju bo družba posameznika, na katerega se nanašajo osebni podatki, skupaj z razlogi za podaljšanje obvestila v enem mesecu od prejetja zahteve.
Če posameznik, na katerega se nanašajo osebni podatki, zahtevo posreduje po elektronski poti, družba informacije posreduje po elektronski poti, če je to mogoče, razen če posameznik zahteva drugače.
Z razlogi za zavrnitev zahteve posameznika, na katerega se nanašajo osebni podatki, iz prvega odstavka tega člena bo družba posameznika seznanila brez odlašanja, najpozneje pa v enem mesecu od prejetja zahteve.
9. člen
Družba informacije iz 8. člena nudi brez nadomestila.
Izjemoma bo družba ob upoštevanju administrativnih stroškov nudenja informacij ali obvestil zaračunala razumno nadomestilo, če so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane.
10. člen
Posameznik, na katerega se nanašajo osebni podatki, ki meni, da je družba prekršila katero od njegovih pravic, ki mu jih Splošna uredba zagotavlja, lahko vloži zahtevek za ugotavljanje kršitve varstva pri pristojnem organu.
IV. SISTEM HRAMBE
11. člen
Družba zbira in obdeluje naslednje vrste osebnih podatkov:
− ime in priimek uporabnika storitev družbe/posameznika, na katerega se nanašajo osebni podatki;
− naslov prebivališča/bivališča posameznika, na katerega se nanašajo osebni podatki;
− državljanstvo posameznika, na katerega se nanašajo osebni podatki;
− datum rojstva posameznika, na katerega se nanašajo osebni podatki;
− država rojstva posameznika, na katerega se nanašajo osebni podatki;
− spol posameznika, na katerega se nanašajo osebni podatki;
− vrsta osebnega dokumenta posameznika, na katerega se nanašajo osebni podatki;
− podatki o plačilu, npr. številka računa in ostale povezane informacije kartice;
− e-naslov posameznika, na katerega se nanašajo osebni podatki;
− fotografija posameznika, na katerega se nanašajo osebni podatki;
− OIB (ali enakovreden podatek posameznika, na katerega se nanašajo osebni podatki, v državi, ki ni Republika Hrvaška);
− zakonski stan posameznika, na katerega se nanašajo osebni podatki;
− podatki o invalidnosti posameznika, na katerega se nanašajo osebni podatki;
− IP-naslovi naprave, notranja identifikacijska številka, MAC-naslov naprave, e-naslovi osebe, ki uporablja sistem wi-fi, oznaka države, ki uporablja sistem wi-fi, datum in čas prijave v sistem:
− telefonske/mobilne številke posameznika, na katerega se nanašajo osebni podatki;
− naziv gospodarske družbe in njegovi podatki (če je uporabnik storitev);
− podatki, zbrani z videonadzorom objektov in kampov Mon Perina.
Družba obdeluje tudi:
− osebne podatke zaposlenih v družbi;
− osebne podatke o osebah, ki sodelujejo v razpisnem postopku za sklenitev delovnega razmerja;
− osebne podatke zunanjih sodelavcev, kar ureja poseben Pravilnik o varstvu osebnih podatkov iz delovnopravnih razmerij, ki je na voljo zaposlenim (delavcem) in zunanjim sodelavcem družbe.
12. člen
Za osebne podatke, navedene v 11. členu, družba vodi evidenco aktivnosti obdelave, ki se nahaja v prilogi tega Pravilnika in velja za njegov sestavni del.
Evidenca aktivnosti obdelave vključuje najmanj naslednje podatke:
− ime in podatki za stik družbe, pooblaščene osebe/zastopnika in pooblaščene osebe za varstvo podatkov;
− namen obdelave;
− opis kategorij posameznikov, na katere se nanašajo osebni podatki, in kategorij osebnih podatkov;
− kategorije prejemnikov, ki so jim ali jim bodo osebni podatki razkriti;
− predvideni roki za izbris različnih kategorij podatkov;
− splošen opis tehničnih in organizacijskih varnostnih ukrepov za varstvo podatkov.
13. člen
Uprava družbe sprejme sklep, ki določa osebe, odgovorne za obdelavo in varstvo osebnih podatkov iz 11. člena tega Pravilnika.
V. POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV
14. člen
Družba imenuje pooblaščeno osebo za varstvo podatkov.
Pooblaščena oseba za varstvo podatkov ima ustrezno strokovno izobrazbo in je zaposleni v družbi.
Podatki za stik s pooblaščeno osebo za varstvo podatkov so na voljo na spletnem mestu družbe.
Pooblaščena oseba za varstvo podatkov odgovorne osebe družbe in njene zaposlene, ki neposredno obdelujejo osebne podatke, seznanja z njihovimi obveznostmi iz Splošne uredbe in jim svetuje, spremlja spoštovanje Uredbe ter drugih uredb Evropske unije ali države članice o varstvu, omogoča pravice posameznikov, na katere se nanašajo osebni podatki, in sodeluje z nadzornim organom.
Pooblaščena oseba za varstvo podatkov je dolžna ohranjati zaupnost vseh informacij, ki jih izve med opravljanjem svojih nalog.
VI. UKREPI ZA VARSTVO OSEBNIH PODATKOV
15. člen
Da bi se izognili nedovoljenemu dostopu do osebnih podatkov, se osebni podatki v pisni obliki hranijo v registratorjih, v zaklenjenih omarah, računalniški podatki pa so zaščiteni z dodelitvijo uporabniškega imena in gesla, ki ju poznajo samo zaposleni, odgovorni za obdelavo podatkov, in se zaradi nadaljnje varnosti in tajnosti shranjujejo na prenosne pomnilnike.
16. člen
Družba bo po potrebi, posebej pa pri objavi podatkov, ki bi se lahko pripisali določenemu posamezniku, na katerega se nanašajo osebni podatki, izvajala psevdonimizacijo kot enega od tehničnih ukrepov za varstvo osebnih podatkov.
17. člen
Osebe, odgovorne za obdelavo osebnih podatkov, so odgovorne za zaščito osebnih podatkov pred nenamerno izgubo ali uničenjem, nedovoljenim dostopom, spreminjanjem ali objavljanjem in vsako drugo zlorabo.
VII. KONČNA DOLOČILA
18. člen
Ta Pravilnik začne veljati z dnem objave.
Ta Pravilnik bo objavljen tudi na spletnem mestu družbe: www.www.camping-monperin.hr
Mon Perin d.o.o., Bale
Massimo Piutti, predsednik uprave
PRILOGA
Obrazec za evidenco aktivnosti obdelave
EVIDENCA AKTIVNOSTI OBDELAVE OSEBNIH PODATKOV
Upravljavec osebnih podatkov:
Družba Mon Perin d.d.
naslov: Trg la Musa 2
sedež: Bale
telefonska številka: +385 (0)52 824 075
številka faksa: +385 (0)52 824 064
e-naslov: [email protected]
Odgovorna oseba družbe:
Massimo Piutti, predsednik uprave, in Ivan Maričić, član uprave
Pooblaščena oseba za varstvo podatkov
naziv/ime: Martina Poropat
Namen obdelave (opis):
obdelava osebnih podatkov o posameznikih, na katere se nanašajo osebni podatki.
namen obdelave določajo:
– Uredba in zakon;
– legitimen interes družbe;
– izpolnjevanje pogodbenih obveznosti družbe;
– privolitev.
Način podajanja privolitve posameznika, na katerega se nanašajo osebni podatki, za zbiranje in obdelavo njegovih osebnih podatkov:
pisna privolitev posameznika, na katerega se nanašajo osebni podatki.
Kategorija posameznikov, na katere se nanašajo osebni podatki, in vrste podatkov
– gosti;
– zaposleni;
– poslovni partnerji.
Vrste podatkov
− ime in priimek uporabnika storitev družbe/posameznika, na katerega se nanašajo osebni podatki;
− naslov prebivališča/bivališča posameznika, na katerega se nanašajo osebni podatki;
− državljanstvo posameznika, na katerega se nanašajo osebni podatki;
− datum rojstva posameznika, na katerega se nanašajo osebni podatki;
− država rojstva posameznika, na katerega se nanašajo osebni podatki;
− spol posameznika, na katerega se nanašajo osebni podatki;
− vrsta osebnega dokumenta posameznika, na katerega se nanašajo osebni podatki;
− podatki o plačilu, npr. številka računa in ostale povezane informacije kartice;
− e-naslov posameznika, na katerega se nanašajo osebni podatki;
− fotografija posameznika, na katerega se nanašajo osebni podatki;
− OIB (ali enakovreden podatek posameznika, na katerega se nanašajo osebni podatki, v državi, ki ni Republika Hrvaška);
− zakonski stan posameznika, na katerega se nanašajo osebni podatki;
− podatki o invalidnosti posameznika, na katerega se nanašajo osebni podatki;
− IP-naslovi naprave, notranja identifikacijska številka, MAC-naslov naprave, e-naslovi osebe, ki uporablja sistem wi-fi, oznaka države, ki uporablja sistem wi-fi, datum in čas prijave v sistem:
− telefonske/mobilne številke posameznika, na katerega se nanašajo osebni podatki;
− naziv gospodarske družbe in njegovi podatki (če je uporabnik storitev);
Družba obdeluje tudi:
− osebne podatke zaposlenih v družbi;
− osebne podatke o osebah, ki sodelujejo v razpisnem postopku za sklenitev delovnega razmerja;
− osebne podatke zunanjih sodelavcev, kar ureja poseben Pravilnik o varstvu osebnih podatkov iz delovnopravnih razmerij, ki je na voljo zaposlenim (delavcem) in zunanjim sodelavcem družbe.
Kategorije prejemnikov, ki so jim ali jim bodo osebni podatki razkriti:
Ministrstvo za turizem, Turistična skupnost, e-visitor, Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o. (Hrvaška), Obrtnik Jasmina Cuccurin (Italija), kakor tudi deljenje osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, s podjetjem Google Ireland, Facebok Ireland ltd., Instragam Inc.
Predvideni roki za izbris osebnih podatkov: trajno (z izjemo podatkov o plačilu, kot so številke računov in ostale povezane informacije kartic, ki se izbrišejo v roku 30 dni od plačila računa) ali do preklica privolitve.
Splošen opis tehničnih in organizacijskih varnostnih ukrepov za varstvo podatkov:
Podatki v pisni obliki se hranijo v ovitkih spisov, v zaklenjenih omarah, računalniški podatki pa so zaščiteni z dodelitvijo uporabniškega imena in gesla, ki ju poznajo samo zaposleni, odgovorni za obdelavo podatkov, in se zaradi nadaljnje varnosti in tajnosti shranjujejo na prenosne pomnilnike.