Pogoji poslovanja, varstvo osebnih podatkov (GDPR) in piškotki
BE-GRE d.o.o.
Sokolska ulica 46
2000 Maribor
Odgovorna oseba in pooblaščeni delavec: Rok Arčan, direktor
V skladu z določili Zakona o delovnih razmerjih, Zakona o varstvu osebnih podatkov in Splošne uredbe o varstvu osebnih podatkov ter po predhodnem posvetovanju z delavskimi predstavniki, kot ga določa veljavna zakonodaja, družba BE-GRE d.o.o. (v nadaljevanju: delodajalec) sprejme naslednji
PRAVILNIK O VARSTVU OSEBNIH PODATKOV
1. člen
(vsebina pravilnika)
S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za varstvo in zavarovanje osebnih podatkov pri delodajalcu z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava osebnih podatkov.
2. člen
(veljavnost)
Ta pravilnik velja za zaposlene pri delodajalcu (delavce v delovnem razmerju), za osebe, ki pri delodajalcu opravljajo delo na drugi podlagi, ter za dijake in študente, ki pri delodajalcu opravljajo delo preko napotnice oziroma so pri delodajalcu na praksi.
3. člen
(uporabljeni pojmi)
Izrazi uporabljeni v tem pravilniku imajo naslednji pomen:
1. Nosilci podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, knjige, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov ipd.).
2. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
3. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo
fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa.
4. Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biotermične značilnosti.
5. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana.
6. Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
7. Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, kateri se posredujejo ali razkrijejo osebni podatki.
8. Zaposleni pri delodajalci – so delavci in vse druge osebe, ki pri delodajalcu opravljajo delo.
4. člen
(vzpostavitev zbirke)
Posamezno zbirko osebnih podatkov vzpostavi odgovorna oseba področja/službe, znotraj katere se zbirajo osebni podatki (v nadaljevanju: odgovorna oseba).
Odgovorne osebe so dolžne poskrbeti, da se znotraj posameznih zbirk zbirajo in obdelujejo le tisti osebni podatki, za zbiranje in obdelavo katerih obstaja ustrezna zakonska podlaga.
Odgovorne osebe za posamezno zbirko osebnih podatkov so določene v seznamu, ki je priloga k temu pravilniku.
5. člen
(obdelava osebnih podatkov)
Osebne podatke lahko obdelujejo samo osebe s strani delodajalca posebej pooblaščene za obdelavo osebnih podatkov (v nadaljevanju: pooblaščeni delavci).
Pooblaščeni delavci za posamezno zbirko osebnih podatkov so določeni v seznamu, ki je priloga k temu pravilniku.
Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani.
Pred vsako obdelavo osebnih podatkov so obdelovalci dolžni presoditi, ali imajo za obdelavo ustrezno zakonsko podlago.
6. člen
(posredovanje osebnih podatkov)
Osebni podatki se lahko posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Osebni podatki, ki se posredujejo uporabniku v fizični obliki, morajo biti posredovani na način, ki preprečuje, da bi se med prenosom z njimi seznanile neupravičene osebe (npr. v zapečateni ovojnici).
Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečuje prilaščanje ali uničevanje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljive osebne podatke je dovoljeno posredovati preko komunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
7. člen
(zagotovitev sledljivosti)
Odgovorne osebe so za posamezno zbirko dolžne zagotoviti takšen sistem sledljivosti, da se lahko naknadno ugotavlja, kdo in kdaj je obdeloval osebne podatke posameznika ter kateri podatki so bili predmet obdelave.
Pooblaščeni delavci niso dolžni beležiti lastnih aktivnosti v zvezi z obdelavo osebnih podatkov iz zbirke, za katero so določeni kot pooblaščeni delavci. Za njih se šteje, da so v vsakem trenutku seznanjeni z vsebino osebnih podatkov iz zbirke, za katero so določeni kot pooblaščeni delavci.
Vsako posredovanje osebnih podatkov tretjim osebam pooblaščeni delavec zaznamuje z navedbo naslednjih podatkov:
– kateri osebni podatki so bili posredovani,
– osebno ime/firmo/ime in naslov/sedež oseb, katerim so bili posredovani osebni podatki,
– datum in ura posredovanja osebnih podatkov ter
– podlaga, na kateri so bili posredovani osebni podatki.
8. člen
(hramba osebnih podatkov)
Osebni podatki se lahko shranjujejo le toliko časa, dokler za njihovo hrambo obstaja zakonska podlaga.
Po preteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug predpis za posamezne vrste osebnih podatkov ne določa drugače.
Za brisanje osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
Osebni podatki v fizični obliki se uničijo na način, s katerim se zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv (npr. rezalnik papirja, kurjenje).
Vsak zaposleni pri delodajalcu je dolžan striktno upoštevati, da se dokumenti, ki vsebujejo osebne podatke in dokumenti, ki vsebujejo kakršnekoli podatke o poslovanju, vključno s komunikacijo med zaposlenimi, uničujejo zgolj na način, kot izhaja iz prejšnjega odstavka.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov.
9. člen
(varovanje prostorov)
Prostori, v katerih se nahajajo nosilci podatkov, ki vsebujejo osebne podatke, strojna in programska oprema (v nadaljevanju: varovani prostori), morajo biti varovani tako, da je nepooblaščenim osebam onemogočen dostop do podatkov.
Varovani prostori, v katerih se nahajajo nosilci podatkov, ki vsebujejo občutljive osebne podatke, morajo biti varovani tako, da je zagotovljen popolni nadzor nad delom in gibanjem v teh prostorih.
Pisarne morajo biti stalno pod nadzorom zaposlenih, ki v njih delajo. Ob odsotnosti mora zaposleni pisarno zakleniti. Ključi se ne smejo puščati v ključavnici v vratih.
V varovanih prostorih morajo biti ob zaključku delovnega časa oziroma po končanem delu izven delovnega časa omare in pisalne mize z nosilci podatkov, ki vsebujejo osebne podatke, zaklenjene, računalniki in druga strojna oprema pa izklopljeni in fizično ali programsko zaklenjeni (z gesli).
Omare, mize in drugo pohištvo z nosilci podatkov, ki vsebujejo osebne podatke, ki se nahajajo izven varovanih prostorov (hodniki, skupni prostori), morajo biti ves čas zaklenjeni.
Osebe, ki niso zaposlene pri delodajalcu (npr. vzdrževalci prostorov, strojne in programske opreme, obiskovalci, poslovni partnerji), se smejo gibati v varovanih prostorih samo z vednostjo zaposlenega, ki nadzoruje varovani prostor, kjer se te osebe gibljejo.
Izvajalci, kot so čistilke, varnostniki itd., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke.
10. člen
(varovanje nosilcev podatkov)
Zaposleni pri delodajalcu ne smejo na vidnem mestu (npr. na mizah) puščati nosilcev podatkov, ki vsebujejo osebne podatke, v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
Nosilci podatkov, ki vsebujejo občutljive osebne podatke, se ne smejo hraniti izven varovanih prostorov.
Nosilce podatkov, ki vsebujejo osebne podatke, lahko zaposleni pri delodajalcu odnašajo izven prostorov delodajalca samo s posebnim dovoljenjem odgovorne osebe.
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov, ki vsebujejo osebne podatke, shranjeni oziroma nameščeni tako, da stranke nimajo vpogleda vanje.
11. člen
(varovanje strojne in programske opreme)
Vzdrževanje in popravila strojne računalniške, programske in druge opreme je dovoljeno samo z odobritvijo osebe, zadolžene za delovanje računalniškega informacijskega sistema, izvajajo pa ga lahko samo pooblaščeni serviserji in vzdrževalci, ki imajo z delodajalcem sklenjeno ustrezno pogodbo.
Za shranjevanje in varovanje aplikativne programske opreme veljajo glede varstva osebnih podatkov enaka pravila kot za ostale podatke iz tega pravilnika.
Zaposleni pri delodajalcu ne smejo inštalirati programske opreme in odnašati programske opreme iz prostorov upravljavca osebnih podatkov brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.
Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelani ter kdo je to storil.
Oseba, zadolžena za delovanje računalniškega informacijskega sistema, določi način dodeljevanja, hranjenja in spreminjanja gesel in o tem seznani vse zaposlene pri delodajalcu.
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalih postaj, če se podatki nahajajo tam.
Kopije iz prejšnjega odstavka se hranijo na zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
12. člen
(katalog zbirk osebnih podatkov)
Če zakon tako zahteva, so dolžne odgovorne osebe vzpostaviti katalog zbirk osebnih podatkov s svojega delovnega področja.
13. člen
(pogodbena obdelava osebnih podatkov)
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov, ki jih zbira delodajalec, in je registrirana za opravljanje takšne dejavnosti (v nadaljevanju: pogodbeni obdelovalec), delodajalec sklene pisno pogodbo, ki vsebuje tudi določila o načinu varstva in zavarovanja osebnih podatkov pri pogodbenemu obdelovalcu.
Enako velja tudi za pogodbene obdelovalce, ki vzdržujejo obstoječo strojno in programsko opremo ali izdelujejo in inštalirajo novo strojno ali programsko opremo.
Pogodbeni obdelovalci lahko opravljajo storitve obdelave osebnih podatkov samo v okviru pooblastil iz pogodbe iz prvega odstavka tega člena in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
14. člen
(dolžnost obveščanja)
Zaposleni pri delodajalcu so dolžni o zaznanem nepooblaščenem dostopu do osebnih podatkov, njihovemu uničenju, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju nemudoma obvestiti odgovorno osebo ali nadrejenega, sami pa morajo poskusiti z zakonitimi ukrepi takšne aktivnosti preprečiti.
15. člen
(obveznosti zaposlenih pri delodajalcu)
Zaposleni pri delodajalcu so dolžni izvajati s tem pravilnikom predpisane postopke in ukrepe za varstvo in zavarovanje osebnih podatkov ter varovati kot tajne osebne podatke, za katere so zvedeli oziroma so bili z njimi seznanjeni pri opravljanju svojega dela. Obveza varovanja (nerazkrivanja) podatkov ne preneha s prenehanjem delovnega razmerja.
Pred nastopom dela pri delodajalcu mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov v skladu s tem pravilnikom. Podpis posebne izjave ni potreben, če že pogodba o zaposlitvi vsebuje ustrezne določbe, ki delavca zavezujejo k varovanju osebnih podatkov.
Zaposleni pri delodajalci, ki kršijo obveznosti v zvezi z varstvom osebnih podatkov po tem pravilniku, storijo hujšo kršitev pogodbenih obveznosti, za kar so lahko disciplinsko, odškodninsko in kazensko odgovorni.
16. člen
(končne določbe)
Ta pravilnik se objavi na oglasni deski in prične veljati z dnem 25.5.2021.
Pravilnik je delavcem na razpolago pri g. Roku Arčanu, da se lahko kadarkoli brez nadzora seznanijo z njegovo vsebino.
Pravilnik je zaupne narave in predstavlja poslovno skrivnost, zato njegovo kopiranje, iznašanje izven prostorov družbe ipd. ni dovoljeno.
V Mariboru, dne 24.5.2021
Rok Arčan, direktor
Odgovornost
Naše spletne strani so narejene in vzdrževane z največjo možno mero skrbnosti. Ne glede na to BE-GRE d.o.o. ne jamči za pravilnost, ažurnost ali popolnost vseh informacij na spletnih straneh. BE-GRE d.o.o. tako ni odgovoren za občasno nedelovanje strani, morebitno nepravilnost informacij in tudi ne za morebitno škodo, nastalo zaradi uporabe nepravilnih, neažurnih ali nepopolnih informacij. BE-GRE d.o.o. niti katerakoli pravna ali fizična oseba, ki je sodelovala pri nastanku vsebine spletnih strani, ne odgovarja za nobeno škodo, ki bi izhajala iz dostopa, uporabe ali nemožnosti uporabe informacij na teh spletnih straneh ali za kakršnekoli napake ter pomanjkljivosti v njihovi vsebini.
Avtorske pravice
Celotna vsebina teh spletnih strani je zaščitena kot avtorsko delo ali druga oblika intelektualne lastnine. Vse avtorske in druge pravice intelektualne lastnine pripadajo BE-GRE d.o.o.. Uporabnike obveščamo, da se dokumentov, objavljenih na teh spletnih straneh, ne sme prepisovati, razmnoževati ali kako drugače razširjati v komercialne namene brez izrecnega pisnega dovoljenja BE-GRE d.o.o..
Blagovne znamke
Blagovne znamke, trgovska imena ali imena podjetij, ki so tu navedena, so blagovne znamke ali registrirane blagovne znamke teh lastnikov.
Povezave z drugimi spletnimi stranmi in vsebina, dostopna prek teh strani
Naša spletna stran lahko vsebuje povezave do drugih spletnih strani, katerih varovanje podatkov je lahko drugačno od naše. Pri povezovanju z njimi morajo obiskovalci preveriti njihovo politiko zasebnosti, objavljeno na njihovih straneh.
Sprememba politike varovanja podatkov
BE-GRE d.o.o. lahko občasno spremeni politiko varovanja podatkov. Če se bo politika spremenila, bomo spremenjeno izjavo objavili tu in posodobili datum zadnje spremembe. Če imate kakršno koli vprašanje v zvezi s to politiko varovanja podatkov ali pa bi radi več informacij o naših ukrepih glede zasebnosti, se obrnite na nas preko kontaktnih podatkov na tej spletni strani.
Datum zadnje spremembe: 24. maj 2021
Uporaba piškotkov
Spletni piškotki (v nadaljevanju: piškotki) so majhne datoteke, ki jih med obiskom spletnega mesta strežnik pošlje uporabnikovemu brskalniku, ta pa jih nato naloži na uporabnikovo napravo (računalnik, tablico, pametni telefon), s katero uporabnik dostopa do spletnega mesta. Na spletnem mestu se uporabljajo piškotki, s katerimi se pridobijo informacije o načinu uporabe spletnega mesta. To so piškotki, ki preko podatka o naslovu internetnega protokola (IP) omogočajo predvsem analizo pogostosti in vsebine brskanja po spletnem mestu ter nekaterih vedenjskih vzorcev uporabnika (npr. uporabnikova zanimanja, navade, vedenje, izbire, nastavitve).
BE-GRE d.o.o. na spletnem mestu uporablja zgolj lastne piškotke. BE-GRE d.o.o. ne uporablja in ne omogoča tretjim osebam, da na uporabnikovo opremo namestijo svoje piškotke (t. i. piškotki tretjih, kot npr. Statcounter, Google, Google Analytics, Facebook), zato ni potrebe po pridobitvi uporabnikovega soglasja za uporabo piškotkov tretjih.
Uporabo piškotkov v Evropski uniji (EU) določa Direktiva o zasebnosti in elektronskih komunikacijah 2002/58/ES, katere člen, ki se nanaša na piškotke in podobne tehnologije, je bil spremenjen z Direktivo 136/2009. V slovenski zakonodaji uporabo piškotkov določa Zakon o elektronskih komunikacijah oziroma ZEKom-1 (Uradni list št. 109/2012), katerega člen 157 predstavlja pravno osnovo za skrb za zasebnost uporabnikov spleta.
Podatki o posameznih piškotkih, upravljavcih podatkov, ki se pridobijo s temi piškotki, namenih obdelave zbranih podatkov in trajanju piškotkov so navedeni v nadaljevanju:
SEZNAM UPORABLJENIH PIŠKOTKOV
piškotek |
trajanje |
opis |
---|---|---|
wb_6716_sid |
do konca seje |
Interni piškotek za uporabnikove nastavitve |
PH_HPXY_CHECK |
do konca seje |
Interni piškotek za uporabnikove nastavitve |
_ga_90CPB43NXM | 2 leti | Google Analytics zunanji piškotek za analitiko |
_ga | 2 leti | Google Analytics zunanji piškotek za analitiko |
NADZOR PIŠKOTKOV
Za uporabo piškotkov se odločate sami. Piškotke lahko vedno odstranite in s tem odstranite vašo prepoznavnost na spletu. Prav tako večino brskalnikov nastavite tako, da piškotkov ne sprejemajo.
Nastavitve piškotkov na tej spletne strani si lahko ponastavite tukaj.
Za informacije o zmožnostih posameznih brskalnikov predlagamo, da si ogledate nastavitve.