S politiko varstva osebnih podatkov v javnem zavodu Kinodvor (v nadaljevanju Kinodvor) določamo našo zavezo spoštovanju vaše zasebnosti in odgovornega ravnanja z vašimi osebnimi podatki.
V Kinodvoru se zavedamo pomena varstva zasebnosti, zato so vsi zaposleni, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, seznanjeni z določbami Splošne uredbe Evropskega parlamenta in sveta 679/2016 o varstvu osebnih podatkov (v nadaljevanju: Uredba GDPR), z Zakonom o varstvu osebnih podatkov (UL RS, št. 163/22 – ZVOP-2), veljavnimi nacionalnimi predpisi in smernicami ter mnenji pristojnih nadzornih institucij za varstvo osebnih podatkov s področja našega dela.
I. POMEN SPLOŠNIH IZRAZOV
- “osebni podatki” pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
- “posebni osebni podatki” pomeni podatek, ki razkriva rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelavo genetskih podatkov, biometričnih podatkov, podatek v zvezi z zdravjem, socialnim položajem in varstvo, posameznikovim spolnim življenjem ali spolno usmerjenostjo;
- “obdelava” pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
- “omejitev obdelave” pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
- “zbirka” pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
- “upravljavec” je podjetje oziroma institucija – javni zavod, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Evropske Unije ali nacionalni predpisi, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Evropske Unije ali nacionalnimi predpisi;
- “obdelovalec” pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
- “uporabnik” pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je to tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Evropske Unije ali nacionalnimi predpisi, ne štejejo za uporabnike. Obdelava podatkov s strani javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
- “tretja oseba” pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
- “privolitev posameznika, na katerega se nanašajo osebni podatki” pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
- “kršitev varstva osebnih podatkov” pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
- “nadzorni organ” pomeni neodvisen javni organ, v Sloveniji je to Informacijski pooblaščenec (v nadaljevanju IP)
II. NAČELA, KI JIH SPOŠTUJEMO PRI OBDELAVI OSEBNIH PODATKOV
Načela, ki veljajo pri upoštevanju Uredbe GDPR in nacionalnih predpisov v Kinodvoru, so:
Načelo zakonitosti, pravičnosti in preglednosti pomeni, da so podatki obdelani zakonito, pošteno in na pregleden način in v zvezi s posameznikom, na katerega se osebni podatki nanašajo.
Načelo omejitve namena pomeni, da so osebni podatki posameznika zbrani za določene, izrecne in zakonite namene in se nadalje ne obdelujejo z namenom, ki ni združljiv s tem namenom, razen kadar gre za namen arhiviranja v javnem interesu, v znanstveno raziskovalne, zgodovinsko raziskovalne namene ali statistične namene.
Načelo najmanjšega obsega podatkov pomeni, da so osebni podatki ustrezni, relevantni in omejeni na razlog, zaradi katerega se zbirajo, torej za namen, za katerega se obdelujejo.
Načelo točnosti pomeni, da so zbrani osebni podatki točni in po potrebi posodobljeni. Potrebno je zagotoviti ustrezne ukrepe, da se netočni osebni podatki kadarkoli izbrišejo ali popravijo ob upoštevanju namenov, zaradi katerih se obdelujejo.
Načelo omejitve shranjevanja pomeni, da so osebni podatki shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in sicer zgolj toliko časa, kolikor je to potrebno za namene, zaradi katerih se ti podatki obdelujejo. Za daljše obdobje se lahko shranjujejo le osebni podatki posameznikov, kadar gre za arhiviranje v javnem interesu, za znanstveno raziskovalne, zgodovinsko raziskovalne ali statistične namene.
Načelo celovitosti in zaupnosti pomeni, da se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključujoč zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi organizacijskimi in tehničnimi ukrepi.
Načelo odgovornosti pomeni, da je upravljavec osebnih podatkov odgovoren za obdelavo osebnih podatkov skladno z omenjenimi načeli ter je to zmožen vsak čas dokazati.
III. UPRAVLJAVEC OSEBNIH PODATKOV
V primeru, da sodelujete z našim javnim zavodom, je upravljavec vaših osebnih podatkov, javni zavod Kinodvor, Kolodvorska 13, 1000 Ljubljana.
Z vašimi osebnimi podatki ravnamo skrbno in imamo za varovanje osebnih podatkov vzpostavljene ustrezne tehnične in organizacijske ukrepe.
IV. OBDELOVALCI OSEBNIH PODATKOV
V določenih primerih lahko vaše podatke obdelujejo tudi naši pogodbeni obdelovalci. Obdelovalci podatke obdelujejo izključno po naših navodilih in v našem imenu. Gre za zaupanja vredne pravne osebe ali posameznike, ki jih ustrezno preverimo pred sklenitvijo pogodbe o pogodbeni obdelavi, s katero se obe pogodbeni strani zavežeta k skrbni in zakoniti obdelavi vseh osebnih podatkov, s katerimi prideta v stik.
V. VRSTE OSEBNIH PODATKOV IN NAMEN OBDELAVE
Vaše podatke obdelujemo izključno na podlagi vaše predhodne privolitve in v skladu z namenom privolitve.
Zbiramo različne vrste osebnih podatkov, točno katere, pa je odvisno od vrste pogodbenega ali drugega sodelovanja z vami. Od vrste pogodbenega sodelovanja je odvisen tudi namen obdelave vaših osebnih podatkov.
VI. POSREDOVANJE PODATKOV TRETJIM OSEBAM
Osebne podatke posredujemo tretjim osebam le v primeru:
- da nam to nalagajo zakoniti predpisi ali
- vašega soglasja.
VII. HRANJENJE OSEBNIH PODATKOV
Vaše osebne podatke hranimo le do izpolnitve namena, za katerega so bili dani, oziroma toliko časa, kot nam to nalagajo zakoniti predpisi.
VIII. PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI
Za vse osebne podatke, ki nam jih zaupate, imate kadar koli pravico do:
- dostopa do podatkov,
- popravka podatkov,
- izbrisa (»pravica do pozabe«),
- omejitve obdelave,
- prenosljivosti podatkov,
- ugovora
a) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca zahtevati, da mu da pojasnilo, ali se v zvezi z njim obdelujejo kakšni osebni podatki. Kadar se podatki tega posameznika obdelujejo, je upravljavec posamezniku dolžan omogočiti dostop do osebnih podatkov in posameznika obvestiti o namenu obdelave osebnih podatkov, o vrstah zadevnih podatkov, uporabnikih, ki so jim ali jim bodo podatki razkriti, predvideno obdobje hranjenja osebnih podatkov ali merila, na podlagi katerih se določa obdobje hrambe osebnih podatkov, o posameznikovi pravici, da zahteva popravek, izbris ali omejitev obdelave ali ugovora taki obdelavi. Prav tako mora sporočiti posamezniku, da ima pravico do pritožbe pri nadzornem organu ter vse preostale razpoložljive informacije o viru zbiranja njegovih osebnih podatkov, kadar le-ti niso zbrani pri posamezniku.
b) Posameznik, na katerega se osebni podatki nanašajo, ima pravico kadarkoli zahtevati, da upravljavec brez nepotrebnega odlašanja popravi netočne podatke v zvezi z njim oziroma zahteva dopolnitev nepopolnih podatkov, vključno s predložitvijo dopolnilne izjave.
c) Kadar se izpolni eden od naslednjih pogojev:
- osebni podatki posameznika niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani,
- posameznik, na katerega se nanašajo osebni podatki, prekliče podano soglasje oziroma privolitev k zbiranju in obdelavi njegovih osebnih podatkov in ne obstaja nobena druga pravna podlaga za zbiranje osebnih podatkov,
- posameznik ugovarja obdelavi osebnih podatkov, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi,
- osebni podatki so bili obdelani nezakonito,
- osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe,
ima posameznik pravico, da upravljavec osebne podatke, ki se nanj nanašajo, brez nepotrebnega odlašanja izbriše.
Navedena pravica posameznika, na katerega se nanašajo osebni podatki, se ne uporablja, kadar je obdelava osebnih podatkov potrebna zaradi zagotavljanja pravice do svobode izražanja in obveščanja, za izpolnjevanje pravne obveznosti obdelave na podlagi prava Evropske Unije ali nacionalnega prava ali za izvajanje javnih nalog v javnem interesu ali kadar gre za izvajanje javne oblasti, ki je bila dodeljena upravljavcu, iz razloga javnega interesa na področju javnega zdravja in zaradi namena arhiviranja v javnem interesu, znanstveno raziskovalnih, zgodovinsko raziskovalnih ali statističnih namenov oziroma kadar gre za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
d) Posameznik ima pravico od upravljavca zahtevati, da obdelavo njegovih osebnih podatkov omeji. Omejitev obdelave se sme uporabljati, kadar:
- posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
- je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
e) Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral.
f) Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim.
IX. OBVEZNOSTI UPRAVLJAVCA
Kinodvor o vaši zahtevi odloči brez nepotrebnega odlašanja, najkasneje pa v roku enega meseca po prejemu zahteve. V kolikor gre za zahtevnejšo zadevo ali kadar gre za večje število zahtev, se sme navedeni rok podaljšati še največ za dva dodatna meseca, o čemer vas obvestimo najkasneje v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo in pravnim poukom.
Kinodvor lahko o vaši vlogi odloči v obliki pisnega obvestila, ki mora vključevati obrazložitev razlogov za upravljavčevo odločitev in informacijo o pravici do pritožbe v skladu z nacionalnimi predpisi.
Kinodvor nosi breme dokazovanja točnosti in posodobljenosti osebnih podatkov in zakonitosti obdelave osebnih podatkov, če osebni podatki niso bili pridobljeni izključno na podlagi navedb posameznika, na katerega se osebni podatki nanašajo.
Če je vaša zahteva nepopolna ali nerazumljiva, je samo zaradi tega ni dovoljeno zavreči. Kinodvor mora v roku petih delovnih dni zahtevati, da se pomanjkljivosti odpravijo, in navesti, da naj vlagatelj zahtevo dopolni v roku treh delovnih dni.
Če pomanjkljivosti odpravite v roku, se šteje, da je vloga vložena takrat, ko je bila vložena zahteva, s katero so pomanjkljivosti odpravljene. Če v tem roku pomanjkljivosti ne odpravite, Kinodvor s sklepom zavrže zahtevo. Zoper ta sklep je dovoljena pritožba.
Kadar vašo zahtevo zavrnemo, lahko pri Kinodvoru vložite obrazloženo pritožbo v roku 15 dni od prejema obvestila ali odločbe Kinodvora.
Kinodvor od prejema vaše zahteve do ugoditve ali v primeru zavrnitve vaše zahteve do pravnomočnega zaključka ne sme uničiti, spremeniti ali odsvojiti zahtevanih osebnih podatkov ne glede na potek predpisanih ali interno določenih rokov hrambe osebnih podatkov.
X. POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV
Za kakršna koli vprašanja povezana z obdelavo vaših osebnih podatkov ali za uresničevanje vaših pravic v zvezi z osebnimi podatki, se lahko obrnete na našo Pooblaščeno osebo za varstvo podatkov, podjetje Omnimodo, d.o.o., telefon: 01 23 223 47, elektronski naslov: dpo@omnimodo.si.
Če menite, da so vam bile kakor koli kršene pravice do varstva osebnih podatkov, ali da o vaši zahtevi nismo odločili v določenem roku, se lahko pritožite na nadzorni organ: Informacijski pooblaščenec, Zaloška 59, 1000 Ljubljana.
XI. SPREMEMBE POLITIKE
Politika varstva osebnih podatkov se lahko spremeni. Spremembe bodo objavljene na enak način, kot je objavljena ta politika.
Datum: 14.09.2023
Javni zavod Kinodvor
Metka Dariš, direktorica