Politika zasebnosti družbe Kapriz

1. Osebni podatki

Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljivi posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so: ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali navedba enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

2. Nameni obdelave in podlage za obdelavo podatkov

Družba Kapriz d.o.o. zbira in obdeluje osebne podatke na naslednjih pravnih podlagah:

• obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
• obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe,
• obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba,
• posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo svojih osebnih podatkov v enega ali več določenih namenov,
• obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

2.1 Izvajanje sklenjene pogodbe

V primerih, ko posameznik z družbo Kapriz d.o.o. sklene pogodbo, ta predstavlja pravno podlago za obdelavo osebnih podatkov. Osebne podatke sme družba tako obdelovati za sklenitev in izvajanje pogodbe, kot je npr. prodaja storitev, priprava ponudbe, sodelovanje v različnih programih ipd. Če posameznik osebnih podatkov ne posreduje, družba ne more skleniti pogodbe, prav tako družba ne more izvesti storitve v skladu s sklenjeno pogodbo, saj nima potrebnih podatkov za izvedbo. Na tej podlagi družba obdeluje samo in izključno tiste osebne podatke, ki so potrebni za sklenitev in pravilno izvajanje pogodbenih obveznosti.

Pravna podlaga za obdelavo podatkov je pogodba. Rok hrambe je do izpolnitve namena pogodbe oziroma do šest let po prenehanju pogodbe, razen v primerih, ko pride med posameznikom in družbo do spora v zvezi s pogodbo. V takem primeru hrani družba podatke še deset let po pravnomočnosti sodne odločbe, arbitraže ali sodne poravnave ali, če sodnega spora ni bilo, šest let od dneva mirne razrešitve spora.

2.2 Zakoniti interes

Družba lahko osebne podatke obdeluje tudi na podlagi zakonitega interesa, za katerega si prizadeva. Slednje ni dopustno, kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. V primeru uporabe zakonitega interesa družba opravi presojo skladno z zakonodajo. Obdelava osebnih podatkov posameznikov za namene neposrednega trženja se šteje za opravljeno v zakonitem interesu.

Družba lahko obdeluje osebne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja storitev, zaposlitev, obveščanja o ugodnostih, dogodkih ipd. Za dosego teh namenov lahko družba uporablja navadno pošto, telefonske klice, elektronsko pošto in druga telekomunikacijska sredstva. Za namene neposrednega trženja lahko družba obdeluje naslednje osebne podatke posameznikov: ime in priimek posameznika, naslov stalnega ali začasnega prebivališča, telefonsko številko in naslov elektronske pošte. Navedene osebne podatke lahko za namene neposrednega trženja družba obdeluje tudi brez izrecne privolitve posameznika. Posameznik lahko kadar koli zahteva prekinitev tovrstnega komuniciranja in obdelave osebnih podatkov ter prekliče prejemanje sporočil preko povezave za odjavo v prejetem sporočilu ali posreduje zahtevek po elektronski pošti ali z redno pošto na naslov družbe.

Pravna podlaga za obdelavo podatkov je zakoniti interes. Podatki se bodo obdelovali do preklica prejemanja sporočil oziroma do izpolnitve namena obdelave. Preklic ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

2.3 Obdelava na podlagi privolitve oziroma soglasja

Če družba nima pravne podlage, izkazane na podlagi zakona, pogodbene obveznosti, zakonitega interesa ali zaščite življenja posameznika, sme posameznika zaprositi za privolitev oziroma soglasje. Tako lahko obdeluje določene osebne podatke posameznika tudi za naslednje namene, kadar posameznik poda za to soglasje:

• naslov prebivališča in naslov elektronske pošte (za namene obveščanja in komunikacije),
• fotografije, videoposnetki in druge vsebine, ki se nanašajo na posameznika (npr. objava slik posameznikov na spletni strani za namene dokumentiranja aktivnosti in obveščanja javnosti o delu in dogodkih družbe,
• druge namene, za katere se posameznik strinja s privolitvijo.

Če posameznik poda soglasje za obdelavo osebnih podatkov in v nekem trenutku tega več ne želi, lahko zahteva prekinitev obdelave osebnih podatkov z zahtevkom po elektronski pošti ali z redno pošto na naslov družbe. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Po prejemu preklica ali zahteve za izbris se podatki izbrišejo najkasneje v petnajstih dneh. Družba lahko te podatke izbriše tudi pred preklicem, kadar je bil dosežen namen obdelave osebnih podatkov, ali če tako določa zakon.

Izjemoma lahko družba zavrne zahtevo za izbris iz razlogov iz Splošne uredbe v primerih uresničevanja pravice do svobode izražanja in obveščanja, izpolnjevanja pravne obveznosti obdelave, razlogov javnega interesa na področju javnega zdravja, namenov arhiviranja v javnem interesu, znanstveno- ali zgodovinsko raziskovalnih namenov, statističnih namenov, izvajanja ali obrambe pravnih zahtevkov.

Pravna podlaga za obdelavo podatkov je privolitev. Podatki se bodo obdelovali do preklica oziroma do umika privolitve oziroma do izpolnitve namena obdelave. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

2.4 Zaščita življenjskih interesov posameznika

Družba lahko obdeluje osebne podatke posameznika, na katerega se nanašajo osebni podatki, v kolikor je to nujno za zaščito njegovih življenjskih interesov. V nujnih primerih lahko družba poišče osebni dokument posameznika, preveri, ali ta oseba obstaja v njegovi zbirki podatkov, preuči njegovo anamnezo ali naveže stik z njegovimi svojci, za kar družba ne potrebuje posameznikove privolitve. Navedeno velja v primeru, ko je to nujno potrebno za zaščito življenjskih interesov posameznika.

3. Hramba in izbris osebnih podatkov

Družba Kapriz d.o.o. hrani osebne podatke le toliko časa, dokler je to potrebno za uresničitev namena, zaradi katerega so bili osebni podatki zbrani in obdelovani. V kolikor družba podatke obdeluje na podlagi zakona, jih bo hranila za obdobje, ki ga predpisuje zakon. Pri tem se nekateri podatki hranijo v času sodelovanja z družbo, nekatere podatke pa je treba hraniti trajno. Osebne podatke, ki jih družba obdeluje na podlagi pogodbenega odnosa s posameznikom, družba hrani za obdobje, ki je potrebno za izvršitev pogodbe in še šest let po njenem prenehanju, razen v primerih, ko pride med posameznikom in družno do spora v zvezi s pogodbo. V takem primeru hrani družba podatke še deset let po pravnomočnosti sodne odločbe, arbitraže ali sodne poravnave ali, če sodnega spora ni bilo, šestlet od dneva mirne razrešitve spora. Tiste osebne podatke, ki jih družba obdeluje na podlagi osebne privolite posameznika ali zakonitega interesa, bo družba hranila do preklica privolitve ali do zahteve za izbris podatkov. Po prejemu preklica ali zahteve za izbris se podatki izbrišejo brez nepotrebnega odlašanja. Družba lahko te podatke izbriše tudi pred preklicem, kadar je bil dosežen namen obdelave osebnih podatkov, ali če tako določa zakon. V primeru uveljavljanja pravic posameznika družba hrani osebne podatke tega posameznika, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.

Izjemoma lahko družba zavrne zahtevo za izbris iz razlogov, kot so: uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravne obveznosti obdelave, razlogi javnega interesa na področju javnega zdravja, nameni arhiviranja v javnem interesu, znanstveno- ali zgodovinsko raziskovalni nameni ali statistični nameni, izvajanje ali obramba pravnih zahtevkov. Po preteku obdobja hrambe mora družba osebne podatke učinkovito in trajno izbrisati ali anonimizirati, tako da jih ni več mogoče povezati z določenim posameznikom.

4. Pogodbena obdelava osebnih podatkov in iznos podatkov

Družba lahko posamezne obdelave osebnih podatkov na podlagi pogodbe o pogodbeni obdelavi zaupa pogodbenemu obdelovalcu. Pogodbeni obdelovalci lahko zaupane podatke obdelujejo izključno v imenu upravljavca, v mejah njegovega pooblastila, ki je zapisano v pisni pogodbi oziroma drugem pravnem aktu in skladno z nameni, ki so opredeljeni v tej politiki zasebnosti. Pogodbeni obdelovalci, s katerimi sodeluje družba Kapriz d.o.o., so predvsem:

• računovodske storitve ter drugi ponudniki pravnega in poslovnega svetovanja,
• vzdrževalci infrastrukture (varnostne storitve),
• vzdrževalci informacijskih sistemov,
• ponudniki e-poštnih storitev in ponudniki programske opreme, storitev v oblaku (npr. Microsoft, Google),
• ponudniki družbenih omrežij in spletnega oglaševanja (Google, Facebook, Linkedin ipd.).

Družba za namene boljšega pregleda in nadzora nad pogodbenimi obdelovalci in urejenosti medsebojnega pogodbenega razmerja vodi seznam pogodbenih obdelovalcev, v katerem so navedeni vsi konkretni pogodbeni obdelovalci, s katerimi družba sodeluje.

Družba v nobenem primeru ne bo posredovala osebnih podatkov posameznika tretjim nepooblaščenim osebam. Pogodbeni obdelovalci smejo osebne podatke obdelovati zgolj v okviru navodil družbe Kapriz d.o.o. in osebnih podatkov ne smejo uporabiti za katere koli druge namene.

5. Informacije o prenosih osebnih podatkov v tretjo državo

Družba kot upravljavec in njegovi zaposleni osebnih podatkov ne iznašajo v tretje države (izven držav članic Evropskega gospodarskega prostora – članice EU ter Islandija, Norveška in Liechtenstein) in v mednarodne organizacije, razen v ZDA, pri čemer so razmerja s pogodbenimi obdelovalci iz ZDA urejena na podlagi standardnih pogodbenih klavzul (tipske pogodbe, ki jih je sprejela Evropska komisija) in/ali zavezujočih poslovnih pravil (ki jih sprejme družba in potrdijo nadzorni organi v EU).

Na naši spletni strani uporabljamo vtičnik družbenega omrežja Facebook, ki ga upravlja družba Meta Platforms, Inc., 1 Hacker Way, Menlo Park, Kalifornija, ZDA. Vtičnik je označen z logotipom Facebook.

Ko se posameznik nahaja na naši spletni strani, ki vsebuje takšen vtičnik, njegov brskalnik vzpostavi neposredno povezavo s Facebookovimi strežniki. Facebook prenese vsebino vtičnika neposredno v posameznikov brskalnik in ga vključi v spletno stran. S tem Facebook prejme informacijo, da je posameznikov brskalnik priklical pravo stran našega spletnega mesta, četudi posameznik Facebook profila nima ali v trenutku uporabe ni vpisan v svoj Facebook račun. To informacijo vključno z IP naslovom posameznikov brskalnik posreduje na Facebookov strežnik v ZDA in ga tam shrani.

Kadar posameznik uporablja vtičnik, je prijavljen v svoj Facebook profil, in ko npr. klikne na gumb Všeč mi je ali napiše komentar, se ta informacija prav tako prenese neposredno na Facebookov strežnik, kjer se shrani. Informacije se prav tako objavijo na posameznikovem Facebook profilu, tako da jih lahko vidijo njegovi Facebook prijatelji.

Več o namenu in obsegu pridobivanja podatkov, njihovi nadaljnji obdelavi in uporabi na Facebooku ter o pravicah in možnostih nastavitve zaščite zasebnosti lahko posameznik prebere na: https://www.facebook.com/privacy/policy/?entry_point=data_policy_redirect&entry=0.

Kadar posameznik ne želi, da se podatki, ki jih Facebook pridobi na našem spletnem mestu, zapišejo in shranijo v njegovem Facebook računu, mora biti pred obiskom našega spletnega mesta odjavljen iz svojega računa Facebooku. Nalaganje Facebook vtičnika lahko prepreči tudi z ustreznim programskim dodatkom za brskalnik.

Na naši spletni strani uporabljamo tudi vtičnik družbe LinkedIn Corporation, Sunnyvale, Kalifornija, ZDA ali LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irska za uporabnike iz držav članic EU. Povezava z vtičnikom je prepoznavna po logotipu Linkedin.

Kadar posameznik obišče spletno stran z navedenim vtičnikom, se ustvari neposredna povezava med njegovim brskalnikom in strežnikom LinkedIn. Na ta način LinkedIn prejme informacije o tem, da je posameznik s svojega IP naslova obiskal našo spletno stran. Če klikne na povezavo Share Button, ko je prijavljen v svoj LinkedIn račun, lahko vsebino naše spletne strani poveže s svojim LinkedIn profilom. Na ta način lahko LinkedIn poveže obisk naših spletnih strani s posameznikovim LinkedIn uporabniškim računom.

Kadar posameznik ne želi, da se podatki, ki jih LinkedIn pridobi na našem spletnem mestu, shranijo v njegov LinkedIn račun, mora biti pred obiskom našega spletnega mesta odjavljen iz svojega LinkedIn računa.

Podrobnosti o namenu, obsegu, nadaljnji obdelavi in uporabi podatkov ter o pravicah posameznika in možnostih spreminjanja nastavitev se nahaja v politiki zasebnosti družbe LinkedIn na https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy.

6. Piškotki

Spletna stran družbe Kapriz d.o.o. gostuje na strežniški infrastrukturi pogodbenega obdelovalca s sedežem v Sloveniji in uporablja samo nujne (sejne) piškotke, za katere ne potrebujemo privolitve posameznika.

7. Varovanje podatkov in točnost podatkov

Družba skrbi za informacijsko varnost in varnost infrastrukture (prostorov in aplikativno-sistemske programske opreme). Naši informacijski sistemi so med drugim zaščiteni s protivirusnimi programi in požarnim zidom. Uvedli smo ustrezne organizacijsko-tehnične varnostne ukrepe, namenjene varstvu osebnih podatkov pred naključnim ali nezakonitim uničenjem, izgubo, spreminjanjem, nepooblaščenim razkrivanjem ali dostopom ter pred drugimi nezakonitimi in nepooblaščenimi oblikami obdelave. V primeru posredovanja posebnih vrst osebnih podatkov, jih posredujemo v šifrirani obliki in zaščitene z geslom. Posameznik je sam odgovoren, da svoje osebne podatke posreduje varno, ter da so posredovani podatki točni in verodostojni.

8. Pravice posameznika glede obdelave podatkov

Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi z njim ter pravico do ugovora obdelavi in pravico do prenosljivosti podatkov. Zahteva posameznika se obravnava skladno z določbami Splošne uredbe in veljavne zakonodaje s področja varstva osebnih podatkov.

Vse navedene pravice in vsa vprašanja lahko posameznik uveljavlja z zahtevkom, poslanim na naslov družbe Kapriz d.o.o. Na zahtevek posameznika bo družba odgovorila brez nepotrebnega odlašanja, najkasneje v enem mesecu po prejemu zahteve. Ta rok se lahko ob upoštevanju kompleksnosti in števila zahtev podaljša za največ dva dodatna meseca, o čemer bo posameznik obveščen, skupaj z razlogi za zamudo. Uveljavljanje pravic je za posameznika brezplačno, vendar pa lahko družba zaračuna razumno plačilo, če je zahteva očitno neutemeljena ali pretirana, zlasti če se ponavlja. V takšnem primeru lahko družba zahtevo tudi zavrne. V primeru dvoma o identiteti posameznika se lahko zahteva dodatne informacije, ki jih družba potrebuje za ugotovitev identitete.

Družba bo v odločitvi o zahtevi posameznika seznanila tudi z razlogi odločitve in informacijo o pravici do pritožbe pri nadzornem organu v roku petnajst dni od seznanitve z odločitvijo. Pravico do vložitve pritožbe pri nadzornem organu lahko posameznik uveljavlja pri: Informacijskemu pooblaščencu RS na naslovu: Dunajska 22, 1000 Ljubljana (e-naslov: gp.ip@ip-rs.si, spletna stran: www.ip-rs.si).

Politika zasebnosti v družbi Kapriz d.o.o. velja od 1. februarja 2023 dalje.