Politika zasebnosti
Politika zasebnosti
Na podlagi veljavne zakonodaje* organizacija PAROSA Jasmina Ivanović s.p., Pločanska ulica 3, 1211 Ljubljana Šmartno, Matična številka 6272797000, Davčna številka SI 12115932 z dnem 01.08.2025 sprejema naslednji
PRAVILNIK O VAROVANJU OSEBNIH PODATKOV
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo postopki in ukrepi za varovanje osebnih podatkov v organizaciji z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z veljavno zakonodajo ter z vsebino tega pravilnika. Določila tega pravilnika veljajo in se smiselno uporabljajo tudi za zunanje sodelavce, pogodbene partnerje in kandidate za sklenitev delovnega razmerja.
2. člen
Za osebne podatke se štejejo:
- identifikacijski podatki o posamezniku,
- podatki, ki se nanašajo na plačilne pogoje kupcev,
- podatki o zaposlenih,
- podatki o uporabi kontaktnih sredstev strank in zaposlenih,
- podatki, ki jih organizacija obdeluje na podlagi registrirane dejavnosti,
- podatki iz naprav, ki elektronsko beležijo delovni čas.
3. člen
Varovanje osebnih podatkov zajema postopke in ukrepe, s katerimi se:
- varujejo prostori, aparature in programska oprema,
- zagotavlja varnost posredovanja in prenosa osebnih podatkov,
- preprečuje nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do njihovih zbirk,
- omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vpisani in uporabljeni v zbirki podatkov
- in kdo je to storil – za obdobje, za katero se posamezni podatki shranjujejo.
4. člen
Organizacija pri opravljanju svoje dejavnosti ne obdeluje občutljivih osebnih podatkov.
Občutljivi osebni podatki (posebni podatki) se lahko obdelujejo le v naslednjih primerih:
- če je posameznik za to podal izrecno osebno privolitev;
- če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja;
- če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve;
- če je posameznik, na katerega se nanašajo občutljivi osebni podatki, le-te sam javno objavil brez
- očitnega ali izrecnega namena, da omeji namen njihove uporabe;
- če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku.
5. člen
Organizacija za vsako zbirko osebnih podatkov vzpostavi Evidenco dejavnosti obdelave teh osebnih podatkov.
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
6. člen
Dostop v prostore je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja direktorja ali druge pooblaščene osebe.
Prostori organizacije se morajo izven delovnega časa zaklepati, računalniki so izklopljeni, dostop pa je omejen z geslom.
7. člen
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
8. člen
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih organizacije, pri čemer se podatki obdelujejo zakonito in pošteno.
Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli pooblaščena oseba. Tako posredovanje se evidentira.
9. člen
Vzdrževanje in popravila strojne računalniške in programske opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z odobritvijo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo z organizacijam sklenjeno ustrezno pogodbo o servisiranju računalniške opreme.
10. člen
Pooblaščena oseba organizacije mora biti ves čas servisiranja računalnika in programske opreme prisotna in mora nadzirati, da ni nedopustnega ravnanja z osebnimi podatki.
11. člen
Vsebina diskov mrežnega strežnika, kjer se nahajajo osebni podatki, se sprotno preverja s protivirusnimi programi.
12. člen
Vsa gesla in postopki, ki se uporabljajo za vstop v programe in administriranje se varujejo pred dostopom nepooblaščenih oseb.
13. člen
Za primer izjemnih situacij se lahko zagotavlja kopija vsebine mrežnega strežnika. Te kopije se hranijo v za to določenih mestih, ki morajo biti zavarovana.
III. OBDELAVA OSEBNIH PODATKOV
14. člen
Osebni podatki v organizaciji se lahko obdelujejo, če to določa zakon ali če je za obdelavo podana osebna privolitev posameznika, ki je lastnoročno podpisana (soglasje).
V organizaciji se lahko obdelujejo osebni podatki posameznikov, ki so z organizacijo že sklenili pogodbo ali pa so v fazi pogajanj za sklenitev pogodbe, če je obdelava njihovih osebnih podatkov potrebna za sklenitev pogodbe ali za izpolnjevanje pogodbe.
V organizaciji se lahko obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov
organizacije in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.
15. člen
Namen obdelave osebnih podatkov v organizaciji je opredeljen z zakonom. V primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.
16. člen
Osebne podatke lahko pridobivajo in obdelujejo le zaposleni v organizaciji. Pooblastilo za pridobivanje ali obdelavo osebnih podatkov mora biti opredeljeno v opisu delovnih nalog ali v posebnem pooblastilu zastopnika organizacije.
IV. POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV (DPO)
17. člen
Organizacija glede na dejavnost G46.190 – Posredništvo pri nespecializirani prodaji na debelo, na dan sprejema tega pravilnika ni zavezana za imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO).
Organizacija hkrati ugotavlja, da dejavnost opravlja, kot spletna trgovina, kar jo zavezuje k imenovanju DPO. Za
DPO se imenuje direktorica, Jasmina Ivanović.
18. člen
Organizacija lahko, ne glede na izpolnjevanje obveznosti iz prejšnjega člena, na funkcijo DPO imenuje direktorja ali zunanjo strokovno osebo.
V. OBVEŠČANJE JAVNOSTI IN POSAMEZNIKOV
19. člen
Organizacija bo posamezniku, na katerega se nanašajo osebni podatki, glede na svojo dejavnost, zagotavljala:
- vse informacije, potrebne za zagotavljanje poštene obdelave osebnih podatkov;
- obvestila posameznika o pravici do umika privolitve (soglasja) obdelave njegovih osebnih podatkov;
- obvestila posameznika o pravici do pritožbe na obdelavo podatkov;
- brez nepotrebnega odlašanja obvestila o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika.
20. člen
Sporočilo posamezniku o kršitvi varstva osebnih podatkov ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:
- organizacija je že izvedla ustrezne zaščitne ukrepe;
- to bi zahtevalo nesorazmeren napor.
V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
21. člen
V primeru kršitve varstva osebnih podatkov je organizacija o kršitvi dolžna uradno obvestiti nadzorni organ (Informacijskega pooblaščenca RS) brez nepotrebnega odlašanja ali najpozneje v 72 urah po seznanitvi s kršitvijo, razen, če lahko organizacija v skladu z načelom odgovornosti ugotovi, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.
Organizacija dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva
osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost.
22. člen
Prav tako bo organizacija obvestila posameznika, na katerega se kršitev nanaša, o nastali kršitvi In o ukrepih brez nepotrebnega odlašanja oz. najkasneje v roku 30 dni od prejema zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. O vsakem takem podaljšanju bo organizacija obvestila posameznika v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.
VI. POGODBENA (ZUNANJA) OBDELAVA OSEBNIH PODATKOV
23. člen
Organizacija lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti.
Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz tega pravilnika ter materialne obveznosti pogodbenega obdelovalca v primeru, da pride do nepooblaščenega razkritja osebnih podatkov po njegovi krivdi.
24. člen
Zaposleni oz. oseba, o kateri se vodijo osebni podatki, lahko vpogleda v osebne podatke, vodene o njem in jih ima pravico prepisati ali kopirati.
Vpogled in prepis osebnih podatkov mora biti osebi omogočen v 15 dneh od dneva, ko je vložil pisno zahtevo. Oseba ima pravico zahtevati, da ji organizacija posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo. Izpis je treba osebi zagotoviti v 30 dneh od dneva prejema pisne zahteve. Stroške izpisa, ki ga je mogoče pridobiti enkrat na 3 mesece, nosi organizacija.
VII. EVIDENCA DEJAVNOSTI OBDELAVE
25. člen
Organizacija ugotavlja, da so izpolnjeni pogoji za vodenje obveznih Evidenc dejavnosti obdelave, ki jih bo vodila z namenom, da se lahko dokazuje njeno delovanje v skladu z načelom odgovornosti in zaščite pravic in svoboščin posameznikov.
26. člen
Vsaka evidenca dejavnosti obdelave osebnih podatkov vsebuje naslednje informacije:
- naziv in kontaktne podatke organizacije;
- namene obdelave;
- opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
- kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki;
- predvidene roke za izbris različnih vrst podatkov;
- kadar je mogoče, splošni opis varnostnih ukrepov.
VIII. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV
27. člen
Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v organizaciji, so odgovorni direktor in zunanja računovodska služba.
28. člen
Zunanji računovodski servis je pooblaščen, da za potrebe dela vpogleda v osebne podatke, vsebovane v vseh zbirkah osebnih podatkov, vodenih v organizaciji in jih uporabi. To pooblastilo velja samo v času trajanja pogodbenega razmerja (do preklica).
ZBIRKE OSEBNIH PODATKOV, ZA KATERE JE POTREBNO SOGLASJE
29. člen
Pisno soglasje zaposlenih in strank mora organizacija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov, ki ga namerava voditi, pa taka zbirka ali osebni podatek ni predpisana z zakonom.
Osebne podatke zaposlenih ter strank lahko organizacija zbira, obdeluje, uporablja in dostavlja tretjim osebam samo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi s sklenjeno pogodbo.
30. člen
Pisno soglasje mora vsebovati:
- jasno opredeljeno voljo za izdajo soglasja;
- navedbo podatkov, ki se zbirajo;
- natančno opredeljen namen zbiranja podatkov;
- zagotovilo, da se bodo podatki uporabljali le za namen, za katerega so zbrani;
- čas shranjevanja podatkov;
- seznanitev z možnostjo preklica soglasja;
- datum podpisa izjave in podpis osebe.
VIDEONADZOR
31. člen
Videonadzor se v organizaciji ne izvaja.
IX. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
32. člen
Zaposleni, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v organizacijo.
Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega brez označbe njegovega uradnega položaja in šele nato naslov organizacije.
X. UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV
33. člen
Zaposleni organizacije so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.
Zaposleni, ki izve ali opazi, da je prišlo do zlorabe ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti pooblaščeno osebo.
Pooblaščena oseba mora zoper tistega, ki je zlorabil osebne podatke in je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.
34. člen
Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora biti zaposleni seznanjen z določbami tega pravilnika, določbami Zakona o varstvu osebnih podatkov ter o posledicah kršitve.
Pred nastopom dela zaposlenega mora zaposleni podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne in poslovne skrivnosti in ga opozarja na posledice kršitve zaveze.
XI. KONČNE DOLOČBE
35. člen
Pravilnik, kot tudi njegove spremembe in dopolnitve sprejema odgovorna oseba organizacije.
Ta Pravilnik začne veljati takoj po sprejemu. Pravilnik se hrani v pisarni zastopnika organizacije.
* Veljavna zakonodaja
Zakon o varstvu osebnih podatkov
Uradni list RS, št. 163/22
Splošna uredba o varstvu podatkov
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES
Zakon o evidencah na področju dela in socialne varnosti
Uradni list RS, št. 40/06 in 50/23
KLASIFIKACIJSKI NAČRT ORGANIZACIJE (ROKI HRAMBE DOKUMENTOV)
| Znak | Pomen klas. znaka | Roki | Opombe z obrazložitvijo |
|---|---|---|---|
| 0 Organizacija in vodenje | |||
| 00 | Splošno o organizaciji in akti organizacije | A | Splošno o organizaciji, ustanovitveni akti, korespondenca, sporazumi, pogodbe. |
| 001 | Ustanovitev organizacije | A | Vpis v sodni register in zastopanje. |
| 002 | Statusne spremembe | A | Statusno preoblikovanje. |
| 003 | Vpis v sodni register | A | Registracija. |
| 004 | Pravno zastopanje | T | Zastopanje. |
| 1 Notranja organizacija in poslovanje | |||
| 10 | Poslovne enote | T | Le splošni dopisi in korespondenca. |
| 2 Pravne zadeve | |||
| 200 | Splošno | A | Postopki pred sodišči ali drugimi organi. |
| 201 | Ostala dokumentacija | A | Postopki v zvezi z nepremičninami. |
| 202 | Odločitve in sklepi | T | Delovni spori, disciplinski postopki. |
| 203 | Pooblastila | T | Pooblastila. |
| 204 | Osebni podatki | A | Izjave o varovanju, pooblastila, evidenca. |
| 3 Nadzor | |||
| 300 | Notranji nadzor | A | Poročila, standardi. |
| 301 | Revizija | T | Poročila, zapisniki z gradivom. |
| 4 Delovna razmerja | |||
| 400 | Delovna razmerja | 5 | Predpisi in splošni akti. |
| 401 | Kadrovski plani | A | Letni kadrovski načrt, poročila, analize, statistika. |
| 402 | Personalne mape | T | Dokumenti v personalni mapi. |
| 403 | Sklenitev delovnega razmerja | T | Sklep, vloga, izbira kandidata. Vloge neizbranih kandidatov. |
| 404 | Prenehanje del. razmerja | T · 2 | Sporazum, sklepi, odpoved. |
| 405 | Druge pravice | T | Letna ocenjevanja, napredovanja, razgovori. |
| 406 | Plače in drugi prejemki | T | Plače, nadurno delo, regres, pomoči. |
| 407 | Izobraževanje delavcev | T | Strokovni tečaji in izpiti, predavanja, seminarji. |
| 408 | Delovni čas in odsotnosti | T | Načrt izrabe, obvestila, potni nalogi. |
| 409 | Kršitev iz del. razmerij | T | Opozorila, prijave, postopki, varstvo pravic. |
| 410 | Varnost in zdravje pri delu | A | Ocena varnosti in zdravja pri delu, priloge. |
| 5 Finance, računovodstvo, finančni sistem | |||
| 500 | Finance in računovodstvo | A | Zaključni računi in bilance. |
| 501 | Poslovne knjige | 10 | Glavna knjiga, knjiga prejetih in izdanih računov. |
| 502 | Pomožne poslovne knjige | 10 | Sredstva, terjatve in obveznosti, material. |
| 503 | Knjigovodske listine | 10 | Računi, finančne pogodbe. |
| — | Osnovna sredstva | 20 | Računi nepremičnin. |
| — | — | 5 | Amortizacija, inventura, ostalo. |
| 6 Stranke in partnerji | |||
| 600 | Stranke, posl. partnerji | 5 | Naročila, pogodbe, ostalo. |
Na podlagi veljavne zakonodaje* organizacija PAROSA Jasmina Ivanović s.p., Pločanska ulica 3, 1211 Ljubljana Šmartno, Matična številka 6272797000, Davčna številka SI 12115932 z dnem 01.08.2025 sprejema naslednjo
EVIDENCO DEJAVNOSTI OBDELAVE OSEBNIH PODATKOV
Oseba zadolžena za vodenje evidence: JASMINA IVANOVIĆ, direktor
Kontakt: info@parosa.si
Število zbirk: 1
ZBIRKA ŠT. 1
| ZBIRKA ŠT. 1 | |
| Naziv zbirke | EVIDENCA STRANK IN POSLOVNIH PARTNERJEV |
| Namen obdelave | Podatki o strankah in poslovnih partnerjih |
| Kategorije posameznikov | Stranke in poslovni partnerji. |
| Vrste osebnih podatkov | Naziv podjetja ali ime in priimek, sedež ali naslov, telefonska številka, email naslov, podatki o poslovnem sodelovanju (št. naročila). |
| Kategorije uporabnikov | Direktor, namestnik direktorja, računovodja, odgovorni delavec v podjetju. |
| Informacije o prenosih | Računovodstvo (izdani računi). |
| Rok hrambe | 5. |
| Splošen opis varovanja | Dostop do računalnika z geslom. |
| Pravna podlaga | OZ, ZVOP-2. |
Na podlagi veljavne zakonodaje* organizacija PAROSA Jasmina Ivanović s.p., Pločanska ulica 3, 1211 Ljubljana Šmartno, Matična številka 6272797000, Davčna številka SI 12115932 z dnem 01.08.2025 sprejema naslednji
SKLEP O VZPOSTAVITVI NOVE POLITIKE VARSTVA OSEBNIH PODATKOV
Z dnem 31.07.2025 prenehajo veljati vsi dosedanji notranji akti organizacije na področju politike varstva osebnih podatkov. Razveljavljeni akti se nadomestijo z novimi, ki stopijo v veljavo z dnem 01.08.2025. Ta sklep začne veljati z dnem sprejema.
* Veljavna zakonodaja
Zakon o varstvu osebnih podatkov
Uradni list RS, št. 163/22
Splošna uredba o varstvu podatkov
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES
Zakon o evidencah na področju dela in socialne varnosti
Uradni list RS, št. 40/06 in 50/23
