Izjava o zasebnosti. Obvestilo posameznikom po 13. členu Splošne uredbe o varstvu podatkov (GDPR) glede obdelave osebnih podatkov v rešitvi OSAPP

Obvestilo posameznikom po 13. členu Splošne uredbe o varstvu podatkov (GDPR) glede obdelave osebnih podatkov v rešitvi OSAPP

UPRAVLJALEC OZ. OBDELOVALEC VAŠIH OSEBNIH PODATKOV V ZVEZI S SISTEMOM OSAPP JE:

LINKING MAP, digitalne rešitve, d.o.o.
Šmartno v Rožni dolini 21A
3201 Šmartno v Rožni dolini
Matična številka: 9114572000
Davčna številka: SI 68836643

Spletno mesto: https://www.osapp.si/

(v nadaljnjem besedilu tudi: podjetje, organizacija oz. ponudnik)

Pooblaščena oseba za varstvo osebnih podatkov podjetju še ni imenovana, pri čemer je mogoče zahteve oz. vprašanja v zvezi z varstvom osebnih podatkov v podjetju nasloviti na elektronski naslov XYZ.

Uporaba in namen dokumenta

Ta dokument nudi informacije o obdelavah osebnih podatkov, ki jih nadpisano podjetje vrši kot upravljalec oz. obdelovalec osebnih podatkov (kot je glede posamičnega primera razvidno iz tabele pod točko št. 1 tega obvestila) v povezavi s ponujanjem lastne spletne rešitve OSAPP.

Predstavitev rešitve in izvora osebnih podatkov

Podjetje LINKING MAP, digitalne rešitve, d.o.o., Šmartno v Rožni dolini 21A, 3201 Šmartno v Rožni dolini svojim naročnikom zagotavlja uporabo lastne oblačne rešitve OSAPP za učinkovito načrtovanje in vodenje vseh obveznih podatkov in človeških virov zavoda ter pripadajočo strojno in programsko opremo (v nadaljevanju: rešitev oz. OSAPP).

Rešitev je v prvi vrsti namenjena zavodom, ki z njeno pomočjo vodijo in obdelujejo podatke svojih članov oz. zaposlenih oseb (v nadaljevanju: naročniki), pri čemer podjetje posledično pri ponujanju in zagotavljanju rešitve nastopa kot obdelovalec takšnih osebnih podatkov, kot je to določeno v 4. oziroma 28. členu Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oziroma GDPR).

V ta namen podjetje prejema, zbira in obdeluje določeno količino informacij, med katere sodijo tudi osebni podatki, bodisi kot upravljalec osebnih podatkov (npr. v zvezi s podatki, ki jih vodimo glede naročnikovega uporabniškega računa), bodisi kot obdelovalec osebnih podatkov (npr. v zvezi s podatki, ki jih obdelujemo v povezavi z naročnikovimi vnosi podatkov v rešitev), kot je to natančneje navedeno pod točko št. 1 tega obvestila (razdelka a) oz. b)).

V kolikor želite pridobiti informacije o obdelavi vaših podatkov s strani posameznega naročnika kot upravljavca osebnih podatkov (t.j. zavoda, ki ste mu zaupali vaše osebne podatke, da jih ta lahko s pomočjo rešitve obdeluje v lastne namene) vam svetujemo, da se obrnete neposredno na osebje zadevnega zavoda (t.j. našega naročnika) oz. njegovo obvestilo o obdelavi osebnih podatkov (tj. »politiko zasebnosti« zadevnega zavoda).

V kolikor ni drugače navedeno, imajo pojmi iz Splošne uredbe o varstvu podatkov (npr. osebni podatek, obdelava, upravljavec, obdelovalec, ipd.) ki se pojavljajo v tem obvestilu enak pomen kot pojmi iz zadevne uredbe. Navedbe v tem obvestilu lahko občasno posodabljamo z namenom, da bi njegova vsebina bolje odražala spremembe v varovanju podatkov, oziroma iz drugih operativnih in pravnih razlogov.

V kolikor bomo to obvestilo v pretežni meri spremenili, bomo v zvezi s tem objavili novico na naši spletni oziroma znotraj rešitve, oziroma bomo registrirane uporabnike (naročnike) o tem obvestili preko elektronskega sporočila.

Pregled zbirk in vrst osebnih podatkov, kategorije posameznikov na katere se osebni podatki nanašajo, predvidenih rokov za izbris osebnih podatkov ter namenov in vrst obdelav

*LINKING MAP, digitalne rešitve, d.o.o. kot upravljalec osebnih podatkov*
IME ZBIRKE OSEBNIH PODATKOV	PODATKI OZIROMA VRSTE PODATKOV V ZBIRKI OSEBNIH PODATKOV	KATEGORIJE POSAMEZNIKOV NA KATERE SE NANAŠAJO OSEBNI PODATKI	PREDVIDENI ROKI ZA IZBRIS OSEBNIH PODATKOV	PRAVNA PODLAGA IN NAMENI OBDELAVE OSEBNIH PODATKOV	VRSTE OBDELAV
*Uporabniški račun in drugi podatki o naročniku*	Osnovni podatki o organizaciji naročnika (uporabniško ime, geslo, naziv, naslov, kontaktna oseba, kontaktna številka, davčna številka, TRR, številka odločbe v register zavodov OA, datum vpisa zavoda v register, št. pogodbe OA, datum začetka izvajanja OA) Osnovne osebne podatke odgovorne osebe naročnika (ime, priimek, naslov, telefonska številka, e-naslov) Osnovne podatke o naročniškem razmerju v zvezi z rešitvijo (tip licence, dovoljeno število uporabnikov, datum veljavnosti)	Osebni podatki zaposlenih/kontaktnih oseb naročnika, ki so v imenu naročnika registrirale uporabniški račun za uporabo rešitve.	Osebne podatke hranimo vse dokler je to potrebno za izpolnitev namena, zaradi katerega so bili podatki zbrani. Podatke hranimo še 30 dni po izbrisu uporabniškega računa naročnika oz. razdora naročniške pogodbe. Ne glede na nadpisano, pa bodo podatki vselej izbrisani najkasneje po preteku 6 let od dneva izbrisa posameznega uporabniškega računa, v kolikor imamo pravico podatke zadržati v kontekstu nastanka spora med podjetjem in naročnikom (npr. glede plačila, zagotavljanja storitve, ipd.).	Pravna podlaga – sklenjena naročniška pogodba. Podatki se obdelujejo za namene: – *administracije in splošnega poslovanja* (sklepanje pogodb, izdajanje računov, poslovna komunikacija, ipd.), *– delovanja temeljnih funkcionalnosti rešitve* (samodejno obdelovanje podatkov s strani zalednega sistema rešitve in integriranih aplikacijskih vmesnikov. Na ta način se shranjujejo, prikazujejo in drugače obdelujejo podatki v zalednem delu rešitve, ki jo naročniku na podlagi osnovne pogodbe nudi obdelovalec), *– nudenja oskrbovalnih* oz. *podpornih storitev* (izvajanje obdelav v imenu oz. na podlagi zahteve naročnika, nadgradenj in posodobitev ter varnostnega kopiranja v skladu z naročniško pogodbo oziroma dogovorom z naročnikom kot upravljavcem podatkov), – *analitične namene* (beleženje količine podatkov, ki jo naročniki shranjujejo v rešitvi, beleženje uporabe posameznih funkcij rešitve s strani naročnikov in izdelava statističnih poročil, pri čemer se v teh primerih vedno obdelujejo zgolj anonimizirani statistični podatki, ki ne predstavljajo osebnih podatkov).	Shranjevanje podatkov rešitve na strežniku podjetja oziroma avtomatizirana obdelava podobdelovalca podjetja (glejte točko 3.3.1. tega obvestila), strukturiranje podatkov, kombiniranje podatkov, nudenje vpogleda in dostopa do podatkov pooblaščenim uporabnikom preko administratorskega vmesnika, spreminjanje in brisanje podatkov (avtomatično oziroma ročno), shranjevanje, varnostno kopiranje podatkov (vsakih 24 ur). *Posredovanje podatkov pogodbenim podobdelovalcem* za namene vpogleda v in dostopa do podatkov, ter njihovo morebitno shranjevanje, spreminjanje in brisanje podatkov, (zunanje gostovanje), kadar to narekujejo nameni, ki so povezani z nudenjem/dograjevanjem rešitve. Podobdelovalci lahko glede podatkov vršijo le tiste oblike obdelave, ki so skladne z navodili, ki jih je v sklenjeni pogodbi o obdelavi podobdelovalcem posredovalo podjetje. Urejanje na podlagi zahteve.* Na podlagi predhodne zahteve posameznika, na katerega se podatki nanašajo oziroma naročnika, lahko podjetje oziroma podobdelovalec vpisuje, ureja, popravlja, ali kako drugače obdeluje osebne podatke v skladu z zakonitimi željami posameznika. *Uničevanje in izbris podatkov.* Na zahtevo posameznika ter ob izpolnitvi namena, zaradi katerega so bili podatki shranjeni v strežniškem sistemu bo podjetje oziroma podobdelovalec izvršil uničenje vseh osebnih podatkov naročnika, ki se na podlagi naročniške pogodbe hranijo pri njem oziroma pri nadpisanem podobdelovalcu, oziroma kako drugače obdelujejo. Druge oblike obdelav, ki so potrebne z vidika *izpolnitve zakonskih zahtev* (npr. spoštovanje posameznikove pravice do izbrisa/dostopa do podatkov, posredovanje podatkov organom tekom inšpekcijskega postopka, ipd.) *in zakonitih interesov podjetja* (npr. za namene zavarovanja podjetja pred goljufijo, ipd.).
*Podatki, ki so povezani s sklenjeno pogodbo oz. nudenjem naših storitev in izdajanjem računov*	Ime kupca oz. direktorja, ki z našo organizacijo sklene pogodbo in morebitni drugi podatki, ki so vsebovani v naročilnicah/pogodbah/izdanih računih.	Ime kupca oz. direktorja, ki z našo organizacijo sklene pogodbo oz. v zvezi s katero naša organizacija izda račun za svoje storitve.	Do poteka roka hrambe ali izpolnitve namena obdelave posameznih osebnih podatkov, pri čemer lahko podatke organizacija praviloma hrani še 6 let po zaključku sodelovanja oziroma tudi dlje (npr. podatki na računu), kot je podrobneje navedeno pod točko 1.3. in 2. tega dokumenta.	Na podlagi sklenjene pogodbe. Za namene izvršitve sklenjene pogodbe (npr. izvedba in obračun uporabe storitev, nudenje podpore, komuniciranje glede ključnih informacij v zvezi s storitvijo) lahko obdelujemo različne podatke o pooblaščeni osebi stranke, ki koristi naše storitve/je navedena na računu.	(Enako kot zgoraj).
*Podatki o posamezniku, ki komunicira z organizacijo preko elektronskih naslovov in drugih komunikacijskih poti, ki so na voljo na spletnem mestu*	Ime in/ali priimek posameznika, ki komunicira z našo organizacijo Morebitni elektronski naslov posameznika, ki komunicira z našo organizacijo Morebitna telefonska številka posameznika, ki komunicira z našo organizacijo Morebitni osebni podatki, ki so zajeti v komunikaciji s posameznikom	Osebni podatki posameznika, ki po lastni volji komunicira z organizacijo (npr. poizveduje o storitvah organizacije, se dogovarja za obisk poslovalnice preko objavljenega elektronskega naslova ali kontaktnega obrazca, ipd.).	Do poteka namenov obdelave posameznih osebnih podatkov, zaradi katerih so bili podatki zbrani (npr. do konca komuniciranja) oziroma do poteka 4 let od zadnje komunikacije s posameznikom.	Na podlagi pogajanj za sklenitev pogodbe (t.j. pridobivanje informacij o oz. naročanje storitve oz. druga prostovoljna komunikacija posameznika z organizacijo v zvezi s tem), sme organizacija podatke obdelovati na načine, ki so logično povezani s pogajanji glede izvedbe predmeta storitve oz. pripravo odziva (npr. hramba v sistemu za pošiljanje elektronskih sporočil za namene odziva in morebitne nadaljnje komunikacije, hramba podatkov v arhivu organizacije, ipd.).	(Enako kot zgoraj).
*Podatki posameznikov, ki so se prijavili na prejemanje informativnih elektronskih sporočil organizacije*	– Elektronski naslov posameznika	Osebni podatki posameznika, ki je soglašal s tem, da mu organizacija na njegov elektronski naslov občasno posreduje informacije, nasvete in druge koristne podatke glede storitev organizacije.	Do odjave od prejemanja elektronske komunikacije, pri čemer je odjavna povezava vsebovana v vsakem elektronskem sporočilu. *Odjavo oz. izbris podatkov lahko posameznik vselej zahteva tudi tako, da svojo zahtevo pošlje na uradni elektronski naslov organizacije: XYZ	Na podlagi pridobljenega soglasja sme organizacija podatke obdelovati (t.j. hraniti in uporabljati v povezavi s sistemom za pošiljanje elektronskih sporočil) izključno za namene posredovanja informacij, nasvetov in drugih koristnih podatkov glede storitev organizacije.	(Enako kot zgoraj).
*Podatki posameznikov, ki se prijavljajo na prosto delovno mesto v organizaciji*	Ime in priimek kandidata Elektronski naslov kandidata Življenjepis, motivacijsko pismo, podatki o preteklih delovnih izkušnjah oz. drugi podatki, ki so pomembni za izbirni postopek in so kot taki navedeni ob objavi prostega delovnega mesta Morebitni osebni podatki, ki so zajeti v email korespondenci s takšnim posameznikom	Osebni podatki posameznika, ki se prijavlja na prosto delovno mesto v organizaciji.	Do zaključka zaposlitvenega postopka, v kolikor organizacija ni od posameznika pridobila izrecnega soglasja za daljšo hrambo podatkov.	Na podlagi pogajanj za sklenitev pogodbe o zaposlitvi sme organizacija podatke obdelovati (t.j. zbirati, hraniti za čas izbirnega postopka, pregledovati, strukturirati) in drugače smiselno uporabljati izključno za namene zaposlitvenega postopka (npr. evalvacije referenc posameznika in komuniciranje z njim o poteku zaposlitvenega postopka, uporaba podatkov za ogled drugih javno dostopnih podatkov o posamezniku, ipd.).	(Enako kot zgoraj).
*Podatki obiskovalcev spletnega mesta, ki jih pridobimo s piškotki*	Podatki, ki jih o obiskovalcu zbere posamezni piškotek, kot je opredeljeno v naši “politiki piškotkov”.	Posamezniki, ki obiščejo našo spletno mesto in se jim posledično naložijo obvezni piškotki oz. se strinjajo z nalaganjem neobveznih piškotkov.	Do izbrisa piškotka, kot je to navedeno v naši “politiki piškotkov”.	Na podlagi obiska spletnega mesta (nujni) oz. soglasja (nenujni). Za doseganje namena posameznega piškotka, kot je to navedeno v naši “politiki piškotkov”	Z delovanje spletnega mesta oz. za doseganje drugih ciljev, ki so navedeni v naši “politiki piškotkov”
*LINKING MAP, digitalne rešitve, d.o.o. kot obdelovalec osebnih podatkov:*
IME ZBIRKE OSEBNIH PODATKOV	PODATKI OZIROMA VRSTE PODATKOV V ZBIRKI OSEBNIH PODATKOV	KATEGORIJE POSAMEZNIKOV NA KATERE SE NANAŠAJO OSEBNI PODATKI	PREDVIDENI ROKI ZA IZBRIS OSEBNIH PODATKOV	PRAVNA PODLAGA IN NAMENI OBDELAVE OSEBNIH PODATKOV	VRSTE OBDELAV
Osebe pri naročniku, z dostopnim upravičenjem »admin«	Osebni podatki zaposlenih oseb naročnika, ki jim je dodeljeno dostopno upravičenje »admin«. Uporabniško ime, geslo, zavod, ime, priimek, elektronski naslov, zavod	Osebni podatki zaposlenih oseb naročnika, ki jim je dodeljeno dostopno upravičenje »admin«.	Osebne podatke hranimo vse dokler je to potrebno za izpolnitev namena, zaradi katerega so bili podatki zbrani. Podatke hranimo še 30 dni po izbrisu uporabniškega računa naročnika oz. razdora naročniške pogodbe.	Pravna podlaga – sklenjena naročniška pogodba ter pogodba o obdelavi osebnih podatkov. Podatki se obdelujejo za namene: *– delovanja temeljnih funkcionalnosti rešitve* (samodejno obdelovanje podatkov s strani sistema in integriranih aplikacijskih vmesnikov. Na ta način se shranjujejo, prikazujejo in drugače obdelujejo podatki v zalednem delu sistema, ki ga naročniku na podlagi osnovne pogodbe nudi podjetje), *– nudenja oskrbovalnih* oz. *podpornih storitev* (izvajanje obdelav v imenu oz. na podlagi zahteve naročnika, nadgradenj in posodobitev ter varnostnega kopiranja v skladu z naročniško pogodbo oziroma dogovorom z naročnikom kot upravljavcem.	Shranjevanje podatkov rešitve na strežniku podjetja oziroma avtomatizirana obdelava podobdelovalca podjetja (glejte točko 3.3.1. tega obvestila), strukturiranje podatkov, kombiniranje podatkov, nudenje vpogleda in dostopa do podatkov pooblaščenim uporabnikom preko administratorskega vmesnika, spreminjanje in brisanje podatkov (avtomatično oziroma ročno), shranjevanje, varnostno kopiranje podatkov (vsakih 24 ur). Podjetje lahko vpogleduje in dostopa do podatkov zgolj zaradi izvajanja nalog, ki so v direktni povezavi z delovanjem temeljnih funkcionalnosti rešitve / posameznega modula* oziroma *nudenjem oskrbovalnih* oz. *podpornih storitev* na pobudo naročnika. *Posredovanje podatkov pogodbenim podobdelovalcem* za namene vpogleda v in dostopa do podatkov, ter njihovo morebitno shranjevanje, spreminjanje in brisanje podatkov, (zunanje gostovanje), kadar to narekujejo nameni, ki so povezani z nudenjem/dograjevanjem rešitve in v skladu s iz pogodbo o obdelavi osebnih podatkov, ki je bila pred tem sklenjena z naročnikom. Podobdelovalci lahko glede podatkov vršijo le tiste oblike obdelave, ki so skladne z navodili, ki jih je v sklenjeni pogodbi o obdelavi podobdelovalcem posredovalo podjetje in ki posledično odraža navodila ter stopnjo zaščite iz pogodbe o obdelavi osebnih podatkov, ki je bila pred tem sklenjena z naročnikom. Urejanje na podlagi zahteve.* Na podlagi predhodne zahteve posameznika, na katerega se podatki nanašajo oziroma naročnika, lahko podjetje oziroma podobdelovalec vpisuje, ureja, popravlja, ali kako drugače obdeluje osebne podatke v skladu z zakonitimi željami posameznika na pobudo naročnika. *Uničevanje in izbris podatkov.* Na zahtevo posameznika oziroma upravljavca, ter ob izpolnitvi namena, zaradi katerega so bili podatki shranjeni v podobdelovalčevem strežniškem sistemu, ali ob nastopu drugih pogojev iz sklenjene pogodbe o obdelavi osebnih podatkov, bo podjetje oziroma podobdelovalec izvršil uničenje vseh osebnih podatkov naročnika, ki se na podlagi naročniške pogodbe in pogodbe o obdelavi osebnih podatkov hranijo pri njem oziroma pri nadpisanem podobdelovalcu, oziroma kako drugače obdelujejo. Druge oblike obdelav, ki so potrebne z vidika *izpolnitve zakonskih zahtev* (npr. spoštovanje posameznikove pravice do izbrisa/dostopa do podatkov, posredovanje podatkov ob pobudi naročnika).
Podatki, ki jih zavod vodi v zvezi s svojimi uporabniki – »uporabnik«	Osebni podatki, ki jih zavod vodi v zvezi z svojimi uporabniki v modulu »uporabnik«. Uporabniško ime, geslo, zavod, ime, priimek, e-mail, davčna številka, naslov, telefon, št. veljavne odločbe, datum odločbe, št. odobrenih ur OA na teden, datum začetka izvajanje OA, št. veljavnega izvedbenega načrta, št. ur na teden po izvedbenem načrtu, planirane ure OA, realizirane ure OA	Osebni podatki, ki jih zavod vodi v zvezi z svojimi uporabniki v modulu »uporabnik«.	(Enako kot zgoraj)	(Enako kot zgoraj)	(Enako kot zgoraj)
Podatki, ki jih zavod vodi v zvezi s svojimi uporabniki – »asistent«	Osebni podatki, ki jih zavod vodi v zvezi z svojimi uporabniki v modulu »asistent«. Uporabniško ime, geslo, zavod, ime, priimek, e-mail, nadrejeni uporabnik, davčna številka, naslov, telefon, TRR, delovna doba (leta), tip pogodbe, številka pogodba OA, veljavnost pogodbe od-do, število odobrenih ur/teden, soglasje za nadure, soglasje za nedeljsko delo, število dni dopusta, planirane delovne ure, realizirane delovne ure, bolnišnični dnevi, dnevi / ure dopusta.	Osebni podatki, ki jih zavod vodi v zvezi z svojimi uporabniki v modulu »asistent«.	(Enako kot zgoraj)	(Enako kot zgoraj)	(Enako kot zgoraj)
*Kadrovski podatki naročnika*	Osebni podatki zaposlenih oseb in drugih oseb, s katerimi naročnik sodeluje v kontekstu delovnega razmerja/napotitve na delo/podjemnega razmerja, ki so bili v rešitev vstavljeni s strani naročnika. Splošni podatki o delavcu (ime, priimek, državljanstvo, ipd.), Podatki o stalnem / začasnem prebivališču, Podatki o osebni izkaznici / potnem listu, zdravstveni izkaznici, Podatki o zaposlitvi in delovnem času, Podatki za izplačilo socialnih dodatkov (zakonski stan, število otrok, ipd.), Podatki o delovnem mestu in urni postavki, Podatki o vozniškem dovoljenju, A1 obrazci (na podlagi 12. oz. 13. člena Uredbe ES št. 883/2004), Podatki o dovoljenjih, certifikatih, zavarovanjih, Podatki o zdravniških pregledih, Podatki o rabi delovne opreme, Podatki o znanju tujih jezikov, Podatki o odsotnosti, Podatki o bančnem računu, Podatki o obveznostih, Podatki o skupinah delavcev, Podatki o nastanitvah delavcev, Podatki o prevozih delavcev, Podatki o vozilu in voznikih.	Osebni podatki zaposlenih oseb in drugih oseb, s katerimi naročnik sodeluje v kontekstu delovnega razmerja/napotitve na delo/podjemnega razmerja, ki so bili v rešitev vstavljeni s strani naročnika.	(Enako kot zgoraj)	(Enako kot zgoraj)	(Enako kot zgoraj)

1.2 Pravna podlaga za obdelavo osebnih podatkov načeloma temelji na izpolnjevanju določil naročniške pogodbe za uporabo rešitve.

Osebne podatke posameznikov obdelujemo na podlagi sklenjene naročniške pogodbe in skladno s pogodbo o obdelavi osebnih podatkov, ki je sklenjena z vsakim naročnikom pred podelitvijo dostopa do rešitve.

Nadpisana pravna podlaga nam omogoča obdelovanje podatkov za namene ponujanja temeljnih funkcionalnosti rešitve/posameznega modula, nudenja nadgradenj in podpore, izpolnjevanje zahtev naročnika (glejte stolpec “Vrste obdelav” zgornje tabele iz točke 1. tega obvestila).

Določene podatke obdelujemo tudi za lastne namene na drugih podlagah kot upravljalci osebnih podatkov (glejte razdelek a) zgornje tabele iz točke 1. tega obvestila).

1.3. Pravna podlaga za obdelavo vaših podatkov je lahko tudi zakon.

V podjetju lahko osebne podatke kot upravljalci (razdelek a) zgornje tabele iz točke 1. tega obvestila) občasno obdelujemo tudi za namene izpolnjevanja zakonskih in drugih predpisov, posebej tistih, ki urejajo nadzor nad obdelavo osebnih podatkov. Za take primere gre recimo takrat, kadar podjetju inšpektor oziroma drug nosilec javnih pooblastil naloži, da mu podjetje nudi dostop do zalednega dela rešitve, pri čemer so takrat inšpektorju lahko na voljo tudi dostopi do podatkovnih zbirk (npr. v kontekstu izvajanja inšpekcijskega nadzora po določbah Zakona o varovanju osebnih podatkov (ZVOP-1) in Zakona o inšpekcijskem nadzoru (ZIN).

1.4. Na podlagi zakonitih interesov podjetja

Določene osebne podatke smemo kot upravljalci (razdelek a) zgornje tabele iz točke 1. tega obvestila) obdelovati tudi za namene zavarovanja naših legitimnih interesov. Za take primer gre recimo takrat, kadar bi bila obdelava vaših podatkov na primer potrebna z vidika kazenskih postopkov ali civilnih postopkov (npr. kadar bi morali bazo podatkov predložiti kot dokaz v kazenskem ali civilnem postopku, sicer bi podjetje utrpelo kazen ali nastanek hujše in nepopravljive škode), pri čemer bomo v teh primerih vselej obdelovali zgolj tiste podatke, ki so nujno potrebi za zasledovanje teh legitimnih ciljev podjetja in o tem (v kolikor bo to mogoče/dovoljeno) vselej obvestili zadevnega naročnika

Podjetje sme obdelovati osebne podatke posameznika tudi v primerih, ko je obdelava potrebna za zaščito življenjskih interesov posameznika (npr. vpogled v naslov posameznika, ki mu preti neposredna in huda življenjska nevarnost), pri čemer bomo takšno obdelavo vedno vršili v sodelovanju z zadevnim naročnikom.

Kako dolgo hranimo oziroma obdelujemo vaše osebne podatke?

Osebne podatke načeloma hranimo vse dokler je to potrebno za izpolnitev namena, zaradi katerega so bili podatki zbrani, oziroma dokler nam nek predpis nalaga, da jih moramo hraniti (glejte stolpec “Predvideni roki za izbris osebnih podatkov” zgornje tabele iz točke 1. tega obvestila).

Glavnino podatkov, ki jih obdelujemo kot obdelovalci v zvezi z rabo naše rešitve s strani naročnikov(razdelek b) upravljalci zgornje tabele iz točke 1. tega obvestila), skladno s sklenjeno pogodbo o obdelavi osebnih podatkov hranimo do izbrisa uporabniškega računa oz. razdora naročniške pogodbe in še 30 dni po nastanku take okoliščine, da lahko v tem času zagotovimo izbris vseh podatkov.

Prenehanje hrambe oziroma izbris podatkov pa se lahko vršita že prej, v kolikor je v rešitvi izvedena akcija za izbris posameznega podatka oziroma v kolikor prejmemo zahtevo za izbris s strani naročnika ali posameznika, na katerega se podatki nanašajo (v takih primerih bomo prejeto zahtevo posredovali zadevnemu naročniku v presojo).

Posamezne podatke pa lahko kot upravljalci hranimo tudi dlje, v kolikor so podatki potrebni za izstavitev računa oziroma zaradi pravnega spora, ki nastane v zvezi z uporabo rešitve (v vseh takih primerih se nabor shranjenih podatkov omeji na tiste podatke, ki so nujno potrebni za doseganje zadevnega namena).

Kdo v podjetju in izven njega obdeluje vaše osebne podatke (uporabniki osebnih podatkov)?

3.1. Določeni zaposleni v podjetju

Vaše osebne podatke obdelujejo posamezni zaposleni v podjetju. Zaposleni v podjetju obdelujejo le tiste osebne podatke, ki jih potrebujejo za svoje delo, lahko pa si jih tudi izmenjujejo med seboj, v kolikor delovne naloge in interni pravilnik podjetja to dovoljujejo. Vsi zaposleni so zavezani k zaupnosti in k spoštovanju varstva osebnih podatkov.

3.2. Državni organi

V določenih primerih, ki jih predpisuje veljavna zakonodaja, mora naše podjetje vaše osebne podatke posredovati oziroma o njih poročati tudi pristojnim državnim organom kakor tudi organom, ki so denimo pristojni za finančni, davčni ali drug nadzor (npr. Urad informacijskega pooblaščenca Republike Slovenije, itd.). V določenih primerih je lahko naše podjetje primorano podatke posredovati tudi tretjim osebam, če takšno obveznost posredovanja oziroma razkritja podjetju nalaga zakon oziroma pravno upravičenje tretje osebe.

3.3. Pogodbena obdelava osebnih podatkov

Uporabniki osebnih podatkov so poleg zaposlenih v podjetju tudi zaposlene osebe pogodbenih obdelovalcev podjetja, ki lahko osebne podatke kot zaupne obdelujejo izključno v imenu podjetja in v mejah pogodbe o zunanji obdelavi osebnih podatkov, ki jo ima podjetje sklenjeno z vsakim tovrstnim obdelovalcem. Pogodbeni obdelovalci smejo osebne podatke obdelovati zgolj v okviru navodil našega podjetja, pri čemer podatkov ne smejo uporabiti za zasledovanje kakršnihkoli lastnih interesov.

Pogodbeni obdelovalci, s katerimi podjetje sodeluje so:

- osebe, ki z nami sodelujejo na podlagi drugih podjemnih oziroma avtorskih pogodb (pravno svetovanje, razvoj programske kode, ipd.),
- ponudnik gostovanja (glej poglavje 3.3.1.),

računovodski servis (glede podatkov, ki so vezani na kontaktne osebe naročnika),

vzdrževalci IT sistemov.

Podjetje ne bo posredovalo vaših osebnih podatkov tretjim nepooblaščenim osebam.

V kolikor bi želeli pridobiti natančen seznam vseh pogodbenih podobdelovalcev našega podjetja, specifikacijo o tem, katere podatke obdelujejo, za kakšne namene jih obdelujejo ter kako dolgo jih hranijo, nam lahko v zvezi s tem pišete na elektronski naslov, ki je naveden na začetku tega dokumenta.

3.3.1. Ponudnik gostovanja

Gostovanje naše rešitve in shranjevanje podatkov v njej nam kot pogodbeni podobdelovalec nudi izvajalec:

– Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Nemčija (https://www.hetzner.com/legal/privacy-policy). Strežniki se nahajajo v Nemčiji.

3.4. Iznos osebnih podatkov v tretje države in mednarodne organizacije

Naše podjetje osebnih podatkov praviloma ne iznaša v tretje države (t.j. izven območja Evropske unije, Islandije, Norveške in Liechtensteina, torej EGP) in v mednarodne organizacije.

Izjemo od navedenega predstavljajo občasni prenosi nekaterih tehničnih in osebnih podatkov na strežnike zgoraj navedenih obdelovalcev, katerih sedeži oziroma strežniki se nahajajo v ZDA (npr. samodejno prenašanje nekaterih podatkov, ki jih zbirajo piškotki družbe Alphabet Inc. oz. Alphabet Inc.), pri čemer so zadevni pogodbeni obdelovalci nekdanji člani programa “Privacy Sheild” (https://www.privacyshield.gov/) in po 12. juliju 2020 spoštujejo ter so sprejeli varnostne ukrepe v zvezi s prejemom ali prenosom podatkov (npr. standardne pogodbene klavzule) oziroma so ustrezno opravili in dosegli popolno samocertifikacijo v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta o ustrezni ravni varstva osebnih podatkov v okviru zasebnosti podatkov med EU in ZDA (tj. v smislu novega okvira za prenos podatkov med EU in ZDA v skladu z navedeno odločitvijo o ustreznosti od 10. julija 2023).

Seznam vseh takšnih podobdelovalcev lahko pridobite tako, da zahtevo v zvezi s tem pošljete na elektronski naslov, ki je naveden na začetku tega dokumenta.

Obdelava in zaščita posebnih vrst osebnih podatkov

Med posebne osebne podatke uvrščamo podatke, ki neposredno ali posredno razkrivajo rasno ali etično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetske podatke, biometrične podatkov za namene edinstvene identifikacije posameznika, ter podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Trenutna različica rešitve sicer ne predvideva, da bi se v njej vodili posebni osebni podatki, na kar pa kot ponudniki ne moremo v celoti vplivati.

V rešitvi lahko naročniki kot upravljavci sicer vodijo podatki o zdravniških pregledih in trajanju zdravniške odsotnosti, pri čemer so zadevna polja namenjena vnosu podatkov, iz katerih ni mogoče neposredno razbrati zdravstvenega stanja/obolenja posameznika.

V zvezi s prejemom pojasnil glede tovrstne hrambe in obdelave osebnih podatkov predlagamo, da se obrnete na zavod, ki glede vas nastopa kot upravljavec vaših osebnih podatkov.

Kakšne so vaše pravice glede vaših osebnih podatkov in kako jih lahko uveljavljate?

V zvezi s podatki, ki jih v povezavi z vami obdelujemo kot obdelovalci (razdelek b) tabele iz 1. točke tega obvestila), vam kot posamezniku, na katerega se nanašajo osebni podatki, uredba GDPR nudi možnost, da sledeče pravice uveljavljate tako pri vašem delodajalcu/zavodu (t.j. naročniku, ki z našo rešitvijo obdeluje vaše podatke kot upravljavec podatkov) kakor tudi pri našem podjetju (pri čemer bomo v teh primerih vaš zahtevek naslovili na zadevnega naročnika).

V zvezi s tem obvestilom o obdelavi osebnih podatkov oziroma glede same obdelave vaših osebnih podatkov s stani našega podjetja kot upravljavca in naših pogodbenih obdelovalcev, pa nas lahko kadarkoli in brez zadržkov kontaktirate preko elektronskega naslova, ki je naveden na začetku tega dokumenta.

Prav tako lahko navedeni naslov uporabljate tudi za pošiljanje vaših zahtev in uveljavljanje drugih pravic, ki so povezane z osebnimi podatki in uredbo GDPR v primerih, kadar vaše podatke naše podjetje obdeluje kot upravljavec osebnih podatkov (razdelek a) tabele iz točke 1. tega obvestila).

5.1. Pravica dostopa do osebnih podatkov (15. člen uredbe GDPR)

Imate pravico, da pridobite potrditev, ali se v zvezi z vami obdelujejo osebni podatki, in kadar je temu tako, zahtevate dostop do zadevnih osebnih podatkov skupaj z informacijami iz 1. odstavka 15. člena uredbe GDPR:

Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, imate kot posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46. členom uredbe GDPR glede takega prenosa.

V kolikor to zahtevate, vam mora biti prav tako zagotovljena kopija osebnih podatkov, ki se v zvezi z vami obdelujejo. Za dodatne zahtevane kopije se vam lahko zaračuna plačilo razumne pristojbino ob upoštevanju stroškov, ki so nam v zvezi s tem nastali.

Kadar kot posameznik, na katerega se nanašajo osebni podatki, vašo zahtevo predložite s pomočjo elektronskih sredstev, in v kolikor ne zahtevate drugače, se vam bodo informacije zagotovile v elektronski obliki, ki je splošno uporabljena.

5.2. Pravica do popravka osebnih podatkov (16. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki imate tudi pravico doseči, da se v zvezi z vami brez nepotrebnega odlašanja popravijo netočni osebni podatki.

Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

5.3. Pravica do izbrisa osebnih podatkov (»pravica do pozabe«) (17. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki, imate pravico doseči, da se brez nepotrebnega odlašanja izbrišejo vaši osebni podatki. Naše podjetje oziroma v prvi vrsti zadevni naročnik (t.j. vaš delodajalec/zavod) pa bo osebne podatke brez nepotrebnega odlašanja izbrisalo tudi takrat, kadar bo veljal eden od naslednjih razlogov:

a) osebni podatki ne bodo več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

b) če se je obdelava osebnih podatkov vršila na podlagi vaše privolitve, ki ste jo preklicali;

c) če ste ugovarjali obdelavi osebnih podatkov, za obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;

d) če so bili osebni podatki obdelani nezakonito;

e) če je osebne podatke potrebno izbrisati zaradi izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom Republike Slovenije,

f) če so bili osebni podatki zbrani v zvezi s ponudbo storitev informacijske družbe (ki je bila ponujena osebi, ki je mlajša od 15 let in glede tega ni soglašal skrbnik take osebe).

Skladno s 3. odstavkom 17. člena uredbe GDPR, pa v določenih primerih nimate pravice do izbrisa osebnih podatkov, ki jih obdeluje naročnik oziroma posledično naše podjetje (npr. kadar naročnik podatke obdeluje za namene uveljavljanja, izvajanje ali obrambe pravnih zahtevkov).

5.4. Pravica do preklica privolitve oziroma delnega preklica privolitve

Če ste kot posameznik privolili v obdelavo vaših osebnih podatkov v zvezi z enim ali več določenih namenov (glejte tabelo iz 1. točke tega obvestila), imate pravico, da to svojo privolitev (t.j. soglasje) kadarkoli prekličete, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica.

Privolitev za obdelavo podatkov lahko kadarkoli omejite oziroma prekličete tako, da v zvezi s tem kontaktirate delodajalca/zavod (t.j. tistega našega naročnika, ki v zvezi z vami vodi vaše osebne podatke v naši rešitvi) oziroma tako, da kontaktirate naše podjetje na naslovu, ki je naveden na začetku tega dokumenta.

5.5. Pravica do omejitve obdelave (18. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki, imate pravico, da se omeji obdelava vaših osebnih podatkov, kadar velja eden od naslednjih primerov:

a) kadar kot posameznik, na katerega se nanašajo osebni podatki, oporekate točnosti podatkov, in sicer za obdobje, ki omogoča preveriti točnost osebnih podatkov;

b) kadar je obdelava nezakonita in kot posameznik, na katerega se nanašajo osebni podatki, nasprotujetet izbrisu osebnih podatkov ter namesto tega zahtevate omejitev njihove uporabe;

c) kadar naročnik osebnih podatkov ne potrebuje več za namene obdelave, temveč jih vi, kot posameznik, na katerega se nanašajo osebni podatki, potrebujete za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

d) kadar kot posameznik, na katerega se nanašajo osebni podatki, vložite ugovor v zvezi z obdelavo in dokler se ne preveri, ali zakoniti razlogi naročnika kot upravljavca prevladajo nad vašimi razlogi (t.j. razlogi posameznika, na katerega se nanašajo osebni podatki).

Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije oziroma Republike Slovenije.

Kadar upravljavec doseže omejitev obdelave, pred preklicom omejitve obdelave, mora o tem obvestiti posameznika, na katerega se nanašajo osebni podatki.

5.6. Pravica do prenosljivosti podatkov

Kot posameznik imate pravico, da prejmete osebne podatke v zvezi z vami, ki ste jih posredovali naročniku, v strukturirani, splošno uporabljani in strojno berljivi obliki, prav tako pa imate pravico, da te podatke posredujete drugemu upravljavcu, ne da bi vas naš naročnik, ki so mu bili osebni podatki zagotovljeni (t.j. delodajalec/zavod, ki vaše podatke obdeluje z našo rešitvijo), pri tem oviral, in sicer kadar:

a) obdelava temelji na privolitvi ali na pogodbi in

b) se obdelava izvaja z avtomatiziranimi sredstvi.

Kot posameznik imate pri uresničevanju navedene pravice do prenosljivosti možnost, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.

5.7. Pravica do ugovora obdelavi (21. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki, imate na podlagi razlogov, ki so povezani z vašim posebnim položajem pravico, da ugovarjate obdelavi osebnih podatkov v zvezi z vami, kadar je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene naročniku (oz. našemu podjetju), oziroma kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva naročnik (oz. naše podjetje) ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Navedeno prav tako velja za oblikovanje profilov v takih primerih obdelav. V primeru vašega ugovora bo naročnik (oz. naše podjetje) prenehal obdelovati osebne podatke, razen če bo uspel dokazati nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami vas kot posameznika, na katerega se nanašajo osebni podatki, oziroma bo obdelava potrebna zaradi uveljavljanja, izvajanja ali obrambe pravnih zahtevkov.

Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadarkoli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.

Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

V okviru uporabe storitev informacijske družbe lahko kot posameznik, na katerega se nanašajo osebni podatki, uveljavljate pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

Kadar se podatki obdelujejo v znanstveno ali zgodovinsko-raziskovalne namene ali statistične namene, ima posameznik pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja iz razlogov javnega interesa.

5.8. Pravica do vložitve pritožbe pri nadzornem organu

Če menite, da obdelava osebnih podatkov, ki jo v zvezi z vami vršimo mi oz. naš naročnik (t.j. vaš delodajalec/zavod, ki vaše podatke obdeluje z našo rešitvijo) oz. naše podjetje, krši predpise o varstvu osebnih podatkov, lahko brez poseganja v katerokoli drugo (upravno ali drugo) pravno sredstvo, vložite pritožbo pri nadzornemu organu, zlasti v državi, v kateri imate običajno prebivališče, v kateri je vaš kraj dela, oziroma v kateri je domnevno prišlo do kršitve (v Sloveniji je to Informacijski pooblaščenec):

– Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, elektronski naslov: gp.ip@ip-rs.com, telefon: 012309730, spletna stran: www.ip-rs.com.

6. Obstoj avtomatiziranega sprejemanja odločitev in oblikovanja profilov

Rešitev ne vključuje avtomatiziranega sprejemanja in oblikovanja profilov na podlagi vaših osebnih podatkov.

Obdelava osebnih podatkov oseb, ki so mlajše od 18 let in oseb z omejeno ali odvzeto poslovno sposobnostjo

Podjetje rešitve zavestno ne ponuja osebam mlajšim od 18 let oziroma je ne razvija v smeri, da bi z njo naročniki obdelovali podatke takšnih oseb in zavestno ne obdeluje nobenih osebnih podatkov povezanih z njimi.

V kolikor bo naše podjetje samo naknadno ugotovilo, da se v naši rešitvi obdelujejo osebni podatki mladoletne osebe, bo naredilo vse, kar je potrebno, da se naročnika obvesti o takšni okoliščini.

8. Na koga se lahko obrnete v zvezi z dodatnimi pojasnili glede obdelovanja osebnih podatkov v našem podjetju in glede vaših pravic?

V primerih iz razdelka b) tabele iz 1. točke tega obvestila, se v prvi vrsti lahko obrnete na vašega delodajalca/zavod, ki vaše podatke obdeluje z našo rešitvijo.

Sicer pa nas lahko kot obdelovalca vaših osebnih podatkov kadarkoli kontaktirate na elektronskem naslovu, ki je naveden na začetku tega dokumenta.

9. Varovanje vaših osebnih podatkov

V podjetju osebne podatke skrbno hranimo in varujemo z organizacijskimi, tehničnimi in logično-

tehničnimi postopki ter ukrepi, s čimer podatke varujemo pred slučajnim ali namernim nepooblaščenim vpogledom, uničevanjem, spreminjanjem ali izgubo, ter nepooblaščeno razkritjem oziroma drugo obliko obdelave, h kateri niste izrecno soglašali oziroma glede katere nimamo neposrednega navodila zadevnega naročnika, ki glede podatkov velja kot upravljavec osebnih podatkov.

Podjetje je v ta namen prav tako sprejelo ustrezne interne procese, ter vzpostavilo različne ukrepe (npr. dodeljevanja, uporaba in spreminjanje gesel, zaklepanje prostorov, pisarn, in nahajališč strežnikov in delovnih postaj, redno posodabljanje podporne programske opreme in nadgradnja varnostno oporečnih komponent, fizično varovanje gradiva, ki vsebuje osebne podatke na za to posebej določenih mestih, usposabljanje zaposlenih, ipd.). Enake varnostne zahteve pa podjetje terja tudi od svojih pogodbenih obdelovalcev.

Verzija in datum zadnje posodobitve tega obvestila

Besedilo tega obvestilo predstavlja verzijo 2.0 tega dokumenta.

To obvestilo je bilo nazadnje posodobljeno dne 5. 3. 2023.

Linking Map d.o.o.