Pravila za zaščito zunanjih podatkov in informacije o obdelavi podatkov (1/2)
Ta pravila za zaščito zunanjih podatkov in informacij o obdelavi podatkov (v nadaljevanju besedila: Pravila) so neločljiv del Pogojev poslovanja (v nadaljevanju besedila: Pogoji).
I. Splošna določila
I.1. Za Shoebox Alpe-Adria trgovina d.o.o. (poslovni naslov: Vodovodna cesta 109, 1000 Ljubljana, matična številka: 8187711000, telefon za kontakt: +386 (0)70 664 377, e-pošta: info@shoebox.si (v nadaljevanju: operater) je izredno pomembna zaščita osebnih podatkov, ki jih posredujejo obiskovalci spletne strani www.officeshoes.si (v nadaljevanju: spletna stran), osebe, ki naročajo blago in se registrirajo na spletni strani ter obiskovalci poslovnih prostorov Operaterja (v nadaljevanju: uporabniki) ob registraciji, naročanju, dajanju elektronskih zahtevkov uporabnika, prisotnosti v poslovnih prostorov, vse z namenom uporabniku omogočiti pravico do informacijske samoodločbe, kar operater omogoča v skladu s temi Pravili.
Na spletni strani je na voljo široka ponudba obutve z možnostjo nakupa preko spleta. Operater upravlja podatke, ki jih je pridobil ob identifikaciji uporabnika, da bi lahko obdelal njihova naročila. Operater je upravljavec vseh podatkov, ki se štejejo kot osebni in ki jih uporabniki posredujejo pri obisku ali uporabi spletnega mesta.
Operater zagotavlja storitve in upravlja z osebnimi podatki uporabnika skladno z veljavno, kar prispeva k varnosti uporabnika pri obisku spletnega mesta.
Operater zaupno upravlja z osebnimi podatki uporabnika. To počne v skladu z veljavnimi predpisi ter zlasti z določili Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta o varnosti posameznika pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (27. aprila 2016; v nadaljevanju besedila: GDPR). Operater zagotavlja varnost podatkov, sprejema vse potrebne tehnične in organizacijske ukrepe, sprejema tista postopkovna pravila, ki so potrebna za usklajevanje z veljavnimi predpisi in njihovimi priporočili.
I.2. Ta pravila povzemajo ta načela, določajo strategijo in dnevno prakso operaterja v zvezi z zaščito osebnih podatkov, opredeljujejo tiste storitve, ki zahtevajo osebne podatke uporabnika. Poleg tega operater v teh Pravilih pojasnjuje namen in način uporabe takšne vrste podatkov ter način zagotavljanja zanesljivosti in zaščite osebnih podatkov.
I.3. Pri izdelavi teh Pravil je operater upošteval veljavne predpise in pomembna mednarodna priporočila zlasti Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta o varnosti posameznika pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/EZ;
I.4. Operater je na zahtevo uporabnika pripravljen zagotoviti vse informacije o upravljanju z osebnimi podataki, namenu in trajanju obdelave, kot tudi o dejavnostih, ki se nanašajo na obdelavo podatkov.
Operater upravlja izključno tiste osebne podatke, ki so shranjeni za potrebe ocenjevanja in določanja pogostnosti obiskov spletne strani in zaradi zagotavljanja uresničevanja pravic uporabnika in operaterja, kot tudi komunikacije z njimi ter zaradi izvedbe poslovnih transakcij z uporabnikom.
II. Osnovne definicije in načela glede upravljanja osebnih podatkov
II.1. Definicije
II.1.1. Upravljanje podatkov: pomeni vsako dejanje ali množico dejanj, ki se izvaja s podatki, avtomatizirano ali ročno, kot je zbiranje, beleženje, organizacija, shranjevanje, prilagajanje ali spreminjanje, uporaba, iskanje, razkritje s prenosom, sporočanje ali zagotavljanje dostopnosti na drug način, usklajevanje ali kombiniranje, blokiranje, izbris ali uničenje ter blokiranje nadaljnje uporabe, fotografiranje, zvočno ali video snemanje ter snemanje fizičnih lastnosti z namenom identifikacije (kot so prstni odtisi ali odtisi dlani, DNK vzorci in skeniranje šarenice);
II.1.2. Razkritje s prenosom: pomeni zagotavljanje dostopnosti podatkov določeni tretji strani;
II.1.3. Upravljavec podatkov: predstavlja fizično ali pravno osebo ali subjekt brez pravne osebnosti, ki sama, ali skupaj z drugimi določa namen obdelave podatkov, odloča o tej obdelavi (vključno o namenu obdelave) ter jo izvaja samostojno ali preko osebe, ki je zadolžena za obdelavo podatkov;
II.1.4. Posameznik, na katerega se nanašajo osebni podatki: predstavlja fizično osebo, ki je identificirana na podlagi določenih osebnih podatkov ali pa se lahko neposredno ali posredno identificira;
II.1.5. Osebni podatki: predstavljajo vsako informacijo, ki se nanaša na posameznika, zlasti njegovo ime, identifikacijske številke (npr. emšo, davčna) ali eden oz. več dejavnikov, ki so značilni za njegovo fizično, fiziološko, mentalno, ekonomsko, kulturno ali družabno identiteto, ter na katero koli lastnost, ki se lahko ugotovi na podlagi takšnih informacij;
II.1.6. Kršitev varovanja osebnih podatkov: nezakonito upravljanje ali ravnanje z osebnimi podatki, zlasti nepooblaščen pristop, prenos, javno razkritje, izbris ali uničenje, naključni izbris ali povzročanje škode;
II.1.7. Izdelava profila: označuje vsako obliko samodejne obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov z namenom ocenjevanja določenih osebnih lastnosti, ki se nanašajo na fizično osebo, zlasti z namenom analize ali predvidevanja lastnosti glede uspešnosti osebe pri delu, ekonomskega položaja, zdravja, osebnih nagnjenj, interesov, zanesljivosti, obnašanja, lokacije ali premikanja;
II.1.8. Psevdonimizacija: pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov ne moremo več pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, brez dodatnih informacij, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi z namenom, da se osebni podatki ne morejo pripisati določenemu ali določljivemu posamezniku;
II.2. Načela
II.2.1. Zakonitost, pravičnost in transparentnost
Osebne podatke je dovoljeno obdelovati samo za določene namene, za izvajanje določenih pravic in obveznosti. Shranjevanje osebnih podatkov se izvaja v skladu z načeli zakonitosti in pravičnosti.
Osebne podatke je dovoljeno obdelovati samo s privolitvijo posameznika, na katerega se nanašajo osebni podatki ali ko je obdelava podatkov potrebna, kot je določeno z zakonom ali s strani lokalnih pristojnih organov na podlagi pooblastil, skladnih z zakonom (v nadaljevanju besedila: „obvezna obdelava“).
II.2.2. Omejitev namena
V vseh fazah upravljanja s podatki morata biti namen obdelave in shranjevanje teh podatkov v skladu z začetnimi in zakonskimi razlogi za takšno upravljanje s podatki.
II.2.3. Minimizacija podatkov
Osebni podatki, s katerimi upravljamo morajo biti pomembni za namen upravljanja s podatki in morajo biti primerni za uresničevanje tega namena.
II.2.4. Točnost
Upravljavec podatkov upravlja podatke, da bi zagotovil točnost (pravilnost) podatkov.
II.2.5. Omejitev shranjevanja
Upravljanje z osebnimi podatki je dovoljeno v takšni meri in toliko časa, dokler je potrebno, da se uresniči njegov namen.
Osebni podatki se brišejo, če je njihovo upravljanje ali obdelava nezakonita, če to zahteva posameznik, na katerega se osebni podatki nanašajo, če so podatki nepopolni ali nepravilni in se ne morejo zakonito popraviti, pod pogojem, da izbris ni zakonsko prepovedan, ter da ni več razloga za njihovo obdelavo ali pa je potekel zakonski rok za njihovo shranjevanje oziroma če tako določa odredba sodišča ali Informacijski pooblaščenec.
II.2.6. Nedotakljivost in zaupnost
Podatki morajo z ustreznimi ukrepi biti zaščiteni pred nepooblaščenim dostopom, spremembami, prenosi, javnim razkritjem, izbrisom in uničenjem kot tudi pred poškodbami in naključno izgubo. Operater mora zagotoviti, da se shranjeni podatki ne uničijo in da so dostopni kljub tehničnim spremembam.
Če uporabniki dostavijo operaterju osebne podatke, bo ta storil vse potrebno za varnost teh podatkov, tako pri mrežni komunikaciji (oz. online upravljanju s podatki) kot tudi pri shranjevanju podatkov (oz. offline upravljanju s podatki).
II.2.7. Odgovornost
Posameznik, na katerega se nanašajo podatki, lahko od upravljavca podatkov zahteva informacije: i) o tem, kdaj se njegovi podatki obdelujejo, ii) o popravkih njegovih osebnih podatkov in iii) o izbrisu ali blokiranju njegovih osebnih podatkov, razen obvezne obdelave.
II.2.8. Operater sprejema splošno načelo, da v primeru, ko zahteva osebne podatke od uporabnika, ima ta pravico se prostovoljno odločiti, ali bo dostavil iskane podatke po branju Pravil. Potrebno je poudariti, da v primeru, ko uporabnik ne dostavi iskanih osebnih podatkov, uporabnik ne bo mogel uporabljati storitev spletnega mesta, ki so dostopne samo registriranim uporabnikom.
Operater spoštuje načela upravljanja s podatki in si prizadeva za dosledno uveljavljanje le-teh.
III. Pravna podlaga za upravljanje s podatki
Operater upravlja s podatki opredeljenimi v V. Poglacju na podlagi sledečih pravnih podlag.
III.1. Pravna podlaga za upravljanje s podatki je točka c, prvi odstavek, 6. člena GDPR (ime, naslov dostave, naslov računa).
Pravna podlagaj za upravljanje s podatki v zvezi s točko IV.2.: prostovoljna privolitev določene osebe (točka a, prvi odstavek, 6. člena GDPR), pravni interes uporabnika in operaterja (točka d in f, prvi odstavek 6. člena, GDPR; snemanje slike in zvoka), upravljanje s pogodbenimi podatki (točka b, prvi odstavek 6. člena GDPR; ime, naslov dostave, naslov računa), točka c, prvi odstavek 6. člena GDPR, (ime, e-naslov), in dodatno, v primeru zahteve za informacijami, ki so dostavljene na e-naslov s strani uporabnika točka b in f, prvega odstavka 6. člena, GDPR (ime, e-naslov).
Operater izjavlja, da se bo v primeru neizpolnitve pravna osnova za obdelavo podatkov po točki b, prvega odstavka, 6. člena GDPR (pogodbeno) prenesla v pravno osnovo po točkah b in f, prvega odstavka, 6. člena GDPR (pravni interes).
III.2. Operater upravlja podatke uporabnika, ki so navedeni v točki V. 1. na temelju prostovoljne privolitve določene osebe (točka a, prvega odstavka, 6. člena GDPR) in pogodbeni obveznosti (točka b, prvega odstavka, 6. člena GDPR); ime, naslov dostave, naslov računa).
Uporabnik daje privolitev osebno ali v elektronski obliki preko spletne strani in s podpisom Izjave o upravljanju podatkov s potrjevanjem krepko označenega polja med registracijo, naročanjem oz. iskanjem informacije s strani uporabnika. Uporabnik ima pravico kadarkoli preklicati privolitev in s tem zahtevati izbris podatkov ali prilagoditev tistih podatkov, za katere je oddal privolitev. V primeru naročila na čakanju preklic privolitve hkrati pomeni tudi preklic naročila. O slednjem operater obvesti uporabnika skupaj z odgovorom na zahtevo za izbris oziroma z zahtevo za neupoštevanje skladno s točko f, prvega odstavka 6. člena GDPR. Operater ima pravico upravljati podatke uporabnika tako dolgo, dokler strani ne izpolnijo pogodbene obveznosti. V skladu s tretjim odstavkom 7. člena in točko c, drugega odstavka, 13. člena GDPR preklic privolitve ne vpliva na pravilnost predhodnega upravljanja s podatki.
III.3. Operater upravlja osebne podatke uporabnika, ki so navedeni v točki V (snemanje) zaradi zagotavljanja kakovosti, varnosti premoženja, preprečevanja in raziskovanja kazenskih dejanj v skladu s točko f, prvega odstavka, 6. člena GDPR, s sorazmerno omejitvijo pravic zaščite osebnih podatkov s ciljem zagotavljanja legitimnih interesov Operaterja in tretje strani.
IV. Namen upravljanja podatkov
Operater upravlja podatke, ki so navedeni v V. Poglavju, da bi dosegel spodaj navedene cilje:
IV.1. Namen upravljanja podatkov je: i) izdaja naročila (ime, naslov dostave); ii) nadzor izvedbe storitve (ime, telefonska številka, e-naslov); iii) preprečevanje zlorabe (ime, telefonska številka, e-naslov); iv) identifikacija uporabnika in njihovo razlikovanje (ime, datum rojstva, telefonska številka, naslov dostave, naslov računa, e-naslov, uporabniško ime, geslo); v) kontakt (ime, telefonska številka, e-naslov); vi) prikazovanje statistike (psevdonimizacija na zahtevo) vii) neposredni marketing (ime, e-naslov); viii) uresničevanje pravice v zvezi s pravnim razmerjem z uporabniki (strankami) (ime, naslov računa, telefonska številka, e-naslov); ix) izpolnitev obveznosti (ime, naslov računa, naslov dostave, datum rojstva, telefonska številka, e-naslov); x) izdaja računa (ime, naslov računa); xi) spremljanje in beleženje obnašanja kupcev zaradi priporočila oglasov, ki so primerni za kupca kot uporabnika spletne strani (izdelava profila: ime in ostali podatki); xii) varnost premoženja, raziskovanje in preprečevanje nezakonitih dejanj (snemanje slike).
IV.2. Uporabniki lahko dajo svojo privolitev osebno ali v elektronski obliki preko internetne strani in s prijavo na e-novice s potrdilom krepko označenega polja med registracijo, z naročilom oz. z vložitvijo zahteve operaterju za pridobitev informacij, s katero dovoljujejo vzpostavljanje stika zaradi neposrednega marketinga ali elektronskega oglaševanja (e-novice, e-naslov, SMS itd.) upoštevajoč dostavljene kontakte. Privolitev je možno kadarkoli preklicati, brez nadomestila, omejitve ali pojasnila, ali ali na način naveden v elektronskem oglaševanju. Privolitev se lahko prekliče tudi z izjavo, ki jo uporabnik naslovi na sedež operaterja. V primeru naročil na čakanju preklic privolitve navedenega v tej točki (v zvezi z e-novicami) ne vpliva na izvedbo naročila. Skladno s tretjim odstavkom 7. člena in s točko c, drugega odstavka, 13. člena GDPR, preklic privolitve ne vpliva na pravilnost prejšnjega upravljanja s podatki.
IV.3. Kadar operater namerava uporabljati dostavljene osebne podatke za druge namene, poleg prvotnega namena, mora v vsakem primeru obvestiti uporabnika in od njega predhodno prejeti neposredno privolitev. Prav tako mora omogočiti uporabniku, da prepove uporabo podatkov.
V. Predmet upravljanja podatkov
V.1. Za naročila preko spletni strani registracija ni obvezna. Glede na potrebe uporabnika ločimo dve ravni uporabe spletne strani in kjer je treba navesti naslednje podatke – na temelju zakonitih zahtev iz točke III. in točke IV. 1:
V.2. Za neregistrirane uporabnike:
Ime
Naslov dostave
Naslov računa
Telefonska številka
E-naslov
Datum rojstva
Uporabniško ime
Geslo
Osebna fotografija (posnetek) – v kolikor je to nujno potrebno
Obseg podatkov, s katerimi se upravlja in ki se obdelujejo, se določa s potrjevanjem pravne sposobnosti uporabnika (datum rojstva), izvedbo naročila (ime, naslov dostave), kontaktnimi podatki (ime, telefonska številka, e-naslov) in izdajo računa (ime, naslov računa).
V.3. Za registrirane uporabnike:
Ime
Naslov dostave
Naslov računa
Telefonska številka
E-naslov
Datum rojstva
Uporabniško ime
Geslo
Osebna fotografija (posnetek) – v kolikor je to nujno potrebno
Obseg podatkov, s katerimi se upravlja, se določa s potrjevanjem pravne sposobnosti uporabnika (datum rojstva), izvedbo naročila (ime, naslov dostave), kontaktnimi podatki (ime, telefonska številka, e-naslov) in izdajo računa (ime, naslov računa).
V.4. Posredovanje osebnih podatkov temelji na zakonskih določilih in pogodbenih obveznostih, kar predstavlja prvi pogoj za sklepanje pogodbe v zvezi z naročilom. Uporabnik mora posredovati svoje osebne podatke, če želi opraviti spletni nakup. Naročilo ni možno brez teh podatkov.
V.5. Uporabniki, mlajši od 16 let: za upravljanje in obdelavo osebnih podatkov uporabnikov, ki še niso dopolnili 16 let, kot tudi za pridobivanje njihovih zakonskih izjav, je nujna predhodna privolitev staršev. Uporabnik, mlajši od 16 let, mora biti v navzočnosti staršev ali zakonskega zastopnika, ki je dal privolitev za naročilo.
V.6. Operater v nobenem primeru ne zbira občutljivih podatkov, kar se nanaša na osebne podatke, ki odkrivajo rasno poreklo ali narodnost, politično opredelitev in pripadnost političnim strankam, versko ali filozofsko opredelitev, zdravstveno stanje, patološke nagnjenosti ali evidenco o kaznivih dejanjih.
V.7. Osebni in drugi podatki, ki jih uporabniki posredujejo operaterju niso dopolnjeni ali povezani s podatki ali informacijami iz drugih virov s strani operaterja.
V.8. Operater v poslovnih prostorih uporablja snemanje s kamero zaradi varnosti, odkrivanja kaznivih dejanj in preprečevanja le-teh. Posnetki se hranijo do 30 delovnih dni. Da bi opozoril uporabnika o snemanju, operater postavi oznako o snemanju na vidno mesto v poslovnem prostoru. Uporabnik se s snemanjem lahko strinja z vstopom v prostor, s podpisom Izjave o upravljanju s podatki, označitvijo strinjanja v spletnem obrazcu . Če se uporabnik ne strinja s snemanjem po točki III.3, lahko naroči blago preko spleta ali drugih kanalov za kupce (spletni klepet, e-pošta). Za ostalo sta pravni podalgai za upravljanje s podatki točki d in f, prvega odstavka, 6. člena GDPR.
V.9. Nekatere podatke uporabnika, kot je IP naslov, ostali promet podatkov ter podatki o obnašanju na spletnem mestu, se beleži, da bi ugotovili število obiskovalcev internetne strani in identificirali morebitne napake in incidente. S temi podatki upravlja operater samo v potrebnem časovnem obdobju in nepovezano s podatki, ki so potrebni za preverbo identitete uporabnika (psevdonimizacija). Upravljanje s podatki in obdelava le-teh se lahko izvajata na strežnikih tretjih oseb.
VI. Trajanje upravljanja s podatki
VI.1. Trajanje upravljanja s podatki:
VI.1.1. Za neregistrirane uporabnike (glej V.1.1) – 2 leti, šteto od od uresničenja cilja upravljanja s podatki (dostava naročila, izdaja računa) ali od datuma, predpisanega z zakonom.
Informacije o računu (ime, naslov računa) se hranijo 11 let, šteto od od datuma izdaje računa.
VI.1.2. Za registrirane uporabnike (glej V.1.2) - 2 leti, šteto od datuma brisanja uporabniškega računa ali izvedbe zadnjega naročila, če je bilo naročilo predano pred brisanjem, ni pa izvedeno pred datumom brisanja navedenega v točki VI.1.1.
Informacije o računu (ime, naslov računa) se hranijo 11 let, šteto od datuma izdaje računa.
VI.1.3. Posnetki iz prodajnih prostorov Operaterja, v skladu s točko V.6., se lahko hranijo in obdelujejo 30 dni. V kolikor v tem obdobju shranjevanje in obdelava posnetkov nista potrebna, bodo posnetki samodejno izbrisani. Če pa podaljašanje hrambe upravičeno (npr. v kolikor posnetki potrebni v uradnih postopkih), operater obdeluje posnetke dokler se ne doseže cilj (končne odločitve v postopku).
VI.2. Uporabnik ima pravico preklicati privolitev za obdelavo in upravljanje s podatki in zahtevati izbris svojih podatkov in spremembo svojih podatkov. Če je njegovo naročilo na čakanju, pomeni preklic privolitve za upravljanje s podatki hkrati preklic naročila, o čemer operater obvesti uporabnika, skladno s točko f, prvega odstavka, 6. člena, GDPR. Operater ima pravico upravljati podatke uporabnika tako dolgo, dokler strani ne dosežeta prvotnega stanja. Skladno s tretjim odstavkom 7. člena in točko c, drugega odstavka, 13. člena GDPR, preklic privolitve ne vpliva na pravilnost upravljanja s podatki v preteklosti.
VI.3. Če so osebni podatki zabeleženi na temelju privolitve uporabnika, Operater lahko obdeluje shranjene podatke, kjer je to potrebno - če z zakonom ni določeno drugače:
a) zaradi usklajevanja z zakonskimi obveznostmi, ki se nanašajo na Operaterja, ali
b) za potrebe legitimnih interesov operaterja ali tretje strani, če je uresničevanje teh interesov sorazmerno omejitvi pravic do varstva osebnih podatkov,
brez nadaljnje privolitve posameznika, na katerega se nanašajo osebni podatki, ali po preklicu njegove privolitve.
VII. Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki
VII.1. Kadar uporabnik, skladno s točko VII.2. od operaterja zahteva izbris svojih osebnih podatkov, mora operater nemudoma izbrisati podatke, ki jih je predhodno posredoval uporabnik.
VII.2. Uporabnik lahko vloži zahtevo za izbris podatkov oz. neupoštevanje po elektronski poti na e-naslov službe za uporabnike ali pisno na naslov sedeža operaterja. Prav tako lahko pokliče službo za uporabnike ali zahtevo vloži osebno v prodajnih prostorih operaterja. Ustno vloženo zahtevo za izbris oz. neupoštevanje podatkov operater potrdi preko e-pošte.
Če prejme zahtevo za izbris informacij (preklic privolitve za upravljanje s podatki), operater ne sme obdelovati niti upravljati s podatki, ki jih je shranil, šteto od dneva, ko prejme zahtevo.
V primeru zahteve, da se podatki ne upoštevajo, mora operater izbrisati iz registra vse povezave na zakonsko obdelane podatke, ki so dostavljeni pred prejemom zahteve. Prav tako mora izbrisati uporabniški profil in njegove samodejne odločitve.
VII.3. Če so se podatki, ki jih je uporabnik v preteklosti posredoval, spremenili, ima uporabnik pravico zahtevati spremembo svojih podatkov v bazi podatkov. Zahtevo za spremembo podatkov lahko uporabnik vloži po elektronski poti na e-naslov službe za uporabnike ali pisno na naslov sedeža operaterja. Ustno vloženo zahtevo za spremembo podatkov operater potrdi preko e-pošte.
VII.4. Če uporabnik zahteva, da se osebni podatki blokirajo namesto, da se izbrišejo, jih bo operater blokiral. Enako je v primeru, če obstajajo utemeljeni razlogi, da bi lahko izbris podatkov vplival na pravne interese uporabnika. Blokirani podatki se lahko obdelujejo samo za potrebe, ki so preprečile izbris. Z omejenimi podatki se lahko upravlja samo s privolitvijo uporabnika ali zaradi predložitve, potrjevanja ali zaščite pravnih zahtev, ali zaščite ostalih pravic fizičnih ali pravnih subjektov, ali zaradi javnega interesa (pravica do omejitve obdelave podatkov).
VII.5. Če operater zavrne zahtevo uporabnika za popravek, blokiranje ali izbris, se v pisni obliki in v roku 25 dni od dneva vložitve zahteve dostavi obvestilo o stvarnih ali pravnih razlogih, na podlagi katerih je sprejet takšen sklep. Če se popravek, blokiranje ali izbris zavrne, kontrolor podatkov obvesti uporabnika o možnosti, da zahteva pravno sredstvo ali vloži pritožbo pri pristojnemu organu.
VII.6. Uporabnik ima pravico vložiti pritožbo glede obdelave in upravljanja z ustreznimi podatki:
a) če je obdelava ali razkrivanje opravljeno samo zaradi razrešitve zakonskih obveznostih operaterja ali pa zaradi uresničevanja pravic in pravnih interesov kontrolorja, prejemnika ali tretje strani, če obdelava ni obvezna;
b) če se osebni podatki uporabljajo ali razkrivajo zaradi neposrednega marketinga, javnega mnenja ali znanstvenega raziskovanja; in
c) v vseh ostalih primerih, ki so določeni z veljavnimi predpisi.
V primeru pritožbe s strani uporabnika ima operater pravico na nadaljnje upravljanje s podatki, če dokaže, da je upravljanje s podatki upravičeno s zakonitimi razlogi, ki so nad interesom in pravico uporabnika ali se nanašajo na vložitev, potrjevanje ali zaščito pravnih zahtevkov.
Glede podatkov, s katerimi se upravlja na pravni podlagi iz točk d in f, prvega paragrafa 6. člena (pravni interes), ima uporabnik namesto zahteve za izbris oz neupoštevanje podatkov, pravico vložiti pritožbo na obdelavo in upravljanje s podatki.
V primeru pritožbe, bo operater raziskal razlog pritožbe v najkrajšem možnem času v roku 15 dni ter odločil, ali bo ugodil pritožbi in nato pisno obvestil uporabnika o svoji odločitvi.
VII.7. Uporabniki imajo pravico zahtevati informacije, ki se nanašajo na upravljanje z osebnimi podatki. Zahtevo za informacije lahko dostavijo po elektronski poti na e-naslov službe za uporabnike ali pisno na naslov sedeža operaterja. Prav tako lahko pokličejo službo za uporabnike ali zahtevo vložijo osebno v prodajnih prostorih operaterja. Ustno vloženo zahtevo po informacijah operater potrdi preko e-pošte.
Operater bo na zahtevo uporabnika dostavil informacije o podatkih, ki se nanašajo nanj, vire, iz katerih prihajajo, namen, razloge in trajanje upravljanja, ime in naslov prejemnika ter vsako dejanje, ki se nanaša na upravljanje s podatki.
Operater bo na zahtevo za informacijami odgovoril v razumljivi obliki, ki ustreza obliki uporabnika, v čim krajšem roku, vendar ne kasneje kot v roku 30 dni.
Informacije, ki se nanašajo na določeno osebo, za katero koli kategorijo podatkov, se brezplačno dostavijo enkrat letno. Dodatne informacije, ki se nanašajo na isto kategorijo podatkov, se lahko dostavijo z doplačilom. Znesek doplačila se lahko določi v pogodbi med strankami. Če se opravi kakršno koli plačilo v zvezi s podatki, ki jih je operater obdelal v nasprotju z zakonom, ali če je zahtevek pripeljal do popravka, se znesek plačila povrne.
Operater lahko zavrne posredovanje informacij o podatkih posameznika, na katerega se nanašajo osebni podatki. Če zavrne posredovanje informacij, operater pisno obvesti uporabnika o pravnih razlogih za zavrnitev. Če zavrne posredovanje informacij, bo operater obvestil posameznika, na katerega se nanašajo osebni podatki, o možnostih, da zaprosi pravna sredstva ali vloži pritožbo pri Informacijskem pooblaščencu. Operater bo obvestil pristojne organe o zavrnjeni zahtevi enkrat letno.
VII.8. Prenosljivost podatkov
V skladu s 20. členom GDPR ima uporabnik pravico prejeti podatke, ki se nanašajo nanj v strukturirani, standardni, uporabljeni in strojno berljivi obliki, ter ima pravico prenesti podatke na drugega obdelovalca podatkov.
Pri uresničevanju svojih pravic do prenosljivosti podatkov skladno s 1. odstavkom, ima uporabnik pravico prenesti svoje osebne podatke na drugega obdelovalca podatkov, če je to tehnično izvedljivo.
Zahteva za prenos podatkov se lahko vloži po elektronski poti na e-naslov službe za uporabnike ali pisno na naslov sedeža operaterja. Prav tako lahko pokliče službo za uporabnike ali zahtevo vloži osebno v prodajnih prostorih operaterja. Ustno vloženo zahtevo za prenosljivost podatkov operater potrdi preko e-pošte.
Če Operater zavrne zahtevo uporabnika za prenos podatkov, bo le-ta o stvarnih ali pravnih razlogih takšne odločitve pisno obveščen v roku 30 dni od datuma prejema zahteve. Če se prenos zavrne, bo kontrolor podatkov obvestil posameznika, na katerega se nanašajo osebni podatki, o možnih pravnih sredstvih ali možnosti vložitve pritožbe pred pristojnim organom.
Uporabnik nima pravice do prenosa podtkov, s katerimi se upravlja na zakoniti podlagi skladno s točkami d in f, 1. odstavka 6. člena (pravni interes).