Varstvo osebnih podatkov – obdelovalec

Obvestilo posameznikom po 14. členu Splošne uredbe o varstvu podatkov (GDPR) glede obdelave osebnih podatkov verzija 2.0.

Varstvo osebnih podatkov - obdelovalec

Obdelovalec vaših osebnih podatkov v zvezi s spletno stroritvijo “IJF” oziroma spletno storitvijo “https://e-klub.si” je:

DATASTAT Svetovanje in izdelava statističnih podatkov in multimedijskih vsebin d.o.o.
Vojkova cesta 58
1000 Ljubljana
Matična številka: 3392392000
Davčna številka: SI 26084279

elektronski naslov: info@datastat.si

spletno mesto: https://www.datastat.si/

(v nadaljevanju: DATASTAT d.o.o. oz. družba oz. podjetje)

 

Pooblaščena oseba za varstvo osebnih je imenovana ter dosegljiva na naslovu dpo@datastat.si.

 

Naročniki, storitve in viri osebnih podatkov

DATASTAT Svetovanje in izdelava statističnih podatkov in multimedijskih vsebin d.o.o., Vojkova cesta 58, 1000 Ljubljana, Slovenija (v nadaljnjem besedilu: DATASTAT d.o.o. oz. družba oz. podjetje) svojim naročnikom zagotavlja uporabo dveh spletnih storitev za za učinkovito vodenje in objavo podatkov o članih športnih/judo klubov oziroma udeležencih športnih/judo tekmovanj (t.j. storitev “IJF” preko platform: ijf.org, judobase.org, admin.judobase.org, live.ijf.org, my.ijf.org in platformo IJF fit, in storitev https://e-klub.si/) ter pripadajočo strojno in programsko opremo (v nadaljevanju skupaj poimenovano kot: storitev), pri čemer zagotavljanje storitve zahteva obdelavo določenih osebnih podatkov za normalno in predvideno delovanje, kot je opisano spodaj.

V ta namen podjetje prejema, zbira in obdeluje določeno količino informacij med katere sodijo tudi osebni podatki, kot jih opredeljuje Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oziroma GDPR).

Specifika poslovnega modela podjetja in njenega sodelovanja z njenimi naročniki – športnimi/judo klubi in športnimi/judo zvezami, ki so uporabniki naše storitve (v nadaljevanju: naročniki) je namreč ta, da podjetje, kot bo podrobneje opredeljeno v nadaljevanju, nastopa kot obdelovalec osebnih podatkov oseb, ki so jih naročniki kot upravljavci osebnih podatkov (npr. kot športni/judo klubi oziroma organizatorji tekmovanja) vnesli v storitev.

 

Namen, uporaba in spremembe tega dokumenta

Ta dokument opisuje obdelavo, ki jo vrši podjetje v povezavi z osebnimi podatki posameznikov, ki so jih naročniki vnesli v storitev (npr. člani športnega kluba, udeleženci tekmovanja) (v nadaljevanju: končni uporabniki oz. posamezniki).

V kolikor želite kot posameznik pridobiti informacije o obdelavi vaših podatkov s strani družbe DATASTAT d.o.o., vas prosimo, da obiščete povezavo:

https://www.datastat.si/varstvo-osebnih-podatkov oz. nam v zvezi s tem pišete na dpo@datastat.si.

V kolikor želite kot posameznik pridobiti informacije o obdelavi vaših podatkov s strani posameznega naročnika kot upravljavca vaših osebnih podatkov (npr. športnega/judo kluba, ki ste mu zaupali vaše osebne podatke, da jih ta lahko s pomočjo storitve obdeluje v lastne namene) vam svetujemo, da se obrnete neposredno na osebje upravljavca (npr. vašega izbranega športnega/judo kluba oziroma organizatorja posameznega tekmovanja).

Podatki posameznega upravljavca kakor tudi druge informacije o obdelavi osebnih podatkov, ki vključujejo storitev, vam morajo biti vselej na voljo v trenutku, ko upravljavcu zaupate vaše osebne podatke.  V skladu z uredbo GDPR je posredovanje teh informacij kakor tudi odgovornost za izvedeno obdelavo na posameznem upravljavcu (naročniku).

V kolikor ni drugače navedeno, imajo pojmi iz Splošne uredbe o varstvu podatkov (npr. osebni podatek, obdelava, upravljavec, obdelovalec, ipd.) ki se pojavljajo v tem obvestilu, enak pomen kot pojmi iz zadevne uredbe. Navedbe v tem obvestilu lahko občasno posodabljamo z namenom, da bi njegova vsebina bolje odražala spremembe v varovanju podatkov, oziroma iz drugih operativnih in pravnih razlogov.

V kolikor bomo to obvestilo bistveno spremenili, bomo o tem objavili novico na naši spletni strani oziroma znotraj storitve, oziroma bomo končne uporabnike (posameznike) o tem obvestili preko elektronskega sporočila.

 

1. Pregled zbirk in vrst osebnih podatkov, kategorije posameznikov na katere se osebni podatki nanašajo, predvidenih rokov za izbris osebnih podatkov ter namenov in vrst obdelav

IME ZBIRKE OSEBNIH PODATKOV UPRAVLJAVCAVRSTE PODATKOV V ZBIRKI OSEBNIH PODATKOVKATEGORIJE POSAMEZNIKOV NA KATERE SE NANAŠAJO OSEBNI PODATKIPREDVIDENI ROKI ZA IZBRIS OSEBNIH PODATKOVNAMENI OBDELAVE OSEBNIH PODATKOV IN VRSTA OBDELAVE, VRSTA OBDELAVE*
OSNOVNI PODATKI ČLANOVIme, srednje ime, priimek, datum rojstva, spol, višina, teža, naslov prebivališča, mesto, poštna številka, država, davčna številka / davčna št., elektronski naslov, telefonska številka mobilnega telefona, datum smrti, judo tehnika, država prebivališča, članstvo v judo klubu, vloga v judo skupnosti, številka sodniške licence, podatki o izdaji licence, profilna slika, status akademije IJF, funkcija v zvezi, funkcija v klubu.Osebni podatki članov klubov/judo društev/športnih klubov.
Osebni podatki posameznika, s katerim naročnik sodeluje na podlagi pogodbe ali izjave (npr. članske izjave / pristopne izjave) in je njegove podatke vnesel v zadevni modul storitve.

Do poteka roka hrambe ali izpolnitve namena obdelave posameznih osebnih podatkov, pri čemer podatke naročnik izbriše sam preko uporabniškega vmesnika oziroma izbris zahteva pri podjetju.

*Podjetje sme potake hraniti še 15 dni po izbrisu / ukinitvi glavnega uporabniškega računa naročnika oz. razdoru naročniške  pogodbe (da lahko v tem obdobju izvede uničevanje shranjenih podatkov z vseh nosilcev podatkov in strežnikov).

Podjetje lahko vpogleduje in dostopa do podatkov zgolj zaradi izvajanja nalog, ki so v direktni povezavi z delovanjem temeljnih funkcionalnosti storitve oziroma nudenjem oskrbovalnih oz. podpornih storitev:

·    Obdelave za namene temeljnega delovanja storitve (t.j. samodejno, ko se podatki vnesejo v storitev): zbiranje, beleženje, organizacija, strukturiranje, shranjevanje v oblaku, shranjevanje (varnostno kopiranje), brisanje, dajanje na voljo za vpogled, segmentacija, prenos.

Obdelave se preko storitve vršijo s strani naročnika oz. njegove pooblaščene osebe za njegove namene (za katere so bili podatki pridobljeni) s pomočjo uporabniškega vmesnika in zalednega sistema, ki ga naročniku na podlagi osnovne pogodbe nudi podjetje.

·    Ročna obdelava (s strani upravljavca ali družbe na podlagi zahteve naročnika): shranjevanje (varnostno kopiranje), prilagoditev, sprememba, iskanje, brisanje, nudenje na voljo za vpogled, segmentacija, prenos.

·    Situacijske obdelave (t.j. izdelava nadgradnje storitve, izvrševanje pravic posameznika, na katerega se nanašajo osebni podatki, itd.): razkritje s prenosom, razširjanjem ali drugim dajanjem na voljo, omejitev, izbris, uničenje, shranjevanje (varnostno kopiranje).

*Posredovanje podatkov pogodbenim podobdelovalcem za namene vpogleda in dostop do podatkov, spreminjanja in brisanja podatkov (zunanje gostovanje). Pogodbeni partnerji podjetja (podobdelovalci), ki so navedeni v poglavju 3.3. tega obvestila, lahko podatke obdelujejo zgolj zaradi izvajanja nalog, ki so jim bile dodeljene in so v direktni povezavi z delovanjem temeljnih funkcionalnosti storitve oziroma nudenjem oskrbovalnih funkcij.

PODATKI, KI SO POVEZANI Z JAVNO OBJAVO IN IZVEDBO TEKMOVANJRezultat (uvrstitev), kategorija, video posnetki/fotografije s tekmovanja, status PCR testa (tj. pozitiven/negativen), status cepljenja, prošnja za sodelovanje, informacije o letu, podatki o hotelu.Osebni podatki udeležencev judo/športnih tekmovanj oz. dogodkov.(Enako kot zgoraj).
*Pomembno: glede določenih podatkov, ki se nanašajo na posamezno tekmovanje (npr. ime, rezultat, kategorija), lahko naročnik vašo zahtevo za izbris podatkov zavrne, saj lahko (skladno s točko d) tretjega odstavka 17. člena uredbe GDPR)  uveljavlja izjemo t.i. arhiviranja v javnem interesu. Glede tega vam svetujemo, da vselej preberete obvestilo o obdelavi osebnih podatkov posameznega naročnika / organizatorja dogodka (t.j. upravljavca).
**Glejte razdelek »5. Kakšne so vaše pravice glede vaših osebnih podatkov in kako jih lahko uveljavljate?« spodaj.

*Pomembno: določeni podatki (npr. ime, rezultat, kategorija) so lahko s pomočjo storitve objavljeni na spletnih mestih naročnika (ijf.org, judobase.org, admin.judobase.org, live.ijf.org, my.ijf.org in platformi IJF fit) ter posledično na voljo uporabnikom oz. obiskovalcem teh spletnih mest in platform (skladno z nameni in pogoji, ki jih določa naročnik).

Obdelava zadevnih osebnih podatkov je potrebna za namene delovanja temeljnih funkcionalnosti storitve  v zvezi s preteklimi ali prihodnjimi judo dogodki/tekmovanji (t.j. storitev omogoča upravljavcu, da zbira, shranjuje, daje na voljo na vpogled, prenaša, združuje in drugače tudi samostojno uporablja ustrezne podatke o judo tekmovalcih posameznega dogodka/tekmovanja, oz. mu nudi  upravljanje in obdelavo podatkov o preteklih dogodkih ter organiziranje in izvajanje prihodnjih dogodkov).

Določene vrste obdelav so potrebne tudi za zakonito izvedbo judo prireditev glede na trenutno veljavne zahteve (t.j. shranjevanje in drugačna obdelava podatkov o testiranju / cepljenju proti bolezni COVID-19 v zvezi z zadevnim posameznikom (tekmovalcem) in glede na njegovo privolitvijo). Takšni podatki niso javno objavljeni na spletnih mestih naročnika*.

*Glejte razdelek »Obdelava posebnih kategorij osebnih podatkov« spodaj.

ANALITIČNI PODATKI, KI SO POVEZANI Z UPORABO STORITVEPodatki Google analitike – ID uporabnika, ID računa, ime računa, vrsta računa/načrt, podatki o uporabi funkcij storitveUporabniki storitve (t.j. osebe, ki uporabljajo storitev, pri čemer se pri tem  samodejno beležijo njihovi kliki, časi sej in druga dejanja, ki so vezana na račun uporabnika).

Do poteka roka hrambe ali izpolnitve namena obdelave posameznih osebnih podatkov, pri čemer podatke naročnik izbriše sam preko uporabniškega vmesnika oziroma izbris zahteva pri podjetju.

*Podjetje sme potake hraniti še 15 dni po izbrisu / ukinitvi glavnega uporabniškega računa naročnika oz. razdoru naročniške  pogodbe (da lahko v tem obdobju izvede uničevanje shranjenih podatkov z vseh nosilcev podatkov in strežnikov).

Zbiranje, segmentiranje in shranjevanje in nudenje podatkov na vpogled, ki jih beleži Google Analytics o dejanjih uporabnika v storitvi, za merjenje in optimizacijo uporabniške izkušnje in funkcionalnosti storitve.
*Pojasnilo: te vrste podatkov običajno ne predstavljajo osebnih podatkov, saj jih storitev podobdelovalca Google Analytics anonimizira.
PODATKI, KI SO POVEZANI Z UPORABNIŠKIM RAČUNOM NAROČNIKA Ime pooblaščene osebe upravljavca, ki ima registriran račun za uporabo storitve, elektronski naslov, geslo.Uporabniki storitve (t.j.  osebe, na katere je vezan registriran uporabniški račun).(Enako kot zgoraj).Podatke o računu upravljavca zaledje storitve praviloma samodejno obdeluje za normalno uporabo storitve s strani pooblaščene osebe upravljavca (tj. prijava s podatki registriranega računa). Pri tovrstni obdelavi gre praviloma za zbiranje, in shranjevanje ter nudenje podatkov na vpogled).

1.1 Pravna podlaga za obdelavo osebnih podatkov je izpolnjevanje določil naročniške pogodbe za uporabo storitve

Osebne podatke posameznikov obdelujemo na podlagi sklenjene naročniške pogodbe in skladno s pogodbo o obdelavi osebnih podatkov, ki je sklenjena z vsakim naročnikom (upravljavcem).

Zagotavljanje posamične pravne podlage za vnos in obdelavo podatkov posameznikov v kontekstu storitve je obveznost posameznega naročnika. Podjetje vselej deluje zgolj in izključno v skladu z navodili, ki jih naročnik da podjetju kot upravljavec osebnih podatkov.

 

1.2 Pravna podlaga za obdelavo vaših podatkov je lahko tudi zakon

V podjetju lahko osebne podatke občasno obdelujemo tudi za namene izpolnitve zakonskih in drugih predpisov, posebej tistih, ki urejajo nadzor nad obdelavo osebnih podatkov. Za take primere gre recimo takrat, kadar podjetju sodišče, inšpektor oziroma drug nosilec javnih pooblastil naloži, da mu podjetje nudi dostop do zalednega dela storitve, pri čemer so takrat inšpektorju lahko na voljo tudi dostopi do podatkovnih zbirk.

 

1.3 Na podlagi zakonitih interesov podjetja

Določene osebne podatke smemo obdelovati tudi za namene zavarovanja naših legitimnih interesov. Za take primer gre recimo takrat, kadar bi bila obdelava vaših podatkov na primer potrebna z vidika kazenskih postopkov ali civilnih postopkov (npr. kadar bi morali bazo podatkov predložiti kot dokaz v kazenskem ali civilnem postopku, sicer bi podjetje utrpelo kazen ali nastanek hujše in nepopravljive škode), pri čemer bomo v takšnih primerih vselej obdelovali zgolj tiste podatke, ki so nujno potrebi za zasledovanje teh legitimnih ciljev podjetja.

Podjetje sme obdelovati osebne podatke posameznika tudi v primerih, ko je obdelava potrebna za zaščito življenjskih interesov posameznika (npr. vpogled v naslov posameznika, ki mu preti neposredna in huda življenjska nevarnost) pri čemer bomo tako obdelavo vedno vršili v sodelovanju z naročnikom.

V nadpisanih primerih se bomo vselej prizadevali, da bomo obdelavo vršili v dogovoru s posameznim naročnikom, ki glede podatkov nastopa kot upravljavec.

 

2. Kako dolgo hranimo oziroma obdelujemo vaše osebne podatke?

Obdobje hrambe osebnih podatkov je odvisno od podlage in namena obdelave posamezne kategorije osebnih podatkov. Osebni podatki se hranijo vse dokler je to potrebno za izpolnitev namena, zaradi katerega so bili podatki zbrani, oziroma dokler upravljavec oziroma nek predpis nalaga, da jih moramo hraniti, na to pa jih izbrišemo.

Na podlagi sklenjene naročniške pogodbe in pogodbe o obdelavi osebnih podatkov smemo podatke v storitvi hraniti še 15 dni po izbrisu ali ukinitvi glavnega uporabniškega računa naročnika oz. po razdoru naročniške  pogodbe (saj v tem obdobju izvedemo uničevanje shranjenih podatkov z vseh nosilcev podatkov in strežnikov, kar vključuje tudi varnostne kopije).

Izjemo od napisanega pa lahko predstavljajo primeri, kadar naročnik podatke s pomočjo storitve arhivira v javnem interesu (npr. v kontekstu beleženja in javne objave rezultatov uradnih tekmovanj s pomočjo storitve). V vseh takih primerih vam svetujemo, da se za pregled rokov hrambe obrnete na zadevnega upravljavca (npr. zadevno judo zvezo).

 

3. Kdo v podjetju in izven njega obdeluje vaše osebne podatke (uporabniki osebnih podatkov)?

3.1 Določeni zaposleni v podjetju

Vaše osebne podatke obdelujejo posamezni zaposleni v podjetju. Zaposleni v podjetju obdelujejo le tiste osebne podatke, ki jih potrebujejo za svoje delo, lahko pa si jih tudi posredujejo med seboj, v kolikor delovne naloge in interni pravilnik podjetja to dovoljujejo. Vsi zaposleni so zavezani k zaupnosti in k spoštovanju varstva osebnih podatkov.

 

3.2 Državni organi

V določenih primerih, ki jih predpisuje veljavna zakonodaja, mora podjetje vaše osebne podatke posredovati oziroma o njih poročati tudi pristojnim državnim organom kakor tudi organom, ki so denimo pristojni za finančni, davčni ali drug nadzor (npr. Urad informacijskega pooblaščenca Republike Slovenije, itd.). V določenih primerih je podjetje primorano podatke posredovati tudi tretjim osebam, če takšno obveznost posredovanja oziroma razkritja podjetju nalaga zakon oziroma pravno upravičenje tretje osebe.

 

3.3 Pogodbena obdelava osebnih podatkov

Uporabniki osebnih podatkov so poleg zaposlenih v podjetju lahko tudi zaposlene osebe pogodbenih obdelovalcev podjetja, ki lahko osebne podatke kot zaupne obdelujejo izključno v imenu podjetja in v mejah pogodbe o zunanji obdelavi osebnih podatkov, ki jo ima podjetje sklenjeno s tovrstnim obdelovalcem. Pogodbeni obdelovalci smejo osebne podatke obdelovati zgolj v okviru navodil podjetja, pri čemer podatkov ne smejo uporabiti za zasledovanje kakršnihkoli lastnih interesov.

Pogodbeni obdelovalci, s katerimi podjetje sodeluje so:

  • osebe, ki z nami sodelujejo na podlagi drugih podjemnih oziroma avtorskih pogodb (pravno   svetovanje, razvoj programske kode, ipd.),
  • ponudnik gostovanja (glej poglavje 3.4.),
  • računovodski servis,
  • vzdrževalci IT sistemov.

Podjetje ne bo posredoval vaših osebnih podatkov tretjim nepooblaščenim osebam.

Za pridobitev natančnega seznama vseh pogodbenih podobdelovalcev podjetja, nam lahko v zvezi s tem pišete na naslov dpo@datastat.si.

 

3.4 Ponudnik gostovanja

Gostovanje našega storitve in shranjevanje podatkov, ki so vsebovani v njej, nudi pogodbeni obdelovalec Alphabet Inc., 1600 Amphitheater Parkway, Mountain View, CA 94043, ZDA pri čemer se njegovi strežniki nahajajo v Frankfurtu.

 

3.5 Iznos osebnih podatkov v tretje države in mednarodne organizacije in ukrepi za zaščito prenesenih podatkov

Organizacija osebnih podatkov praviloma ne iznaša v tretje države (t.j. izven območja Evropske unije, Islandije, Norveške in Liechtensteina, torej EGP) in v mednarodne organizacije.

Izjemo od zgoraj navedenega pa predstavljajo tudi primeri gostovanja podatkov znotraj naših storitev, saj naše storitve lahko uporabljajo aplikacijske programske vmesnike in gostovanje, ki jih ponuja storitev Google Cloud Platform, torej družba Alphabet Inc., 1600 Amphitheater Parkway, Mountain View, CA 94043, ZDA, del storitev pa prav tako koristi varnostne in druge storitve platforme AWS, torej družbe Amazon Web Services, LLC., 410 Terry Avenue North Seattle, WA 98109, United States.

Seznam vseh pogodbenih obdelovalcev, ki lahko vaše podatke obdelujejo, v kolikor so bili vaši podatki vneseni v naše storitve se (v angleškem jeziku) nahaja tukaj: List of Datastat subprocessors

Prevedeno vsebino zgoraj navedenega seznama kako tudi podrobnejše informacije o kategorijah uporabnikov in pogodbenih obdelovalcih podatkov lahko pridobite tako, da zahtevo v zvezi s tem pošljete na elektronski naslov: dpo@datastat.si.

 

3.6 Ponudnik analitičnega orodja

Analitiko v zvezi z uporabo naše storitve kot pogodbeni obdelovalec ponuja izvajalec:

Alphabet Inc., 1600 Amphitheater Parkway, Mountain View, CA 94043, ZDA, (storitev: Google Analytics (https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20130906.htm). Lokacija obdelave: EGP (podatki se shranjujejo zgolj na strežnikih, ki se nahajajo znotraj EGP).

 

4. Obdelava in zaščita posebnih vrst osebnih podatkov

Zaradi narave temeljnih funkcionalnosti, ki jih ponuja storitev (t.j. pomoč pri organizaciji judo tekmovanj in dogodkov v času, ko lahko veljajo zahteve, da se udeležbo pogojuje z izpolnjevanjem PCT pogojev), se v kontekstu njenega delovanja lahko obdelujejo tudi  posebni osebni podatki (npr. izpolnjenost pogoja “cepljen, preboleli, testiran”).

Poleg naštetih podatkov lahko med posebne osebne  podatke uvrščamo tudi druge podatke, ki neposredno ali posredno razkrivajo rasno ali etično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, ter podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

4.1 Dodatni tehnični in aplikativni vidiki varstva posebnih osebnih podatkov

Do podatkovnih zbirk v storitvi, ki vsebujejo ali lahko vsebujejo posebne osebne podatke, ima neposreden dostop le omejen nabor zaposlenih, ki do podatkov dostopajo z namenom zagotavljanja delovanja temeljnih funkcionalnosti storitve oziroma nudenja oskrbovalnih dejavnosti, pri čemer je dostop do tovrstnih zbirk omejen na ravni posamezne delovne postaje in administratorskega gesla, ki pripada zaposlenim glede na njihovo delovno mesto.

Vsi posebni osebni podatki so na strežniški aplikaciji izolirani in varovani z notranjimi varnostnimi mehanizmi in programskimi orodji, ki onemogočajo morebitne zunanje vdore.

Posebni osebni podatki se posredujejo uporabniku oziroma drugemu zaposlenemu pri naročniku prek spletnega aplikacijskega vmesnika, ki uporablja varno kriptirano povezavo (HTTPS) z uporabo certifikatov.

Vsi posebni osebni podatki, ki se ob izrecni zahtevi naročnika posredujejo prek e-pošte, so posredovani v šifrirani priponki, za odpiranje katere je potrebno geslo.

 

5. Kakšne so vaše pravice glede vaših osebnih podatkov in kako jih lahko uveljavljate?

V zvezi s tem obvestilom o obdelavi osebnih podatkov oziroma glede same obdelave vaših osebnih podatkov s stani naše družbe in naših pogodbenih obdelovalcev, nas lahko kadarkoli in brez zadržkov kontaktirate preko elektronskega naslova dpo@datastat.si.

Prav tako lahko navedeni naslov uporabljate tudi za pošiljanje vaših zahtev in uveljavljanje drugih pravic, ki so povezane z osebnimi podatki in uredbo GDPR.

Kot posamezniku, na katerega se nanašajo osebni podatki, vam uredba GDPR namreč nudi možnost, da sledeče pravice uveljavljate tako pri upravljavcu (t.j. zadevnemu judo klubu oz. organizatorju tekmovanja, ki uporablja storitev) kakor tudi pri našem podjetju (pri čemer bomo v vseh teh primerih vaš zahtevek naslovili nanj):

 

5.1 Pravica do dostopa do osebnih podatkov (15. člen uredbe GDPR)

Imate pravico, da pridobite potrditev, ali se v zvezi z vami obdelujejo osebni podatki, in kadar je temu tako, zahtevate dostop do zadevnih osebnih podatkov skupaj z informacijami iz 1. odstavka 15. člena uredbe GDPR:

Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, imate kot posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46. členom uredbe GDPR glede takega prenosa.

V kolikor to zahtevate vam mora biti prav tako zagotovljena kopija osebnih podatkov, ki se v zvezi z vami obdelujejo. Za dodatne zahtevane kopije se vam lahko zaračuna plačilo  razumne pristojbino ob upoštevanju nastalih stroškov.

Kadar kot posameznik, na katerega se nanašajo osebni podatki, vašo zahtevo predložite s pomočjo elektronskih sredstev, in v kolikor ne zahtevate drugače, se vam bodo informacije zagotovile v elektronski obliki, ki je splošno uporabljena.

 

5.2 Pravica do popravka osebnih podatkov (16. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki imate tudi pravico doseči, da se v zvezi z vami brez nepotrebnega odlašanja popravijo netočni osebni podatki.

Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

 

5.3 Pravica do izbrisa osebnih podatkov (»pravica do pozabe«) (17. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki, imate pravico doseči, da se brez nepotrebnega odlašanja izbrišejo vaši osebni podatki. Naše podjetje oziroma v prvi vrsti naš naročnik kot upravljavec, pa bo  osebne podatke brez nepotrebnega odlašanja izbrisalo tudi takrat, kadar bo veljal eden od naslednjih razlogov:

  1. osebni podatki ne bodo več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
  2. če se je obdelava osebnih podatkov vršila na podlagi vaše privolitve, ki ste jo preklicali;
  3. če ste ugovarjali obdelavi osebnih podatkov, za obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi,
  4. če so bili osebni podatki obdelani nezakonito;
  5. če je osebne podatke potrebno izbrisati zaradi izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom Republike Slovenije,
  6. če so bili osebni podatki zbrani v zvezi s ponudbo storitev informacijske družbe (ki je bila ponujena osebi, ki je mlajša od 15 let in glede tega ni soglašal skrbnik take osebe).

Skladno s 3. odstavkom 17. člena uredbe GDPR, pa v določenih primerih nimate pravice do izbrisa osebnih podatkov, ki jih obdeluje naročnik oziroma posledično naše podjetje (npr. kadar naročnik podatke obdeluje za namene arhiviranja v javnem interesu, npr. v kontekstu beleženja in javne objave rezultatov uradnih tekmovanj s pomočjo storitve).

 

5.4 Pravica do preklica privolitve oziroma delnega preklica privolitve

Če ste kot posameznik privolili v obdelavo vaših osebnih podatkov v enega ali več določenih namenov (glej točko 1.3 tega obvestila), imate pravico, da to svojo privolitev (t.j. soglasje) kadarkoli prekličete, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica.

Privolitev za obdelavo podatkov lahko kadarkoli omejite oziroma prekličete, tako da kontaktirate upravljavca (npr. organizatorja tekmovanja oziroma lokalno ali nacionalno judo zvezo, ki je v storitev vnesla vaše podatke)  oziroma tako, da kontaktirate naše podjetje na naslovu  dpo@datastat.si.

Podjetje lahko vpogleduje in dostopa do podatkov zgolj zaradi izvajanja nalog, ki so v direktni povezavi z delovanjem temeljnih funkcionalnosti storitve oziroma nudenjem oskrbovalnih oz. podpornih storitev:·    Obdelave za namene temeljnega delovanja storitve (t.j. samodejno, ko se podatki vnesejo v storitev): zbiranje, beleženje, organizacija, strukturiranje, shranjevanje v oblaku, shranjevanje (varnostno kopiranje), brisanje, dajanje na voljo za vpogled, segmentacija, prenos.Obdelave se preko storitve vršijo s strani naročnika oz. njegove pooblaščene osebe za njegove namene (za katere so bili podatki pridobljeni) s pomočjo uporabniškega vmesnika in zalednega sistema, ki ga naročniku na podlagi osnovne pogodbe nudi podjetje.·    Ročna obdelava (s strani upravljavca ali družbe na podlagi zahteve naročnika): shranjevanje (varnostno kopiranje), prilagoditev, sprememba, iskanje, brisanje, nudenje na voljo za vpogled, segmentacija, prenos.·    Situacijske obdelave (t.j. izdelava nadgradnje storitve, izvrševanje pravic posameznika, na katerega se nanašajo osebni podatki, itd.): razkritje s prenosom, razširjanjem ali drugim dajanjem na voljo, omejitev, izbris, uničenje, shranjevanje (varnostno kopiranje).*Posredovanje podatkov pogodbenim podobdelovalcem za namene vpogleda in dostop do podatkov, spreminjanja in brisanja podatkov (zunanje gostovanje). Pogodbeni partnerji podjetja (podobdelovalci), ki so navedeni v poglavju 3.3. tega obvestila, lahko podatke obdelujejo zgolj zaradi izvajanja nalog, ki so jim bile dodeljene in so v direktni povezavi z delovanjem temeljnih funkcionalnosti storitve oziroma nudenjem oskrbovalnih funkcij.

5.5 Pravica do omejitve obdelave (18. člen uredbe GDPR)

Kot posameznik, na katerega se nanašajo osebni podatki, imate pravico, da se omeji obdelava vaših osebnih podatkov, kadar velja eden od naslednjih primerov:

  1. kadar kot posameznik, na katerega se nanašajo osebni podatki, oporekate točnosti podatkov, in sicer za obdobje, ki omogoča preveriti točnost osebnih podatkov;
  2. kadar je obdelava nezakonita in kot posameznik, na katerega se nanašajo osebni podatki, nasprotujetet izbrisu osebnih podatkov ter namesto tega zahtevate omejitev njihove uporabe;
  3. kadar naročnik osebnih podatkov ne potrebuje več za namene obdelave, temveč jih vi, kot posameznik, na katerega se nanašajo osebni podatki, potrebujete za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  4. kadar kot posameznik, na katerega se nanašajo osebni podatki, vložite ugovor v zvezi z obdelavo in dokler se ne preveri, ali zakoniti razlogi naročnika kot upravljavca prevladajo nad vašimi razlogi (t.j. razlogi posameznika, na katerega se nanašajo osebni podatki).

Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije oziroma Republike Slovenije.

Kadar naročnik kot upravljavec doseže omejitev obdelave, pred preklicom omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.

 

5.6 Pravica do prenosljivosti podatkov

Kot posameznik imate pravico, da prejmete osebne podatke v zvezi z vami, ki ste jih posredovali naročniku, v strukturirani, splošno uporabljani in strojno berljivi obliki, in imate pravico, da te podatke posredujete drugemu upravljavcu, ne da bi vas naročnik, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, in sicer kadar:

  1. obdelava temelji na privolitvi ali na pogodbi in
  2. se obdelava izvaja z avtomatiziranimi sredstvi.

Kot posameznik imate pri uresničevanju navedene pravice do prenosljivosti pravico, da se osebni podatki neposredno prenesejo od enega upravljavca (npr. naročnika) k drugemu, kadar je to tehnično izvedljivo.

 

5.7 Pravica do ugovora obdelavi (21. člen uredbe GDPR)

Kot  posameznik, na katerega se nanašajo osebni podatki, imate na podlagi razlogov, ki so povezani z vašim posebnim položajem, pravico, da ugovarja obdelavi osebnih podatkov v zvezi z vami, kadar je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene družbi, oziroma kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva družba ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Navedeno prav tako velja za oblikovanje profilov v takih primerih obdelav.

V primeru vašega ugovora bo naročnik (oz. podjetje) prenehal obdelovati osebne podatke, razen če bo uspel dokazati nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami vas kot posameznika, na katerega se nanašajo osebni podatki, oziroma bo obdelava potrebna zaradi uveljavljanja, izvajanja ali obrambe pravnih zahtevkov.

Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadarkoli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.

Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

V okviru uporabe storitev informacijske družbe lahko kot posameznik, na katerega se nanašajo osebni podatki, uveljavljate pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

Kadar se podatki obdelujejo v znanstveno ali zgodovinsko-raziskovalne namene ali statistične namene, ima posameznik pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja iz razlogov javnega interesa.

 

5.8 Pravica do vložitve pritožbe pri nadzornem organu

Če menite, da obdelava osebnih podatkov, ki jo v zvezi z vami vrši naročnik oz. naše podjetje, krši predpise o varstvu osebnih podatkov, lahko brez poseganja v katerokoli drugo (upravno ali drugo) pravno sredstvo, vložite pritožbo pri nadzornemu organu, zlasti v državi, v kateri imate običajno prebivališče, v kateri je vaš kraj dela, oziroma v kateri je domnevno prišlo do kršitve (v Sloveniji je to Informacijski pooblaščenec):

– Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, elektronski naslov: gp.ip@ip-rs.com, telefon: 012309730, spletna stran: www.ip-rs.com.

 

6 Obstoj avtomatiziranega sprejemanja odločitev in oblikovanja profilov

Storitev ne vključuje avtomatiziranega sprejemanja in oblikovanja profilov na podlagi vaših osebnih podatkov.

 

7. Obdelava osebnih podatkov oseb, ki so mlajše od 15 let

Podjetje s storitvijo zavestno ne zbira oz. drugače obdeluje osebnih podatkov oseb, ki so mlajše od 15 let. Kadar naročnik zbira osebne podatke takšnih oseb in jih vnaša v storitev oz. takšno osebo naprosi, da osebne podatke vnese v storitev, je naročnik vselej dolžan pridobiti predhodno soglasje staršev oz. skrbnika takšne osebe.  

V kolikor bo podjetje samo naknadno ugotovilo, da obdeluje osebne podatke takšne osebe oziroma da z obdelavo ni soglašal starš oz. skrbnik takšne osebe, bo naredilo vse, kar je potrebno, da se vsi zajeti osebni podatki zbrišejo.

Na naslov dpo@datastat.si lahko nadpisane osebe oz. njihovi starši ali skrbniki kadarkoli posredujejo svoje zahteve za izbris zadevnih podatkov.

 

8. Na koga se lahko obrnete v zvezi z dodatnimi pojasnili glede obdelovanja osebnih podatkov v podjetju in glede vaših pravic?

V prvi vrsti se lahko obrnete na vašega izbranega upravljavca (npr. organizatorja tekmovanja oziroma lokalno ali nacionalno judo zvezo, ki je v storitev vnesla vaše podatke).

Sicer pa nas lahko kot obdelovalca vaših osebnih podatkov kadarkoli kontaktirate na elektronskem naslovu: dpo@datastat.si.

 

9. Varovanje vaših osebnih podatkov

V podjetju osebne podatke skrbno hranimo in varujemo z organizacijskimi, tehničnimi in logično-

tehničnimi postopki ter ukrepi, s čimer podatke varujemo pred slučajnim ali namernim nepooblaščenim vpogledom, uničevanjem, spreminjanjem ali izgubo, ter nepooblaščeno razkritjem oziroma drugo obliko obdelave, h kateri niste izrecno soglašali.

Podjetje je v ta namen prav tako sprejelo ustrezne interne procese, ter vzpostavila različne ukrepe (npr. dodeljevanja, uporaba in spreminjanje gesel, zaklepanje prostorov, pisarn, in nahajališč strežnikov in delovnih postaj, redno posodabljanje podporne programske opreme in nadgradnja varnostno oporečnih komponent, fizično varovanje gradiva, ki vsebuje osebne podatke na za to posebej določenih mestih, usposabljanje zaposlenih, ipd.). Enake varnostne zahteve pa podjetje terja tudi od svojih pogodbenih obdelovalcev.

Podatki v storitvi so med drugim varovani z naslednjimi varnostnimi mehanizmi in orodji: namensko varnostno infrastrukturo in podporo, šifriranim prenosom podatkov pri rabi storitev v oblaku in s šifriranjem med prenosom, DDOS zaščito, avtentikacijo in uporabo vstopnih ključev, samodejnim šifriranjem podatkov, ki se hranijo na strežniški infrastrukturi (v mirovanju in med distribucijo), fizičnim varovanjem strežnikov in omrežne opreme (Googlovi podatkovni centri imajo implementirano večplastno  varnostjo in tehničnimi ovirami za dostop in stalnim nadzorom. Vstopijo lahko samo odobreni zaposleni s posebnimi vlogami).

10. Verzija in datum zadnje posodobitve tega obvestila

Besedilo tega obvestilo predstavlja verzijo 2.0 tega dokumenta. To obvestilo je bilo nazadnje posodobljeno dne 12. 5. 2023. 

 DATASTAT Svetovanje in izdelava statističnih podatkov in multimedijskih vsebin d.o.o.