Politika zasebnosti - varnosti osebnih podatkov organizacije
Uvod
Na podlagi Uredbe EU 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu osebnih podatkov – GDPR) in nacionalne zakonodaje o varstvu osebnih podatkov (v nadaljevanju: ZVOP) je namen te politike seznaniti občane občine Zreče ter druge posameznike o obdelavi osebnih podatkov in načinu zagotavljanja ustreznega nivoja varstva pred kršitvami.
Občina Zreče, Cesta na Roglo 13b, 3214 Zreče (v nadaljevanju »občina«) zbira vaše osebne podatke za namen izvajanja javnih nalog, ki jih določa zakonodaja s področja lokalne samouprave ter druga specialna zakonodaja. Evidence, ki jih za ta namen vodi, so navedene v posebnem dokumentu, ki je dostopen v prilogi tega dokumenta (Evidenca dejavnosti obdelav osebnih podatkov - Priloga P/5.04).
Občina je edini upravljavec vaših osebnih podatkov. Visok standard varstva osebnih podatkov je naše vodilo, zato so za zagotavljanje ustreznega nivoja varstva sprejeta ustrezna notranja pravila varstva (Pravilnik o varstvu osebnih podatkov) ter nadzorni mehanizmi, ki preprečujejo zlorabo ali kakršnokoli nepooblaščeno obdelavo.
Obdelava vaših osebnih podatkov je strogo omejena na obdelavo tistih zaposlenih v občini, ki vaše osebne podatke nujno potrebujejo za izvajanje delovnih nalog. V določenih primerih vaše osebne podatke obdelujejo pogodbeni obdelovalci, s katerimi ima občina sklenjeno pisno pogodbo, pristojni državni organi in nosilci javnih pooblastil v okviru izvajanja zakonskih pristojnosti ter druge osebe, ki imajo zakonsko podlago za pridobitev in obdelavo osebnih podatkov.
Za morebitna vprašanja v zvezi z varstvom osebnih podatkov in uveljavljanjem pravic, ki vam jih omogoča zakonodaja, se lahko obrnete na pooblaščeno osebo za varstvo osebnih podatkov Polona Matevžič, Višja svetovalka za javna naročila in splošne zadeve, ki je dosegljiva na e-naslovu: dpo@zrece.eu ali preberite več o vaših pravicah v prilogi tega dokumenta (Pravice posameznikov - Priloga P/5.07).
-----
Preberi več
Obrazložitev pojmov
»Upravljavec« je fizična ali pravna oseba, javni organ ali drugi subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave, oziroma oseba, določena z zakonom, ki določa tudi namen in sredstva obdelave.
»Obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
»Posameznik«, na katerega se nanašajo podatki, je katerakoli prepoznana ali določljiva fizična oseba, katere osebne podatke obdeluje upravljavec, odgovoren za obdelavo.
»Osebni podatek« pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto.
»Posebna vrsta osebnih podatkov« so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem in filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, biometričnih in genetskih značilnostih ter podatki o vpisu ali izbrisu v ali iz kazenske ali prekrškovne evidence.
»Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje, kot tudi uporaba logičnih, matematičnih in drugih operacij v zvezi s temi podatki.
V »okvir obdelave osebnih podatkov« so vključene odgovornosti, politike in operativni interni akti, vodenje ažurne evidence o zbirkah osebnih podatkov, usposabljanje in ozaveščanje, varnostne kontrole, pogodbe s tretjimi osebami, poizvedbe in ugovori in pritožbe strank, razvoj varstva zasebnosti za nove in obstoječe procese in izdelke. Nanaša se na procese zaznavanja in odzivanja na primere kršitev osebnih podatkov in oceno vpliva novih zunanjih uredb in zakonodaje.
»Kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
»Zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi.
»Uporabnik osebnih podatkov« je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki, ne glede na to ali je tretja oseba ali ne. Javni organi, ki prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice EU, se ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v sladu z veljavnimi pravili o varstvu osebnih podatkov glede na namen obdelave.
»Tretja oseba« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca.
»Privolitev« posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na željo posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov.
Katera je pravna podlaga za zbiranje osebnih podatkov
Občina zbira in drugače obdeluje osebne podatke le:
- če gre za izpolnjevanje zakonskih obveznosti občine,
- če je obdelava nujna za opravljanja naloge v javnem interesu ali pri izvajanju javne oblasti dodeljene občini z zakonom,
- če gre za sklepanje in izvajanje pogodb,
- če gre za nujne primere za zaščito življenjskih interesov posameznika.
Izjemoma občina obdeluje osebne podatke na podlagi privolitve oziroma samostojne odločitve posameznika, da osebne podatke razkrije javnemu sektorju ali se osebni podatki pridobijo iz javnega vira oziroma na drug zakonit ali običajen način, če ne gre za izvrševanje oblastvenih nalog ali pristojnosti javnega sektorja glede odločanja o človekovih pravicah, temeljnih svoboščinah ali obveznostih posameznikov. Zbirke, ki nastanejo na tej podlagi, morajo biti ločene od zbirk, ki nastanejo pri izvrševanju zakonskih nalog ali pristojnosti javnega sektorja.
Temeljni zakon, ki določa vrste različnih obdelav za izvajanje javnih nalog je Zakon o lokalni samoupravi (21. člen). Med drugimi zakoni, ki so podlaga za obdelavo vaših osebnih podatkov, izpostavimo še Stanovanjski zakon, Zakon o urejanju prostora, Zakon o stavbnih zemljiščih, Gradbeni zakon, Zakon o uveljavljanju pravic iz javnih sredstev, Zakon o socialnem varstvu ...
Na kakšen način pridobimo osebne podatke
Vaše osebne podatke običajno občina pridobi na podlagi vaše vloge za pridobitev različnih dovoljenj ali uveljavljanje pravic, ki so v pristojnosti občine. V posameznih primerih pa jih občina, za izvajanje javnih nalog, pridobi tudi iz drugih virov, kot so na primer: Elektronska evidenca Ministrstva za notranje zadeve – Centralni register prebivalstva (e-CRP), Centralna evidenca Ministrstva za delo, družino in socialne zadeve za izvajanje Zakona o uveljavljanju pravic iz javnih sredstev ...
V primeru, ko oddate vlogo preko spleta, podrobnejše informacije o obdelavi osebnih podatkov pridobite na spletni strani občine pod zavihkom Center za varstvo osebnih podatkov ter pri posamezni oddaji e-vloge.
Občina ne izvaja videonadzora v poslovnih prostorih občine ali na javnih površinah v občini.
Katere so kategorije posameznikov katerih osebni podatki se obdelujejo
Občina obdeluje osebne podatke zaposlenih na občini in osebne podatke občanov občine ter drugih posameznikov.
Posamezne kategorije posameznikov, katerih podatki se evidentirajo v zbirkah:
- zaposleni v občinski upravi in njihovi družinski člani,
- najemniki občinskih stanovanj in njihovi družinski člani,
- najemniki stanovanj, ki jim je priznana pravica do subvencioniranja najemnine iz javnih sredstev, in najemodajalci teh stanovanj,
- zavezanci za odmero nadomestila za uporabo stavbnega zemljišča,
- zavezanci za plačilo turistične takse,
- zavezanci za plačilo komunalnega prispevka,
- prosilci denarne pomoči in njihovi družinski člani,
- prosilci enkratne denarne pomoči ob rojstvu otroka (starši in otrok),
- druge kategorije posameznikov (več v prilogi: Evidenca dejavnosti obdelav osebnih podatkov - Priloga P/5.04).
Katero vrsto osebnih podatkov obdelujemo
V skladu z 21. a členom Zakona o lokalni samoupravi, občina pridobiva in obdeluje o posameznikih naslednje osebne podatke:
- enotno matično številko občana;
- osebno ime;
- naslov stalnega ali začasnega prebivališča;
- datum in kraj rojstva oziroma datum smrti;
- podatke o osebnih vozilih;
- podatke o nepremičninah ter
- druge osebne podatke v skladu z zakonom (več v prilogi: Evidenca dejavnosti obdelav osebnih podatkov - Priloga P/5.04).
Občina pridobiva osebne podatke iz prejšnjega odstavka neposredno od posameznika ali na podlagi zahteve, ki vsebuje navedbo pravne podlage obdelovanja osebnih podatkov, osebne podatke pridobi tudi od upravljavca centralnega registra prebivalstva, matičnega registra, zemljiškega katastra ali drugega »centralnega« upravljavca, če tako določa zakon. Upravljavec zbirke podatkov mora občini omogočiti dostop tudi do drugih podatkov iz zbirke, če je to določeno z zakonom in če te podatke občina potrebuje za izvajanje svojih z zakonom določenih pristojnosti.
Ob prijavi na e-novice preko spletne strani, občina pridobiva osebne podatke o imenu in priimku, elektronskem naslovu in/ali mobilni številki. Ob oddaji pobude in vprašanja preko občinske spletne strani občina pridobiva osebne podatke o imenu in priimku, naslovu in elektronskem naslovu pošiljatelja pobude in vprašanja.
Obdelava osebnih podatkov preko spleta
Elektronski naslov občine je info@zrece.eu. Ponudnik spletnega mesta je obdelovalec osebnih podatkov, s katerim ima občina sklenjeno pogodbo o obdelavi osebnih podatkov.
Osebne podatke občina pridobi na podlagi vašega obiska spletne strani (prijava na e-novice, registracija …) ali ob oddaji elektronske vloge. Več o politiki zasebnosti preko spleta si lahko preberete na www.zrece.si .
Obdelava osebnih podatkov, ki jih obdelujemo, ko na občino oddate upravno vlogo za pridobitev dovoljenj ali uveljavljanje pravic
Ob oddaji vloge (fizično ali elektronsko) na občino posredujete le tiste osebne podatke, ki jih nujno potrebujemo za izvedbo posameznega upravnega postopka, izhajajoč iz pristojnosti občine na podlagi 21. člena Zakona o lokalni samoupravi, področnih predpisov ali občinskih predpisov. Glede na navedeno, je pravna podlaga zakon. Praviloma ob vsaki vlogi obdelujemo vaše kontaktne podatke ter identifikacijske podatke (EMŠO, davčna ipd.). Odvisno od vloge, se obdelujejo tudi drugi podatki, ki so nujni za izvedbo konkretnega upravnega postopka. Podatki se hranijo toliko časa kot ga določa Klasifikacijski načrt občine ali področna zakonodaja.
Več o pravnih podlagah, vrsti osebnih podatkov, hrambi, uporabnikih vaših podatkov ter drugih informacijah o obdelavi najdete v prilogi: Evidenca dejavnosti obdelav osebnih podatkov – Priloga P/5.04.
V primeru, ko oddate vlogo osebno v prostorih občine, informacije o obdelavi in varstvu osebnih podatkov lahko preberete na oglasni deski ali informacije o obdelavi osebnih podatkov pridobite od referenta, ki vašo vlogo sprejme.
Uporabniki vaših podatkov
Obdelava vaših osebnih podatkov je strogo omejena na obdelavo tistih zaposlenih v občini, ki vaše osebne podatke nujno potrebujejo za izvajanje delovnih nalog. V določenih primerih vaše osebne podatke obdelujejo pogodbeni obdelovalci, s katerimi ima občina sklenjeno pisno pogodbo, pristojni državni organi in nosilci javnih pooblastil v okviru izvajanja zakonskih pristojnosti ter druge osebe, ki imajo zakonsko podlago za pridobitev in obdelavo osebnih podatkov.
Več v prilogi: Evidenca o dejavnostih obdelave osebnih podatkov - Priloga P/5.04
Koliko časa hranimo vaše podatke
Osebni podatki občanov in drugih posameznikov se lahko hranijo za obdobje, ki je določeno v uradni evidenci (Evidenca o dejavnostih obdelave osebnih podatkov - Priloga P/5.04). Za določitev roka hrambe se upoštevajo roki, ki jih določajo področni predpisi in klasifikacijski načrt občine. Če roki hrambe niso posebej zakonsko predpisani, mora biti ob upoštevanju načela sorazmernosti, hramba omejena na najkrajše možno obdobje. Po preteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.
Kako varujemo vaše osebne podatke
Na podlagi Uredbe EU 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu osebnih podatkov – GDPR), nacionalne zakonodaje o varstvu osebnih podatkov je Občina Zreče sprejela Pravilnik o varstvu osebnih podatkov, ki določa tako pravila varstva kot tudi druge zahteve, ki jih določa evropska in nacionalna zakonodaja na področju varstva osebnih podatkov. Občina zagotavlja uveljavitev pomembnih temeljnih načel obdelave osebnih podatkov, in sicer, da so osebni podatki:
- obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (»zakonitost, pravičnost in preglednost«);
- zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni (»omejitev namena«);
- ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (»najmanjši obseg podatkov«);
- točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (»točnost«);
- hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (»omejitev shranjevanja«);
- obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (»celovitost in zaupnost«).
Občina zagotavlja redno usposabljanje in ozaveščanje vseh zaposlenih, ki sodelujejo pri obdelavi osebnih podatkov. Usposabljanje in ozaveščanje zajema najmanj naslednja področja:
- predpise s področja varstva osebnih podatkov,
- odgovornosti vseh v procesu,
- poznavanje internih aktov občine,
- vodenje ažurne evidence o zbirkah osebnih podatkov,
- varnostne kontrole, ki se nanašajo na osebne podatke,
- pogodbe in razmerja s tretjimi osebami oziroma obdelovalci,
- ravnanje s poizvedbami, ugovori in pritožbami strank,
- razvoj varstva zasebnosti za nove procese in izdelke,
- procesi zaznavanja in odzivanja na primere kršitev osebnih podatkov.
Kakšne so vaše pravice
Na podlagi pravice posameznika do seznanitve o obdelavi lastnih osebnih podatkov, občina na zahtevo posameznika, na katerega se nanašajo osebni podatki, ali njegovega zakonitega zastopnika ali pooblaščenca:- zagotovi potrdilo o tem, ali se osebni podatki, ki se nanašajo na tega posameznika, obdelujejo ali ne,
- na razumljiv način obvesti tega posameznika, kateri osebni podatki, ki se nanašajo nanj, se obdelujejo in o izvoru teh podatkov,
- seznani posameznika z namenom obdelave, vrsto osebnih podatkov ter obdobjem hrambe osebnih podatkov,
- omogoči vpogled v evidenco zbirke osebnih podatkov in vpogled v osebne podatke, ki se nanašajo na tega posameznika, in njihov prepis,
- dostavi izvlečke, potrdila ali izpise osebnih podatkov, ki se nanašajo na posameznika, v katerih sta navedena namen in pravna podlaga za zbiranje, obdelavo in uporabo teh podatkov,
- omogoči informacijo o obstoju pravice do popravka, izbrisa, ali omejitve obdelave osebnih podatkov ali obstoju pravice do ugovora taki obdelavi,
- dostavi natisnjen dokument, ki vsebuje informacije o tem, komu je bil omogočen dostop do osebnih podatkov tega posameznika, za kakšen namen in na kateri pravni podlagi,
- omogoči informacijo o pravici do vložitvi pritožbe pri nadzornem organu,
- v primeru, da informacije niso zbrane neposredno od posameznika, posreduje informacijo o viru osebnih podatkov,
- omogoči informacijo o morebitnem obstoju avtomatiziranega sprejemanja odločitev,
- omogoči informacijo o morebitnih prenosih osebnih podatkov v tretje države (vključno z zaščitnimi ukrepi).
Poleg pravice do dostopa oziroma seznanitve, občina na zahtevo oziroma vlogo posameznika odloča tudi o drugih pravicah posameznikov, in sicer: do popravka ali izbrisa osebnih podatkov, do preklica obdelave (v primeru pravne podlage privolite), omejitve obdelave osebnih podatkov ali do ugovora obdelavi ter prenosljivosti podatkov.
Priporočljiva vloga za uveljavitev pravic posameznikov je posameznikom enostavno dosegljiva preko spletne strani ali v tiskani obliki v glavni pisarni (tajništvu).
Več o pravicah posameznikov (Priloga P/5.07)
Vloga - Zahteva posameznika za dopolnitev, popravek, izbris, omejitev obdelave, prenos podatkov ali preklic privolitve za obdelavo osebnih podatkov (Obrazec O/6.05)
Vloga - Zahteva posameznika za seznanitev z lastnimi podatki (Obrazec O/6.04)
Kam se lahko formalno pritožite, če menite, da so kršene vaše pravice do varstva osebnih podatkov
V primeru kršitve varstva vaših osebnih podatkov se lahko pritožite nadzornemu organu: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana (gp-ip@ip-rs.si).