1) O Politiki varstva osebnih podatkov
Namen Politike varstva osebnih podatkov (v nadaljevanju: Politika) je seznanitev uporabnikov ter drugih oseb (v nadaljevanju: Posamezniki) z nameni in podlago obdelave osebnih podatkov s strani Narodne galerije, Puharjeva 9 1000 Ljubljana (v nadaljevanju: NG) ter pravicami Posameznikov na tem področju. Hkrati ta Politika dodatno pojasnjuje soglasja za obdelavo osebnih podatkov.
V Politiki so skladno z veljavno zakonodajo, zajete naslednje informacije:
- kontaktne informacije NG in kontaktne informacije v zvezi z varstvom podatkov;
- nameni, podlage in vrste obdelave različnih vrst osebnih podatkov Posameznikov, vključno z morebitnim profiliranjem osebnih podatkov Posameznikov;
- morebitno posredovanje podatkov tretjim osebam in v tretje države;
- čas hrambe posameznih vrst osebnih podatkov;
- pravice Posameznikov v zvezi z obdelavo osebnih podatkov;
- pravica do vložitve pritožbe v zvezi z obdelavo osebnih podatkov.
|
Kjer je to primerno oz. potrebno, se določila, ki se nanašajo na Posameznike, uporabljajo tudi za komunikacijo s pravnimi osebami.
2) Upravljavec podatkov
Upravljavec osebnih podatkov Posameznikov, ki se obdelujejo v skladu s Politiko varstva osebnih podatkov, je Narodna galerija, Puharjeva 9, 1000 Ljubljana. Za vaša vprašanja in zahtevke je NG v ta namen odprla e-poštni naslov: GDPR@ng-slo.si.
3) Nameni obdelave in podlage za obdelavo osebnih podatkov
Obdelava na podlagi pogodb in zakonodaje
NG obdeluje osebne podatke Posameznikov za izpolnjevanje svojih obveznosti iz pogodbenih razmerij, vključno s prodajo blaga in storitev, in drugih z zakoni naloženih obveznosti.
V tem okviru NG obdeluje osebne podatke Posameznikov za naslednje namene: identifikacija Posameznika; priprava ponudbe; sklenitev pogodbe; dobava oz. dostava storitev ali blaga; obveščanje o spremembi zakonodaje na določenem področju ali spremembi prodajnih pogojev; izvajanje sprememb pogodbenega razmerja; obračunavanje storitev; reševanje morebitnih tehničnih težav, ugovorov ali reklamacij Posameznikov; pošiljanje obvestil Posameznikom v zvezi z izvajanjem pogodbenega razmerja; izvajanje morebitnih postopkov izterjave; prodaja terjatev; ter za druge namene, potrebne za izvajanje ali sklepanje pogodbenega razmerja med NG in Posameznikom.
V obsegu, nujno potrebnem za preverjanje pristnosti in identifikacijo transakcij, NG obdeluje podatke tudi za potrebe obračuna provizij zaposlenim in poslovnim partnerjem, ki prodajajo storitve Posameznikom, ter opredelitev njihove učinkovitosti ter pripravo poročil in planiranje nadaljnjih aktivnosti.
Za potrebe izvajanja storitev, ki jih je naročil Posameznik, NG, dokler je to potrebno za izvajanje teh storitev, obdeluje vse podatke, ki so za to potrebni. NG za namene spremljanja in preverjanja kakovosti izvajanja storitev ter odpravljanja morebitnih tehničnih napak lahko beleži tehničine parametre, ki so lahko povezani s Posameznikom.
Posameznik je obveščen o možnosti, da se pri registraciji na nekatere storitve ali v zvezi z izvajanjem posameznih pogodbenih pravic in obveznosti, lahko preverja identiteta Posameznika s pomočjo IKT opreme. Uporabnik prevzema odgovornost za ustrezno varovanje svoje IKT opreme. NG ne odgovarja za morebitno razkritje osebnih podatkov ali zlorabo identitete Posameznika, ki je posledica neustreznega varovanja Posameznikove IKT opreme.
Podatke lahko NG po preteku roka hrambe anonimizira skladno z zakonom. Anonimizirani podatki niso več osebni podatki.
Obdelava na podlagi zakonitega interesa, za katerega si prizadeva NG
NG lahko podatke obdeluje tudi na podlagi svojih zakonitih interesov, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se le-ti nanašajo. Kadar gre za nadaljnjo uporabo podatkov, zbranih o Posamezniku, NG opravi presojo skladno s Splošno uredbo o varstvu podatkov. Nadaljnja uporaba podatkov v psevdonimizirani ali agregirani obliki na primer predstavlja zakonito uporabo podatkov za trženjske in druge poslovne oziroma tehnične analize NG. Kot dodaten ukrep pri nekaterih oblikah nadaljnje podatkov o prometu se lahko uporabi tudi brisanje določenih podatkov.
Skladno s Splošno uredbo o varstvu podatkov sodi med zakonite interese tudi neposredno trženje. Za potrebe neposrednega trženja lahko NG tudi brez privolitve oblikuje profile Posameznikov na podlagi osnovnih informacij, kot so na primer naročene storitve ali produkti. Posameznik lahko navedeni obdelavi ugovarja skladno z določili GDPR.
Na podlagi zakonitega interesa lahko NG Posameznike za namene izboljšave storitev kontaktira za potrebe ugotavljanja njihovega zadovoljstva s storitvami oziroma uporabniško izkušnjo tudi v primerih, ko to ni nujno potrebno za izvajanje pogodbe. NG zaradi tehtanja tega interesa z interesi Posameznika ne kontaktira ponovno tistih Posameznikov, ki so temu ugovarjali.
Skladno z zakonitim interesom lahko NG obdeluje osebne podatke v nujno potrebnem in sorazmernem obsegu za zagotovitev neprekinjenega delovanja, varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na določeni ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih osebnih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne prek omrežij in sistemov. To na primer vključuje preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih. To lahko vključuje tudi obdelavo omrežnih diagnostičnih podatkov (tehničnih podatkov oziroma odčitkov iz opreme) ter podatkov o zgodovini v diagnostičnih orodjih, ki bi lahko omogočali ponovno identifikacijo posameznika.
NG ima zakonit interes podatke do preteka zakonitega roka hrambe anonimizirati oziroma agregirati in nadalje uporabljati za analize in raziskave za potrebe trženja, načrtovanja storitev in podobno.
Drugi zakoniti interesi lahko vključujejo preprečevanje zlorab, uveljavljanje zahtevkov ali obrambo pred zahtevki v upravnih in sodnih postopkih. Zakonit interes zajema tudi zakonito preverjanje plačilne sposobnosti Posameznikov, na primer prek aplikacije SISBON.
NG lahko v primeru suma zlorab v primernem in sorazmernem obsegu obdeluje podatke o Posameznikih za namen identifikacije in preprečevanja morebitnih prevar ali zlorab ter lahko, če je to primerno, te podatke v skladu z zakonodajo posreduje pristojnim organom. Za namen preprečitve prihodnjih zlorab oziroma prevar se podatki o zgodovini ugotovljenih zlorab oziroma prevar v povezavi s Posameznikom, kamor sodijo podatki o pogodbenem razmerju ter na primer IP naslov, lahko hranijo še pet let po prenehanju poslovnega razmerja.
Obdelava na podlagi privolitve za obdelavo osebnih podatkov
Obdelava osebnih podatkov lahko temelji na privolitvi, ki jo posameznik da NG. Privolitev se lahko na primer nanaša na obveščanje o ponudbi in storitvah, pripravo ponudbe, prilagojene Uporabniku ali opravljanje storitev z dodano vrednostjo. Obveščanje se izvaja prek načinov, ki jih je v privolitvi izbral Posameznik. Obveščanje z uporabo poštnega ali e-poštnega naslova lahko vključuje posredovanje le-tega zunanjemu pogodbenemu obdelovalcu.
Posameznik, na katerega se nanašajo osebni podatki, lahko svoje soglasje kadarkoli umakne oziroma spremeni na enak način, kot je bilo soglasje dano ali tudi na drug način, kot ga opredeli NG, pri čemer si NG pridržuje pravico do identifikacije Uporabnika. Spremembo soglasja je med drugim mogoče urediti preko portala oz. aplikacije, preko telefona ali na sedežu NG. Umik oziroma sprememba soglasja se nanaša le na podatke, ki se obdelujejo na podlagi soglasja. Veljavno je zadnje podano soglasje Posameznika, ki ga prejme NG. Možnost preklica soglasja na predstavlja odstopnega upravičenja v poslovnem razmerju Posameznika z NG.
Za mladoletnega otroka, ki skladno z veljavno zakonodajo soglasja ne more podati sam, ga lahko da eden od staršev, rejnik ali skrbnik. Takšno soglasje bo veljalo dokler ga eden od staršev, rejnik ali skrbnik oziroma otrok sam, ko skladno z veljavno zakonodajo to pravico pridobi, ne prekliče ali spremeni.
Kjer soglasje vključuje neposredno trženje na podlagi Posameznikovega profila, lahko NG izvaja profiliranje Posameznika na podlagi naročene in dejanske uporabe storitev. Profiliranje lahko ima za posledico ponudbo oziroma informacijo o ponudbi PMS, vendar za Posameznika v nobenem primeru ne ustvarja pravnih obveznosti. Profiliranje za potrebe neposrednega trženja lahko vključuje uporabo rojstnega datuma, če ga je Uporabnik posredoval.
Podatki, za katere je dana privolitev, se obdelujejo do preklica, razen če niso povezani z listinami, kjer je rok hrambe zakonsko določen drugače.
4) Posredovanje podatkov tretjim osebam ter posredovanje podatkov v tretje države (države, ki niso članice Evropske unije ali Evropskega gospodarskega prostora)
NG lahko, če je to skladno z namenom, s katerim se osebni podatki obdelujejo po pravu EU in slovenskih predpisih, posreduje osebne podatke o Posameznikih: osebam, ki za NG izvajajo posamezne naloge obdelave kot so na primer priprava in pošiljanje računov ali podatkovna analitika, vzdrževanje in razvoj storitev, vključno s programsko opremo, kadar te naloge v potrebnem obsegu vključujejo obdelavo osebnih podatkov; osebam, ki opravljajo storitve, povezane z IKT, na primer storitve plačil po komunikacijskih omrežjih in druge storitve z dodano vrednostjo; osebam, ki za NG opravljajo storitve prodaje in trženja, vključno s prodajo in trženjem na terenu, ali sodelujejo z NG na področju trženja in prodaje lastnih storitev ali storitev tretjih oseb, v obsegu, ki je potreben za tovrstne naloge v sklopu namenov in podlag, opredeljenih v tej Politiki.
Podatke smejo znotraj NG obdelovati le pooblaščene osebe, ki skrbijo za zaračunavanje, odgovarjajo na vprašanja Posameznikov, odkrivajo prevare, tržijo storitve, zagotavljajo storitve z dodano vrednostjo ali opravljajo druge naloge, pri katerih je potrebna obdelava osebnih podatkov, pri čemer mora biti ta obdelava omejena na obseg, ki je potreben za namene takih dejavnosti.
NG lahko, če je to skladno z namenom, s katerim se osebni podatki obdelujejo skladno s pravom EU in slovenskimi predpisi, podatke o Posameznikih posreduje tudi v nekatere tretje države. Posredovanje podatkov v tretje države se zagotavlja v skladu z zakonskimi podlagami za iznos podatkov v tretje države, ki jih predpisujejo pravo EU ter veljavni slovenski predpisi. Mogoče podlage vključujejo: izvedbeni akt Evropske komisije o ustreznosti varstva v tretji državi; zavezujoča poslovna pravila, skladna s Splošno uredbo o varstvu podatkov, če so ta ustrezno odobrena; standardna določila o varstvu podatkov; drug mehanizem, ki ga dopušča Splošna uredba o varstvu podatkov.
5) Rok hrambe osebnih podatkov
Osebni podatki o Posameznikih se lahko za namen izpolnjevanja pogodbenih obveznosti hranijo do izteka pogodbe oz. do zakonsko določenega roka hrambe računovodskih oz. pogodbenih listin.
Če se podatki obdelujejo na podlagi privolitve Posameznika zaradi trženja storitev, se ti podatki v potrebnem obsegu lahko obdelujejo toliko časa, dokler je podano soglasje.
6) Pravice Posameznikov v zvezi z obdelovanjem osebnih podatkov
NG zagotavlja Posameznikom uresničevanje njihovih pravic brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejema zahteve. NG lahko rok za uresničevanje pravic Posameznika podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Če NG podaljša rok, o vsakem takem podaljšanju obvesti Posameznika v enem mesecu od prejema zahtevka skupaj z razlogi za zamudo.
NG sprejema zahteve v zvezi s pravicami Posameznika na elektronski naslov GDPR@ng-slo.si ali po pošti na naslov Narodna galerija, Puharjeva 9, 1000 Ljubljana. Posameznik lahko zahtevo odda tudi na sedežu NG.
Kadar Posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če Posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.
Kadar obstaja upravičen dvom v zvezi z identiteto Posameznika, ki predloži zahtevo v zvezi s kakšno od njegovih pravic, lahko NG zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.
Če so zahteve Posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko NG zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali - zavrne ukrepanje v zvezi z zahtevo.
Posameznikom NG omogoča naslednje pravice v zvezi z obdelovanjem osebnih podatkov: pravico do dostopa do podatkov; pravico do popravka; pravico do izbrisa; pravico do omejitve obdelave; pravico do prenosljivosti podatkov; pravico do ugovora.
Pravica do dostopa do podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od NG dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in dodatnih informacij v zvezi z obdelavo osebnih podatkov, kamor sodijo: - nameni obdelave; - vrste osebnih podatkov; - uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah; - kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja; - obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi; - pravica do vložitve pritožbe pri nadzornem organu; - kadar osebni podatki niso zbrani od Posameznika, vse razpoložljive informacije v zvezi z njihovim virom; - obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za Posameznika.
Na podlagi zahteve Posameznika NG zagotovi kopijo njegovih osebnih podatkov, ki se obdelujejo. Za dodatne kopije podatkov, ki jih zahteva Posameznik, na katerega se nanašajo osebni podatki, lahko NG zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov.
Pravica do popravka
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da NG brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
Pravica do izbrisa
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da NG brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, NG pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati: - kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani; - kadar Posameznik prekliče privolitev, ki je podlaga za obdelavo podatkov, pa za obdelavo ne obstaja nobena druga pravna podlaga; - kadar Posameznik ugovarja obdelavi na podlagi zakonitega interesa NG, pa za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi; - kadar Posameznik ugovarja obdelavi za potrebe neposrednega trženja; - kadar je osebne podatke treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali slovenskim pravnim redom; - kadar gre za podatke, v zvezi s ponujanjem storitev informacijske družbe, nepravilno zbrane od otroka, ki skladno z veljavno zakonodajo takšnih podatkov ne more dati.
Kadar gre za imeniške ali drugače objavljene podatke, NG sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da Posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
Pravica do omejitve obdelave
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da NG omeji obdelavo, kadar: - Posameznik oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov; - je obdelava nezakonita in Posameznik nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe; - NG osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; - je Posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi Posameznika, na katerega se nanašajo osebni podatki.
Pravica do prenosljivosti podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval NG, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga NG, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar: - obdelava temelji na privolitvi Posameznika ali pogodbi in - se obdelava izvaja z avtomatiziranimi sredstvi.
Pravica do ugovora
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov, če ta temelji na zakonitih interesih, za katere si prizadeva NG ali tretja oseba. NG preneha obdelovati osebne podatke, razen če dokaže nujne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami Posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima Posameznik pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno s profiliranjem, kolikor je povezano s takim neposrednim trženjem. Kolikor neposredno trženje temelji na privolitvi, se pravica do ugovora lahko izvede s preklicem dane osebne privolitve.
7) Pravica do vložitve pritožbe v zvezi z obdelovanjem osebnih podatkov
Posameznik lahko morebitno pritožbo, v zvezi z obdelovanjem osebnih podatkov, pošlje na elektronski naslov GDPR@ng-slo.si ali po pošti na naslov Narodna galerija, Puharjeva 9, 1000 Ljubljana. Posameznik lahko pritožbo odda tudi na sedežu NG.
Prav tako ima vsak Posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo neposredno pri Informacijskem pooblaščencu, če meni, da obdelava osebnih podatkov v zvezi z njim krši slovenske predpise ali predpise EU na področju varstva osebnih podatkov.
Če je Posameznik pri NG uveljavljal pravico do dostopa do podatkov in po prejeti odločitvi NG meni, da osebni podatki, ki jih je prejel, niso osebni podatki, ki jih je zahteval, ali da ni prejel vseh zahtevanih osebnih podatkov, lahko pred vložitvijo pritožbe Informacijskemu pooblaščencu vloži obrazloženo pritožbo pri NG v roku 15 dni. NG mora o pritožbi odločiti kot o novi zahtevi v petih delovnih dneh.
8) Veljavnost Politike
Ta Politika je objavljena na http://www.ng-slo.si in začne veljati 25. 5. 2018.