Izjava o zasebnosti

Ta politika zasebnosti predstavlja minimalne standarde, ki jih iSTYLE d.o.o., Ameriška ulica 8, 1000 Ljubljana (v nadaljevanju iSTYLE), ko nastopa kot upravljavec in tudi, ko nastopa kot obdelovalec osebnih podatkov (v nadaljnjem besedilu: upravljavec) uporablja v zvezi z zasebnostjo podatkov, da bi zagotovil, da zbira, uporablja, hrani in razkriva osebne podatke na pošten, pregleden in varen način.

Vsebina in načela Politike zasebnosti (v nadaljevanju politika) so skladi in v določenih meri tudi presegajo glavne zahteve veljavnih zakonov in predpisov. Ta politika je usklajena tudi z drugimi posebnimi politikami skupine katere del je iSTYLE, ki se nanašajo na zbiranje in uporabo informacij ali osebnih podatkov, ki jih izvaja vsak subjekt skupine, da bi pokrili posebne namene obdelave osebnih podatkov, ki so potrebni za vsakodnevno dejavnost (npr. politika piškotkov, posebne lokalne politike).

1. Kakšen je obseg te politike o zasebnosti?

   1. Politika zajema vse osebne podatke v kakršni koli obliki, vključno z, vendar ne omejeno na elektronske podatke, papirnate dokumente in diske ter vse vrste obdelave, ročne ali avtomatizirane, ki so v lasti ali pod nadzorom upravljavca. To vključuje informacije o partnerjih, zaposlenih, svetovalcih, strankah, dobaviteljih, poslovnih stikih in tretjih osebah.

   2. Upravljavec skrbi za zaščito mladoletnikov in je uvedel nekaj razumnih ukrepov za preprečevanje obdelave osebnih podatkov mladoletnikov, zato podatkov mladoletnikov pod 16 let starosti ne obdeluje brez dovoljenja skrbnikov.

   3. Ta politika velja tudi za vse tretje osebe, ki opravljajo storitve za ali v imenu upravljavca in od katerih se pričakuje, da bodo sprejeli standarde ravnanja v skladu z načeli te politike.

2. Razlage pojmov in terminov

   1. iSTYLE pomeni upravljavca

   2. Povezani subjekti so subjekti znotraj skupine Midis in jih imenujemo skupina

   3. Tretja oseba pomeni tretjo osebo, ki prejema podatke od upravljavca ali, ki so ji bili osebni podatki zaupani v imenu upravljavca ali skupine na primer dobavitelji, izvajalci, podizvajalci in drugi ponudniki storitev.

   4. Posameznik, na katerega se nanašajo osebni podatki, je identificirana ali določljiva oseba, katere osebne podatke obdeluje upravljavec ali skupina.

   5. Informirana privolitev pomeni vsako prostovoljno izrecno in informirano navedbo soglasja posameznika, na katerega se nanašajo osebni podatki, z obdelavo njegovih osebnih podatkov.

   6. Osebni podatki pomenijo pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Občutljivi podatki so podmnožica osebnih podatkov, ki so zaradi svoje narave po zakonu ali veljavni politiki razvrščeni kot tisti, ki si zaslužijo dodatno zaščito zasebnosti in varnosti.

   7. Obdelava pomeni vsako operacijo ali niz operacij, ki se izvajajo z osebnimi podatki, bodisi z avtomatskimi sredstvi ali ne, vključno z, vendar ne omejeno na zbiranje, beleženje, organizacijo, shranjevanje, dostop, prilagajanje, spreminjanje, iskanje, posvetovanje, uporabo, razkritje, razširjanje, dajanje na voljo, usklajevanje, kombiniranje, blokiranje, brisanje, brisanje ali uničenje (in postopek je treba ustrezno razlagati).

3. Kako upravljavec zagotavlja zakonitost, poštenost in preglednost naše obdelave podatkov?

   Osebni podatki se obdelujejo na podlagi veljavne in zakonite pravne podlage vključno z danim obvestilom o obdelavi posameznikom na katere se nanašajo osebni podatki

   1. Upravljavec bo osebne podatke uporabljala le:

      • če je to potrebno za izvajanje pogodbe s posamezniki, na katere se nanašajo osebni podatki (npr. zaposleni, pogodbeniki, stranke, dobavitelji itd.); ali

      • če je to potrebno za izpolnitev pravne obveznosti; ali

      • kadar ima upravljavec zakonit interes za uporabo osebnih podatkov kot del naših poslovnih dejavnosti ali

      • kadar je podlaga za obdelavo osebnih podatkov soglasje in ima upravljavec informirano soglasje posameznika, na katerega se nanašajo osebni podatki. Na primer, kadar to zahteva zakonodaja, bo upravljavec morda moral pridobiti soglasje posameznikov, na katere se nanašajo osebni podatki, za zbiranje, uporabo, hranjenje in razkrivanje njihovih osebnih podatkov. To lahko velja tudi, če se ne uporabljajo nobeni drugi veljavni razlogi, opisani zgoraj. Upravljavec zlasti ne bo prodajal osebnih podatkov za tržne ali kakršnekoli druge namene brez ustreznega soglasja in/ali pravne podlage.

   2. Upravljavec meni, da je pomembno oceniti tveganja za zasebnost, preden upravljavec zbira, uporablja, hrani ali razkriva osebne podatke, na primer v novem sistemu ali kot del projekta.

   3. Upravljavec bo osebne podatke obdeloval samo na način, opisan v obvestilih o obdelavi ali politikah zasebnosti, in v skladu z morebitnim informiranim soglasjem, ki ga je skupina pridobila od posameznika, na katerega se nanašajo osebni podatki.

   4. Upravljavec ne bo izvajal dejavnosti profiliranja, ki temelji na avtomatiziranem sprejemanju odločitev, razen če je to pravno utemeljeno z zahtevami veljavne zakonodaje ali izvajanjem pogodbe ali soglasjem posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da se izvajajo ustrezni zaščitni ukrepi za zaščito pravic posameznikov, na katere se nanašajo osebni podatki.

   5. Upravljavec na svojih spletnih straneh uporablja tehnologijo piškotkov, ki ji omogoča ocenjevanje in izboljšanje njihove funkcionalnosti. Piškotki se lahko uporabljajo tudi za oglaševalske ali analitične namene, na podlagi soglasja in glede na izbiro z uporabo orodja za nadzor piškotkov. Za vse, razen za nujne piškotke, ki omogoččajo delovanje spletne strani mora posameznik pred njihovo obdelavo podati soglasje.

   6. Kadar je to zakonsko zahtevano, bo upravljavec zagotovil, da posamezniki, na katere se nanašajo osebni podatki, prejmejo ustrezne informacije v zvezi z obdelavo njihovih osebnih podatkov, razen če takih informacij ni mogoče zagotoviti ali če je za zagotavljanje takih informacij potrebno nesorazmerno prizadevanje. Te informacije bodo vključevale zlasti namene obdelave podatkov, vrste zbranih podatkov (če podatki niso bili pridobljeni neposredno od posameznika, na katerega se nanašajo osebni podatki), kategorije prejemnikov, seznam pravic, ki jih lahko uveljavljajo posamezniki, na katere se nanašajo osebni podatki, posledice za primer ne posredovanja podatkov, pogoje prenosa osebnih podatkov zunaj EU, morebitni mehanizem in mehanizem, ki se uporablja za zaščito podatkov v primeru prenosa itd. Ta zahteva se lahko izpolni z izdajo obvestila o obdelavi posameznikom, na katere se nanašajo osebni podatki, na mestu, kjer so bili osebni podatki prvotno zbrani od njih. Obvestila o obdelavah morajo biti napisana v jeziku, ki posameznikom, na katere se nanašajo osebni podatki, omogoča jasno razumevanje, kako bodo njihovi osebni podatki uporabljeni.

4. Specifičen in zakonit namen, minimiziranje in točnost podatkov

   Osebni podatki se zbirajo in obdelujejo samo za zakonite namene, v skladu z načelom minimizacije osebnih podatkov in zagotavljanjem točnosti obdelanih osebnih podatkov.

   1. Osebni podatki se zbirajo za določene, izrecne in zakonite namene (ki so lahko večkratni) in se ne bodo nadalje obdelovali na način, ki ni združljiv s temi nameni.

   2. Upravljavec pred začetkom obdelave skrbno oceni in opredeli namene obdelave osebnih podatkov.

   3. Upravljavec bo zagotovil, da so zbrani osebni podatki relevantni, ustrezni in ne pretirani - sorazmerni glede na namen obdelave podatkov in njihovo morebitno uporabo (vpogledi, trženje, promocije itd.). To pomeni, da se lahko zbirajo in obdelujejo samo potrebne in ustrezne informacije za želeni namen.

   4. Pri zbiranju občutljivih podatkov je sorazmernost temeljnega pomena. Upravljavec ne zbira občutljivih podatkov (ali posebnih kategorij podatkov), razen če to zahteva veljavna zakonodaja ali če to zahteva predhodno izrecno soglasje posameznika, na katerega se nanašajo osebni podatki.

   5. Sprejeti bodo vsi razumni ukrepi za zagotovitev, da se osebni podatki hranijo v ustrezno natančni in ažurni obliki na vsakem koraku obdelave osebnih podatkov (tj. zbiranje, prenos, shranjevanje in pridobivanje).

   6. Upravljavec spodbuja posameznike, na katere se nanašajo osebni podatki, da pomagajo posodabljati svoje osebne podatke z uveljavljanjem svojih pravic, zlasti do dostopa in popravka.

5. Varnost in zaupnost

   Upravljavec zagotavlja varnost in zaupnost osebnih podatkov, ki jih obdeluje.

   1. Upravljavec varuje vse osebne podatke, ki se zbirajo, uporabljajo, hranijo in razkrivajo za podporo poslovnih dejavnosti, z upoštevanjem ustreznih uporabnih, tehničnih in organizacijskih politik, standardov in procesov.

   2. Zaposleni, stranke, potrošniki in poslovni partnerji zaupajo upravljavcu, ko posredujejo svoje osebne podatke.

   3. Izvajajo se standardni tehnični in organizacijski ukrepi za preprečevanje naključnega ali nezakonitega uničenja ali izgube, spreminjanja, nepooblaščenega razkritja ali dostopa ali drugih nezakonitih ali nepooblaščenih oblik obdelave.

   4. V primeru, ko za upravljavca obdelavo osebnih podatkov izvaja tretji, ki s tem postane pogodbeni obdelovalec, bo upravljavec poskrbel, da bo izbral ponudnika storitev, ki zagotavljaja zadostna jamstva za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve veljavne zakonodaje s področja osebnih podatkov in zagotavljala varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

   5. Upravljavec si prizadeva sprejeti razumne ukrepe, ki temeljijo na vgrajeni in privzeti zasebnosti, v primernem obsegu za izvajanje potrebnih zaščitnih ukrepov pri obdelavi osebnih podatkov.

   6. Kadar je verjetno, da bo obdelava osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, bo upravljavec pred njeno izvedbo izvedel oceno učinkov tveganja na pravice posameznikov.

   7. Upravljavec bo preučil vse zahtevke, povezane s kršitvami te politike ali veljavnih zakonov o varstvu podatkov, morebitne ali dejanske, na katere bo opozorjen ali s katerimi se seznani, in bo sprejel vse razumne ukrepe za omejitev njihovega učinka.

6. Hramba osebnih podatkov

   1. Vsaka oseba, ki obdeluje osebne podatke za upravljavca, jih bo hranila le toliko časa, kolikor je to potrebno za namen, za katerega so bili zbrani in obdelani (in druge združljive namene), ki lahko vključujejo:

      • podporo poslovni dejavnosti; ali

      • za izpolnjevanje zakonskih zahtev in izpolnjevanje veljavnih zahtev glede zastaranja;

      • za obrambo pred pravnimi ali pogodbenimi ukrepi (v tem primeru se lahko osebni podatki hranijo do konca ustreznega zastaralnega roka).

   2. Osebni podatki se hranijo in uničujejo na način, ki je skladen z veljavno zakonodajo in v skladu z veljavno politiko hrambe upravljavca.

7. Kakšne so vaše pravice kot posameznika, na katerega se nanašajo osebni podatki?

   Upravljavec je pristojen za poizvedbe ali zahteve posameznikov, na katere se nanašajo osebni podatki, v zvezi z njihovimi osebnimi podatki in, kjer to zahteva zakon, zagotavlja posameznikom, na katere se nanašajo osebni podatki, možnost dostopa, popravljanja, omejevanja in brisanja njihovih osebnih podatkov. Upravljavec bo posameznikom omogočil tudi, da nasprotujejo obdelavi svojih osebnih podatkov in uveljavljajo svojo pravico do prenosljivosti.

   1. Pravica do dostopa: Upravljavec bo zagotovil dostop do vseh osebnih podatkov, povezanih s posameznikom, na katerega se nanašajo osebni podatki, kot to zahteva zakonodaja, za namene obdelave, kategorije obdelanih podatkov, kategorije prejemnikov, rok hrambe podatkov, pravice do popravka, izbrisa ali omejitve podatkov, do katerih se dostopa, če je to primerno, itd.

   2. Pravica do prenosljivosti: Upravljavec lahko zagotovi tudi kopijo vseh osebnih podatkov, ki jih hrani, v obliki, ki je združljiva in strukturirana, da omogoča uveljavljanje pravice do prenosljivosti podatkov v obsegu, ki je pomemben v skladu z veljavno zakonodajo.

   3. Pravica do popravka: Posamezniki, na katere se nanašajo osebni podatki, lahko zahtevajo popravek, spremembo, izbris vseh informacij, ki so nepopolne, zastarele ali netočne.

   4. Pravica do izbrisa: Posamezniki, na katere se nanašajo osebni podatki, lahko zahtevajo izbris svojih osebnih podatkov (i) če takšni osebni podatki niso več potrebni za namen obdelave podatkov, (ii) je posameznik, na katerega se nanašajo osebni podatki, preklical svoje soglasje za obdelavo podatkov izključno na podlagi takšnega soglasja, (iii) posameznik, na katerega se nanašajo osebni podatki, je ugovarjal obdelavi podatkov, (iv) obdelava osebnih podatkov je nezakonita, (v) osebne podatke je treba izbrisati, da bi izpolnili zakonsko obveznost, ki velja za upravljavca.

   5. Pravica do omejitve: (i) v primeru, da se izpodbija točnost osebnih podatkov, se upravljavcu omogoči preverjanje te točnosti, (ii) če želi posameznik, na katerega se nanašajo osebni podatki, omejiti osebne podatke, namesto da bi jih izbrisal, kljub dejstvu, da je obdelava nezakonita, (iii) če posameznik, na katerega se nanašajo osebni podatki, želi, da upravljavec hrani osebne podatke, ker jih potrebuje za svojo obrambo v okviru pravnih zahtevkov; (iv) če je posameznik, na katerega se nanašajo osebni podatki, ugovarjal obdelavi, vendar upravljavec opravi preverjanje, da preveri, ali ima zakonite razloge za takšno obdelavo, ki lahko prevladajo nad pravicami posameznika.

   6. Pravica do preklica soglasja: kadar obdelava osebnih podatkov temelji na soglasju posameznika, na katerega se nanašajo osebni podatki, lahko posameznik, na katerega se nanašajo osebni podatki, kadar koli prekliče takšno privolitev, ne da bi to vplivalo na zakonitost obdelave, ki temelji na soglasju pred njegovim preklicem.

   7. Pravica do ugovora: Posameznik, na katerega se nanašajo osebni podatki, lahko kadar koli izrazi svoj ugovor zoper obdelavo svojih osebnih podatkov:

      • kadar se uporablja za namene trženja ali profiliranja za pošiljanje ciljno usmerjenega oglaševanja, ali

      • da ugovarja deljenju svojih osebnih podatkov s tretjimi osebami ali znotraj skupine, ali

      • kadar obdelava temelji na zakonitih interesih upravljavca, razen če upravljavec izkaže nujne zakonite razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za vzpostavitev, izvajanje ali obrambo pravnih zahtevkov.

   Za uveljavljanje teh pravic uporabite kontaktne podatke spodaj v razdelku 10.2 te politike zasebnosti.

   O reševanju zahtevkov vezanih na pravice posameznikov se bo odločalo skladno z zakonodajo v vsakem konkretnem primeru.

   Posameznik, na katerega se nanašajo osebni podatki, ima tudi pravico vložiti pritožbo pri pristojnem nadzornem organu, Informacijskemu pooblaščencu (naslov: Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si telefon: 012309730, spletna stran: www.ip-rs.si).

8. Razkritje tretjim osebam

   Osebni podatki se lahko razkrijejo zunaj upravljavca in skupine, če za to obstaja pravna podlaga.

   1. Razkritje se opravi na strogo omejeni podlagi "potrebe po seznanitvi", kadar je jasno utemeljen prenosa osebnih podatkov – bodisi zato, ker je posameznik, na katerega se nanašajo osebni podatki, soglašal s prenosom ali ker je razkritje potrebno za izvajanje pogodbe, katere pogodbenik je posameznik, na katerega se nanašajo osebni podatki, ali za zakonit namen, ki ne krši temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, vključno s pravico do zasebnosti (npr. deljenje v okviru združitve in prevzema itd.). V vsakem primeru se bo posameznik, na katerega se nanašajo osebni podatki, zavedal, da bo do razkritja verjetno prišlo. Od prejemnika se bo zahtevalo tudi zagotovila, da bo osebne podatke uporabljal le za zakonite namene / pooblaščene namene in jih varoval.

   2. Če je določeno razkritje potrebno za izpolnitev zakonske obveznosti upravljavca (na primer policiji ali organom pregona) ali v povezavi s pravnimi postopki, se lahko osebni podatki na splošno zagotovijo, če je razkritje omejeno na tisto, kar je zakonsko zahtevano, in, če to dovoljuje zakon, ter so bili posamezniki, na katere se nanašajo osebni podatki, seznanjeni s situacijo (tj. posameznik, na katerega se nanašajo osebni podatki, je bil obveščen o možnosti takšnega dogodek v informirani privolitvi ali je obveščen ob zahtevi za razkritje).

9. Kako so mednarodni prenosi iz EU zaščiteni?

   Osebni podatki, ki jih obdeluje upravljavec, se ne bodo prenašali zunaj EU v tretjo državo, ki ne zagotavlja ustrezne ravni varstva, razen če se izvajajo ustrezni zaščitni ukrepi v skladu z veljavno zakonodajo.

   1. Mednarodni prenos osebnih podatkov je zelo občutljiva tema in jo jemljemo resno pred prenosom kakršnih koli osebnih podatkov iz države EGP izvora v drugo državo zunaj EGP, ne glede na to, ali je tak prenos opravljen za tehnične namene (shranjevanje, gostovanje, tehnična podpora, vzdrževanje itd.) ali za glavne namene (upravljanje človeških virov, upravljanje baze podatkov strank itd.).

   2. Upravljavec ne bo izvajal mednarodnih prenosov osebnih podatkov iz države EGP v drugo državo, ki ni članica EGP, ne da bi zagotovila, da so vzpostavljeni ustrezni mehanizmi prenosa, kot to zahteva veljavna zakonodaja o varstvu podatkov, da se zagotovi ustrezna zaščita podatkov pri prenosu (npr. odločba o ustreznosti, prenos na podlagi ustreznih zašlitnih ukrepov, podpis vzorčnih klavzul Evropske komisije, če je to primerno, itd.). V nekaterih primerih bo upravljavec morda moral pred prenosom obvestiti ali pridobiti predhodno odobritev ustreznega regulatorja zasebnosti. Več na povezavi.

10. Obravnava pritožb

    1. Upravljavec se zavzema za reševanje legitimnih vprašanj zasebnosti svojih zaposlenih, strank in drugih stikov. Če zaposelni meni, da je storil nekaj, kar krši ta pravilnik o zasebnosti, se mora obrniti na osebo odgovorno za varstvo osebnih podatkov znotraj upravljavca.

    2. Posamezniki, na katere se nanašajo osebni podatki, so obveščeni, da se lahko pritožijo zaradi vprašanj zasebnosti, tako da pošljejo e-poštno sporočilo osebi odgovorni za varstvo osebnih podatkov na elektronski naslov dpo@istyle.si.

    3. Če se posameznik, ki ga zajema ta politika zasebnosti, pritoži glede obdelave njegovih osebnih podatkov ali osebnih podatkov nekoga drugega in pritožba ni zadovoljivo rešena s tem internim postopkom, bo upravljavec sodeloval z Informacijskim poblaščencem in upoštevala nasvete pri reševanju morebitnih nerešenih pritožb. V primeru, da oseba odgovorna za varstvo podatkov pri upravljavcu ugotovi, da upravljavec ni ravnal v skladu s to politiko zasebnosti ali zakonodajo s področja varstva osebnih podatkov, bo upravljavec sprejel ustrezne ukrepe za odpravo morebitnih škodljivih učinkov in spodbujanje skladnosti v prihodnosti.

11. Podrobnosti o obdelavi osebnih podatkov

    Več informacij najdeš v Obvestilu o obdelavi osebnih podatkov.

12. Pravica do pritožbe nadzornemu organu

    Posameznik ima pravico, da se pritoži Informacijskemu pooblaščencu (naslov: Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si telefon: 012309730, spletna stran: www.ip-rs.si).

13. Posodobitev te politike zasebnosti

    Ker se poslovno in regulativno okolje redno spreminjata, se lahko spremeni tudi ta politika zasebnosti. Zato vas vabimo, da jo redno preverjate.

    Ta politika zasebnosti velja z dnem objave, 4. 2. 2025.