Varovanje osebnih podatkov

  • Terme Krka, d. o. o., Novo mesto (v nadaljevanju Terme Krka) se zavzemajo za spoštovanje temeljnih pravic in izkazujejo posebno skrb varovanju osebnih podatkov in njihovi obdelavi.

     

    Zaveza Term Krka

    Terme Krka se zavezujejo k varnemu in zaupnemu obravnavanju osebnih podatkov zaposlenih, gostov, svojih pogodbenih strank, uporabnikov spletnih strani in drugih zainteresiranih oseb, hkrati pa skrbijo, da so osebni podatki obdelani zakonito, pošteno in transparentno – s spoštovanjem posameznikovih pravic.

     

    Politika varovanja osebnih podatkov

    Za izvajanje zaveze so Terme Krka sprejele nov Pravilnik o varstvu osebnih podatkov, ki je usklajen s Splošno uredbo o varstvu podatkov (General Data Protection Regulation, GDPR – Uredba (EU) 2016/679 Evropskega parlamenta in Sveta) in drugo veljavno zakonodajo. Pravilnik, skupaj z nekaterimi drugimi internimi akti in ukrepi, predstavlja politiko skupine Krka, s katero zagotavljamo, da bomo osebne podatke zbirali in obdelovali za določene namene in v najmanjšem možnem obsegu ter jih shranjevali le za toliko časa, kolikor je potrebno za izpolnitev namena, zaradi katerega so bili zbrani.

     

    Področje uporabe

    Naša politika se nanaša na vse ljudi, ki nam posredujejo kakršnokoli osebno informacijo: goste, zaposlene v Termah Krka, kandidate za zaposlitev, kupce, dobavitelje itd.

     

    Koga zavezuje ta politika

    Na splošno zavezuje vsakogar, s katerim sodelujemo ali ki deluje v našem imenu in občasno morda potrebuje dostop do osebnih podatkov. Upoštevati jo morajo zaposleni v Termah Krka in njeni odvisni družbi, pa tudi pogodbeni izvajalci, svetovalci in drugi zunanji obdelovalci osebnih podatkov.

     

    Elementi politike

    Za izvajanje naših procesov moramo pridobivati in obdelovati tudi osebne podatke. Te informacije vključujejo kakršnekoli podatke, ki omogočajo identifikacijo osebe, kot so imena, naslovi, uporabniška imena in gesla, digitalni odtisi, fotografije, številke osebnih dokumentov, posebne vrste osebnih podatkov, finančni podatki, itd.

    Naše podjetje zbira te informacije na pregleden način in samo s polnim sodelovanjem in zavedanjem zainteresiranih strani. Ko te informacije pridobimo, veljajo naslednja pravila:

    Naši podatki bodo:

      • zbrani pošteno in samo za zakonite namene,
      • natančni in ažurni,
      • obdelani v okviru pravnih in moralnih meja,
      • zaščiteni pred vsakim nepooblaščenim ali nezakonitim dostopom notranjih ali zunanjih strank.

    Naši podatki ne bodo:

      • neformalno posredovani;
      • shranjeni več kot določen čas;
      • preneseni v organizacije ali države, ki nimajo ustreznih pravil o varstvu podatkov;
      • posredovani katerikoli stranki, ki ni tista, s katero se je strinjal lastnik podatkov (izvzete so zakonite zahteve organov pregona).

    Poleg ustreznega ravnanja s podatki imajo Terme Krka tudi neposredne obveznosti do ljudi, ki jim podatki pripadajo. V skladu s Splošno uredbo o varstvu podatkov in ostalo veljavno zakonodajo na področju varstva osebnih podatkov bodo Terme Krka med drugim:

      • omogočile, da je vsak zainteresirani seznanjen, katere njegove osebne podatke zbiramo in za kakšen namen, kako dolgo jih hranimo, ali jih komu posredujemo itd.;
      • omogočile, da bo lahko vsak zainteresirani posameznik svoje netočne osebne podatke popravil;
      • izbrisale vse osebne podatke na mestih, kjer bodo izpolnjeni pogoji za izbris, npr. če ste preklicali osebno privolitev;
      • uvedle postopke za primere izgubljenih, poškodovanih ali ogroženih podatkov.

     

    Aktivnosti

    Zavezujemo se, da bomo za varovanje osebnih podatkov izvajali aktivnosti, kot so:

      • omejitev in nadzor dostopa do posebnih vrst osebnih podatkov;
      • razvoj in izvajanje preglednih postopkov zbiranja podatkov;
      • usposabljanje zaposlenih za izvajanje osebnih in tehničnih varnostnih ukrepov;
      • vzpostavitev varnega omrežja za zaščito osebnih podatkov pred kibernetskimi napadi;
      • vzpostavitev jasnih postopkov za prijavo kršitev zasebnosti ali zlorabe podatkov;
      • vključitev pogodbenih klavzul ali jasnih navodil o tem, kako obdelujemo osebne podatke;
      • vzpostavitev dobre prakse varstva podatkov (politika čiste mize in zaslona, razrezovanje dokumentov, varno zaklepanje, šifriranje podatkov, pogoste varnostne kopije, pooblastila za dostop itd.).

    Terme Krka bodo sledile dobrim praksam s področja varovanja informacij, kot velja za Skupino Krka. Naše določbe o varstvu podatkov so zapisane v naslednjih dokumentih:

      • Posebna politika varovanja osebnih strani na spletni strani ;
      • Pravilnik o varovanju osebnih podatkov, ki podrobneje določa sistem varovanja osebnih podatkov;
      • priloga pravilnika Splošni postopki varovanja in zaščite osebnih podatkov, ki vsebuje kratek opis tehničnih in organizacijskih ukrepov za zavarovanje osebnih podatkov;
      • Evidence obdelav osebnih podatkov – Opisi zbirk osebnih podatkov.

     

    Disciplinske posledice

    Vsa načela, opisana v tej politiki, morajo zaposleni v Termah Krka strogo upoštevati. Kršitev pravil o varstvu podatkov ima lahko za posledico disciplinske in druge ukrepe.

     

    Pooblaščena oseba

    Terme Krka so imenovale pooblaščeno osebo za varovanje osebnih podatkov (t. i. DPO - Data Protection Officer). Poleg drugih nalog, ki jih določa Splošna uredba o varstvu podatkov, je ena ključnih nalog pooblaščenca vzpostavljanje in izvajanje določenih postopkov ter kontrola vseh postopkov, ki jih morajo izvajati Terme Krka, da uresničuje pravice posameznikov.

    TERME KRKA, d.o.o., Novo mesto
    Novi trg 1
    8000 Novo mesto
    Saša Kos

    E-naslov: dataprotection.officer.TK@terme-krka.si

     

    Pravice posameznikov

    Zahtevke (za dostop, popravek, izbris in preklic osebne privolitve, omejitev obdelave in ugovor obdelavi) nam lahko posredujete osebno ali pa kot overjeni dokument, ki zagotavlja, da pravico uveljavlja prava oseba. Med ključnimi cilji Splošne uredbe o varstvu podatkov sta tudi zaščita osebnih podatkov pred nepooblaščenim vpogledom in zagotavljanje točnosti osebnih podatkov, zato mora posameznik sprejeti našo zahtevo po identifikaciji. V nasprotnem primeru lahko npr. izpis ali popravek osebnih podatkov zahteva kdorkoli za kogarkoli in lahko pride do nepooblaščenega razkritja ali uporabe napačnih osebnih podatkov.

     V primerih, ko posameznik izvede spletno privolitev, bo omogočen tudi spletni preklic, identiteta pa se preverja s potrditvijo prek elektronske pošte.

    Vsak zahtevek posameznika bomo obravnavali in izvedli ustrezne postopke ali pa ga bomo obvestili, da to ni mogoče, in mu pojasnili, zakaj ne.

    Zahtevek pošljite na zgornji naslov.

    Obveščamo vas tudi, da imate pravico do vložitve pritožbe pri nadzornemu organu.

     

    Evidence obdelav osebnih podatkov

    Terme Krka so identificirale vse zbirke, v katerih se nahajajo osebni podatki posameznikov.

    V opisu posamezne zbirke osebnih podatkov (t. i. evidenca obdelave) navajamo:

      • pravno podlago za obdelavo osebnih podatkov;
      • kategorije posameznikov, na katere se nanašajo osebni podatki;
      • vrste osebnih podatkov v zbirki osebnih podatkov;
      • namen obdelave;
      • rok hrambe osebnih podatkov;
      • uporabnike ali kategorije uporabnikov osebnih podatkov v zbirki osebnih podatkov;
      • ali se osebni podatki iznašajo v tretjo državo ali v mednarodno organizacijo, kam in komu ter pravno podlago iznosa;
      • splošni opis zavarovanja osebnih podatkov:
        • fizične zbirke podatkov in prostori, v katerih se nahajajo osebni podatki iz zbirke;
        • prenosi osebnih podatkov med bazami podatkov (vmesniki);
        • kdo je lastnik zbirke in kdo ima uporabniške pravice za delovna mesta z dostopom do podatkov;
        • pogodbeni obdelovalci osebnih podatkov;
        • evidenca posredovanja;
        • opis tehničnih in organizacijskih ukrepov.

    Terme Krka, d. o. o., Novo mesto (v nadaljevanju Terme Krka) se kot odvisna družbe Krke, d.d. zavezujemo k spoštovanju vseh pravil, ki veljajo v Skupini Krka.