Petissimo družba z omejeno odgovornostjo
PRAVILNIK O VAROVANJU IN UPRAVLJANJU S PODATKI
I. Namen pravilnika
Namen tega pravilnika je določiti načela varovanja podatkov in ravnanja z njimi pri nudenju elektronskih komercialnih storitev družbe z omejeno odgovornostjo Petissimo (7100 Szekszárd, Rákóczi utca 142-146. Reg. Št. 17-09-011567, v nadaljevanju: družba) in storitev povezanih z informacijsko družbo ter politiko varovanja in upravljanja podatkov družbe, ki so za družbo zavezujoče.
Pri oblikovanju teh pravil je družba upoštevala predvsem naslednje zakone: CXII. Zakon o pravici do razpolaganja s podatki in svobodi obveščanja (»Infotv«) iz leta 2011, CXIX. Zakon o uporabi podatkov imen in naslovov v raziskavah in pri neposrednem trženju iz leta 1995, VI. Zakon o varstvu posameznikov pri računalniški obdelavi osebnih podatkov iz leta 1998, Razglasitev konvencije na dan 28. januarja 1981 v Strasbourgu, nadalje XLVIII. Zakon o osnovnih pogojih in omejitvah gospodarskih oglaševanj iz leta 2008 ter določbe CVIII. Zakona o elektronskih tržnih storitvah, ter o storitvah povezanih z informacijsko družbo.
Namen tega Pravilnika je, da se storitve, ki so dostopne na spletni strani družbe, zagotovijo vsem uporabnikom ter da so pri računalniški obdelavi osebnih podatkov zavarovane pravice in temeljne svoboščine uporabnikov spletne strani, s posebnim ozirom do zasebnosti uporabnikov.
II. Opredelitev pojmov
Osebni podatek oz. podatek: je podatek, ki se lahko poveže s fizično osebo (v nadaljevanju: oseba) oziroma iz katerega se lahko sklepa, da gre za določeno osebo. Osebni podatek lastnost osebnega podatka ohrani vse dokler se lahko poveže z določeno osebo.
Baza podatkov: zbirka podatkov v evidenci.
Upravljanje podatkov: obdelava ne glede na uporabljene postopke oziroma skupek vseh postopkov obdelav osebnih podatkov, predvsem zbiranje, snemanje, hramba, urejanje, shranjevanje, spreminjanje, uporaba, poizvedovanje, posredovanje, usklajevanje, povezovanje, zaključevanje, brisanje, uničenje in objava osebnih podatkov oziroma preprečevanje nadaljnje uporabe podatkov.
Upravljavec podatkov: fizična ali pravna oseba, ki sama ali skupaj z drugimi določa cilj upravljanja podatkov. Sprejema in izvršuje odločitve glede upravljanje podatkov (vključno z uporabljeni orodji), ali jih naroči izpeljati upravljavcu podatkov.
Obdelava podatkov: Izvrševanje tehničnih nalog in operacij glede upravljanja podatkov, ne glede na metodo in orodja, ki se uporabljajo pri opravljanju dejavnosti ter na kraj uporabe, v primeru če se tehnični posegi opravijo na podatkih.
Uničenje podatkov: popolno fizično uničenje nosilnika podatkov.
Prenos podatkov: prenos podatkov tretjim osebam.
Javna objava: podatki so na voljo vsakomur.
Obdelovalec podatkov: fizična ali pravna oseba, oziroma organizacija brez pravne osebnosti, ki na osnovi napotkov upravljavca podatkov opravlja obdelavo podatkov.
Izbris podatkov: izbris podatkov na način, ko ponovna vzpostavitev le teh ni več mogoča.
Avtomatizirana baza podatkov: Niz podatkov samodejne obdelave.
Računalniška obdelava: predstavlja naslednje postopke, katere deloma ali v celoti izvršujejo z avtomatskimi orodji: shranjevanje podatkov, aritmetične oz. logične operacije s podatki, spreminjanje podatkov, brisanje podatkov, iskanje podatkov in razširjanje podatkov.
Sistem: Niz tehničnih rešitev za delovanje spletnih strani in storitev upravljavcev podatkov in njihovih partnerjev.
Stranka: fizična oseba, ki se registrira za določeno storitev, ki jo ponuja upravljavec podatkov, in na osnovi tega fizična oseba poda enega izmed podatkov zajetih v III. točko pravilnika.
III. Obseg osebnih podatkov s katerimi upravlja družba
3.1 Na podlagi odločitve stranke lahko družba, v povezavi s storitvami, ki jih ponuja, upravlja z naslednjimi podatki:
IV. Nadaljnji podatki s katerimi upravlja družba
4.1 Na podlagi vzpostavitve in delovanja internetne povezave se v okviru delovanja sistema tehnično zabeležijo podatki prijavljenega računalnika stranke, ki se generirajo ob uporabi storitev in jih sistem upravljavca podatkov zabeleži kot avtomatičen produkt tehničnih postopkov. Avtomatično zabeležene podatke sistem, brez posebne izjave oziroma dejanja stranke, beleži ob vstopi in izstopu iz sistema. Ti podatki se ne smejo povezati z drugimi osebnimi podatki stranke, razen če zakon ne določa drugače. Podatki so dostopni izključno upravljavcu podatkov.
V. Pravna podlaga, cilji in metode obdelave podatkov
5.1 Upravljanje podatkov se izvaja na osnovi prostovoljne izjave stranke, za katero je ta predhodno pridobila ustrezne informacije. Izjava vsebuje izrecno privolitev stranke, da lahko družba, katere storitve stranka uporablja, uporabi osebne podatke, ki jih je stranka podala v izjavi. Na osnovi točke a) 1. odstavka 5. člena zakona Infotv. je pravna podlaga obdelave podatkov prostovoljna privolitev posameznika. Namen upravljanja podatkov:
- ustrezno izvajanje pogodbe med upravljavcem podatkov in stranko, in poznejša dokazljivost pogojev pogodbe,
- upravljanje poizvedbe, povratnih informacij in navezava stikov,
- upravljanje, izvedba in potrjevanje naročil in nakupov,
- poenostavitev ponovnega nakupa stranke (v kolikor se stranka registrira na spletni strani),
- če tega stranka ni prepovedala, izvajanje neposrednega trženja (neposredno informiranje in dodatne storitve, katerih cilj je posredovanje oglasov v zvezi s prodajo oz. ponudbo izdelkov in storitev ponudnika ter pošiljanje promocijskega materiala) (v kolikor se stranka registrira na spletni strani),
- če tega stranka ni prepovedala, pošiljanje reklamnih vsebin, ki veljajo za gospodarske oglase, elektronskih oglasov oziroma drugih vsebin po elektronski pošti na naslov stranke (če se stranka registrira na spletni strani),
- v primeru posebnega dovoljenja stranke pošiljanje novic, novosti, ponudb,
- pošiljanje anket v zvezi z vsebino storitev, ki se nahajajo na spletni strani upravljavca (v kolikor se stranka registrira na spletni strani).
5.2 Podatki, ki se beležijo samodejno (4.1 točka). Namen upravljanja teh je izdelava statistik, tehnična nadgradnja informacijskega sistema, pravna zaščita stranke.
5.3 Upravljavec podatkov lahko podane osebne podatke uporabi le v skladu z določbami tega pravilnika. Na osnovi določb tega pravilnika se osebni podatki – razen če zakon ne določa drugače – lahko tretjim osebam ali organom izdajo le na podlagi odločbe uradnih organov ali na osnovi predhodnega, izrecnega dovoljenja stranke.
5.4 Upravljavec podatkov osebnih podatkov ne preverja. Za ustreznost podanih osebnih podatkov odgovarja izrecno njihov pošiljatelj.
5.5 Stranka se z vnosom svojega e-naslova zavezuje, da bo pri naročanju storitev izključni uporabnik tega e-naslova. To pomeni, da bo za vse aktivnosti, opravljene s tega e-naslova odgovorna stranka, ki je registrirala e-naslov.
VI. Načela obdelave podatkov
6.1 Osebni podatki se lahko pridobivajo in obdelujejo le pošteno in zakonito.
6.2 Osebni podatki se lahko shranjujejo le za določene in zakonite namene, in je prepovedana njihova uporaba v druge namene.
6.3 Osebni podatki morajo ustrezati namenu njihovega shranjevanja, morajo biti usklajeni s tem namenom in se jih ne sme razširjati v druge namene.
6.4 Potrebno je narediti ustrezne varnostne ukrepe za zaščito osebnih podatkov shranjenih v avtomatiziranih podatkovnih bazah pred naključnim ali nezakonitim uničenjem, ter naključno ali nezakonito izgubo podatkov oziroma nepooblaščenim dostopom, spreminjanjem ali razširjanjem.
VII. Načela zasebnosti, ki ji družba uporablja
7.1 Osebne podatke, ki so nujno potrebni za uporabo storitev družbe, lahko družba uporabi le strogo namensko.
7.2 Kot upravljavec podatkov se družba zavezuje, da bo osebne podatke v svoji posesti upravljala v skladu z določbami Infotv. in tega pravilnika ter do njih razen upravljavcev in obdelovalcev podatkov iz tega pravilnika ne bo dovolila dostopa.
Glede določb te točke izjemo pomeni uporaba osebnih podatkov v statistične namene, pri čemer se ne sme uporabiti imena stranke oziroma drugi podatkov, na podlagi katerih bi se lahko ugotovila identiteta stranke; posledično ta način uporabe podatkov ne šteje za upravljanje s podatki oziroma za posredovanje podatkov.
7.3 V določenih primerih – uradne sodne ali policijske zadeve, kršitev ali utemeljen sum kršitve avtorskih, premoženjskih in drugih pravic, ogrožanje interesov in zagotavljanja izvajanja storitev družbe – lahko družba omogoči dostop do osebnih podatkov strank tudi tretjim osebam.
7.4 Sistem družbe lahko zbira podatke o aktivnostih stranke, vendar se ti podatki ne smejo povezati z drugimi podatki, ki jih je podala stranka, pa tudi ne s podatki, ki se uporabljajo ob uporabi spletnih strani ali storitev.
7.5 Stranko je potrebno obvestiti o namenu obdelave podatkov oziroma o tem, kdo bo uporabil ali obdelal podatke.
7.6 V primerih, ko želi družba zbirko podatkov uporabiti v namene, ki se razlikujejo od prvotnih, mora o tem stranko obvestiti in pridobiti njeno predhodno soglasje oziroma ji omogočiti, da prepove uporabo podatkov.
7.7 Družba, kot upravljavec podatkov, bo v vseh primerih upoštevala zakonske omejitve, ki veljajo za zbiranje, hrambo in upravljanje osebnih podatkov.
7.8 Družba se zavezuje, da bo poskrbela za varnost osebnih podatkov ter da bo sprejela tehnične in organizacijske ukrepe oziroma določila postopke, ki zagotavljajo varnost podatkov, ki jih je posnela, shranila in s katerimi upravlja ter preprečila uničenje, nedovoljeno uporabo in spreminjanje osebnih podatkov. Obenem se zavezuje, da bo vse tretje osebe, ki jim bo morebiti posredovala oziroma predala te podatke, opozorila na obveznosti glede varovanja podatkov.
7.9 Na prošnjo upravičenca oziroma če se na osnovi zbranih informacij lahko predvideva, da bi izbris podatkov škodoval legitimnim interesom upravičenca, upravljavec blokira njegove osebne podatke. Na tak način blokiran osebni podatek se lahko upravlja vse dokler obstaja namen upravljanja s podatki, zaradi katerega se podatek ne sme izbrisati.
7.10 O popravljanju, blokiranju oziroma izbrisu osebnih podatkov je treba obvestiti stranko in vse druge, ki so jim bili posredovani podatki v upravljanje. Obsvetilo se lahko opusti, če pri obdelavi podatkov ne kratimo pravic upravičenca.
VIII. Čas trajanja upravljanja podatkov
8.1. Upravljanje osebnih podatkov, ki jih je podala stranka na spletni strani pri registraciji, je časovno vezano do preklica.
Pri naročilu neregistrirane stranke se njeni podani osebni podatki ob uspešnem ali neuspešnem naročilu hranijo 6 let, nato pa se ti podatki avtomatično brišejo. V primeru nezakonite, goljufive uporabe osebnih podatkov oziroma v primeru napada na sistem ima upravljavec podatkov pravico do takojšnjega izbrisa podatkov stranke. V primeru suma kaznivega dejanja ali odgovornosti oziroma v primeru spora med stranko in upravljavcem, je upravljavec za čas trajanja postopka upravičen zadržati vse podatke.
8.2. Avtomatično, tehnično shranjeni podatki v procesu delovanja sistema (4.1) so zaradi zagotavljanja delovanja sistema shranjeni za določen čas v samem sistemu. Upravljavec zagotavlja, da avtomatično shranjeni podatki niso povezljivi z ostalimi osebnimi podatki stranke – razen če za to obstajajo zakonske osnove. V kolikor na osnovi določil 3.1 točke preneha upravljanje podatkov stranke (8.1 točka), se stranke ne more identificirati na osnovi tehničnih podatkov.
IX. Razpolaganje z osebnimi podatki
9.1. Sprememba osebnih podatkov oziroma umik soglasja o upravljanju osebnih podatkov se pošlje na osnovi pisnega zahtevka poslanega s priporočeno pošto na naslov Petissimo Kft., 1142 Budapest, Komáromi út 35-37. Sz., ustno na telefonsko številko +386 (1) 777-4109 ali podano pisno izjavo na elektronski naslov info@petissimo.si. Izjava mora vsebovati ime stranke, elektronski naslov in številko telefona, ki jo je stranka podala ob registraciji. Podatke lahko spremeni tudi stranka, tako da na spletni strani upravljavca www.petissimo.si klikne na povezavo »Prijava«, ki se nahaja v zgornjem desnem kotu.
9.2. Prejemanje obvestil družbe se lahko odpove v povezavah, ki jih vsebujejo sama obvestila.
9.3. Upravljavec briše osebne podatke v roku 3 delovnih dni od prejema zahtevka; po izbrisu ali spremembi podatkov na osnovi zahtevka, se podatki ne morejo obnoviti.
9.4. O upravljanju osebnih podatkov lahko stranke kadarkoli zaprosijo za informacije tako od družbe kakor od upravljavca podatkov in sicer pisno, telefonsko in po elektronski pošti. Prošnja za informacijo je za družbo verodostojna, če so podatki stranke istovetni s podatki iz točke 9.1. Prošnja poslana z elektronskega naslova je za upravljavca verodostojna, v kolikor je poslana z elektronskega naslova podanega ob registraciji. Zahtevek lahko vključuje prošnjo za podajo informacij o podatkih stranke, s katerimi se upravlja, o viru podatkov, o pravnih podlagah in trajanju upravljanja s podatki, o imenu in naslovu upravljavcev podatkov, o aktivnostih povezanih z upravljanjem podatkov ter v primeru posredovanja osebnih podatkov tudi o namenu posredovanja strankinih osebnih podatkov in o tem, komu so podatki bili posredovani.
9.5. Na poslana vprašanja v zvezi z upravljanjem osebnih podatkov je upravljavec dolžan odgovoriti v 30. delovnih dneh od prejema dopisa. V primeru elektronske pošte se za prvi delovni dan šteje dan po prejemu zahtevka.
9.6. Stranka lahko prepove uporabo svojih osebnih podatkov. Upravljavec v 15 dneh preuči vlogo o prepovedi ter na podlagi ugotovitev o utemeljenosti zahtevka sprejme odločitev, o kateri pisno obvesti stranko.
9.7. Stranka lahko zaprosi za blokiranje svojih podatkov. Upravljavec blokira podatke stranke, če za to stranka zaprosi oziroma če se na osnovi razpoložljivih informacij lahko predvideva, da bi brisanje podatkov, lahko škodilo zakonitim interesom stranke. Blokiran podatek je lahko v upravljanju vse do takrat, dokler obstaja namen upravljanja podatkov, ki izključuje izbris osebnih podatkov.
9.8. O spremembi, blokiranju in brisanju podatkov v upravljanju je treba obvestiti stranko in vse tiste, ki so jim v preteklosti podatki bili poslani v upravljanje. V kolikor upravljavec ne zadosti ali ne more zadostiti zahtevi stranke o spremembi, blokiranju in brisanju podatkov, mora v 30 dneh po prejemu vloge, s pravno obrazložitvijo pisno obvestiti stranko o vzrokih zavrnitve.
X. Obdelava podatkov
10.1 Z osebnimi podatki upravlja Petissimo d.o.o. (1142 Budapest, Komáromi út 35-37). Pravico do upravljanja podatkov ima direktor družbe Petissimo d.o.o. in sodelavci, ki skrbijo za stike s strankami.
10.2 Pri delovanju spletne trgovine v okviru Petissimo d.o.o., za izpolnjevanje namena naročil, je potrebna pomoč obdelovalcev podatkov, ki štejejo za podizvajalce in so v pogodbenem razmerju s podjetjem.
Ti so:
- Netgo.hu d.o.o., dejavnost: razvoj programske opreme, naslov: 2100 Gödöllő, Kossuth utca 32., II/6,
- GLS (General Systems Hungary Csomag-Logisztikai D.o.o.)
- SimplePay Izjava o uporabi podatkov
Naziv trgovca: Petissimo Kft.
Sedež: 7100 Szekszárd, Rákóczi utca 142-146.
Spletna stran: www.petissimo.si
Seznam podatkov, ki jih trovec posreduje: Ime in Priimek, Naslov, E-mail naslov, Telefonska številka, Seznam artiklov
Zavedam se, da s strani podjetja Petissimo Kft. (7100 Szekszárd, Rákóczi utca 142-146.), kot upravljalcu podatkov, bodo moji podatki, ki so shranjeni v podatkovni bazi o uporabnikih www.petissimo.si, posredovani za podjetje OTP Mobil Kft., kot obdelovalcu podatkov. Upravljalec podatkov bo posredoval sledeče podatke: Ime in Priimek, Naslov, E-mail naslov, Telefonska številka, Seznam artiklov.
Načini in cilji obdelovanja podatkov s strani obdelovalca podatkov so dostopni v Simple Pay Obvestilu o uporabi podatkov na naslednjem linku: https://simplepay.hu/wp-content/uploads/2021/01/SimplePay_b2c_adatkezelesi_tajekoztato_eng_20210114.pdf
XI. Zunanji ponudniki storitev
11.1 Zaradi olajšanja dostopa do lastnih storitev kot so registracija in vstop v sistem (na primer Facebook, Google Inc., v nadaljevanju zunanji ponudniki storitev) lahko družba sodeluje z zunanjimi izvajalci. V sistemih zunanjih ponudnikov storitev so za prenesene podatke merodajne njihove lastne smernice za varovanje podatkov.
11.2 V okviru določenih storitev in vsebin, ki se objavijo na spletnih straneh družbenih medijev so za osebne podatke, s katerimi upravljajo, odgovorni zunanji ponudniki storitev, ki urejajo osebne podatke in za delovanje uporabljajo svoje lastne pravilnike o varovanju podatkov. Taki zunanji posredniki storitev so: Facebook, google, pinterest, tumblr, twitter, iwiw, Linkedln.
11.3 Družba lahko zaradi svojega poslovanja osebne podatke stranke posreduje določenim zunanjem ponudnikom storitev, vendar lahko zunanji izvajalec uporabi posredovane podatke le v skladu z določbami tega pravilnika.
XII. Možnosti posredovanja podatkov
12.1 Upravljavec podatkov ima pravico in je dolžan posredovati osebne podatke, s katerimi razpolaga vsem pristojnim organom, če ga zakon oziroma pravnomočni sklep organa za to obvezuje. Upravljavec podatkov ne more biti odgovoren za tovrstno posredovanje podatkov oziroma za posledice, ki iz tega izhajajo.
12.2 Stranka soglaša, da bodo v primeru spletnega plačila s kreditno kartico, vsi podatki, ki so shranjeni v bazi podatkov upravljavca, posredovani PayU Hungary d.o.o. (1074 Budapest, Rákóczi út 70-72., Madžarska), kot upravljavcu podatkov. Posredovani podatki: ime in priimek, država, telefonska številka, elektronski naslov. Namen posredovanja podatkov: strokovna pomoč pri naročanju, potrditev nakazila in zaščita uporabnikov z fraud-monitoringom.
12.3 Spletno mesto www……si (naslov d.o.o.:, davčna številka:, registrska številka:, registracijskega ID-ja:) V interesu zagotovitve delovanja programa zanesljive trgovine se po nakupu na spletni strani upravljavca podatkov elektronski naslov stranke oziroma naziv kupljenega izdelka posreduje na spletno stran www…..si. Namen posredovanja podatkov: pridobitev in izpis odziva kupca. Tako posredovane osebne podatke bo ….d.o.o. upravljal v skladu s pravilnikom o varovanju podatkov in upravljanju s podatki na www……si.
XIII. Spremembe Pravilnika o upravljanju podatkov
13. 1 Družba si pridržuje pravico do enostranske spremembe tega Pravilnika o upravljanju podatkov.
13.2. Stranka s svojim vstopom sprejme določbe veljavnega Pravilnika o upravljanju podatkov, zato nobeno drugo dodatno soglasje stranke ni potrebno.
XIV. Možnosti uveljavljanja pravic
14.1. Stranka lahko ugovarja zaradi obdelave podatkov. Upravljavec bo ugovor preveril v 15. dneh od njegovega prejema, v primeru upravičenosti ugovora sprejel sklep o katerem bo pisno obvestil stranko. V primeru upravičenega ugovora bo upravljavec podatkov ukinil upravljanje podatkov – vključno z vnosom in posredovanjem nadaljnjih podatkov, blokiral podatke ter o ugovoru in o ukrepih, ki so bili storjeni, obvestil vse, ki jim je pred ukrepom posredoval osebne podatke in ki morajo prav tako ukrepati na osnovi zakona. Če stranka ne soglaša z odločitvijo upravljavca podatkov oziroma če upravljavec zamudi 15 dnevni rok, se lahko stranka obrne na sodišče in sicer po 30 dneh od prejema obvestila. Tožba zoper upravljavca se vloži pri krajevno pristojnem sodišču stranke (okrajnem sodišču) oziroma na okrožnem sodišču.
14.2 Stranka lahko po Infot. oziroma na osnovi civilnega zakonika V. tv (PTK) iz leta 2013 svoje pravice uveljavlja na sodišču, nadalje se lahko v vseh vprašanjih v zvezi z osebnimi podatki obrne po pomoč k Nacionalnemu organu za varstvo podatkov in svobodi obveščanja (1125 Budapest, Szilágyi Erzsébet fasor 22/C, poštni naslov: 1530 Budapest, Pf.5)
Registrska številka za upravljanje podatkov:
E-časopis: NAIH-144176/2018
Program zvestobe: NAIH-144174/2018
Sistem kamer: NAIH-144173/2018
Socialna spletna stran: NAIH-144179/2018
Nagradna igra: NAIH-144178/2018
Obravnavanje pritožb: NAIH-144180/2018
Pravilnik o varovanju podatkov velja od 29. januarja 2015.