1. O politiki varstva osebnih podatkov
Namen Politike varstva osebnih podatkov (v nadaljevanju: Politika) je seznanitev naročnikov, oziroma potnikov, ter drugih oseb (v nadaljevanju: Posamezniki) z nameni in podlago obdelave osebnih podatkov s strani družbe Kompas d.o.o., Pražakova ulica 4, 1000 Ljubljana (v nadaljevanju: Kompas) ter pravicami Posameznikov na tem področju. Hkrati ta Politika dodatno pojasnjuje soglasje za obdelavo podatkov.
V Politiki so skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), zajete naslednje informacije:
- kontaktne informacije pooblaščene osebe za varstvo podatkov družbe Kompas;
- namene, podlage in vrste obdelave različnih vrst osebnih podatkov Posameznikov, vključno s profiliranjem osebnih podatkov Posameznikov;
- posredovanje podatkov tretjim osebam in v tretje države;
- čas hrambe posameznih vrst osebnih podatkov;
- pravice Posameznikov v zvezi z obdelavo osebnih podatkov;
- pravica do vložitve pritožbe v zvezi z obdelavo osebnih podatkov.
Kjer je to primerno, se določila, ki se nanašajo na Posameznike, uporabljajo tudi za vprašanja tajnosti in zaupnosti komunikacij uporabnikov, ki so pravne osebe.
2. Upravljavec in pooblaščena oseba za varstvo podatkov
Upravljavec osebnih podatkov Posameznikov, ki se obdelujejo v skladu s Politiko varstva osebnih podatkov, je Kompas d.o.o., Pražakova ulica 4, 1000 Ljubljana. V družbi je imenovana pooblaščena oseba za varstvo podatkov, ki je dosegljiva na elektronskem naslovu gdpr@kompas.si.
3. Nameni obdelave in podlage za obdelavo podatkov
3.1 Obdelava na podlagi pogodbe:
Kompas obdeluje osebne podatke Posameznikov za izpolnjevanje svojih obveznosti iz pogodbenega razmerja za storitve organizacije potovanj, ali druge storitve, dogovorjene med pogodbenimi strankami. V okviru uveljavljanja pravic in izpolnjevanja pogodbenih obveznosti Kompas obdeluje osebne podatke Posameznikov za naslednje namene:
- identifikacija Posameznika;
- priprava ponudbe in sklenitev pogodbe;
- oprava storitve, pri čemer lahko Kompas posreduje podatke drugim pogodbenim partnerjem (npr. partnerskim agencijam, hotelom, letalskim družbam, prevoznikom, itd.) , tudi v tretjih državah, če je to neizogibno potrebno za izvedbo pogodbenega razmerja;
- pošiljanje obvestil Posameznikom v zvezi z izvajanjem pogodbenega ali drugega razmerja;
- obveščanje o spremembi zakonodaje na določenem področju ali spremembi prodajnih pogojev;
- zaračunavanje storitev;
- reševanje ugovorov ali reklamacij Posameznikov;
- izvajanje morebitnih postopkov izterjave, prodaja terjatev;
- za druge namene, potrebne za izvajanje ali sklepanje pogodbenega razmerja med Kompasom in Posameznikom.
V obsegu, nujno potrebnem za preverjanje pristnosti in identifikacijo transakcij, Kompas obdeluje podatke tudi za potrebe obračuna provizij zaposlenim in poslovnim partnerjem, ki prodajajo storitve Posameznikom, ter opredelitev njihove učinkovitosti ter pripravo poročil in planiranje nadaljnjih prodajnih aktivnosti.
Za potrebe izvajanja storitev organizacije potovanj ter z njimi povezanih storitev, ali drugih storitev, ki jih je naročil Posameznik, Kompas, obdeluje vse podatke, ki so za to potrebni.
Sem sodijo zlasti a ne izključno: naziv, ime, priimek, spol, rojstni datum, naslov, kraj, država, regija, telefonska št., mobilna tel. št., faks, e-naslov, pošta, status aktiven/neaktiven, državljanstvo, številka osebne izkaznice in/ali številka potnega lista (v primeru, če država, kamor potnik potuje, to izrecno zahteva, ali če način potovanja (ladja) to zahteva, kot npr. ladijski manifest), datum veljavnosti dokumenta, datum izdelave dokumenta, izobrazba, poklic, (ne)kadilec, številka pogodbe (rezervacija), opis proizvoda, opis storitve, dodatne storitve, destinacija, datum pričetka storitve, cena, popust, številka računa, tip računa, način plačila, št. blagajniškega dokumenta, datum izdaje računa, datum zapadlost (rok plačila), končni znesek, valuta plačila, podatki, ki so potrebni za izvedbo samega potovanja skladno z 88. členom OZ (kraj in dan izdaje, označbo in naslov organizatorja potovanja, ime potnika, kraj in dan začetka in konca potovanja; dneve bivanja, potrebne podatke o voznem redu, cenah in pogojih prevoza ter kakovosti prevoznih sredstev; potrebne podatke o bivanju z navedbo kraja namestitve, tipa in kategorije namestitvenega objekta, o številu obrokov (npr. polni penzion, polpenzion, zajtrk), natančen program potovanja ter podatke o drugih storitvah, ki so zajete v skupni ceni; ali je potrebno najmanjše število potnikov za izvedbo potovanja in rok za obvestilo potnika o morebitni odpovedi potovanja; skupno ceno za skupek storitev, predvidenih v pogodbi; pogoje pod katerimi lahko potnik zahteva razvezo pogodbe, rok za pritožbo in zahtevo za znižanje cene zaradi nekvalitetno ali nepopolno opravljenih storitev; potrebne podatke o mejnih in carinskih formalnostih, sanitarnih, denarnih in drugih upravnih predpisih oziroma druge podatke, za katere se šteje, da bi bilo koristno, če bi jih vsebovalo potrdilo), blagajniško potrdilo, znanje tujega jezika.
3.2 Obdelava na podlagi zakona:
Kompas obdeluje osebne podatke Posameznikov za namene sklepanja, izvajanja, spremljanja zaračunavanje in prekinitev pogodbe organizacije potovanj, ali drugih storitev.
Kompas lahko te podatke posreduje tudi drugim poslovnim partnerjem, policiji ali drugim pristojnim organom, če tako predvideva zakon. Iz vsakokrat veljavne zakonodaje lahko izhajajo tudi drugi nameni obdelave.
3.3 Obdelava na podlagi zakonitega interesa, za katerega si prizadeva Kompas:
Kompas lahko podatke obdeluje tudi na podlagi zakonitega interesa, za katerega si prizadeva Kompas, ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar se podatki nanašajo na otroka. Kadar gre za nadaljnjo uporabo podatkov, zbranih o Posamezniku, Kompas opravi presojo skladno s Splošno uredbo o varstvu podatkov. Taka nadaljnja uporaba podatkov v psevdonimizirani ali agregirani obliki na primer predstavlja zakonito uporabo podatkov za trženjske in druge poslovne oziroma tehnične analize družbe Kompas.
Skladno s Splošno uredbo o varstvu podatkov sodi med zakonite interese tudi neposredno trženje. Za potrebe neposrednega trženja lahko Kompas tudi brez privolitve oblikuje profile Posameznikov na podlagi osnovnih informacij o izbranih produktih, kot so npr. vrsta oziroma specifične karakteristike izbranega produkta, čas izbire, ali pretekli trženjski stiki s Posameznikom zlasti glede izraženega interesa, ali odsotnosti interesa za določene storitve oziroma produkte. Tako osnovno profiliranje ne bo nikdar vključevalo občutljivih podatkov. Posameznik lahko navedeni obdelavi ugovarja skladno s točko 6/iv Politike.
Na podlagi zakonitega interesa lahko Kompas Posameznike kontaktira za namene izboljšave storitev ali za potrebe ugotavljanja njihovega zadovoljstva s storitvami, tudi v primerih, ko to ni nujno potrebno za izvajanje pogodbe. Kompas zaradi tehtanja tega interesa z interesi Posameznika ne kontaktira ponovno tistih Posameznikov, ki so temu ugovarjali.
Kompas ima zakonit interes podatke do preteka zakonitega roka hrambe, hraniti in nadalje uporabljati za analize in raziskave za potrebe trženja, poslovnega načrtovanja in podobno.
3.4 Obdelava na podlagi soglasja za obdelavo osebnih podatkov:
Obdelava podatkov lahko temelji na soglasju, ki ga Kompas pridobi od posameznika. Soglasje se lahko na primer nanaša na obveščanje o ponudbi in storitvah, pripravo ponudbe prilagojene posameznikovim potrošniškim navadam, ali opravljanje storitev z dodano vrednostjo. Obveščanje se izvaja prek kanalov, ki jih je v soglasju izbral Posameznik. Obveščanje z uporabo e-poštnega naslova lahko vključuje posredovanje e-poštnega naslova zunanjemu obdelovalcu z namenom prikaza oglasnih sporočil družbe Kompas med brskanjem na spletu.
Posameznik, na katerega se nanašajo osebni podatki, lahko svoje soglasje kadarkoli umakne oziroma spremeni na enak način, kot je bilo soglasje dano ali na drug način, kot ga opredeli Kompas, pri čemer si Kompas pridržuje pravico do identifikacije stranke. Umik oziroma sprememba soglasja se nanaša le na podatke, ki se obdelujejo na podlagi soglasja in ne na podatke, katerih obdelava se izvaja na podlagi druge zakonite podlage. Veljavno je zadnje podano soglasje Posameznika. Možnost preklica soglasja na predstavlja odstopnega upravičenja v poslovnem razmerju Posameznika z družbo Kompas. Soglasje lahko da tudi eden od staršev, rejnik ali skrbnik za mladoletnega otroka, ki skladno z veljavno zakonodajo soglasja ne more podati sam. Takšno soglasje bo veljalo dokler ga eden od staršev, rejnik ali skrbnik oziroma otrok sam, ko skladno z veljavno zakonodajo to pravico pridobi, ne prekliče ali spremeni.
Kjer soglasje vključuje neposredno trženje na podlagi Posameznikovega profila, lahko Kompas izvaja profiliranje Posameznika na podlagi naročenih storitev, dejansko izvedenih storitev in drugih podatkov, ki jih je Kompas na podlagi soglasja zbral o posamezniku. Profiliranje lahko ima za posledico ponudbo, oziroma informacijo o ponudbi družbe Kompas, ki je prilagojena Posamezniku, vendar za Posameznika v nobenem primeru ne ustvarja pravnih obveznosti. Profiliranje za potrebe neposrednega trženja lahko vključuje tudi uporabo rojstnega datuma.
4. Posredovanje podatkov tretjim osebam ter posredovanje podatkov v tretje države (države, ki niso članice Evropske unije ali Evropskega gospodarskega prostora)
Kompas lahko, če je to skladno z namenom, s katerim se osebni podatki obdelujejo po pravu EU in slovenskih predpisih, posreduje osebne podatke o Posameznikih:
- fizičnim in pravnim osebam, ki so Kompasovi pogodbeni partnerji in za Kompas izvajajo posamezne storitve z namenom izvrševanja pogodbenega razmerja med Kompasom in Posameznikom (npr. partnerskim agencijam, hotelom, letalskim družbam, prevoznikom, itd.);
- državnim organom tretjih držav
- fizičnim in pravnim osebam, ki so Kompasovi pogodbeni partnerji in za Kompas izvajajo naloge obdelave kot so na primer priprava in pošiljanje računov ali podatkovna analitika, vzdrževanje in razvoj omrežja in storitev, vključno s programsko opremo, kadar te naloge v potrebnem obsegu vključujejo obdelavo osebnih podatkov;
- fizičnim in pravnim osebam, ki za Kompas opravljajo storitve prodaje in trženja, vključno s prodajo in trženjem na terenu, ali sodelujejo s Kompasom na področju trženja in prodaje lastnih storitev, ali storitev tretjih oseb, v obsegu, ki je potreben za tovrstne naloge v sklopu namenov in podlag, opredeljenih v tej Politiki.
Posredovanje podatkov v tretje države se zagotavlja v skladu z zakonskimi podlagami za iznos podatkov v tretje države, ki jih predpisujejo pravo EU ter veljavni slovenski predpisi. Mogoče podlage vključujejo:
- izvedbeni akt Evropske komisije o ustreznosti varstva v tretji državi;
- zavezujoča poslovna pravila, skladno s Splošno uredbo o varstvu podatkov, če so ta ustrezno odobrena;
- standardna določila o varstvu podatkov;
- drug mehanizem, ki ga dopušča Splošna uredba o varstvu podatkov.
5. Rok hrambe osebnih podatkov
Kompas lahko podatke iz pogodbenega razmerja, z namenom dokazovanja v primeru zahtevkov, ki bi izhajali iz tega razmerja, hrani še pet let po njegovem prenehanju, oziroma do poplačila terjatve. Računi se hranijo še 10 let po poteku leta, na katerega se račun nanaša v skladu z zakonom, ki ureja davek na dodano vrednost.
Če se podatki obdelujejo na podlagi privolitve Posameznika, zaradi trženja storitev družbe Kompas, se ti podatki lahko v potrebnem obsegu obdelujejo toliko časa, dokler je to potrebno za takšno trženje ali storitve.
V primeru, da področen zakon predvideva drugače rok hrambe osebnega podatka se upoštevajo določila tistega zakona.
6. Pravice Posameznikov v zvezi z obdelovanjem osebnih podatkov
Kompas zagotavlja Posameznikom uresničevanje njihovih pravic brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Kompas lahko rok za uresničevanje pravic Posameznika podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. V primeru podaljšanja roka, o vsakem takem podaljšanju Kompas obvesti Posameznika v enem mesecu od prejema zahtevka, skupaj z razlogi za zamudo.
Kompas sprejema zahteve v zvezi s pravicami Posameznika na elektronski naslov gdpr@kompas.si ali po pošti na naslov Kompas d.o.o., Pražakova ulica 4, 1000 Ljubljana.
Kadar Posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če Posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.
Kadar obstaja upravičen dvom v zvezi z identiteto Posameznika, ki predloži zahtevo v zvezi s kakšno od njegovih pravic, lahko Kompas zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.
Če so zahteve Posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko družba Kompas zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali zavrne ukrepanje v zvezi z zahtevo.
Posameznikom omogoča Kompas naslednje v zvezi z obdelovanjem osebnih podatkov:
- pravico do dostopa do podatkov;
- pravico do popravka;
- pravico do izbrisa (»pravica do pozabe«);
- pravico do omejitve obdelave;
- pravico do prenosljivosti podatkov;
- pravico do ugovora.
6.1 Pravica do dostopa do podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od družbe Kompas dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in dodatnih informacij v zvezi z obdelavo osebnih podatkov, kamor sodijo:
- nameni obdelave;
- vrste osebnih podatkov;
- uporabniki ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
- kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- pravica do vložitve pritožbe pri nadzornem organu;
- kadar osebni podatki niso zbrani od Posameznika, vse razpoložljive informacije v zvezi z njihovim virom;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za Posameznika.
Na podlagi zahteve Posameznika družba Kompas zagotovi kopijo njegovih osebnih podatkov, ki se obdelujejo. Za dodatne kopije podatkov, ki jih zahteva Posameznik, na katerega se nanašajo osebni podatki, lahko Kompas zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov.
6.2 Pravica do popravka
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da Kompas brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
6.3 Pravica do izbrisa (»pravica do pozabe«)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da Kompas brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim. Kompas ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati:
- kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani;
- kadar Posameznik prekliče privolitev, ki je podlaga za obdelavo podatkov, pa za obdelavo ne obstaja nobena druga pravna podlaga;
- kadar Posameznik ugovarja obdelavi na podlagi zakonitega interesa družbe Kompas, pa za njihovo obdelavo ne obstajajo nobeni prevladujoči zakoniti razlogi;
- kadar Posameznik ugovarja obdelavi za potrebe neposrednega trženja;
- kadar je osebne podatke treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali slovenskim pravnim redom;
- kadar gre za podatke, nepravilno zbrane od mladoletne osebe za uporabo storitev informacijske družbe, ki skladno z veljavno zakonodajo takšnih podatkov ne more dati.
6.4 Pravica do omejitve obdelave
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da Kompas omeji obdelavo, kadar:
- Posameznik oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
- je obdelava nezakonita in Posameznik nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- Kompas osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- je Posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi Posameznika, na katerega se nanašajo osebni podatki.
6.5 Pravica do prenosljivosti podatkov
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval Kompas, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga Kompas, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar obdelava temelji na privolitvi Posameznika, ali pogodbi in se obdelava izvaja z avtomatiziranimi sredstvi.
6.6 Pravica do ugovora
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov, če ta temelji na zakonitih interesih, za katere si prizadeva Kompas ali tretja oseba. V tem primeru Kompas preneha obdelovati osebne podatke, razen če dokaže nujne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami Posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima Posameznik pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno s profiliranjem, kolikor je povezano s takim neposrednim trženjem. Kolikor neposredno trženje temelji na privolitvi, se pravica do ugovora lahko izvede s preklicem dane osebne privolitve.
7. Pravica do vložitve pritožbe v zvezi z obdelovanjem osebnih podatkov
Vsak Posameznik ima pravico do pritožbe v zvezi z obdelovanjem osebnih podatkov. Posameznik lahko morebitno pritožbo, pošlje na elektronski naslov gdpr@kompas.si ali po pošti na naslov Kompas d.o.o., Pražakova ulica 4, 1000 Ljubljana. Prav tako ima vsak Posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo neposredno pri Informacijskem pooblaščencu, če meni, da obdelava osebnih podatkov v zvezi z njim krši slovenske predpise ali predpise EU na področju varstva osebnih podatkov. Če je Posameznik pri družbi Kompas uveljavljal pravico do dostopa do podatkov in po prejeti odločitvi meni, da osebni podatki, ki jih je prejel, niso osebni podatki, ki jih je zahteval, ali da ni prejel vseh zahtevanih osebnih podatkov, lahko pred vložitvijo pritožbe Informacijskemu pooblaščencu, v roku 15 dni vloži obrazloženo pritožbo pri družbi Kompas. Kompas bo o pritožbi odločil kot o novi zahtevi in sicer v petih delovnih dneh od prejema.
8. Veljavnost Politike
Ta Politika je objavljena na spletni strani www.kompas.si in začne veljati 25. 5. 2018.