Pravilnik o varovanju in obdelavi osebnih podatkov

1.      Uvodne določbe

Ta Pravilnik o varovanju in obdelavi osebnih podatkov (v nadaljevanju: Pravilnik) ureja pravila varovanja in obdelave osebnih podatkov, ki jih Izvajalec obdeluje v okviru zagotavljanja aplikacije in povezanih storitev naročnikom v poslovnem (B2B) okolju.

Pravilnik je pripravljen v skladu z:

  • Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (Splošna uredba o varstvu podatkov – GDPR),
  • Zakonom o varstvu osebnih podatkov (ZVOP-2),
  • veljavno delovnopravno zakonodajo Republike Slovenije,
  • drugo veljavno zakonodajo Evropske unije.

Pravilnik je javno objavljen na spletni strani Izvajalca. Nanj se lahko izrecno sklicujejo pogodbe, naročilnice ali splošni pogoji Izvajalca, pri čemer ta Pravilnik predstavlja njihov sestavni del v obsegu, določenem s pogodbo.

2.      Pomen izrazov

  • Izvajalec je pravna ali fizična oseba, ki zagotavlja aplikacijo in v tem okviru nastopa kot obdelovalec osebnih podatkov.
  • Naročnik je poslovni subjekt, ki uporablja aplikacijo in nastopa kot upravljavec osebnih podatkov.
  • Aplikacija je informacijska rešitev Izvajalca..
  • Osebni podatki imajo pomen, kot ga določa GDPR.
  • Posebne vrste osebnih podatkov so podatki iz 9. člena GDPR.
  • Revizijska sled (audit trail) pomeni elektronski zapis dostopov, vpogledov, sprememb in izbrisov osebnih podatkov v aplikaciji.

3.       Vloge pri obdelavi osebnih podatkov

(1) V razmerju do osebnih podatkov zaposlenih naročnika:

Naročnik nastopa kot upravljavec osebnih podatkov,

Izvajalec nastopa kot obdelovalec osebnih podatkov v skladu z 28. členom GDPR.

(2) Izvajalec osebne podatke obdeluje izključno na podlagi navodil Naročnika in izključno za namene izvajanja pogodbenih storitev.

4.      Upravljavec in obdelovalec

Obdelovalec (Izvajalec):

Kopa, računalniški inženiring d.d.
Kidričeva 14,
2380 Slovenj Gradec
02 88 39 700
info@kopa.si

Upravljavec:
Vsakokratni Naročnik, kot določen v posamezni pogodbi.

5.      Kategorije posameznikov in vrste osebnih podatkov

5.1 Kategorije posameznikov

zaposleni in druge osebe v delovnem ali primerljivem razmerju pri Naročniku.

5.2 Vrste osebnih podatkov

V aplikaciji se lahko obdelujejo:

  • identifikacijski in kontaktni podatki,
  • podatki o delovnem razmerju,
  • podatki o uporabi aplikacije,
  • posebne vrste osebnih podatkov v smislu 9. člena GDPR, ki se zakonito vodijo v kadrovskih evidencah Naročnika (npr. podatki o zdravju, invalidnosti, sindikalnem članstvu).

Izvajalec ne določa vsebine, namena ali zakonitosti teh podatkov.

6.      Namen obdelave

Osebni podatki se obdelujejo izključno za:

  • vodenje in upravljanje evidenc Naročnika,
  • zagotavljanje delovanja aplikacije,
  • upravljanje uporabniških dostopov,
  • zagotavljanje informacijske varnosti,
  • tehnično podporo in odpravljanje napak,
  • izpolnjevanje pogodbenih obveznosti Izvajalca.

7.      Pravna podlaga

(1) Pravna podlaga za obdelavo osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov, izhaja iz:

  • delovnopravne zakonodaje,
  • zakonitega interesa Naročnika,
  • pogodbe med Izvajalcem in Naročnikom,
  • 9(2)(b) člena GDPR za posebne vrste osebnih podatkov.

(2) Za obstoj ustrezne pravne podlage odgovarja Naročnik kot upravljavec.

8.      Obveznosti Izvajalca kot obdelovalca

Izvajalec se zavezuje, da bo:

  • osebne podatke obdeloval izključno po navodilih Naročnika,
  • zagotovil zaupnost oseb, ki obdelujejo osebne podatke,
  • izvajal ustrezne tehnične in organizacijske ukrepe za varstvo osebnih podatkov,
  • zagotavljal revizijsko sled (audit trail) vseh dostopov, vpogledov, sprememb in izbrisov osebnih podatkov v aplikaciji,
  • Naročniku omogočil vpogled v revizijske zapise v razumnem obsegu,
  • brez nepotrebnega odlašanja obvestil Naročnika o kršitvah varstva osebnih podatkov,
  • po prenehanju pogodbenega razmerja osebne podatke izbrisal ali vrnil, razen če zakon določa drugače.

9.      Pod-obdelovalci

Izvajalec lahko uporablja pod-obdelovalce izključno za tehnične storitve (npr. gostovanje, vzdrževanje), pri čemer:

  • zagotavlja sklenjene pogodbe po 28. členu GDPR,
  • zagotavlja enakovredno raven varstva osebnih podatkov,
  • ostaja v celoti odgovoren za ravnanje pod-obdelovalcev.

10.  Mednarodni prenosi

Prenosi osebnih podatkov v tretje države ali mednarodne organizacije se izvajajo le, če so izpolnjeni pogoji iz V. poglavja GDPR in če je Naročnik o tem predhodno obveščen.

11.  Pravice posameznikov

Zaposleni Naročnika uveljavljajo svoje pravice v razmerju do Naročnika kot upravljavca.

Izvajalec Naročniku nudi razumno pomoč pri izpolnjevanju teh obveznosti.

12.  Nadzor in revizija

Naročnik ima pravico, ob predhodni najavi in v razumnem obsegu, preveriti skladnost Izvajalca s tem Pravilnikom, vključno s pregledom dokumentacije in revizijskih sledi.

13.  Razmerje do pogodb

Ta Pravilnik se uporablja skupaj s pogodbami, sklenjenimi med Izvajalcem in Naročnikom.
V primeru neskladja prevladajo določbe pogodbe, če so za Naročnika strožje.

14.  Spremembe in veljavnost

Izvajalec si pridržuje pravico do spremembe tega Pravilnika. Veljavna različica je vedno objavljena na spletni strani Izvajalca.

Ta Pravilnik velja od 1.1.2026 dalje. Pravilnik o varovanju in obdelavi osebnih podatkov se uporablja, kadar se nanj izrecno sklicujejo pogodbe ali splošni pogoji Izvajalca.