Ta spletna stran uporablja piškotke. Z nadaljevanjem obiska strani soglašate z njihovo uporabo. Podrobnosti boste našli v naši politiki zasebnosti.
Sprejmi
eCom
o nas novice kontakt
1. Namen, področje uporabe in uporabniki
ELKO Grupa AS, v nadaljevanju »ELKO«, si prizadeva v vseh državah, v katerih deluje, poslovati v skladu z veljavno zakonodajo in predpisi, povezanimi z varstvom osebnih podatkov. Pričujoča politika opredeljuje osnovna načela, v skladu s katerimi ELKO obdeluje osebne podatke kupcev, dobaviteljev, poslovnih partnerjev, zaposlenih in drugih posameznikov, in določa pristojnosti poslovnih oddelkov in zaposlenih družbe v sklopu obdelave osebnih podatkov.

Ta politika se nanaša na skupino ELKO in njene podružnice, ki jih ima neposredno ali posredno pod nadzorom, in poslujejo znotraj Evropskega gospodarskega prostora (EGP) oziroma obdelujejo osebne podatke posameznikov, na katere se podatki nanašajo, znotraj EGP.

Uporabniki tega dokumenta so vsi zaposleni, bodisi za nedoločen čas bodisi za določen čas, in vsi izvajalci, ki delujejo v imenu skupine ELKO.
2. Referenčni dokumenti
  • Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES
  • Ustrezni nacionalni zakoni ali predpisi o uvedbi GDPR v vsaki posamezni državi, v kateri ima ELKO zastopstvo
  • Politika varstva osebnih podatkov zaposlenih
  • Politika hrambe podatkov
  • Smernice glede evidentiranja podatkov in dejavnosti obdelovanja
  • Postopek glede zahtevkov za dostop posameznikov, na katere se nanašajo osebni podatki
  • Smernice o oceni učinka varstva podatkov
  • Postopek čezmejnega prenosa osebnih podatkov
  • Varnostna politika na področju informacijske tehnologije
  • Politika glede nadzora dostopa
  • Varnostni postopki oddelka za informatiko
  • Politika o napravah v lasti zaposlenega (Bring Your Own Device – BYOD)
  • Politika o mobilnih napravah in delu na daljavo
  • Politika o anonimizaciji in psevdonimizaciji
  • Politika o uporabi šifriranja
  • Postopek obveščanja o kršitvah
3. Opredelitve pojmov
V nadaljevanju navedeni izrazi, ki se uporabljajo v tem dokumentu, so povzeti po četrtem členu Splošne uredbe EU o varstvu podatkov:

Osebni podatki: Katera koli informacija v zvezi z določenim ali določljivim posameznikom (»posameznik, na katerega se nanašajo osebni podatki«), ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Občutljivi osebni podatki: Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. Ti osebni podatki vključujejo osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu in genetske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Upravljavec podatkov: Fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.

Obdelovalec podatkov: Fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca podatkov.

Obdelava: Vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Anonimizacija: Nepreklicna deidentifikacija osebnih podatkov tako, da osebe ni mogoče identificirati z uporabo razumnega časa, stroškov in tehnologije, bodisi s strani upravljavca ali katere koli druge osebe, ki bi lahko identificirala takega posameznika. Načela obdelave osebnih podatkov za anonimne podatke ne veljajo, saj niso več osebni podatki.

Psevdonimizacija: Obdelava osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku. Psevdonimizacija zmanjša, a ne odpravi v celoti, zmožnosti povezovanja osebnih podatkov s posameznikom, na katerega se podatki nanašajo. Psevdonimizirani podatki so še vedno osebni podatki, zato mora biti obdelava psevdonimiziranih podatkov skladna z načeli obdelave osebnih podatkov.

Čezmejna obdelava osebnih podatkov: Obdelava osebnih podatkov, ki poteka v Evropski uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi obdelava osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici.

Nadzorni organ: Neodvisen javni organ, ki ga v skladu z 51. členom uredbe GDPR ustanovi država članica.
Vodilni nadzorni organ: Nadzorni organ, ki ima glavno pristojnost za obravnavanje čezmejne obdelave podatkov, na primer, če se posameznik pritoži zaradi obdelave svojih osebnih podatkov; med drugim je organ odgovoren za prejemanje obvestil o kršitvah varstva podatkov, prejema obvestila o tveganih dejavnostih obdelave in ima polna obvestila, kar zadeva dolžnost zagotavljanja skladnosti z določili uredbe EU GDPR.

Vsak »lokalni nadzorni organ« bo na svojem ozemlju skrbel za in nadzoroval vsakršno lokalno obdelavo podatkov, ki vpliva na posameznike, ali ki jo izvaja upravljavec ali obdelovalec, ki se nahaja v EU ali zunaj EU, kadar je obdelava usmerjena na posameznike, na katere se nanašajo osebni podatki, ki prebivajo na njegovem ozemlju. Njihove naloge in pooblastila vključujejo izvajanje preiskav in uveljavljanje upravnih ukrepov in izrekanje glob, krepitev javne ozaveščenosti o tveganjih, pravilih, varnosti in pravicah v zvezi z obdelavo osebnih podatkov ter pridobivanje dostopa do katerih koli prostorov upravljavca in obdelovalca vključno s katero koli opremo in sredstvi za obdelavo podatkov.

»Glavni sedež upravljavca«, ki ima sedeže v več kot eni državi članici, je kraj, kjer je osrednja uprava znotraj Unije, razen če se sprejemajo glavne odločitve glede namenov in sredstev obdelave osebnih podatkov na drugem sedežu upravljavca v Uniji in ima slednji sedež pristojnost za izvajanje takih odločitev, pri čemer velja sedež, ki sprejema take odločitve, za glavni sedež.

»Glavni sedež obdelovalca«, ki ima sedeže v več kot eni državi članici, je kraj njegove osrednje uprave v Uniji ali, kadar obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer potekajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe.

Skupina ELKO: ELKO Grupa AS s podružnicami na ozemlju EU in EGP.

Poslovalnica: Katera koli podružnica skupine ELKO na ozemlju EU in EGP.

Ekipa skupine ELKO za varstvo podatkov: Skupina posebej usposobljenih strokovnjakov v sklopu ELKO Grupa AS, ki se lahko občasno spremeni, vendar v vsakem primeru vključuje imenovane osebe iz pravne službe in oddelka za informatiko, ki jih je skupaj mogoče kadar koli doseči po e-pošti: Data_Privacy@elkogroup.com.

Skrbniki podatkov ELKO: Imenovane osebe iz vsake države iz Evropskega gospodarskega prostora (EGP), v katerih je skupina ELKO zastopana, in ki v večini primerov vključujejo lokalne vodje kadrovske službe in oddelkov za informatiko, vendar pa lahko vključuje tudi zastopnike iz drugih oddelkov, in ki so posebej usposobljeni strokovnjaki iz skupine ELKO za področje obdelave osebnih podatkov. Za stik s posameznimi skrbniki podatkov pošljite dopis na naslov: Data_Privacy@elkogroup.com.
4. Osnovna načela obdelave osebnih podatkov
Načela varstva podatkov orisujejo osnovne odgovornosti organizacij v zvezi z obravnavo osebnih podatkov. Člen 5(2) uredbe GDPR določa, da »je upravljavec odgovoren za skladnost z načeli in je to skladnost tudi zmožen dokazati.«

4.1. Zakonitost, pravičnost in preglednost
Osebni podatki morajo biti obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki.

4.2. Omejitev namena
Osebni podatki morajo biti zbrani v navedene, izrecne in zakonite namene in ne bodo nadalje obdelani na način, ki se ne sklada s temi nameni.

4.3. Najmanjši obseg podatkov
Osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Skupina ELKO mora uporabiti anonimizacijo ali psevdonimizacijo za osebne podatke, če je mogoče s tem zmanjšati tveganje za zadevne posameznike, na katere se podatki nanašajo.

4.4. Točnost
Osebni podatki morajo biti točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki pravočasno izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo.

4.5. Omejitev shranjevanja
Osebni podatki se hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.

4.6. Celovitost in zaupnost
Ob upoštevanju stanja tehnologije in drugih razpoložljivih varnostnih ukrepov, stroškov uvedbe in verjetnosti ter resnosti tveganja osebnih podatkov mora skupina ELKO uporabiti ustrezne tehnične ali organizacijske ukrepe za obdelavo osebnih podatkov na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljenim ali nezakonitim uničenjem, izgubo, spreminjanjem, nepooblaščenim dostopom ali razkritjem.

4.7. Odgovornost
Upravljavci podatkov so odgovorni za skladnost z zgoraj navedenimi načeli in morajo biti zmožni to skladnost tudi dokazati.
5. Vzpostavitev varstva podatkov v poslovanju
Za namene izkazovanja skladnosti z načeli varstva podatkov mora organizacija vzpostaviti varstvo podatkov in ga vgraditi v svoje poslovanje.

5.1. Obveščanje posameznikov, na katere se nanašajo osebni podatki
(glej razdelek Smernice poštene obdelave)

5.2. Odločitev in privolitev posameznika, na katerega se nanašajo podatki
(glej razdelek Smernice poštene obdelave)

5.3. Zbiranje
Skupina ELKO si mora prizadevati zbirati osebne podatke v najmanjšem možnem obsegu. Če se zbirajo osebni podatki tretje osebe, mora ekipa skupine ELKO za varstvo podatkov poskrbeti, da se osebni podatki zbirajo zakonito.

5.4. Uporaba, hramba in razpolaganje
Nameni, načini, omejitev shranjevanja in obdobje hrambe osebnih podatkov morajo biti skladni z informacijami, ki so navedene v obvestilu o varovanju zasebnosti. Skupina ELKO mora skrbeti za točnost, celovitost, zaupnost in relevantnost osebnih podatkov glede na namen obdelave. Uporabiti je treba ustrezne varnostne mehanizme za zaščito osebnih podatkov in preprečitev kraje, napačne rabe ali zlorabe osebnih podatkov ter preprečitev kršitev varstva osebnih podatkov. Ekipa skupine ELKO za varstvo podatkov odgovarja za skladnost z zahtevami, navedenimi v tem razdelku.

5.5. Razkritje tretjim osebam
Kadar koli skupina ELKO uporabi tretjega dobavitelja ali poslovnega partnerja za obdelavo osebnih podatkov v njenem imenu, mora ekipa skupine ELKO za varstvo podatkov zagotoviti, da bo ta obdelovalec uporabil varnostne ukrepe za zaščito osebnih podatkov, ki ustrezajo povezanim tveganjem. V ta namen je treba uporabiti vprašalnik obdelovalca skupine ELKO za skladnost z uredbo GDPR.

Skupina ELKO mora od dobavitelja ali poslovnega partnerja pogodbeno zahtevati zagotavljanje enake ravni varstva podatkov. Dobavitelj ali poslovni partner morata obdelovati osebne podatke samo za izpolnjevanje svojih pogodbenih obveznosti za skupino ELKO ali po navodilu skupine ELKO in za noben drug namen. Ko skupina ELKO obdeluje osebne podatke skupaj z neodvisno tretjo osebo, mora ELKO izrecno opredeliti svoje odgovornosti in odgovornosti tretje osebe v ustrezni pogodbi ali katerem drugem zavezujočem dokumentu, kot je predloga Sporazuma skupine ELKO o obdelavi osebnih podatkov.

5.6. Čezmejni prenos osebnih podatkov
Pred prenosom osebnih podatkov iz Evropskega gospodarskega prostora (EGP) je treba uporabiti ustrezne zaščitne ukrepe, vključno s podpisom Sporazuma o prenosu podatkov, kot zahteva Evropska unija in, če je treba, pridobiti pooblastilo pristojnega organa za varstvo podatkov. Subjekt, ki prejema osebne podatke, mora upoštevati načela obdelave osebnih podatkov, opredeljena v postopku čezmejnega prenosa podatkov.

5.7. Pravice do dostopa s strani posameznikov, na katere se nanašajo osebni podatki
Ko deluje kot upravljavec podatkov, je ekipa skupine ELKO za varstvo podatkov odgovorna za to, da posameznikom, na katere se nanašajo osebni podatki, zagotovi smiseln mehanizem dostopa, s katerim jim omogoči dostop do njihovih osebnih podatkov, pri tem pa jim mora dovoliti da lahko posodobijo, popravijo, izbrišejo ali prenesejo svoje osebne podatke, če je primerno ali tako narekuje zakonodaja. Mehanizem dostopa bo natančneje opisan v ELKOVEM postopku glede zahtevkov za dostop s strani posameznikov, na katere se nanašajo osebni podatki.

5.8. Prenosljivost podatkov
Posamezniki, na katere se nanašajo osebni podatki, imajo na podlagi poslanega zahtevka pravico do prejema kopije podatkov, ki so nam jih zagotovili, v strukturirani obliki, in do prenosa takih podatkov drugemu upravljavcu, in sicer brezplačno. Ekipa skupine ELKO za varstvo podatkov je odgovorna za to, da se taki zahtevki obdelajo v enem mesecu, da niso pretirani in ne vplivajo na pravice do osebnih podatkov drugih posameznikov.

5.9. Pravica do pozabe
Posamezniki, na katere se podatki nanašajo, imajo na podlagi poslanega zahtevka pravico od skupine ELKO zahtevati izbris svojih osebnih podatkov. Kadar skupina ELKO deluje kot upravljavec, mora ekipa skupine ELKO za varstvo podatkov izvesti potrebna dejanja (vključno s tehničnimi ukrepi) za obvestitev tretjih oseb, ki uporabljajo ali obdelujejo te podatke, da zagotovijo skladnost z zahtevkom.
6. Smernice poštene obdelave
Osebne podatke je dovoljeno obdelovati le, če to izrecno odobri ekipa skupine ELKO za varstvo podatkov.

Družba se mora odločiti, ali bo izvedla oceno učinka varstva podatkov za vsako dejavnost obdelave podatkov v skladu s smernicami skupine ELKO glede evidentiranja podatkov in razporejanja dejavnosti obdelovanja.

6.1. Obvestila posameznikom, na katere se nanašajo osebni podatki
V času zbiranja ali pred zbiranjem osebnih podatkov za kakršno koli dejavnost obdelave, kar brez omejitev vključuje prodajo izdelkov, storitev ali marketinške dejavnosti, mora ekipa skupine ELKO za varstvo podatkov v sodelovanju s skrbniki podatkov ELKO v vsaki državi Evropskega gospodarskega prostora (EGP), v kateri je zastopana skupina ELKO, poskrbeti za primerno obveščanje posameznikov, na katere se nanašajo osebni podatki, o naslednjem: vrstah zbranih osebnih podatkov, namenih obdelave, načinih obdelave, pravicah posameznikov glede njihovih osebnih podatkov, obdobju hrambe, morebitnih mednarodnih prenosih podatkov, ali se bodo podatki delili s tretjimi osebami in o varnostnih ukrepih skupine ELKO za zaščito osebnih podatkov. Te informacije se pošljejo v obliki obvestila o varovanju zasebnosti.

Kadar se osebni podatki delijo s tretjo osebo, mora ekipa skupine ELKO za varstvo podatkov poskrbeti, da so posamezniki o tem obveščeni v obliki obvestila o varovanju zasebnosti.

Kadar se osebni podatki prenesejo v tretjo državo v skladu s politiko čezmejnega prenosa podatkov, mora to biti navedeno v obvestilu o varovanju zasebnosti, iz katerega mora biti jasno razvidno, kam in kateremu subjektu se prenašajo osebni podatki.

Če se zbirajo občutljivi osebni podatki, mora ekipa skupine ELKO za varstvo podatkov poskrbeti, da obvestilo o varovanju zasebnosti izrecno navaja namen, za katerega se zbirajo občutljivi osebni podatki.

6.2. Pridobivanje privolitev
Kadar koli obdelava osebnih podatkov temelji na privolitvi posameznika, na katerega se nanašajo podatki, ali na drugi zakoniti podlagi, je ekipa skupine ELKO za varstvo podatkov dolžna voditi zapisnik o tovrstni privolitvi. Ekipa skupine ELKO za varstvo podatkov je odgovorna za to, da posameznikom, na katere se nanašajo podatki, ponudi možnost privolitve, pri tem pa jih mora obvestiti in jim omogočiti, da lahko svojo privolitev (kadar se privolitev uporabi kot zakonita podlaga za obdelavo) kadar koli prekličejo.

Če se zbiranje osebnih podatkov nanaša na otroke, mlajše od 16 let, mora ekipa skupine ELKO za varstvo podatkov poskrbeti, da starši svojo privolitev podajo pred začetkom zbiranja v obliki obrazca o privolitvi staršev.

V primeru prejema zahtevkov za popravek, spremembo ali uničenje evidenc osebnih podatkov mora ekipa skupine ELKO za varstvo podatkov poskrbeti, da bodo zahtevki obravnavani v razumnem času. Ekipa skupine ELKO za varstvo podatkov mora evidentirati zahtevke in voditi dnevnik o njih.

Osebne podatke je dovoljeno obdelovati samo za namen, za katerega so bili prvotno zbrani. V primeru, da želi družba obdelovati zbrane osebne podatke za drug namen, mora Družba posameznike, na katere se nanašajo podatki, zaprositi za privolitev z jasnim in jedrnatim dopisom. Vsaka taka prošnja mora vključevati navedbo prvotnega namena zbiranja podatkov in nov dodatni namen oz. namene. Prošnja mora vsebovati tudi razlog za spremembo namena oz. namenov. Pooblaščena oseba za varstvo podatkov je odgovorna za zagotovitev skladnosti s pravili iz tega odstavka.

Zdaj in v prihodnje mora ekipa skupine ELKO za varstvo podatkov skrbeti za to, da so načini zbiranja skladni z ustrezno zakonodajo, dobrimi praksami in standardi panoge.

Ekipa skupine ELKO za varstvo podatkov je odgovorna za vodenje registra obvestil o varovanju zasebnosti na strani: http://elkogdpr.elkogroup.com.
7. Organizacija in odgovornosti
Za ustrezno obdelavo osebnih podatkov so odgovorni vsi, ki delajo za ali skupaj s skupino ELKO in imajo dostop do osebnih podatkov, ki jih obdeluje skupina ELKO.

Naslednje organizacijske vloge pokrivajo ključna področja odgovornosti za obdelavo osebnih podatkov:

Upravni odbor skupine ELKO sprejema odločitve in potrjuje splošne strategije skupine ELKO o varstvu osebnih podatkov na ravni skupine.

Ekipa skupine ELKO za varstvo podatkov je odgovorna za vodenje programa varstva osebnih podatkov in za razvoj in spodbujanje celovitih politik varstva osebnih podatkov.

Skrbniki podatkov ELKO skupaj z direktorjem prodajne službe skupine ELKO so odgovorni za implementacijo in lokalizacijo (znotraj posameznih držav v Evropskem gospodarskem prostoru (EGP), v katerih je skupina ELKO zastopana s poslovalnicami) vseh potrebnih dejavnosti in ukrepov za varstvo osebnih podatkov v skladu s splošnimi politikami skupine ELKO o obdelavi osebnih podatkov ter v skladu z navodili in priporočili ekipe skupine ELKO za varstvo podatkov.

Osrednja pravna služba na sedežu skupine ELKO je skupaj z ostalo ekipo skupine ELKO za varstvo podatkov odgovorna za:
  • Nadzor in preučitev zakonodaje o osebnih podatkih in sprememb predpisov, pripravo zahtev za skladnost, pomoč poslovnim oddelkom pri doseganju njihovih ciljev v zvezi z osebnimi podatki.
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj pravne funkcije na ravni skupine ELKO.
Tehnični direktor na sedežu skupine ELKO skrbi za to, da:
  • Vsi sistemi, storitve in oprema, ki se uporabljajo za shranjevanje podatkov, ustrezajo sprejemljivim varnostnim standardom.
  • Se izvajajo redni pregledi in skeni za dobro delovanje varnostne strojne opreme in programske opreme.
  • Se posredujejo zahteve glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Se zagotovi nadzor nad skladnostjo z zahtevami glede osebnih podatkov znotraj informacijske funkcije na ravni skupine ELKO.
Direktor marketinga na sedežu skupine ELKO skrbi za:
  • Potrjevanje izjav o varstvu podatkov, priloženih k sporočilom, kot so na primer elektronski dopisi in pisma.
  • Odgovarjanje na novinarska vprašanja oz. poizvedbe medijev v zvezi z varstvom podatkov (npr. za časopise).
  • Če je treba, sodelovanje z ekipo skupine ELKO za varstvo podatkov zato, da marketinške kampanje upoštevajo načela varstva podatkov.
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj marketinške funkcije na ravni skupine ELKO.
Kadrovski in administrativni direktor na sedežu skupine ELKO skrbi za:
  • Izboljšanje ozaveščenosti vseh zaposlenih glede uporabe varstva osebnih podatkov.
  • Organizacijo, sodelovanje z ekipo skupine ELKO za varstvo podatkov, strokovno znanje s področja varstva osebnih podatkov in usposabljanje za krepitev ozaveščenosti zaposlenih, ki delajo z osebnimi podatki.
  • Celovito varstvo osebnih podatkov zaposlenih. Zagotoviti mora, da obdelava osebnih podatkov zaposlenih temelji na zakonitih poslovnih namenih in potrebah delodajalca.
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj kadrovske funkcije na ravni skupine ELKO.
Finančni direktor na sedežu skupine ELKO skrbi za:
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj finančne funkcije na ravni skupine ELKO.
Direktor logistike na sedežu skupine ELKO skrbi za:
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj logistične funkcije na ravni skupine ELKO.
Direktor komerciale na sedežu skupine ELKO skrbi za:
  • Prenašanje dolžnosti varstva osebnih podatkov na prodajalce in krepitev ozaveščenosti prodajalcev o varstvu osebnih podatkov.
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Zagotovitev nadzora nad skladnostjo z zahtevami glede osebnih podatkov znotraj komercialne funkcije na ravni skupine ELKO.
Direktor prodajne službe na sedežu skupine ELKO skrbi za:
  • Implementacijo in nadzor nad skladnostjo z zahtevami glede osebnih podatkov v prodajni službi.
  • Spremljanje in preučitev lokalne zakonodaje s področja osebnih podatkov v državi, kjer ima sedež prodajna služba, in sprememb predpisov, oblikovanje lokalnih zahtev glede skladnosti na podlagi politik in praks o varstvu osebnih podatkov na ravni skupine ELKO ter lokalne zakonodaje in predpisov.
  • Posredovanje zahtev glede osebnih podatkov kateri koli tretji osebi, ki se jo uporablja kot zunanjega izvajalca storitev.
  • Prenašanje dolžnosti varstva osebnih podatkov na lokalne prodajalce (če ustreza) in krepitev ozaveščenosti lokalnih prodajalcev o varstvu osebnih podatkov.
  • Prenašanje dolžnosti varstva osebnih podatkov na stranke in krepitev ozaveščenosti strank o varstvu osebnih podatkov.
8. Smernice za ustanovitev vodilnega nadzornega organa
8.1. Nujnost ustanovitve vodilnega nadzornega organa
Imenovanje vodilnega nadzornega organa je pomembno samo, če družba izvaja čezmejno obdelavo osebnih podatkov.
Osebni podatki so obravnavani čezmejno, če:
a) obdelavo osebnih podatkov izvajajo podružnice družbe, ki imajo sedež v drugih državah članicah,

ali

b) obdelava osebnih podatkov poteka na edinem sedežu družbe v Evropski uniji, a znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo podatki, v več kot eni državi članici.

Če ima družba sedeže samo v eni državi članici in njene dejavnosti obdelave vplivajo samo na posameznike, na katere se nanašajo podatki, v tisti državi članici, potem ni treba ustanavljati vodilnega nadzornega organa. Edini pristojni organ bo nadzorni organ v državi, v kateri je bila družba zakonito ustanovljena.

8.2. Glavni sedež in vodilni nadzorni organ

8.2.1. Glavni sedež upravljavca podatkov
Upravni odbor skupine ELKO mora imenovati glavni sedež, zato da je mogoče določiti vodilni nadzorni organ.

Če ima družba sedež v kateri državi članici EU in odloča v zvezi z dejavnostmi čezmejne obdelave v kraju osrednje uprave, bo obstajal samo en vodilni nadzorni organ za obdelavo podatkov, ki jo izvaja družba.

Če ima družba več sedežev, ki delujejo neodvisno in odločajo o namenih in sredstvih za obdelavo osebnih podatkov, mora upravni odbor skupine ELKO potrditi, da obstaja več kot en vodilni nadzorni organ.

8.2.2. Glavni sedež obdelovalca podatkov
Če družba deluje kot obdelovalec podatkov, potem je glavni sedež enak kraju osrednje uprave. Če kraj osrednje uprave ni v EU, bo glavni sedež enak sedežu v EU, kjer potekajo glavne dejavnosti obdelave.

8.2.3. Glavni sedež družb zunaj EU v zvezi z upravljavci in obdelovalci podatkov
Če družba nima glavnega sedeža v EU, ima pa podružnico oz. podružnice v EU, potem je pristojni nadzorni organ lokalni nadzorni organ.

Če družba nima glavnega sedeža v EU niti podružnic v EU, mora imenovati zastopnika znotraj EU, pri tem pa bo pristojni nadzorni organ lokalni nadzorni organ v kraju, kjer se nahaja zastopnik.
9. Odziv na kršitve varstva osebnih podatkov
Ko se skupina ELKO seznani s sumom kršitve varstva osebnih podatkov ali dejansko kršitvijo znotraj skupine ELKO, mora ekipa skupine ELKO za varstvo podatkov pravočasno izvesti notranjo preiskavo in popravne ukrepe v skladu s politiko kršitve varstva osebnih podatkov. Če obstajajo tveganja glede pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, mora ELKO brez nepotrebnega odlašanja obvestiti ustrezne organe za varstvo podatkov, če je le mogoče, pa v 72 urah.
10. Revizija in odgovornost
Ekipa skupine ELKO za varstvo podatkov skrbi za revizijo implementacije te politike v poslovnih oddelkih.

Zoper zaposlenega, ki krši to politiko, se izreče disciplinski ukrep, zaposleni pa je lahko tudi civilnopravno ali kazensko odgovoren, če njegovo/njeno ravnanje krši zakonodajo ali predpise.
11. Kolizija zakonov
Namen te politike je zagotovitev skladnosti z zakoni in predpisi v kraju sedeža in v državah, v katerih deluje skupina ELKO. V primeru navzkrižja med to politiko in veljavno zakonodajo in predpisi, prevlada slednje.
12. Vodenje evidenc na podlagi tega dokumenta
13. Veljavnost in vodenje dokumentov
Ta dokument velja od 21. maja 2018.

Lastnik tega dokumenta je ekipa skupine ELKO za varstvo podatkov, ki mora preverjati in po potrebi posodobiti ta dokument vsaj enkrat letno.