VARSTVO OSEBNIH PODATKOV
Namen tega obvestila o varstvu osebnih podatkov je seznanitev naročnikov oziroma potnikov, ter drugih oseb z nameni in podlago obdelave osebnih podatkov s strani družbe Columbus d.o.o., Ulica Vita Kraigherja 5, 2000 Maribor ter pravicami posameznikov, na katere se osebni podatki nanašajo, na tem področju.
Skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju GDPR), so v obvestilu zajete naslednje informacije:
• kontaktne informacije;
• namen, pravne podlage in vrste obdelave različnih vrst osebnih podatkov posameznikov;
• posredovanje podatkov tretjim osebam in v tretje države;
• čas hrambe posameznih vrst osebnih podatkov;
• pravice posameznikov v zvezi z obdelavo osebnih podatkov.
Kjer je to primerno, se določila, ki se nanašajo na posameznike, uporabljajo tudi za vprašanja tajnosti in zaupnosti komunikacij uporabnikov, ki so pravne osebe.
1. Upravljavec
Upravljavec osebnih podatkov je družba Columbus d.o.o., Ulica Vita Kraigherja 5, 2000 Maribor. Za uresničitev pravic se lahko posameznik, na katerega se nanašajo osebni podatki, obrne na upravljavca na naslednje kontaktne podatke:
Columbus d.o.o.
Ulica Vita Kraigherja 5, 2000 Maribor
T: +386 (0)2 230 11 10
E: info@columbus.si
2. Namen obdelave in pravna podlaga za obdelavo podatkov
Upravljavec osebnih podatkov osebne podatke posameznika, na katerega se ti nanašajo, obdeluje ob izpolnitvi naslednjih pogojev:
• obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
• obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
• obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost,
• obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
• obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba;
• na podlagi osebne privolitve posameznika, na katerega se podatki nanašajo;
Nameni iz prejšnjega odstavka zajemajo naslednje vrste obdelave:
• izpolnjevanje pogodbenih potovalnih storitev: podatke, ki nam jih posredujete, uporabljamo za zagotavljanje turističnih storitev, povezanih z vašim potovanjem (priprava ponudbe, sklenitev pogodbe, izvedba storitve, sprememba storitve);
• sklenitev zavarovanja odpovednega rizika, nezgodnega zavarovanja ali življenjskega zavarovanj z asistenco v tujini in posredovanje vaših podatkov zavarovalnicam ponudnicam teh vrst zavarovanj;
• identifikacijo posameznika;
• zaradi potrebe po kontaktu v primeru sprememb potovanja ali nudenja pomoči na poti; ta sporočila oziroma klici niso namenjeni trženju in jih ni moč izključiti oziroma ugovarjati obdelavi;
• preverjanje oziroma avtorizacijo plačil s kreditnimi in drugimi plačilnimi karticami: podatke o plačilu uporabljamo tudi za potrebe računovodenja, obračunavanja in revizije ter za odkrivanje in preprečevanje kriminalnih dejanj;
• obdelava zaradi reševanja sporov oziroma pravnih zahtevkov, potreb varnosti in zdravja ter upravnih ukrepov oziroma odkrivanja in preprečevanja kriminalitete;
• zaradi potreb imigracijskih oziroma carinskih ukrepov in nadzora je obvezna obdelava in posredovanje vaših podatkov organom mejne kontrole, konzularnim predstavništvom za pridobitev vstopnih dovoljenj in podobno;
• komunikacija s strankami po elektronski pošti ali telekomunikacijskih sredstvih zaradi ugotavljanja zadovoljstva s storitvami in krepitve odnosov s strankami ter nenehnega izboljševanja naših storitev;
• obdelava podatkov za namen posredovanja novoletnih voščilnic našim strankam (soglasje za to vrsto obdelave lahko kadarkoli umaknete).
Pravna podlaga obdelave je odvisna od namena, v skladu s katerimi so bili posamezni osebni podatki pridobljeni. Podlago za obdelavo predstavlja pogodbeno razmerje oziroma točka (b), (c), (d) in (f) 1. odstavka 6. člena ter točke (c), (i) in (f) 2. odstavka 9. člena GDPR ali druga veljavna področna zakonodaja ter izrecna privolitev posameznika za obdelavo njegovih osebnih podatkov.
Večino osebnih podatkov posameznikov, na katere se podatki nanašajo, upravljavec obdeluje za namen izpolnitve pogodbenega razmerja in izpolnitve zakonskih obveznosti, zaradi česar umik soglasja oziroma zahteva posameznika (pravica do izbrisa), njihove obdelave ne more izključiti. Zakonit interes, za katerega si prizadeva upravljavec, zajema obdelavo podatkov zaradi ugotavljanja zadovoljstva z opravljenimi storitvami in potrebo po izboljšanju storitev, v ta namen lahko upravljavec kontaktira posameznike, na katere se osebni podatki nanašajo. Iz razlogov tehtanja interesov upravljavca ter posameznika, na katerega se podatki nanašajo, pa upravljavec ne kontaktira ponovno tistih posameznikov, ki so takšni obdelavi ugovarjali. Upravljavec osebne podatke posameznika, na katerega se podatki nanašajo, obdeluje tudi na podlagi izrecne prostovoljne osebne privolitve, katero lahko posameznik, na katerega se podatki nanašajo v vsakem trenutku prekliče oziroma umakne. Posameznik, na katerega se nanašajo osebni podatki, lahko svoje soglasje kadarkoli umakne ali spremeni na enak način, kot je bilo soglasje dano ali na drug način, ki ga določi upravljavec. Upravljavec si v takšnem primeru pridržuje pravico do identifikacije stranke. Spremembo soglasja je med drugim mogoče urediti preko redne pošte, e-pošte ali v poslovalnicah upravljavca. Umik soglasja lahko vpliva izključno na podatke, ki jih upravljavec obdeluje na podlagi soglasja ter hkrati ne obstoji, kateri izmed drugih zakonitih namenov oziroma pogojev za obdelavo (pravna podlaga).
Upravljavec osebnih podatkov obdeluje tudi posebne vrste podatkov kadar je:
• obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
• obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
• obdelava potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje;.
3. Kategorije oziroma vrste osebnih podatkov
Osebni podatki, ki jih upravljavec obdeluje, vključujejo:
• ime in priimek, stalno oziroma začasno prebivališče, elektronski naslov, telefonska številka, podatki o starosti in spolu, EMŠO, datum in kraj rojstva, kadar je potrebno podatki o potnih listinah in osebnih izkaznicah (identifikacijsko številko, državljanstvo, datum poteka veljavnosti in državo izdaje ter organ izdaje), podatki o vrsti plačilnega sredstva in morebitni drugi podatki o plačilu (TRR, plačilna kartica, obročno odplačilo), v kolikor je potrebno;
• podatki o morebitnih posebnih zdravstvenih oziroma prehranskih pogojih za potnike, ki imajo posebne zdravstvene zahteve ali prehranske potrebe;
• zgodovina potovanj ter informacije o morebitnih dodatnih storitvah, kot so zavarovanja, parkirišča in podobno;
• sporočila, ki nam jih posredujete.
4. Rok hrambe osebnih podatkov
Osebne podatke bo upravljavec hranil le toliko časa, kolikor je potrebno, da se izpolni namen (torej izpolnitev pogodbene obveznosti ali zakonska obveznost, zakonit interes, za katerega si prizadeva upravljavec oziroma do preklica osebne privolitve, kadar se osebni podatki obdelujejo na podlagi osebne privolitve).
Zaradi potrebe uveljavljanja, izvajanja ali obrambe pravnih zahtevkov, ki bi izhajali iz pogodbenega razmerja, se podatki posameznika, na katerega se ti nanašajo, hranijo še pet let po prenehanju pogodbenega razmerja. Podatki, ki se nanašajo na plačila storitev se v skladu z zakonom, ki ureja davek na dodano vrednost, hranijo 10 let po poteku leta, na katerega se račun nanaša.
V primeru, da specialen zakon predpisuje drugačen rok hrambe osebnega podatka se upoštevajo določila takšnega specialnega zakona.
5. Posredovanje podatkov tretjim osebam ter posredovanje podatkov v tretje države
Za izpolnjevanje namenov lahko upravljavec osebne podatke posameznika razkrije naslednjim tretjim osebam oziroma uporabnikom:
• drugim turističnim agencijam, kadar upravljavec nastopa kot zastopnik druge turistične agencije;
• izvajalcem turističnih storitev, kot so hotelirji, organizatorji potovanj, ponudniki rent a car, prevozniki, turistični vodiči in podobno;
• rezervacijskim sistemom CRS (Central Reservation System) ter GDS (Global Distribution System) in sicer ORS Smart ter Aerticket Austria, preko katerih rezerviramo turistične storitve (letalske prevoze, hotele, rent a car, transferje, izlete in podobno);
• zavarovalnicam – za potrebe zavarovanja rizika odpovedi potovanja, nezgodnega zavarovanja ali zdravstvena zavarovanja z asistenco;
• podjetjem s kreditnimi in debetnimi karticami, zaradi lažje izvedbe plačil ter preverjanja suma kaznivih dejanj goljufije;
• konzularnim predstavništvom, imigracijskim in carinskim organom za urejanje vstopnih dovoljenj, organom kazenskega pregona in davčnim organom na osnovi njihove pisne zahteve, pravosodnim organom in pravnim sodelavcem pri uveljavljanju naših zakonskih pravic v zvezi s pogodbo z vami ter drugim državnim in javnim organom in zavodom v skladu z njihovimi pristojnostmi;
• zaupnim zunanjim obdelovalcem in izvajalcem (računovodskim servisom, ponudnikom storitev informacijske tehnologije v okviru servisiranja in vzdrževanja ter razvoja programske in strojne opreme, ponudnikom uničenja spisov in nosilcev podatkov, itd..).
Upravljavec lahko posreduje osebne podatke tudi v nekatere tretje države, če je to skladno s pravom EU in slovenskimi predpisi. Posredovanje podatkov v tretje države se zagotavlja v skladu z zakonskimi podlagami za iznos podatkov v tretje države, ki jih predpisujejo pravo EU ter veljavni slovenski predpisi. Mogoče podlage vključujejo:
• izvedbeni akt Evropske komisije o ustreznosti varstva v tretji državi;
• zavezujoča poslovna pravila, skladno s GDPR, če so ta ustrezno odobrena;
• standardna določila o varstvu podatkov;
• pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji;
• drug mehanizem, ki ga dopušča GDPR.
Potovanja v ZDA
Zaradi ameriškega zveznega zakona o iskanju teroristov so letalske družbe primorane, da organom, pristojnim za vstop v državo, posredujejo podatke o letih in rezervacijah vsakega potnika, preden ta vstopi v ZDA. Brez tovrstnega posredovanja podatkov vstop v ZDA ni mogoč.
6. Varnost osebnih podatkov
Upravljavec podatke shranjuje in obdeluje v skladu z ustreznimi tehničnimi in organizacijskimi ukrepi namenjenimi varovanju zbranih osebnih podatkov, tako da bodo zaščiteni proti nenamernemu ali nezakonitemu dostopu, spreminjanju, razkritju ali razširjanju podatkov s strani nepooblaščenih oseb ter pred nenamerno ali nezakonito izgubo in uničenjem. V ta namen so računalniški sistemi zaščiteni z gesli in protivirusnimi programi ter ostalo najnovejšo tehnološko informacijsko tehnologijo, papirnate zbirke pa so hranjene v ustrezni pisarniški opremi, ki je zaklenjena, dostop do nje pa nepooblaščenim osebam onemogočen, itd.. Podrobnejše varnostne ukrepe je upravljalec sprejel v okviru internega akta o varovanju podatkov.
7. Pravice posameznika, na katerega se podatki nanašajo
V zvezi z obdelavo podatkov upravljavec zagotavlja še naslednje pravice:
• pravico do dostopa do osebnih podatkov posameznika (npr. vpogled in njihovo prepisovanje);
• informacije v zvezi z obdelavo podatkov, kot sta informacije o namenu obdelave, vrsti osebnih podatkov, uporabnikih, ki so jim bili oziroma jim bodo razkriti osebni podatki, o predvidenem obdobju hrambe, o morebitnem iznosu podatkov v tretjo državo ali mednarodno organizacijo;
• pravico do popravka netočnih osebnih podatkov in dopolnitve nepopolnih osebnih podatkov;
• pravico do izbrisa vseh osebnih podatkov (t.i. “pravica do pozabe”), če so izpolnjene predpostavke iz 17. člena GDPR;
• pravico do omejitve obdelave, če posameznik (i) oporeka točnosti podatkov, in sicer za obdobje, ki omogoča upravljavcu preverbo točnosti osebnih podatkov, (ii) je obdelava nezakonita in namesto izbrisa posameznik zahteva omejitev uporabe podatkov, (iii) upravljavec podatkov ne potrebuje več za potrebe obdelave, jih pa potrebuje posameznik za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, (iv) posameznik vloži ugovor zoper obdelavo svojih podatkov na osnovi zakonitih interesov upravljavca, dokler se ne preveri zakonitosti njihove obdelave;
• pravico do prenosljivosti podatkov oziroma prejem podatkov v splošno uporabljeni in strojno berljivi obliki;
• posredovanje podatkov drugemu upravljavcu.
Posameznik ima pravico, da vloži pritožbo pri Informacijskem pooblaščencu RS, če meni, da obdelava njegovih osebnih podatkov krši veljavno zakonodajo s področja varstva osebnih podatkov.