Obvestilo posameznikom po 13. členu Splošne uredbe o varstvu podatkov (GDPR) glede obdelave osebnih podatkov
Upravljavec osebnih podatkov v zvezi s spletno trgovino https://bio24.si/ in drugimi povezanimi interakcijami je podjetje:
NN International d.o.o.
Zaloška cesta 275, 1000 Ljubljana
Matična številka: 1328549000
Davčna številka: SI37756281
e-mail: info@bio24.si
(v nadaljevanju: »podjetje«)
Vsa vprašanja, zahteve, poizvedbe in druga sporočila, ki so vezana na področje varovanja osebnih podatkov v naši organizaciji, lahko naslovite na: vop@bio24.si
Osnovi podatki o podjetju
Naše podjetje zbira, hrani in obdeluje določene informacije in podatke, med katere sodijo tudi osebni podatki, kot to predvideva Zakon o varstvu osebnih podatkov (ZVOP-2) oziroma Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oziroma uredba GDPR).
Namen in uporaba tega obvestila
To obvestilo opisuje, kako naše podjetje obdeluje osebne podatke posameznikov, ki so svoje osebne podatke zaupali neposredno kot upravljavcu osebnih podatkov, v povezavi s spletnim mestom https://bio24.si/ (npr. pri nalaganju piškotkov ob obisku spletnega mesta, pri izpolnjevanju in oddaji kontaktnega obrazca, oddaji naročila, ipd.).
Raba pojmov in spremembe tega obvestila
Če ni drugače navedeno, imajo pojmi, ki se pojavljajo v tem obvestilu (npr. osebni podatek, obdelava, upravljavec, obdelovalec, ipd.), enak pomen kot v uredbi GDPR.
Besedna zveza spletno mesto pomeni https://bio24.si/ in zajema vse pripadajoče podstrani ter povezane strežnike ter sisteme.
V tem obvestilu se vse oblike (ednina, množina, spol) uporabljenih izrazov nanašajo na vse posameznike.
1. Katere osebne podatke obdelujemo in jih zbiramo:
- podatke, potrebne za sklenitev pogodbe (npr. ime in priimek, naslov),
- podatke za komunikacijo (npr. e-mail, telefon),
- podatke o plačilih (transakcijski račun), ipd,
- podatke o vaših naročilih, ki obsegajo predvsem podatke o naročenih izdelkih,
- podatke v zvezi z neskladnostjo naročenega blaga,
- tehnični podatke (IP-naslov naprave, preko katere komunicirate v medomrežju),
- podatke za dostop do spletnega mesta (uporabniško ime in geslo),
- vaše nastavitve, ki obsegajo podatke o vašem računu, predvsem shranjene naslove za dostavo, naročila na novice, priljubljene izdelke, vaše ocene in komentarje o izdelkih,
- podatke o komunikaciji z nami, vključno s tržnim komuniciranjem,
- če se prijavite preko Google ali Meta računa, pridobimo le podatke, nujne za avtentikacijo (identifikacijo) uporabnika.
Podatki, ki jih zbiramo, so nujni za kasnejšo izpolnitev naročila oz. pogodbe.
2 Nameni obdelave osebnih podatkov
Vaše osebne podatke obdelujemo za naslednje namene:
- komuniciranje z vami glede zagotavljanja naših storitev, povpraševanj in naročil — na podlagi zakonitih interesov upravljavca (člen 6(1)(f) GDPR);
- sklenitev pogodbe in izpolnitev obveznosti, ki izhajajo iz sklenjene pogodbe — na podlagi izpolnitve pogodbe (člen 6(1)(b) GDPR);
- uveljavljanje pravnih zahtevkov in reševanje sporov — na podlagi zakonitih interesov upravljavca (člen 6(1)(f) GDPR);
- statistične analize o uporabi spletne strani — podatki se obdelujejo izključno anonimizirano in ne predstavljajo obdelave osebnih podatkov.
Podatke o vas pridobivamo, ko:
- pošljete povpraševanje,
- oddate naročilo,
- se prijavite na e-novice in obvestila.
Tehnične podatke pridobivamo avtomatično v okviru programske rešitve spletnega mesta..
3. Obdobje hrambe osebnih podatkov
Vaše osebne podatke hranimo le toliko časa, kolikor je to nujno za izpolnitev namenov, zaradi katerih ste jih posredovali. Rok hrambe je odvisen od vrste podatkov in zakonskih zahtev oziroma do preklica, če gre za podatke, pridobljeni na podlagi privolitve. Redno preverjamo, ali še vedno obstaja potreba po njihovem hranjenju.
Če zakon za posamezne vrste osebnih podatkov ne določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo, uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.
Izbris podatkov lahko posameznik vselej zahteva tako, da svojo zahtevo pošlje na uradni elektronski naslov organizacije na naslov, ki je naveden na začetku tega dokumenta.
Podrobnejši roki hrambe po kategorijah podatkov so opredeljeni v Splošnih pogojih poslovanja.
4. Obdelava osebnih podatkov
V skladu z zakonodajo lahko vaše osebne podatke obdelujemo:
- za potrebe sklenitve in izpolnitve pogodbe,
- če to od nas zahteva zakonodaja,
- če je obdelava potrebna zaradi zakonitih interesov,
- če ste nam dali soglasje (e-novice, družbeni vtičniki za prijavo).
4.1. Obdelava osebnih podatkov na podlagi pogodbe
Osebne podatke posameznikov lahko obdelujemo na podlagi sklenjene pogodbe oziroma ponudbe za sklenitev pogodbe (npr. kadar posameznik preko naših uradnih komunikacijskih kanalov želi pridobiti več informacij o naših storitvah).
V opisanih primerih nam osebne podatke zagotovite kot del pogodbene obveznosti oziroma kot del pogajanj za sklenitev pogodbe, pri čemer za obdelavo osebnih podatkov ne potrebujemo izrecne privolitve.
Za nemoteno izvajanje naših storitev potrebujemo določene vaše osebne podatke. Če nam jih ne boste posredovali, lahko to vpliva na kakovost ali razpoložljivost naših storitev.
4.2. Obdelava osebnih podatkov na podlagi zakona
V podjetju osebne podatke obdelujemo tudi za namene izpolnitve zakonskih in drugih predpisov, posebej tistih, ki urejajo davke in računovodstvo (npr. evidenca izdanih in prejetih računov, ipd.), npr.:
- kadar podjetju inšpektor oziroma drug nosilec javnih pooblastil naloži, da mu ta skladno z zakonom zaupa osebne podatke določenega kupca / obiskovalca (npr. v kontekstu izvajanja inšpekcijskega nadzora po določbah Zakona o inšpekcijskem nadzoru (ZIN),
- kadar organizacija obdeluje osebne podatke kupca, ki mu je izdalo račun, organizacija ta račun in podatke o kupcu (npr. osebno ime, kontaktne podatke, ipd.) obdeluje na podlagi Zakona o davku na dodano vrednost (ZDDV-1) (glej poglavje 2.2.), ipd.
4.3. Obdelava osebnih podatkov na podlagi zakonitih interesov podjetja
V nekaterih primerih lahko uporabimo vaše osebne podatke za zaščito naših pravic, na primer v pravnih, kazenskih ali civilnih postopkih. Vaše osebne podatke bomo uporabljali za zaščito naših pravic le, če je to nujno potrebno in v obsegu, ki je v skladu z veljavno zakonodajo.
V skladu z veljavno zakonodajo lahko obdelamo vaše osebne podatke, če je to nujno potrebno za zaščito vaših vitalnih interesov.
4.4. Obdelava osebnih podatkov na podlagi pridobljenega soglasja
Sodelovanja z nami in koriščenja storitev organizacije ni pogojeno s tem, da se soglašate z obdelavo osebnih podatkov.
Kljub temu lahko v podjetju osebne podatke obdelujemo tudi na podlagi izrecne privolitve (t.j. soglasja). Kot izrecna privolitev posameznika se šteje njegova prostovoljna izjava volje, s katero ta soglaša k obdelavi določenih osebnih podatkov za določen namen, (npr. soglašanje k prejemanju oglasnih in informativnih sporočil).
Tovrstno komuniciranje je mogoče kadarkoli preklicati tako, da se sledi povezavi, ki je vsebovana v vsakem elektronskem sporočilu, oziroma tako, da nas v zvezi s tem kontaktirate na naslovu, ki je naveden na začetku tega dokumenta.
Podjetje zagotavlja posamezniku pravico, da izrecno privolitev kadarkoli prekliče na enostaven način, torej tako, da nas v zvezi s tem kontaktira na elektronskem naslovu, ki je naveden na začetku tega dokumenta.
Preklic soglasja ne vpliva na zakonitost obdelave, do trenutka preklica.
V primeru, da ne podate soglasja za obdelavo osebnih podatkov, oziroma ste soglasje podali delno ali soglasje (delno) preklicali, bomo, če bo to mogoče, z vami sodelovali le v obsegu danega soglasja oziroma na načine, ki jih dovoljuje veljavna zakonodaja.
Soglasje je prostovoljno in če se odločite, da ga ne želite podati, oziroma ga kasneje prekličete, to v nobenem primeru ne okrni vaših drugih pravic oziroma za vas ne predstavlja dodatnih stroškov ali oteževalnih okoliščin.
5. Kdo v podjetju in izven nje obdeluje osebne podatke ?
5.1. Določeni zaposleni v podjetju
Vaše osebne podatke obdelujejo tisti zaposleni v podjetju, ki podatke potrebujejo za to, da lahko opravljajo svoje delovne naloge. Vsi zaposleni so zavezani k zaupnosti in k spoštovanju varovanja osebnih podatkov.
5.2. Državni organi
V določenih primerih, ki jih predpisuje veljavna zakonodaja, mora podjetje osebne podatke posredovati oziroma o njih poročati tudi pristojnim državnim organom, kakor tudi organom, ki so denimo pristojni za finančni, davčni ali drug nadzor (npr. Urad informacijskega pooblaščenca Republike Slovenije, itd.). V določenih primerih je podjetje primorano podatke posredovati tudi tretjim osebam, če takšno obveznost posredovanja, oziroma razkritja podjetje nalaga zakon oziroma pravno upravičenje tretje osebe.
5.3. Pogodbene obdelave osebnih podatkov
Pogodbeni obdelovalec, kot zunanji izvajalec, lahko obdeluje osebne podatke izključno v imenu in za račun upravljavca. Obdelava poteka na podlagi sklenjene pogodbe, ki natančno določa obseg in način obdelave. Pogodbeni obdelovalec je zavezan k zaupnosti in sme uporabljati osebne podatke le v okviru navodil upravljavca, pri čemer podatkov ne smejo uporabiti za zasledovanje lastnih interesov.
Pogodbeni obdelovalci, s katerimi podjetje sodeluje
- osebe, ki z nami sodelujejo na podlagi podjemnih oziroma avtorskih pogodb (vzdrževalci IT sistemov, razvijalci programske kode, ipd.),
- ponudnik storitev za masovno pošiljanje elektronske pošte ponudnik za gostovanje poštnega strežnika:MailerLite Limited, 38 Mount Street Upper, Dublin 2, D02 PR89 Ireland,
- ponudnika plačilnih storitev: OTP banke d.d., Ulica Vita Kraigherja 4, Maribor; BANKART d.o.o., Celovška cesta 150, 1000 Ljubljana,
- računovodski servis in računovodske rešitve: CONVEX d.o.o., Dunajska 106, Ljubljana; E-RAČUNI d.o.o., Titova cesta 8, 2000 Maribor),
- ponudnik storitve dostave: Pošta Slovenije d.o.o., Slomškov trg 10, 2500 Maribor,
- ponudnik gostovanja spletnega mesta: G-SERVER d.o.o., Železniška ulica 5, 4249 Lesce.
- avtentikacija: Google Ireland Ltd. in Meta Platforms Ireland Ltd. (v skladu z EU-ZDA Data Privacy Framework).
Google Ireland Ltd. in Meta Platforms Ireland Ltd. v okviru storitve avtentikacije nastopata kot samostojna upravljavca v skladu s svojimi politikami zasebnosti.
Podjetje ne bo posredovala vaših osebnih podatkov tretjim nepooblaščenim osebam.
5.4. Izvoz osebnih podatkov v tretje države
Naše podjetje osebnih podatkov praviloma ne izvaža v tretje države (t.j. izven območja Evropske unije oz. EGP).
Za zagotavljanje nekaterih funkcionalnosti našega spletnega mesta uporabljamo storitve tretjih oseb s sedežem v ZDA. To pomeni, da se lahko nekateri tehnični podatki (npr. IP naslov, piškotki) obdelajo na njihovih strežnikih.
Omenjeni ponudniki storitev so sprejeli ustrezne klavzule, ki zagotavljajo, da so ti prenosi v skladu z Uredbo (EU) 2016/679 in ustrezno ravnjo varstva osebnih podatkov, ter da so osebni podatki ustrezno zaščiteni.
V primeru, da mehanizem EU–ZDA Data Privacy Framework preneha veljati ali se spremeni, se prenosi osebnih podatkov v ZDA izvajajo na podlagi Standardnih pogodbenih klavzul (SCC), skladno s členoma 46 in 49 GDPR.
5.5 Obdelava in zaščita posebnih vrst osebnih podatkov
Ne obdelujemo posebnih kategorij osebnih podatkov, kot so opredeljene v členu 9 Uredbe (EU) 2016/679.
V skladu z Uredbo GDPR bomo v primeru nenamernega pridobitve občutljivih osebnih podatkov zagotovili njihovo takojšnjo izbris in sprejeli vse potrebne varnostne ukrepe.
6. Pravice do zasebnosti in kako jih lahko uveljavljate
V zvezi s tem obvestilom o obdelavi osebnih podatkov oziroma glede same obdelave osebnih podatkov s strani našega podjetja in naših pogodbenih obdelovalcev, nas lahko kadarkoli in brez zadržkov kontaktirate preko elektronskega naslova, ki je naveden na začetku tega dokumenta.
Prav tako lahko navedeni naslov uporabljate tudi za pošiljanje vaših zahtev in uveljavljanje drugih pravic, ki so povezane z osebnimi podatki in uredbo GDPR.
Pravice v skladu z Uredbo GDPR
- Pravica do obveščenosti: posamezniki imajo pravico biti obveščeni o zbiranju in obdelavi njihovih osebnih podatkov.
- Pravica do dostopa: posamezniki imajo pravico dostopati do svojih osebnih podatkov in pridobiti informacije o tem, kako se podatki obdelujejo, ter kopijo samih podatkov.
- Pravica do izbrisa (pravica do pozabe): posamezniki imajo pravico zahtevati izbris svojih osebnih podatkov v določenih okoliščinah.
- Pravica do preklica privolitve: če obdelava osebnih podatkov temelji na privolitvi, imajo posamezniki pravico svojo privolitev kadarkoli preklicati brez da bi utrpeli kakršnokoli negativno posledico.
- Pravica do popravka: posamezniki imajo pravico zahtevati popravek netočnih ali nepopolnih osebnih podatkov. Če so bili podatki posredovani tretjim osebam, bomo, v kolikor bo to mogoč, obvestili te tretje osebe o izvedbi popravka.
- Pravica do omejitve obdelave: posamezniki imajo pravico zahtevati omejitev obdelave svojih osebnih podatkov. Ta pravica velja v določenih primerih, na primer, ko je točnost podatkov sporna ali je posameznik nasprotoval njihovi obdelavi.
- Pravica do prenosljivosti podatkov: posamezniki imajo v določenih primerih pravico, da svoje osebne podatke prejmejo v strukturirani, splošno uporabljani in strojno berljivi obliki. Prav tako lahko zahtevajo, da se njihovi podatki posredujejo drugemu upravljavcu, če obdelava temelji na privolitvi ali pogodbi in če se obdelava izvaja z avtomatiziranimi sredstvi.
- Pravica do ugovora: posamezniki imajo pravico do ugovora glede obdelave svojih osebnih podatkov na podlagi zakonitih interesov ali javnega interesa/izvajanja javne oblasti. V takih primerih bomo prenehali s takšno obdelavo, razen če lahko dokažemo nujne zakonite razloge, ki prevladajo nad posameznikovimi interesi, pravicami in svoboščinami.
- Pravice v zvezi z avtomatiziranim odločanjem in profiliranjem: posamezniki imajo pravico, da ne bodo predmet izključno avtomatiziranih odločitev, vključno s profiliranjem, ki bistveno vpliva nanje. Prav tako imajo pravico do človeškega posredovanja, izražanja svojega stališča in pritožb glede tovrstnih odločitev.
- Pravica do vložitve pritožbe pri nadzornem organu: če menite, da obdelava osebnih podatkov, ki jo v zvezi z vami opravi naše podjetje, krši predpise o varstvu osebnih podatkov, lahko brez poseganja v katerokoli drugo (upravno ali drugo) pravno sredstvo, vložite pritožbo pri nadzornem organu, zlasti v tisti državi, v kateri imate običajno prebivališče, kraj dela, oziroma v kateri je domnevno prišlo do kršitve (v Sloveniji je to Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, elektronski naslov: gp.ip@ip-rs.si, telefon: 012309730, spletna stran:www.ip-rs.si )
Seznam drugih nadzornih organov EU in njihovih kontaktnih podatkov je na voljo tukaj: https://edpb.europa.eu/about-edpb/about-edpb/members_en#.edoms
7. Obstoj avtomatiziranega sprejemanja odločitev in oblikovanja profilov
Ne uporabljamo in ne izvajamo obdelave osebnih podatkov, ki bi vodila do avtomatiziranega sprejemanja odločitev, vključno s osebnim profiliranjem, ki bi imelo pravne učinke, ki se nanašajo na vas.
8. Obdelava osebnih podatkov oseb, ki so mlajše od 16 let
Naše podjetje obdeluje osebne podatke posameznikov, starih 16 let, ali več, na podlagi njihovega izrecnega soglasja. Za obdelavo osebnih podatkov otrok mlajših od 16 let bomo pridobili soglasje njihovega starša ali skrbnika. Vse osebe, katerih osebne podatke obdelujemo, so obveščene o svojih pravicah iz Uredbe (EU) 2016/679 in Zakona o varstvu osebnih podatkov.
Če bo podjetje samo naknadno ugotovila, da se v povezavi s storitvijo obdelujejo osebni podatki osebe, ki je mlajša od 16 let, njen starš oz. skrbnik pa s tem ni soglašal, bo izvedlo ukrepe, da se vsi zajeti osebni podatki izbrišejo.
Posamezniki, na katere se nanašajo osebni podatki, oziroma njihovi starši ali skrbniki lahko kadarkoli uveljavljajo svoje pravice, vključno s pravico do izbrisa, tako da nas kontaktirajo na elektronskem naslovu, navedenem na začetku tega dokumenta.
9. Piškotki
Spletno mesto uporablja izključno nujne tehnične piškotke, ki so potrebni za pravilno delovanje trgovine (npr. shranjevanje izdelkov v košarici, varnost seje). Za te piškotke v skladu z ZEKom-2 privolitev ni potrebna. Ne uporabljamo nobenih analitičnih ali oglaševalskih piškotkov. Seznam piškotkov:
| Ime piškotka | Namen | Trajanje |
|---|---|---|
| PHPSESSID | Osnovni sistemski piškotek za ohranjanje seje uporabnika. | Čas seje |
| OCSESSID | OpenCart identifikator seje za delovanje košarice in prijave. | Čas seje |
| language | Shranjevanje izbire jezika uporabnika. | 30 dni |
| currency | Shranjevanje izbire valute za prikaz cen (EUR). | 30 dni |
| ls_smartpush | Sistemski piškotek za optimizacijo dostave vsebin. | 1 leto |
| _session_server | Piškotek plačilnega prehoda (Bankart) za varno izvedbo plačila. | Čas seje |
10. Varovanje vaših osebnih podatkov
Vaše osebne podatke skrbno varujemo pred nepooblaščenim dostopom, izgubo ali zlorabo. Uporabljamo najsodobnejše tehnologije in postopke za zagotavljanje varnosti vaših podatkov.
Podjetje je uvedlo varnostne ukrepe, vključno z dodeljevanjem dostopov, rednim posodabljanjem sistemov, fizičnim varovanjem podatkov in usposabljanjem zaposlenih. Enake zahteve veljajo tudi za naše pogodbene obdelovalce.
V primeru kršitve varnosti podatkov bomo ravnali v skladu s členom 33 GDPR in o kršitvi po potrebi obvestili nadzorni organ in posameznike.
11. Kje dobim več pojasnil glede obdelovanja osebnih podatkov?
Za vse vprašanja v zvezi z obdelavo vaših osebnih podatkov se lahko obrnete na nas preko elektronskega naslova, navedenega na začetku tega dokumenta.
Zadnja posodobitev
Obvestilo je bilo nazadnje posodobljeno dne 03. 03. 2026