Zasebnost
Obvestilo o obdelavi osebnih podatkov
A.S.D. SK Brdina, Smučarski klub Brdina
Uvod
To obvestilo je podano v skladu s členoma 13 in 14 Uredbe (EU) 2016/679 (v nadaljevanju »GDPR«) in z zakonsko uredbo št. 196 z dne 30. junija 2003 (Zakonik o varstvu osebnih podatkov), kakor je bila spremenjena z zakonsko uredbo št. 101 z dne 10. avgusta 2018, z namenom opisati, kako Društvo obdeluje osebne podatke uporabnikov spletne platforme https://brdina.org, staršev, mladoletnikov in drugih oseb, ki uporabljajo ponujene storitve. Branje tega dokumenta posamezniku omogoča, da razume, kateri podatki se zbirajo, za katere namene, na katerih pravnih podlagah in s kakšnimi jamstvi.
1. Upravljavec
Upravljavec osebnih podatkov je A.S.D. SK Brdina, Amatersko športno društvo Smučarski klub Brdina, s sedežem na naslovu Via di Monrupino 38, Repentaborska ulica 38, 34151 Opčine (Opicina), Trst, davčna številka 90040070329, številka DDV 00785000324, ki ga zastopa zakoniti zastopnik pro tempore, g. Andrea Don.
- Kontakt za varstvo podatkov: info@brdina.org, telefonska številka +39 342 0730513.
- Odgovorna oseba za zaščito mladoletnih (safeguarding): ga. Tatjana Čač, kot referenčna oseba za vprašanja, povezana z zaščito otrok v okviru društvenih dejavnosti.
- Pooblaščena oseba za varstvo podatkov (DPO): ni imenovana, saj trenutno niso izpolnjeni pogoji obveznega imenovanja iz člena 37 GDPR; Društvo to oceno redno preverja.
2. Kategorije posameznikov, na katere se nanašajo osebni podatki
Obdelava zadeva različne kategorije oseb, med katerimi so obiskovalci javnega spletnega mesta, starši ali skrbniki, ki se registrirajo in uporabljajo zasebno območje, mladoletniki, vpisani v dejavnosti, katerih podatke posreduje starš, ter inštruktorji in sodelavci Društva. Računi, ki bi se glasili neposredno na mladoletnike, niso predvideni; njihove podatke v vsakem primeru vnaša in upravlja odrasla oseba, ki izvaja starševsko skrb ali skrbništvo.
3. Vrste osebnih podatkov, ki se obdelujejo
Glede na uporabljene storitve Društvo obdeluje naslednje vrste osebnih podatkov.
- Podatki starša ali uporabnika: elektronski naslov, geslo, shranjeno v šifrirani obliki, ime, priimek, davčna številka, telefonska številka, izbrani jezik, stanje elektronskega naslova, morebitna aktivacija potisnih obvestil, izjava o seznanitvi s Politiko zasebnosti in Pogoji uporabe z datumom in uro ter identiteta Google v primeru prijave prek te storitve.
- Podatki mladoletnika: ime, priimek, datum rojstva, kraj rojstva, naslov, davčna številka, državljanstvo in smučarska raven.
- Društveni in operativni podatki: vpisi v tečaje, podpisani vpisni obrazec, pridobljen v obliki slike ali PDF, plačila z zneskom, sklicem nakazila, stanjem in imenom osebe, ki je izvedla plačilo, članarina, rezervacije prevoza in morebitna čakalna lista, prisotnosti, izkaznica FISI ter razporeditev otrok v skupine.
- Potrdilo o plačilu: dokument v obliki PDF, ki vsebuje ime plačnika nakazila, s praznim poljem na mestu njegove davčne številke, ki ga starš po potrebi izpolni sam, znesek s številkami in z besedo, ime, datum in kraj rojstva ter naslov otroka, namen plačila in navedbo o davčni olajšavi po členu 15 TUIR.
- Sporočila in interne evidence: objave in sporočila na oglasni deski, obvestila v aplikaciji, evidenca obvestil, poslanih po elektronski pošti ali s potisnimi obvestili, ter evidenca administrativnih dejanj.
- Vsebine, objavljene na spletnem mestu: fotografije iz galerije in tekmovalnih rubrik, na katerih so lahko upodobljeni mladoletniki, ter rezultati tekmovanj z imeni in uvrstitvami, objavljeni na podlagi privolitev za uporabo podob, zbranih v papirni obliki.
- Tehnični podatki: naslov IP se uporablja izključno in brez trajnega shranjevanja za omejevanje prometa na javnih obrazcih in pri virtualnem pomočniku; pogovori s pomočnikom se ne shranjujejo.
Društvo ne obdeluje posebnih vrst osebnih podatkov iz člena 9 GDPR. Prek Platforme se ne zahteva in ne prenaša noben zdravstveni podatek in nobeno zdravniško potrdilo, saj to za netekmovalne dejavnosti, ki jih Društvo upravlja, ni potrebno.
4. Vir podatkov
Podatki se zbirajo neposredno pri posamezniku ali, kar zadeva mladoletnike, pri staršu, ki jih posreduje. V primeru prijave prek Googla Društvo od ponudnika prejme identifikacijske podatke, ki so nujno potrebni za dostop. Podatki iz papirnega vpisnega obrazca se pridobijo z nalaganjem podpisanega dokumenta v zasebno območje.
5. Nameni obdelave in pravne podlage
Osebni podatki se obdelujejo za namene in na pravnih podlagah, navedenih v nadaljevanju.
- Upravljanje članskega razmerja in vpisov: vzpostavitev in upravljanje članstva, vpis v tečaje, upravljanje prispevkov, prisotnosti, rezervacij in skupin, na podlagi izvajanja članskega razmerja, katerega stranka je posameznik, in z njim povezanih predhodnih ukrepov, v skladu s točko (b) člena 6(1) GDPR.
- Izpolnjevanje zakonskih obveznosti: izdaja potrdil o plačilu, vodenje računovodske dokumentacije ter izpolnjevanje davčnih in upravnih obveznosti, v skladu s točko (c) člena 6(1) GDPR.
- Servisna sporočila: pošiljanje transakcijskih elektronskih sporočil in obvestil, povezanih z delovanjem Platforme in članskim razmerjem, v okviru izvajanja tega razmerja, v skladu s točko (b) člena 6(1) GDPR.
- Neobvezna potisna obvestila: pošiljanje potisnih obvestil uporabnikom, ki jih aktivirajo, na podlagi privolitve, izražene z aktivacijo, v skladu s točko (a) člena 6(1) GDPR.
- Objava podob in rezultatov: objava fotografij, videoposnetkov in rezultatov tekmovanj, tudi mladoletnikov, na podlagi posebne privolitve, zbrane v papirni obliki, v skladu s točko (a) člena 6(1) GDPR.
- Prevoz mladoletnika z društvenimi prevoznimi sredstvi: organizacija prevoza na podlagi privolitve, zbrane v papirni obliki, v skladu s točko (a) člena 6(1) GDPR.
- Varnost in preprečevanje zlorab: omejevanje prometa, zaščita pred neželeno pošto, spremljanje tehničnih napak in vodenje evidenc, na podlagi zakonitega interesa Društva za zagotavljanje varnosti in pravilnega delovanja storitve, v skladu s točko (f) člena 6(1) GDPR.
6. Obdelava podatkov mladoletnikov
Ker so dejavnosti namenjene otrokom, praviloma starim od štiri do štirinajst let, je varstvu podatkov mladoletnikov namenjena posebna pozornost. Podatke mladoletnika posreduje in upravlja izključno starš ali skrbnik, ki deluje v imenu in za račun mladoletnika ter jamči, da je upravičen posredovati njegove podatke. Objava podob ali rezultatov, ki se nanašajo na mladoletnike, poteka izključno, če je bila za to dana ustrezna privolitev v papirni obliki, ki jo je mogoče kadar koli preklicati. Društvo sprejema ustrezne ukrepe, s katerimi zagotavlja, da je obdelava podatkov mladoletnikov omejena na to, kar je potrebno za institucionalne namene.
7. Narava posredovanja podatkov
Posredovanje podatkov, potrebnih za registracijo, včlanitev, vpis v tečaje in izpolnjevanje zakonskih obveznosti, je obvezno; morebitna zavrnitev onemogoča uporabo zadevnih storitev. Posredovanje podatkov, povezanih z nameni, ki temeljijo na privolitvi, kot so potisna obvestila, objava podob in prevoz z društvenimi prevoznimi sredstvi, je prostovoljno; zavrnitev pomeni le nemožnost uporabe posamezne storitve, brez posledic za člansko razmerje.
8. Način obdelave in varnostni ukrepi
Obdelava poteka z informacijskimi in telekomunikacijskimi sredstvi, ob spoštovanju načel zakonitosti, poštenosti, preglednosti, najmanjšega obsega podatkov in omejitve shranjevanja iz člena 5 GDPR. Društvo sprejema ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, primerne tveganju, med drugim šifriranje podatkov med prenosom s protokoloma HTTPS in TLS ter šifriranje podatkovne baze in shrambe datotek v mirovanju, nadzor dostopa na ravni posamezne vrstice, tako da vsak uporabnik dostopa izključno do svojih podatkov, shranjevanje datotek z osebnimi podatki v zasebnih območjih, dostopnih le prek podpisanih povezav s kratkim rokom veljavnosti, shranjevanje gesel v neberljivi obliki, omejevanje prometa in zaščito pred neželeno pošto na javnih obrazcih ter vodenje evidence administrativnih dejanj.
V načinu aplikacije lahko zasebno območje prek IndexedDB na napravi prijavljenega inštruktorja začasno hrani lokalno kopijo podatkov dodeljenih skupin, vključno z imeni otrok v skupini, izključno zato, da omogoči prikaz seznama in beleženje prisotnosti brez povezave. Ti podatki ostanejo na napravi prijavljenega uporabnika in se prepišejo ob vsaki naslednji sinhronizaciji.
9. Prejemniki podatkov in obdelovalci
Za izvajanje storitev Društvo uporablja zunanje ponudnike in tehnične storitve, potrebne za delovanje Platforme, ki glede na svojo dejavnost delujejo kot obdelovalci v skladu s členom 28 GDPR ali kot tehnični subjekti, udeleženi pri prenosu podatkov prek uporabnikovega brskalnika. Glavni subjekti in storitve so navedeni v nadaljevanju.
- Hetzner: gostovanje aplikacije v podatkovnih centrih v Falkensteinu v Nemčiji.
- Supabase: podatkovna baza, avtentikacija in shramba datotek, s podatki v Frankfurtu v Nemčiji.
- Brevo: pošiljanje izključno transakcijskih in servisnih elektronskih sporočil, s sedežem v Franciji.
- Google Cloud, Vertex AI: zagotavljanje virtualnega pomočnika na podlagi modela Gemini v evropski regiji, kar ureja Google Cloud Data Processing Addendum, brez uporabe vsebin za učenje modelov.
- Google OAuth: neobvezna storitev prijave prek računa Google.
- Sentry: spremljanje tehničnih napak, z obdelavo v Evropski uniji.
- Web Push: potisna obvestila se, samo za uporabnike, ki jih aktivirajo, dostavljajo prek potisne storitve uporabnikovega brskalnika, ki jo upravlja njegov proizvajalec, na primer Google za Chrome, Mozilla za Firefox ali Apple za Safari; infrastruktura te storitve je lahko tudi zunaj Evropske unije in Društvo nad njo nima nikakršnega nadzora. Vsebina obvestila je šifrirana po standardu Web Push (RFC 8291); storitev torej prejme šifrirano vsebino in tehnično dostavno točko, brez dostopa do vsebine v čitljivi obliki.
- OpenFreeMap: neprofitna storitev na podlagi OpenStreetMap, ki zagotavlja grafične komponente zemljevida na strani s kontakti, brez piškotkov in sledenja; prejme le naslov IP obiskovalca kot tehnični podatek povezave.
Statistika obiska se zbira s samostojno gostovano različico orodja Plausible Analytics, nameščeno na istem strežniku Društva, ki deluje brez piškotkov in je omejena na zbirne in anonimne podatke, brez sledenja med spletnimi mesti in brez posredovanja tretjim osebam. Osebni podatki se ne razširjajo in ne posredujejo tretjim osebam v komercialne namene. Storitve profiliranja, oglaševanja ali sledenja tretjih oseb se ne uporabljajo.
10. Prenos podatkov v tretje države
Podatki, ki jih neposredno obdelujejo Društvo in glavni infrastrukturni ponudniki Platforme, se po navedbah zadevnih storitev hranijo znotraj Evropske unije. Če bi pri posameznih tehničnih storitvah prišlo do prenosa v tretje države, bi ta potekal izključno ob jamstvih iz poglavja V GDPR, kot so sklep Evropske komisije o ustreznosti, standardne pogodbene klavzule ali drugo veljavno jamstvo. Tak primer lahko nastopi pri dostavi potisnih obvestil, ki so aktivna le po izbiri uporabnika in potekajo prek potisne storitve proizvajalca brskalnika; v tem primeru vsebina potuje izključno v šifrirani obliki, kot je pojasnjeno v razdelku 9. Posameznik lahko informacije o uporabljenih jamstvih zahteva na kontaktih, navedenih v razdelku 1.
11. Obdobje hrambe
Podatki se hranijo le toliko časa, kolikor je nujno potrebno za dosego namenov, za katere so bili zbrani, in v skladu z zakonskimi obveznostmi. Podatki o članskem razmerju in vpisih se hranijo ves čas trajanja razmerja in po njegovem prenehanju v obsegu, potrebnem za izpolnitev preostalih obveznosti in varstvo pravic Društva, v okviru splošnega desetletnega zastaralnega roka iz člena 2946 italijanskega Civilnega zakonika. Računovodska in davčna dokumentacija, vključno s potrdili o plačilu, se hrani deset let, v skladu s členom 2220 Civilnega zakonika in davčnimi predpisi. Podatki, ki se obdelujejo na podlagi privolitve, se hranijo do preklica privolitve ali odstranitve vsebin. Začasne lokalne kopije, shranjene prek IndexedDB za način brez povezave v območju za inštruktorje, se prepišejo ob vsaki sinhronizaciji in ostanejo omejene na napravo prijavljenega uporabnika. Po izteku rokov se podatki izbrišejo ali anonimizirajo.
12. Servisna sporočila in pravica do ugovora
Poslana elektronska sporočila so izključno transakcijske in servisne narave; noben novičnik in nobeno trženjsko sporočilo nista predvidena. Vsako informativno elektronsko sporočilo vsebuje osebno povezavo za odjavo, ki temelji na podpisanem žetonu z veljavnostjo trideset dni. Z odjavo se prekine pošiljanje informativnih sporočil, še naprej pa se pošiljajo štiri kategorije sporočil, ki so nujno potrebne za člansko razmerje, in sicer potrditev plačila s potrdilom, odobritev vpisnega obrazca, zavrnitev obrazca in potrditev registracije. Odjava se nanaša samo na elektronska sporočila in ne vpliva na potisna obvestila in interno oglasno desko. Sistem samodejno blokira pošiljanje na nedosegljive naslove.
13. Odsotnost profiliranja in avtomatiziranega odločanja
Društvo ne izvaja nobenega oblikovanja profilov (profiliranja). Ne obstaja nobeno avtomatizirano sprejemanje odločitev, ki bi imelo pravne učinke ali bi na posameznike podobno znatno vplivalo v smislu člena 22 GDPR. Virtualni pomočnik črpa iz baze znanja s pogostimi vprašanji in ne uporablja osebnih podatkov za sprejemanje odločitev o posameznikih.
14. Pravice posameznika
V zvezi z opisanimi obdelavami lahko posameznik kadar koli uveljavlja pravice iz členov 15 do 22 GDPR.
- Dostop: pridobiti potrditev, ali se podatki v zvezi z njim obdelujejo, in prejeti kopijo teh podatkov.
- Popravek: doseči popravek netočnih podatkov in dopolnitev nepopolnih.
- Izbris: doseči odstranitev podatkov v primerih iz člena 17 GDPR.
- Omejitev obdelave: doseči omejitev obdelave v primerih iz člena 18 GDPR.
- Prenosljivost: prejeti v strukturirani in splošno uporabljani obliki podatke, ki se obdelujejo z avtomatiziranimi sredstvi na podlagi privolitve ali članskega razmerja.
- Ugovor: iz razlogov, povezanih z njegovim posebnim položajem, ugovarjati obdelavam, ki temeljijo na zakonitem interesu.
- Preklic privolitve: kadar koli preklicati dane privolitve, ne da bi to vplivalo na zakonitost obdelave, izvedene pred preklicem.
Zahteve se pošljejo na naslov info@brdina.org; nanje se odgovori brez nepotrebnega odlašanja, najpozneje pa v enem mesecu, ki se lahko podaljša v primerih iz člena 12 GDPR. V podporo pravicama do dostopa in prenosljivosti ima prijavljeni uporabnik na Platformi na voljo tudi funkcijo, s katero lahko v splošno uporabljani elektronski obliki, v arhivu ZIP, samostojno prenese celoto svojih osebnih podatkov. Ta funkcija ne omejuje pravice posameznika, da se za uveljavljanje pravic iz GDPR kadar koli obrne na Društvo.
15. Pravica do pritožbe
Brez poseganja v katero koli drugo upravno ali sodno sredstvo ima posameznik, ki meni, da obdelava njegovih podatkov krši veljavne predpise, pravico vložiti pritožbo pri italijanskem nadzornem organu za varstvo osebnih podatkov (Garante per la protezione dei dati personali) s sedežem na naslovu Piazza Venezia 11, 00187 Rim, spletno mesto https://www.garanteprivacy.it.
16. Spremembe obvestila
Društvo si pridržuje pravico, da to obvestilo posodobi zaradi prilagoditve normativnim, organizacijskim ali tehničnim spremembam. Veljavna različica je vedno objavljena na Platformi z navedbo datuma zadnje posodobitve. O bistvenih spremembah so registrirani uporabniki obveščeni po običajnih komunikacijskih poteh.