Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (v nadaljevanju: Splošna uredba o varstvu podatkov) in Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 v nadaljevanju: ZVOP-2) direktorica podjetja FGANG d.o.o. sprejema naslednji
(1) S tem pravilnikom se določajo pravila za obdelavo osebnih podatkov in organizacijski, tehnični in logično-tehnični postopki, ter ukrepi za zavarovanje osebnih podatkov v podjetju FGANG d.o.o. Namen pravilnika je zagotoviti zakonito obdelavo osebnih podatkov ter preprečiti nepooblaščeno uničevanje, spremembo, izgubo ali obdelavo podatkov.
(2) Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo ter uporabljajo osebne podatke, morajo biti seznanjeni z zakonodajo o varstvu osebnih podatkov, področnimi predpisi in vsebino tega pravilnika.
(1) Upravljalec osebnih podatkov je FGANG d.o.o., Celovška cesta 291, 1000 Ljubljana, matična številka: 6649254000.
(2) V tem pravilniku uporabljeni izrazi imajo enak pomen kot v Splošni uredbi o varstvu podatkov.
(1) Osebni podatki so vsi podatki, ki se nanašajo na določeno fizično osebo oziroma uporabnika, ne glede na obliko zapisa, na podlagi katerih je posameznik določen ali določljiv.
(2) Upravljalec osebnih podatkov obdeluje in hrani osebne podatke uporabnikov mobilne aplikacije FitGang, ki so potrebni za zagotavljanje storitev, varnost in upravljanje sistema.
(3) Obdelujejo se naslednje kategorije osebnih podatkov:
a) Identifikacijski podatki:
b) Podatki o podjetju in pravicah koriščenja:
c) Podatki za dostop in varnost:
d) Podatki za administracijo in obveščanje:
e) Podatki, ki jih pridobimo z uporabo naših storitev
Zbiramo informacije o storitvah, ki jih uporabljate, in o načinu njihove uporabe. Te informacije vključujejo:
f) Podatki o plačilih
Pri transakcijah s kreditno ali debetno kartico podatkov o kartici ne hranimo sami. Zbirajo jih naši zunanji izvajalci plačilnih storitev, specializirani za varno spletno obdelavo kartičnih transakcij: doplačilo kart (dokup) prek Stripe Checkout; shranjeni so ID seje/status plačila, ne številka kartice; za podjetja: računi podjetja — ločeno od kartičnega plačila zaposlenega.
Podatke, zbrane med prijavo v račun FitGang, upravljalec obravnava kot osebne podatke. Upravljalec obdeluje osebne podatke na strežnikih v različnih državah po svetu, tudi zunaj države vašega prebivališča, konkretneje: AWS (EU) za datoteke/profilne slike, Hetzner Online GmbH (DE) za gostovanje baze podatkov in strežnika, Stripe (ZDA) za doplačilo kart, Firebase/Google za potisna sporočila.
(1) V skladu s 6. členom Splošne uredbe o varstvu podatkov je pravna podlaga za obdelavo osebnih podatkov soglasje uporabnika mobilne aplikacije FitGang. Uporabnik mora privoliti v obdelavo svojih osebnih podatkov za namen, določen v 1. členu tega pravilnika. Poleg tega je obdelava osebnih podatkov nujna za izvajanje storitev, katerih uporabnik je zaposleni iz podjetja, na katerega se podatki nanašajo.
(1) Zbrane podatke upravljalec uporablja za:
(2) Podatke lahko uporabljamo v vseh storitvah, ki zahtevajo uporabniški račun FitGang. Ob stiku z upravljalcem lahko upravljalec hrani zapis komunikacije za pomoč pri reševanju težav.
(3) Podatke, zbrane s piškotki in podobnimi tehnologijami, uporabljamo za izboljšanje uporabniške izkušnje in kakovosti storitev.
(4) Za uporabo podatkov v druge namene bo uporavljalec predhodno pridobili vaše soglasje.
(1) Osebni podatki se lahko obdelujejo samo za določene in zakonite namene ter se ne smejo obdelovati v neskladju s temi nameni.
(2) Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
(1) Osebni podatki uporabnikov se obdelujejo in hranijo le toliko časa, kolikor je potrebno za namene uporabe mobilne aplikacije FitGang ali druge namene, za katere so bili zbrani.
(2) Ko namen obdelave preneha, se podatki rutinsko izbrišejo ali anonimizirajo v skladu z zakonskimi predpisi.
(1) Upravljalec posreduje osebne podatke drugim fizičnim ali pravnim osebam ali osebam javnega sektorja samo na podlagi zahteve, ki mora vsebovati:
- podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;
- pravno podlago za pridobitev zahtevanih osebnih podatkov;
- namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
- predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;
- vrste osebnih podatkov, ki naj se posredujejo;
- obliko in način pridobitve zahtevanih osebnih podatkov.
(2) Osebam javnega sektorja se osebni podatki posredujejo brezplačno.
(3) Upravljavec vlagatelju zahteve, če drug zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval. Upravljavec in vlagatelj zahteve se v roku iz prejšnjega stavka lahko dogovorita za njegovo podaljšanje.
(4) Če upravljalec ne ravna v skladu s prejšnjim odstavkom, se šteje, da je zahteva zavrnjena.
(1) Posamezniki, katerih osebni podatki se obdelujejo, imajo pravice do:
- dostopa do podatkov,
- popravka in izbrisa (»pravica do pozabe«),
- omejitve obdelave (razen za podatke, ki so nujni za izvedbo storitev),
- ugovora,
- prenosljivosti podatkov.
(2) Pravice se uresničujejo z zahtevo po elektronski pošti podpora@fitgang.io, oziroma pošiljanja zahtevka na poslovni naslov upravljalca: FGANG d.o.o., Celovška cesta 291, 1000 Ljubljana.
(1) Upravljalec sprejema ukrepe za zaščito podatkov pred nepooblaščenim dostopom, spremembami, razkritjem ali uničenjem.
Med drugim:
- uporablja SSL šifriranje,
- redno preverja prakse zbiranja in shranjevanja podatkov,
- omejuje dostop do osebnih podatkov zaposlenim, pogodbenim izvajalcem in agentom, ki jih potrebujejo za delo.
Dolžnost varovanja podatkov velja tudi po zaprtju uporabniškega računa FitGang.
(2) Varstvo prostorov, nosilcev podatkov, strojne in programske opreme ter osebnih podatkov se v ministrstvu izvaja s tehničnimi in organizacijskimi postopki ter ukrepi v skladu s tem pravilnikom, ki:
- varujejo prostore, opremo in sistemsko programsko opremo,
- varujejo aplikativno programsko opremo, s katero se obdelujejo osebni podatki,
- preprečujejo nepooblaščen ali neregistriran dostop do prostorov, strojne in programske opreme oziroma slučajno ali namerno nepooblaščeno uničenje osebnih podatkov, njihovo spremembo ali izgubo,
- preprečujejo nepooblaščen dostop, obdelavo, uporabo in posredovanje osebnih podatkov vključno s prenosom po telekomunikacijskih sredstvih in drugo obdelavo osebnih podatkov,
- omogočajo varno hrambo in posredovanje osebnih podatkov,
- omogočajo ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani, ter kdo je to storil,
- omogočajo ugotavljanje komu, kdaj, na kakšni podlagi in za kakšen namen so bili določeni osebni podatki posredovani.
(1) Prostori, v katerih posluje FGANG d.o.o., in se v njih nahajajo nosilci podatkov, ki vsebujejo osebne podatke, strojna in programska oprema, morajo biti varovani z organizacijskimi in tehničnimi ukrepi iz tega pravilnika, ki nepooblaščenim osebam onemogočajo dostop do podatkov.
(2) Dostop do varovanih prostorov je dopusten le v delovnem času podjetja, izven njega pa samo z dovoljenjem odgovorne osebe.
(3) Po zaključku dela morajo biti v varovanih prostorih omare in pisalne mize, v katerih se nahajajo nosilci podatkov z osebnimi podatki, zaklenjene. Računalniki in druga strojna oprema morajo biti izklopljeni ter zaščiteni z ustreznimi fizičnimi ali programskimi zaklepi. Ključi se hranijo na mestu, ki ga določi odgovorna oseba, in jih ni dovoljeno puščati v ključavnicah.
(4) Omare, mize in drugo pohištvo, ki vsebuje nosilce osebnih podatkov in se nahaja izven varovanih prostorov, morajo biti zaklenjeni. Ključe hrani oseba, ki je odgovorna za nadzor nad posamezno omaro ali pisalno mizo, na vnaprej določenem varnem mestu. Ključev ni dovoljeno puščati v ključavnicah.
(5) Osebe, ki niso zaposlene v podjetju, se smejo gibati v varovanih prostorih samo z vednostjo odgovorne osebe.
(1) Dokumenti, ki se vodijo v papirni obliki (listine, kartoteke itd.) in vsebujejo osebne podatke, se uničijo na način, ki onemogoča branje uničenih podatkov. Na enak način se uniči tudi pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
(2) Elektronski nosilci podatkov (optični mediji, trdi diski, USB ključi, podatkovni trakovi, diskete ipd.), na katerih se nahajajo ali so se nahajali osebni podatki, se morajo uničiti na način, ki onemogoča delno ali celotno restavracijo brisanih osebnih podatkov.
(3) Odmetavanje dokumentov in elektronskih nosilcev podatkov iz prvega in drugega odstavka tega člena v koše za smeti je prepovedano, ampak se prenašajo na varno mesto uničenja.
(1) Uporabniki mobilne aplikacije FitGang morajo nemudoma obvestiti odgovorno osebo o nepooblaščenem uničenju, zlorabi ali poškodbi osebnih podatkov.
(2) Če odgovorna oseba ugotovi kršitev varstva osebnih podatkov in je verjetno, da ta ogroža pravice in svoboščine posameznikov, mora o tem obvestiti Informacijskega pooblaščenca RS.
(1) Vsak, ki obdeluje osebne podatke, za katere je izvedel oziroma je bil z njimi seznanjen pri opravljanju svojega dela, mora izvajati postopke in ukrepe tega pravilnika ter varovati podatke, tudi po prenehanju delovnega ali pogodbenega razmerja.
(1) Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih s tem pravilnikom, je odgovorna oseba direktorica podjetja FGANG d.o.o.
(1) Ta pravilnik stopi v veljavo z dnem sprejema.
Datum sprejema pravilnika: 1. 6. 2026