Krka se zavzema za spoštovanje temeljnih pravic in izkazuje posebno skrb varovanju osebnih podatkov in njihovi obdelavi.
Krkina zaveza
Krka se zavezuje k varnemu in zaupnemu obravnavanju osebnih podatkov zaposlenih, delničarjev, svojih pogodbenih strank, uporabnikov spletnih strani in drugih zainteresiranih oseb, hkrati pa skrbi, da so osebni podatki obdelani zakonito, pošteno in transparentno – s spoštovanjem posameznikovih pravic.
Politika varovanja osebnih podatkov
Za izvajanje zaveze je Krka sprejela nov Pravilnik o varstvu osebnih podatkov, ki je usklajen s Splošno uredbo o varstvu podatkov (General Data Protection Regulation, GDPR – Uredba (EU) 2016/679 Evropskega parlamenta in Sveta) in drugo veljavno zakonodajo. Pravilnik skupaj z nekaterimi drugimi internimi akti in ukrepi predstavlja politiko skupine Krka, s katero zagotavljamo, da bomo osebne podatke zbrali in obdelovali za določene namene in v najmanjšem možnem obsegu ter jih shranjevali le za toliko časa, kolikor je potrebno za izpolnitev namena, zaradi katerega so bili zbrani.
Področje uporabe
Naša politika se nanaša na vse ljudi, ki nam posredujejo kakršnokoli osebno informacijo: zaposlene v Krki, kandidate za zaposlitev, delničarje, kupce, dobavitelje itd.
Koga zavezuje ta politika
Na splošno zavezuje vsakogar, s katerim sodelujemo ali ki deluje v našem imenu in občasno morda potrebuje dostop do osebnih podatkov. Upoštevati jo morajo zaposleni v Krki in njenih odvisnih družbah, pa tudi pogodbeni izvajalci, svetovalci in drugi zunanji obdelovalci osebnih podatkov.
Elementi politike
Za izvajanje naših procesov moramo pridobivati in obdelovati tudi osebne podatke. Te informacije vključujejo kakršnekoli podatke, ki omogočajo identifikacijo osebe, kot so imena, naslovi, uporabniška imena in gesla, digitalni odtisi, fotografije, številke osebnih dokumentov, finančni podatki itd.
Naše podjetje zbira te informacije na pregleden način in samo s polnim sodelovanjem in zavedanjem zainteresiranih. Ko te informacije pridobimo, veljajo naslednja pravila.
Naši podatki bodo:
- zbrani pošteno in samo za zakonite namene,
- natančni in ažurni,
- obdelani v okviru pravnih in moralnih meja,
- zaščiteni pred vsakim nepooblaščenim ali nezakonitim dostopom notranjih ali zunanjih strank.
Naši podatki ne bodo:
- neformalno posredovani;
- shranjeni več kot določen čas;
- preneseni v organizacije ali države, ki nimajo ustreznih pravil o varstvu podatkov;
- posredovani katerikoli stranki, ki ni tista, s katero se je strinjal lastnik podatkov (izvzete so zakonite zahteve organov pregona).
Poleg ustreznega ravnanja s podatki ima Krka tudi neposredne obveznosti do ljudi, ki jim podatki pripadajo. V skladu s Splošno uredbo o varstvu podatkov in ostalo veljavno zakonodajo na področju varstva osebnih podatkov bo Krka med drugim:
- omogočila, da je vsak zainteresirani seznanjen, katere njegove osebne podatke zbiramo in za kakšen namen, kako dolgo jih hranimo, ali jih komu posredujemo itd.;
- omogočila, da bo lahko vsak zainteresirani posameznik svoje netočne osebne podatke popravil;
- izbrisala vse osebne podatke na mestih, kjer bodo izpolnjeni pogoji za izbris, npr. če ste preklicali osebno privolitev;
- uvedla postopke za primere izgubljenih, poškodovanih ali ogroženih podatkov.
Aktivnosti
Zavezujemo se, da bomo za varovanje osebnih podatkov izvajali aktivnosti, kot so:
- omejitev in nadzor dostopa do posebnih vrst osebnih podatkov;
- razvoj in izvajanje preglednih postopkov zbiranja podatkov;
- usposabljanje zaposlenih za izvajanje osebnih in tehničnih varnostnih ukrepov;
- vzpostavitev varnega omrežja za zaščito osebnih podatkov pred kibernetskimi napadi;
- vzpostavitev jasnih postopkov za prijavo kršitev zasebnosti ali zlorabe podatkov;
- vključitev pogodbenih klavzul ali jasnih navodil o tem, kako obdelujemo osebne podatke;
- vzpostavitev dobre prakse varstva podatkov (politika čiste mize in zaslona, razrezovanje dokumentov, varno zaklepanje, šifriranje podatkov, pogoste varnostne kopije, pooblastila za dostop itd.).
Krka uvaja dobre prakse varovanja informacij v skladu z mednarodnim standardom ISO 27001 Sistemi upravljanja informacijske varnosti (Information security management systems) in ima veljaven certifikat.
Naše določbe o varstvu podatkov so zapisane v naslednjih dokumentih:
- Posebna politika varovanja osebnih podatkov na spletni strani;
- Pravilnik o varstvu osebnih podatkov, ki podrobneje določa sistem varovanja osebnih podatkov;
- Priloga pravilnika Splošni postopki varovanja in zaščite osebnih podatkov, ki vsebuje kratek opis tehničnih in organizacijskih ukrepov za zavarovanje osebnih podatkov;
- Evidence obdelav osebnih podatkov – Opisi zbirk osebnih podatkov.
Disciplinske posledice
Vsa načela, opisana v tej politiki, morajo zaposleni v Krki strogo upoštevati. Kršitev pravil o varstvu podatkov ima lahko za posledico disciplinske in druge ukrepe.