+386 051 272 739

matjaz.irsic@gmail.com

IRPROM SPLETNA STRAN!

KONTAKT

GDPR

Na podlagi 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07) in ob upoštevanju vsebine Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov (v nadaljevanju Splošna uredba) je: IRPROM, RAČUNALNIŠKE STORITVE, MATJAŽ IRŠIČ S.P., matična številka: 7270259000, Kosovelova ulica 4C, Velenje, 3320 Velenje

(v nadaljevanju upravljavec, izraz se uporablja za ženski in moški spol enako) dne 25.5.2018 sprejel naslednji

P R A V I L N I K

O ZAVAROVANJU OSEBNIH PODATKOV

I. SPLOŠNE DOLOČBE

1. člen

S tem Pravilnikom se določajo postopki in ukrepi za zavarovanje vseh vrst osebnih podatkov, vodenih v zbirkah osebnih podatkov, s katerimi upravlja MATJAŽ IRŠIČ S.P. (v nadaljevanju upravljavec). Določijo se tehnični in organizacijski ukrepi za zagotovitev skladnosti obdelave osebnih podatkov z določbami Splošne uredbe, zakona, ki ureja varstvo osebnih podatkov in drugih predpisov, ki urejajo varstvo osebnih podatkov.

S tem Pravilnikom se določijo osebe, ki so odgovorne za posamezne zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo posamezne osebne podatke, s katerimi upravlja upravljavec in jih obdeluje.

Ta Pravilnik določa ukrepe za zavarovanje pri zbiranju, obdelovanju, shranjevanju, posredovanju in uporabi osebnih podatkov pri upravljavcu.

V zadevah, ki jih ne ureja ta Pravilnik, se neposredno uporabljajo določbe Zakona o varstvu osebnih podatkov, Splošna uredba.

V Pravilniku uporabljeni in zapisan izrazi v slovnični obliki za moški spol, se uporabljajo kot nevtralni za ženski in moški spol.

2. člen

Varstvo osebnih podatkov se zagotavlja vsaki posameznici ali posamezniku, ne glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališča, zdravstvene ali genske predispozicije ali katerokoli drugo osebno okoliščino.

3. člen

Vsi zaposleni in zunanji sodelavci pri upravljavcu, ki pri svojem delu uporabljajo osebne podatke, ki jih obdeluje upravljavec ali podatke, ki predstavljajo poslovno oziroma poklicno skrivnost ali imajo iz kakršnihkoli razlogov možnost dostopa do teh podatkov, morajo biti seznanjeni z zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki jim dovoljuje obdelavo osebnih podatkov, s tem Pravilnikom in s splošnimi akti, ki opredeljujejo poslovno oziroma poklicno skrivnost.

4. člen

Za varovane osebne podatke štejejo tisti podatki, ki predstavljajo katerokoli informacijo v zvezi z določenim ali določljivim posameznikom, ne glede na obliko, v katero so izraženi. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto posameznika.

V smislu določbe 1. odstavka tega člena štejejo za osebne podatke o posamezniku zlasti:

– identifikacijski podatki o posamezniku,

– podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,

– podatki, ki se nanašajo na družinska razmerja,

– podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,

– podatki o zaposlitvi,

– podatki o socialnem in ekonomskem stanju posameznika,

– podatki o izobrazbi in pridobljenih znanjih,

– slikovni (in glasovni) podatki nadzornih video sistemov,

– podatki o uporabi komunikacijskih sredstev,

– podatki o aktivnostih v prostem času,

– podatki o zdravstvenem stanju posameznika,

– podatki o ideoloških in verskih prepričanjih,

– podatki o posamezniku na področju notranjih zadev,

– podatki o navadah posameznika.

5. člen

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe za zagotavljanje skladnosti obdelave osebnih podatkov z določbami Splošne uredbe, zakona, ki ureja varstvo osebnih podatkov in drugih predpisov, ki urejajo varstvo osebnih podatkov, s katerimi se:

– varujejo prostori, strojna in sistemska programska oprema;

– varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;

– zagotavlja varnost posredovanja in prenosa osebnih podatkov;

– onemogoča nepooblaščenim osebam dostop do računalniških sistemov, na katerih se

obdelujejo osebni podatki in dostop do podatkovnih zbirk;

– omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vneseni v podatkovne

zbirke, oziroma računalniške sisteme, kdaj in kdo je dostopal do njih in to v obdobju, za

katero se posamezni podatki shranjujejo.

6. člen

Obdelava in zavarovanje posebnih vrst osebnih podatkov, med katere sodijo podatki o rasnem ali etničnem poreklu, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, morata biti izvajana posebno vestno in skrbno.

Podatki o zdravstvenem stanju so osebni podatki, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev in razkrivajo informacije o njegovem zdravstvenem stanju.

Genski podatki so osebni podatki v zvezi s podedovanimi ali pridobljenimi genskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika.

Biometrični podatki so osebni podatki, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki.

Posebne vrste osebnih podatkov (med katere sodijo tudi podatki o zdravstvenem stanju  in v zvezi z zdravljenjem) morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam prepreči dostop do njih.

7. člen

V tem Pravilniku uporabljeni izrazi imajo naslednji pomen:

– ZVOP – Zakon o varstvu osebnih podatkov;

– Splošna uredba – Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 26. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov (GDPR);

– osebni podatek pomeni: katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

– posebna vrsta osebnih podatkov: podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;

– posameznik: je določena ali določljiva fizična oseba na katero se nanaša osebni podatek;

– obdelava pomeni: vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

– psevdonimizacija pomeni: obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

– zbirka pomeni: vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

– upravljavec pomeni: fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi obdeluje osebne podatke in določa namene in sredstva obdelave;

– obdelovalec pomeni: fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

– uporabnik pomeni: fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali gre za posameznika, na katerega se podatki nanašajo ali na tretjo osebo. Javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe se ne štejejo za uporabnike.;

– nosilec podatkov: vse vrste sredstev, na katerih so zapisani ali posneti podatki, ne glede na obliko, v kateri so izraženi (listina, akt, gradivo, spis, magnetni, optični ali drugi računalniški mediji, prikazovalnik računalnika, fotokopije, zvočno ali slikovno gradivo, mikrofilmi, naprave za prenos podatkov);

– strojna oprema: oprema za vnos, obdelavo, prikaz, shranjevanje in posredovanje podatkov;

– računalniška strojna oprema: oprema za prenos podatkov, oprema za kriptografijo, oprema za zvočno in slikovno gradivo, merilni instrumenti, mikrofilmska oprema ipd.;

– programska oprema sistemska: programi, ki jih računalnik uporablja za krmiljenje svoje opreme in za komunikacije z okoljem (operacijski sistem) in druga programska orodja, ki so del operacijskega sistema in so namenjena vzdrževalcem in uporabnikom računalnika;

– programska oprema aplikativna: programi, s katerimi se izvaja obdelava podatkov;

– zavarovani prostori: prostori, kjer se nahajajo nosilci podatkov, preko katere je mogoč dostop do zbirk podatkov;

– pooblaščeni delavec: s strani odgovorne osebe imenovan delavec, ki skrbi za izvajanje postopkov in ukrepov za izvajanje zavarovanja podatkov;

– pooblaščena oseba za varstvo osebnih podatkov – s strani izvajalca imenovana oseba z ustreznimi poklicnimi odlikami in zlasti strokovnim znanjem ter dejanskimi izkušnjami o zakonodaji in praksi na področju varstva osebnih podatkov ali na primerljivem področju, ki upravljavcu ali obdelovalcu na neodvisen način pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov s pravili Splošne uredbe ter določbami zakona, ki ureja področje varstva osebnih podatkov in drugih zakonov, ki urejajo obdelavo in varstvo osebnih podatkov.

II. TAJNOST PODATKOV

8. člen

Kot tajni podatki so opredeljeni podatki, ki jih obdeluje upravljavec, in ki so tako pomembni, da bi z njihovo izdajo nastale ali lahko nastale hujše škodljive posledice za upravljavca ali za posameznika.

Ti podatki so označeni kot :

– poslovna skrivnost in

– poklicna skrivnost.

9. člen

Za poslovno in poklicno skrivnost se smatrajo listine in podatki, ki predstavljajo poslovno delo ter listine in podatki, katerih sporočanje bi bilo zaradi njihove narave in pomena v nasprotju z interesi upravljavca.

Za poslovno skrivnost se štejejo:

– podatki, listine in informacije, ki jih kot skrivnost določi upravljavec;

– podatki in listine, ki vsebujejo ponudbo in povpraševanje poslovnih partnerjev,

– informacije o načinu dostopa v varovane objekte, kjer dejavnost izvaja upravljavec.

10. člen

Podatke, ki predstavljajo poslovno ali poklicno skrivnost, lahko sporočajo tretjim osebam samo zakoniti zastopnik upravljavca oz. od njega pooblaščene osebe, v skladu s tem Pravilnikom in ob upoštevanju določb o varovanju osebnih podatkov.

III. VAROVANJE PROSTOROV IN NOSILCEV OSEBNIH PODATKOV

11. člen

Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov (vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka) in strojna ter programska oprema (v nadaljevanju besedila: varovani prostori) morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov (npr. zaščita s ključavnicami, varovalni sistemi, alarmni sistemi, videonadzor).

Dostop v prostore iz 1. odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja zakonitega zastopnika upravljavca ali od njega pooblaščene osebe.

12. člen

Nosilci osebnih podatkov (dokumenti, listine) morajo biti v delovnem času praviloma v zaklenjenih omarah v delovnih prostorih. Delovni prostori pa morajo biti izven delovnega časa zaklenjeni. Nosilci osebnih podatkov (dokumentov), hranjeni izven delovnih prostorov, oziroma izven varovanih prostorov, morajo biti stalno zaklenjeni v omari.

Dostop do programske opreme mora biti varovan tako, da z ustreznim kodiranjem dovoljuje dostop samo za to vnaprej določenim zaposlenim ali s strani upravljavca pooblaščenim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve pri upravljavcu ali za upravljavca. Če več oseb uporablja isti računalnik, naj ima vsak, ki dostopa do podatkov svoje geslo, v kolikor programska oprema to omogoča.

Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki,

mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika pa kodiran z geslom.

Ključi prostorov, v katerih se hranijo nosilci osebnih podatkov in računalniška oprema, hrani vsak zaposleni ali od upravljavca pooblaščena oseba pri upravljavcu s skrbnostjo kot v lastnih zadevah in še posebej na način, da onemogočijo dostop do ključa nepooblaščenim osebam.

13. člen

V varovane prostore, kjer se obdelujejo osebni podatki, osebe, ki ne delajo v varovanih prostorih in ki niso zaposlene ali v pogodbenem razmerju pri upravljavcu ali s strani upravljavca pooblaščene, ne smejo vstopati brez spremstva ali prisotnosti upravljavca ali zaposlenega delavca ali pooblaščene osebe pri upravljavcu.

Upravljavec, zaposleni ali pooblaščena oseba, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti prostor ali ga zapreti na način, da je onemogočen tretjim in nepooblaščenim osebam vstop v varovane prostore.

Zaposlen ali pooblaščena oseba pri upravljavcu, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam.

V prostorih, kjer imajo vstop tretji (nepooblaščene osebe, kot npr. pacienti) oziroma osebe, ki niso zaposlene pri upravljavcu ali od upravljavca pooblaščene osebe, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da tretjim osebam ni omogočen vpogled v osebne podatke, ki se obdelujejo.

14. člen

Nosilcev osebnih podatkov zaposleni ali pooblaščene osebe pri upravljavcu ne smejo odnašati izven varovanih prostorov brez izrecnega dovoljenja zakonitega zastopnika upravljavca oz. od njega pooblaščene osebe.

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih upravljavca.

IV. ZAVAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE

RAČUNALNIŠKE OPREME TER PODATKOV, KI SE

OBDELUJEJO Z RAČUNALNIŠKO OPREMO

15. člen

Dostop do računalniške programske opreme mora biti varovan, na način, ki omogoča dostop samo zaposlenim pri upravljavcu ali pooblaščenim osebam pri upravljavcu in tretjim, ki za upravljavca po pogodbi opravljajo servisiranje računalniške strojne in programske opreme ali drugih pogodbenih storitev.

16. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve zakonitega zastopnika upravljavca oz. od njega pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servis in organizacije, oziroma njihovi delavci, ki imajo z upravljavcem sklenjeno ustrezno pogodbo, ki je skladna z zahtevami iz področja varstva osebnih podatkov.

Upravljavec mora vse spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

17. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega Pravilnika.

Upravljavec mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme, ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči.

Upravljavec ali od njega pooblaščena oseba mora biti v času servisiranja računalnika in programske opreme, v kolikor se le ta izvaja v varovanih prostorih ves čas prisoten in mora nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki in dostopanja do podatkov izven namena.

V primeru izkazane potrebe po popravilu računalnika s shranjenimi osebnimi podatki na disku, na način, da se popravilo vrši izven zavarovanih prostorov izvajalca, mora izvajalec predhodno, pred izročitvijo računalnika v popravilo, z izvajalcem računalniških storitev (obdelovalec) skleniti pisno pogodbo, s katero obdelovalec zagotovi jamstvo o tem, da bo izvajal ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil z določbami zakona, ki ureja varstvo osebnih podatkov in določbami Splošne uredbe.

18. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno (vsaj 1x tedensko) preverja na morebitno prisotnost računalniških virusov.

Ob pojavu računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da se ugotovi vzrok pojava virusa in odpravi nevarnost zlorabe osebnih podatkov.

Vsi podatki in programska oprema, ki so namenjeni uporabi na računalnikih pri upravljavcu in v računalniškem informacijskem sistemu upravljavca in prispejo k upravljavcu na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni na morebitno prisotnost računalniških virusov.

19. člen

Zaposleni delavci ali pooblaščene osebe ne smejo brez izrecnega dovoljenja zakonitega zastopnika upravljavca inštalirati nobene programske opreme na računalnike.

Zaposleni delavci ne smejo odnašati programske opreme iz prostorov upravljavca brez izrecnega dovoljenja zakonitega zastopnika upravljavca oz. od njega pooblaščene osebe.

20. člen

Pristop do podatkov prek aplikativne programske opreme mora biti varovan s sistemom profesionalnih kartic ter s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani in kdo jih je obdeloval.

Gesla so zaupni podatki, katere je prepovedano sporočati nepooblaščenim osebam.

21. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje v mreži osebnih računalnikov, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, se hranijo v zapečatenih ovojnicah in varujejo v zaklenjenih omarah ali predalnikih v varovanem prostoru upravljavca. Zakoniti zastopnik upravljavca določi režim dodeljevanja in spreminjanja gesel.

V. OBDELAVA OSEBNIH PODATKOV IN ZBIRKE OSEBNIH PODATKOV

22. člen

Osebni podatki v zasebnem sektorju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana privolitev posameznika.

V določenih primerih pa lahko izvajalec obdeluje osebne podatke tudi v primerih, kadar ne obstoji zakonsko pooblastilo ali ni podane privolitve posameznika, in sicer:

– ko je posameznik z izvajalcem sklenil pogodbo ali pa je na podlagi zahteve tega posameznika v fazi pogajanj za sklenitev pogodbe z njim, če je obdelava osebnih podatkov potrebna in primerna za izvajanje ukrepov pred sklenitvijo pogodbe ali za izvajanje pogodbe;

– kadar gre za obdelavo tistih osebnih podatkov, ki so potrebni za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

– kadar je obdelava potrebna zaradi uresničevanja zakonitih upravičenih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali človekove pravice in temeljne svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

23. člen

Upravljavec vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona ter vodi osebne podatke v zbirkah osebnih podatkov na podlagi zakona ali soglasja osebe, na katero se podatki nanašajo.

VI. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV TRETJIM

24. člen

Upravljavec, zaposlen ali pooblaščena oseba, ki je zadolžena za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.

Upravljavec, zaposlen ali pooblaščena oseba, ki je zadolžena za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki prispejo naslovljene na upravljavca.

Zaposlen ali pooblaščena oseba, ki je zadolžena za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki, ampak takšno pošto izroči upravljavcu. Prav tako ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov upravljavca.

25. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Upravljavec nikoli naslovniku ne posreduje originalov dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

26. člen

Pisemske pošiljke, s katerimi upravljavec pošilja naslovnikom posebne vrste osebnih podatkov, se pošiljajo naslovniku priporočeno s povratnico ali po kurirju z oznako »zaupno« na kuverti.

Pisemske pošiljke, s katerimi upravljavec pošilja osebne podatke, ki niso posebne vrste osebnih podatkov, se pošiljajo naslovniku priporočeno.

Pisemska ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina iz ovojnice. Prav tako mora ovojnica zagotavljati, da odprtje ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.  

27. člen

Prenašanje osebnih podatkov preko telekomunikacijskih sredstev, elektronske pošte ali drugih računalniških medijev izven prostorov upravljavca mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje prilaščanje, uničenje ali nedovoljeno seznanjanje z njihovo vsebino.

Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo ali kodiranjem.

Vsebina osebnih podatkov, ki jih upravljavca prenaša do naslovnika po komunikacijskih kanalih, po elektronski pošti ali fizično na računalniških medijih izven prostorov upravljavca, se mora med prenosom napraviti nečitljiva z ustreznimi standardnimi kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom. V primeru, da upravljavec pošilja občutljiv osebni podatek po elektronski pošti, mora podatek ustrezno šifrirati oz. kriptirati, pri tem pa gesla za dostop do vsebine podatkov, ne sme posredovati po istem informacijskem kanalu.

28. člen

Osebne podatke, vodene v zbirki osebnih podatkov upravljavca, lahko upravljavec posreduje drugim uporabnikom zgolj na podlagi utemeljene zahteve iz katere izhaja veljavna pravna podlaga za pridobitev podatkov ter utemeljenost zahteve, pri čemer pa mora zahteva vsebovati vsaj:

1. podatke o uporabniku ali upravljavcu (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis pooblaščene osebe;

2. pravno podlago za pridobitev zahtevanih osebnih podatkov;

3. namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;

4. predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni;

5. vrste osebnih podatkov, ki naj se mu posredujejo;

6. obliko in način pridobitve zahtevanih osebnih podatkov.

Upravljavec mora uporabniku, če zakon ne določa drugače, zahtevane osebne podatke posredovati najpozneje v 15 dneh od dne prejema popolne zahteve, ali pa ga v tem roku pisno obvestiti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval.

V primeru ugoditve zahtevi za posredovanje osebnih podatkov, mora upravljavec uporabnika opozoriti, da sme prejete osebne podatke uporabiti samo za namene, za katere so bili posredovani.

Upravljavec pa mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, katere vrste osebnih podatkov so bile posredovane, komu, kdaj in po kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka. Revizijsko sled posredovanih osebnih podatkov mora izvajalec hraniti za obdobje pet (5) let.

VII. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV

29. člen

Osebni podatki se lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če zakonodaja za posamezne obdelave ne določa poseben rok hrambe.

Po prenehanju potrebe po vodenju in zakonske podlage za obdelavo osebnih podatkov, se podatki zbrišejo oziroma nosilci podatkov uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

30. člen

Brisanje osebnih podatkov na računalniških medijih se opravi na način, po postopku in metodi, ki onemogoča restavriranje brisanih podatkov.

Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo (pokurijo, razrežejo) v prostorih upravljavca pod nadzorom zakonitega zastopnika upravljavca ali s predajo dokumentacije v uničenje organizaciji, ki se ukvarja z uničevanjem zaupne dokumentacije in ima z upravljavcem sklenjeno ustrezno pogodbo o izvajanju storitev, s podanim jamstvom izvajalca storitve, da bo ravnal v skladu s pravili o varstvu osebnih podatkov.

Uničevanje posameznih dokumentov, ki dnevno nastajajo v delovnem procesu se uničuje v prostorih izvajalca z razrezom. Uničuje jih pooblaščena oseba, ki dela s temi dokumenti.

Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti, brez, da so nosilci podatkov predhodno ustrezno uničeni, da ne omogočajo dostopa do osebnih podatkov.

31. člen

Z vestnostjo in skrbnostjo določeno s tem pravilnikom za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke.

VIII. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

32. člen

Upravljavec lahko zaupa posamezna opravila v zvezi z obdelavo osebnih podatkov zunanji pravni ali fizični osebi (pogodbeni obdelovalec), pri tem pa si mora upravljavec prizadevati, da pogodbeni obdelovalec zagotavlja zadostna jamstva o tem, da bo izvajal ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave s Splošno uredbo, zakonom, ki ureja področje varstva osebnih podatkov in tem Pravilnikom.

V kolikor pogodbena obdelava pri zunanji osebi ni določena na podlagi izrecnega zakonskega pooblastila, mora upravljavec z zunanjo osebo skleniti pogodbo ali drug dogovor, s katerim upravljavec in zunanja oseba določita predmet, trajanje, vrsto in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki ter pravice in obveznosti zunanje osebe. Pogodba ali dogovor mora zlasti določiti, da zunanja oseba:

1. osebne podatke obdeluje samo po izkazanih navodilih upravljavca,

2. zagotovi, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k varovanju tajnosti ali zaupnosti ali da za njih velja ustrezna zakonska dolžnost varovanja tajnosti;

3. izvede vse potrebne ukrepe za varnost osebnih podatkov;

4. po koncu zagotavljanja storitev pogodbene obdelave vse podatke po navodilu upravljavca vrne ali izbriše, če ne obstaja pravna obveznost glede hrambe osebnih podatkov.

33. člen

Zunanje osebe (pogodbeni obdelovalci) smejo opravljati storitve obdelave osebnih podatkov samo v okviru namena, ki je določen v pogodbi ali dogovoru o pogodbeni obdelavi podatkov z upravljavcem in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

IX. UKREPI ZA VAROVANJE OSEBNIH PODATKOV IN UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV

34. člen

Upravljavec mora zagotoviti ustrezne tehnične in organizacijske ukrepe, s katerimi se varujejo osebni podatki ter preprečuje njihovo slučajno, namerno ali drugače nezakonito uničenje, spremembo, izgubo, nepooblaščeno razkritje, dostop ali drugo nepooblaščeno obdelavo.

Ukrepi morajo biti primerni glede na stanje najnovejšega tehnološkega razvoja na tem področju, na naravo, obseg, okoliščine in namene obdelave ter resnost in verjetnost tveganj za človekove pravice in temeljne svoboščine posameznikov, ki nastajajo pri obdelavi, kar vključuje zlasti:

(a) psevdonimizacijo in šifriranje osebnih podatkov;

(b) ukrepe za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;

(c) ukrepe za zmožnost pravočasne povrnitve razpoložljivosti osebnih podatkov v primeru varnostnega incidenta;

(d) postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov teh ukrepov;

(e) v primeru dosegljivosti osebnih podatkov preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika takšnega sredstva oziroma omrežja;

(f) ukrepe, ki omogočajo poznejše ugotavljanje, kdaj so bile posamezne vrste osebnih podatkov vnesene v zbirko osebnih podatkov, uporabljene ali drugače obdelane in kdo je to storil, in sicer za obdobje 5 let od zaključka leta, v katerem je potekala obdelava, razen če za obdelave posameznih vrst osebnih podatkov drug zakon ne določa drugače.

V primeru obdelave posebnih vrst osebnih podatkov mora upravljavec poleg ukrepov iz prejšnjega odstavka ozaveščati osebe, udeležene v postopkih obdelave podatkov o varnostnih politikah ter postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov (kot npr.: odjavljanje iz sistema po zaključku dela, uporaba programskega zaklepanja računalnika ob odsotnosti od računalnika, zaklepanje prostorov ali stalni nadzor, politika čiste in urejene delovne mize in delovnega prostora, pomen zagotavljanja sledljivosti obdelave, vsak uporabnik uporablja svoje uporabniško ime in geslo, fizično varovanje gesel, previdnost pri izbiri gesel, občasno spreminjanje gesel, kriptirano pošiljanje podatkov po elektronskih medijih, pazljivost in skrbnost pri posredovanju podatkov po telefonu, takojšnje obveščanje o incidentu, posvetovanje s Pooblaščeno osebo za varstvo osebnih podatkov, upoštevanje notranjih pravil in aktov,…).

35. člen

Upravljavec, zaposleni in pooblaščene osebe pri Upravljavcu so dolžni izvajati ukrepe za zagotavljanje varovanja osebnih podatkov, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta Pravilnik.

Zaposleni, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih

podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke,

prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem

obvestiti zakonitega zastopnika upravljavca.

36. člen

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

37. člen

V primeru, da upravljavec ugotovi, da je v procesu obdelave osebnih podatkov prišlo do slučajnega, namernega ali drugačnega nezakonitega uničenja, spremembe, izgube, nepooblaščenega razkritja, dostopa ali druge oblike nepooblaščene obdelave, je dolžan upravljavec ali pooblaščena oseba za varstvo osebnih podatkov pri upravljavcu, brez nepotrebnega odlašanja, oziroma najpozneje v 72 urah po seznanitvi s kršitvijo, o kršitvi uradno obvesti pristojni nadzorni organ (Informacijskega pooblaščenca).

Ta obveznost upravljavca ni podana, če ni izkazana verjetnost, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov, na katere se kršitev nanaša.

Uradno obvestilo iz 1. odstavka tega člena Pravilnika nadzornemu organu mora vsebovati vsaj naslednje podatke:

– opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

– sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

– opis verjetnih posledic kršitve varstva osebnih podatkov;

– opis ukrepov, ki jih izvajalec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve.

38. člen

V primeru, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, je upravljavec ali pooblaščena oseba za varstvo osebnih podatkov pri upravljavcu, brez nepotrebnega odlašanja o kršitvi varstva osebnih podatkov, dolžan obvestiti posameznika, na katerega se nanašajo osebni podatki.

X. PRAVICE POSAMEZNIKOV, NA KATERE SE

NANAŠAJO OSEBNI PODATKI

39. člen

Upravljavec mora posamezniku na njegovo zahtevo:

– potrditi, ali se podatki v zvezi z njim obdelujejo ali ne in mu omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje (pravica do dostopa);

– dopolniti, popraviti, izbrisati ali omejiti uporabo osebnih podatkov, za katere posameznik dokaže, da so nepopolni, netočni ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom (pravica do popravka, do izbrisa, do omejitve obdelave),

– posredovati osebne podatke, ki jih je posameznik posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in ima posameznik pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga izvajalec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral (pravica do prenosljivosti podatkov).

Upravljavec na zahtevo posameznika do seznanitve z osebnimi podatki zagotovi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, izvajalec informacije zagotovi v elektronski obliki, ki je splošno uporabljana in je skladna s pravili posredovanja osebnih podatkov s tem Pravilnikom.

40. člen

Upravljavec osebnih podatkov mora posamezniku na njegovo zahtevo tudi:

– posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;

– posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;

– dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;

– dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;

– pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.

41. člen

Upravljavec na zahtevo posameznika slednjemu posreduje izpis, seznam, informacije ter pojasnilo v petnajstih (15) dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvesti o razlogih, zaradi katerih mu izpisa, seznama, informacij ali pojasnila ne bo posredoval.

XI. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA

OSEBNIH PODATKOV

42. člen

Upravljavec je dolžan zagotoviti, da se pred nastopom dela zaposlenega na delovnem mestu, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, zaposleni seznani s pravili o varovanju osebnih podatkov, kot tudi poklicne skrivnosti in v ta namen podpiše tudi ustrezno izjavo, ki ga opozarja na posledice kršitve pravil o varovanju osebnih podatkov (priloga št. 1). Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega Pravilnika ter določbami zakona, ki ureja področje varstva osebnih podatkov in vsebine Splošne uredbe.

Izjavo morajo podpisati tudi zaposleni, ki prihajajo posredno v stik z obdelavo osebnih podatkov pri upravljavcu, to so specializanti, študentje, pripravniki, dijaki na praksi in drugi delavci, ki se izobražujejo pri izvajalcu.

Obveza varovanja osebnih podatkov, s katerimi se zaposleni seznani pri svojem delu pri upravljavcu traja tudi po prenehanju delovnega razmerja pri upravljavcu.

43. člen

Ravnanje zaposlenega v nasprotju z določili tega Pravilnika pomeni kršitev delovnih obveznosti.

Kot lažja kršitev delovnih obveznosti se šteje kršitev zaposlenega:

– če opusti vestno in skrbno nadzorovanje varovanih prostorov,

– če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov,

– če ne uniči kopije osebnih podatkov,

– če ne izvaja preventive v zvezi z računalniškimi virusi,

– če ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o ravnanju z

osebnimi podatki,

– če ne obvesti zakonitega zastopnika upravljavca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov.

44. člen

Kot hujša kršitev delovnih obveznosti se šteje kršitev zaposlenega:

– če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, nepooblaščenim osebam,

– če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam,

– če brez izrecnega dovoljenja odnaša iz prostorov upravljavca nosilce osebnih podatkov,

– če posreduje osebne podatke pooblaščenim zunanjim institucijam brez dovoljenja zakonitega zastopnika upravljavca,

– če ne vpiše v knjigo evidenc o ravnanju z osebnimi podatki dejstva o posredovanju osebnih podatkov zunanjim institucijam,

– če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo,

– če inštalira ali odnese programsko opremo iz prostorov upravljavca brez izrecnega dovoljenja zakonitega zastopnika upravljavca,

– če ne izdeluje redno kopije vsebine osebnih podatkov,

– če ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih omarah.

XII. PREHODNE IN KONČNE DOLOČBE

45. člen

Ta pravilnik prične veljati in se uporabljati z dnem 25.5.2018.

Upravljavec: IRPROM, RAČUNALNIŠKE STORITVE, MATJAŽ IRŠIČ S.P.

, matična številka: 7270259000, Kosovelova ulica 4C, Velenje, 3320 Velenje

Categories: