Varovanje osebnih podatkov

PRAVILNIK

o postopkih in ukrepih 

za varovanje osebnih podatkov

zavoda

Moja babica, zavod za ozaveščanje in razvoj zdravja žensk in družin, Maribor

Davčna številka: 49736655

Matična številka: 8772967000

sprejet na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov (v nadaljevanju Splošna uredba) ter vsakokratnega zakona, ki ureja varstvo osebnih podatkov v Republiki Sloveniji.

I. SPLOŠNE DOLOČBE

1. člen

(Vsebina in namen pravilnika)

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v zavodu Moja babica (v nadaljevanju: upravljavec),  vodenih v zbirkah osebnih podatkov, s katerimi upravlja izvajalec z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba, nepooblaščen dostop, obdelava, uporaba ter posredovanje osebnih podatkov. 

Zaposleni pri upravljavcu in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni s Splošno uredbo, vsakokratnim zakonom, ki ureja varstvo osebnih podatkov ter s področno zakonodajo, ki ureja posamezno področje njihovega dela, ter z vsebino tega Pravilnika. 

S tem Pravilnikom se določijo osebe, ki so odgovorne za posamezne zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo posamezne osebne podatke, s katerimi upravlja upravljavec in jih obdeluje.

Ta Pravilnik določa ukrepe za zavarovanje pri zbiranju, obdelovanju, shranjevanju, posredovanju in uporabi osebnih podatkov pri upravljavcu.

Določbe tega Pravilnika veljajo za vse vodene zbirke podatkov pri upravljavcu, ne glede na obliko, v kateri je osebni podatek izražen.

Varstvo osebnih podatkov se zagotavlja vsaki posameznici ali posamezniku, ne glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališča, ali katerokoli drugo osebno okoliščino. 

V zadevah, ki jih ne ureja ta Pravilnik, se neposredno uporabljajo določbe Uredbe ter vsakokratnega  zakona, ki ureja varstvo osebnih podatkov.

2. člen

(varovani osebni podatki)

Za varovane osebne podatke štejejo tisti podatki, ki predstavljajo katerokoli informacijo v zvezi z določenim ali določljivim posameznikom, ne glede na obliko, v katero so izraženi. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto posameznika. 

V smislu določbe 1. odstavka tega člena štejejo za osebne podatke o posamezniku zlasti:

• identifikacijski podatki o posamezniku,

• podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,

• podatki, ki se nanašajo na družinska razmerja,

• podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,

• podatki o zaposlitvi,

• podatki o socialnem in ekonomskem stanju posameznika,

• podatki o izobrazbi in pridobljenih znanjih,

• slikovni (in glasovni) podatki nadzornih video sistemov,

• podatki o uporabi komunikacijskih sredstev,

• podatki o aktivnostih v prostem času,

• podatki o zdravstvenem stanju posameznika,

• podatki o ideoloških in verskih prepričanjih,

• podatki o posamezniku na področju notranjih zadev,

• podatki o navadah posameznika.

3. člen

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe za zagotavljanje skladnosti obdelave osebnih podatkov z določbami Splošne uredbe, zakona, ki ureja varstvo osebnih podatkov in drugih predpisov, ki urejajo varstvo osebnih podatkov, s katerimi se:

  • varujejo prostori, strojna in sistemska programska oprema;
  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  • zagotavlja varnost posredovanja in prenosa osebnih podatkov;
  • onemogoča nepooblaščenim osebam dostop do računalniških sistemov, na katerih se

obdelujejo osebni podatki in dostop do podatkovnih zbirk;

  • omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vneseni v podatkovne

zbirke, oziroma računalniške sisteme, kdaj in kdo je dostopal do njih in to v obdobju, za

katero se posamezni podatki shranjujejo.

4. člen

Obdelava in zavarovanje posebnih vrst osebnih podatkov, med katere sodijo podatki o rasnem ali etničnem poreklu, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, morata biti izvajana posebno vestno in skrbno.

5. člen

(Pomen izrazov)

V tem Pravilniku uporabljeni izrazi imajo naslednji pomen: 

Osebni podatek – pomeni  katero koli informacijo v zvezi z določenim ali določljivim posameznikom; 

Določljiv posameznik – je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

Zbirka osebnih podatkov –  pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

Obdelava osebnih podatkov –  pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

Upravljavec – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

Posebne vrste osebnih podatkov –  so podatki , ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki; 

Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.); 

Poslovna skrivnost – so podatki, ki so označeni z oznako zaupnosti v skladu z Zakonom o gospodarskih družbah. 

ZVOP – Vsakokratni zakon, ki ureja varstvo osebnih podatkov v Republiki Sloveniji.

II. OBDELAVA OSEBNIH PODATKOV 

6. člen

(Vzpostavitev zbirke osebnih podatkov)

Vsi zaposleni in zunanji sodelavci pri upravljavcu, ki pri svojem delu uporabljajo osebne podatke, ki jih obdeluje izvajalec ali podatke, ki predstavljajo poslovno oziroma poklicno skrivnost ali imajo iz kakršnihkoli razlogov možnost dostopa do teh podatkov, morajo biti seznanjeni z zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki jim dovoljuje obdelavo osebnih podatkov, s tem Pravilnikom in s splošnimi akti, ki opredeljujejo poslovno oziroma poklicno skrivnost.

Posamezno zbirko osebnih podatkov na posameznem delovnem področju družbe vzpostavi odgovorna oseba za določeno zbirko osebnih podatkov (v nadaljevanju: odgovorna oseba), ki jo določi direktor. 

7. člen

(Obdelava osebnih podatkov)

V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno zakonsko podlago po določbah Splošne uredbe ter ZVOP.

Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. 

Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. 

V zvezi z obdelavo osebnih podatkov upravljavec takrat, ko pridobi osebne podatke, obvesti posameznika o vseh informacijah v skladu z 13. in 14. členom Splošne uredbe. 

Odgovorne osebe ter osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke (v nadaljevanju: pooblaščeni obdelovalci), morajo biti pred obdelavo osebnih podatkov seznanjene z določbami zakona ter z vsebino tega Pravilnika. 

7.1. člen

(Temeljna načela v zvezi z varstvom osebnih podatkov)

Načelo zakonitosti, poštenosti in preglednosti – osebni podatki se obdelujejo pošteno in na pregleden način za posameznika, tako da se ne obdelujejo za prikrite ali drugače nepoštene namene, zato da se posamezniki lahko svobodno odločijo, ali bodo sodelovali pri obdelavi njihovih osebnih podatkov oziroma da lahko temu zakonito in učinkovito ugovarjajo. 

Načelo omejitve namena – osebni podatki se zbirajo za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni. 

Načelo najmanjšega obsega podatkov – osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. 

Načelo točnosti in ažurnosti – osebni podatki so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo. 

Načelo omejitve roka hrambe – osebni podatki se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe.

Načelo celovitosti, zaupnosti – Osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi.

Načelo odgovornosti – Upravljavec je odgovoren za skladnost zgoraj navedenimi temeljnimi načeli v zvezi z varstvom osebnih podatkov  in je mora biti zmožen to skladnost tudi dokazati.

8. člen

(Evidence dejavnosti obdelav – zbirke osebnih podatkov)

Opis zbirk osebnih podatkov, katerih upravljavec je družba, se vodi v evidencah dejavnosti obdelav (opisu zbirk osebnih podatkov), ki se vodi v skladu z določbami 30. člena Splošne Uredbe in je priloga k temu Pravilniku.

Evidenca dejavnosti obdelav mora vsebovati naslednje ažurne informacije:

1. naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

2. namene obdelave;

3. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

4. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

5. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

6. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.

Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni evidencami dejavnosti obdelav. Vpogled v evidence dejavnosti obdelav je potrebno omogočiti tudi vsakomur, ki to zahteva. 

Obveznosti glede vodenja evidence dejavnosti obdelave osebnih podatkov se ne uporabljajo, če upravljavec zaposluje manj kot 250 oseb, razen če je verjetno:

  • da obdelave niso občasne; ali
  • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
  • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

9. člen

(Sprejem osebnih podatkov, pregledovanje pošte)

Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki neposredno posamezniku, ali službi, na katero je ta pošiljka naslovljena. 

Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo, kih prinesejo stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena.

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drugega naslovnika in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na poseben namen.

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na  katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov družbe.

10. člen

(posredovanje osebnih podatkov)

Osebni podatki se na zahtevo uporabnika posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo. 

Osebni podatki se po uradni dolžnosti posredujejo samo tistim uporabnikom, ki imajo ustrezno zakonsko podlago. 

Posredovanje osebnih podatkov iz prvega odstavka tega člena lahko uporabnik zahteva pisno ali ustno. Ob vložitvi pisne vloge mora uporabnik jasno navesti določbo zakona, ki ga pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložiti pisno zahtevo oziroma privolitev posameznika, na katerega se podatki nanašajo. Če uporabnik zahteva posredovanje osebnih podatkov ustno, sme odgovorna oseba ali pooblaščeni obdelovalec v primeru dvoma o obstoju pisne zahteve oziroma privolitve posameznika, na katerega se podatki nanašajo,od uporabnika zahtevati, naj jih predloži. 

Izvajalec mora uporabniku ali upravljavcu, če zakon ne določa drugače, zahtevane osebne podatke posredovati najpozneje v 15 dneh od dne prejema popolne zahteve, ali pa ga v tem roku pisno obvestiti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval.

Posredovanje posebnih vrst osebnih podatkov iz prvega odstavka tega člena lahko uporabnik zahteva le pisno. Pisna vloga mora biti po vsebini enaka pisni vlogi iz prejšnjega odstavka. 

Osebni podatki, ki se posredujejo uporabniku v fizični obliki, morajo biti posredovani v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina ovojnice. Ovojnica mora tudi zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice. 

Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino. 

Posebne vrste osebnih podatkov je dovoljeno posredovati preko komunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom. 

Originalni dokument, ki vsebuje osebne podatke, se lahko posreduje uporabniku samo na podlagi pisne odredbe sodišča. Posredovani originalni dokument mora biti v času odsotnosti nadomeščen s fizično (fotokopijo) ali elektronsko (skenirano) kopijo. 

11. člen

(Evidenca posredovanj)

Vsako posredovanje osebnih podatkov iz prejšnjega člena se zaznamuje z uradnim zaznamkov, ki vsebuje navedbo naslednjih podatkov: 

– kateri osebni podatki so bili posredovani, 

– osebno ime/firmo in naslov/sedež osebe, ki so ji bili posredovani osebni podatki, oziroma navedba, da

  je bilo posredovanje opravljeno po uradni dolžnosti, 

– datum in ura posredovanja osebnih podatkov ter 

– pravna podlaga, na kateri so bili posredovani osebni podatki. 

Oblika uradnega zaznamka je odvisna od nosilca podatkov, ki vsebuje posredovani osebni podatek  in se  evidentira neposredno v zbirko osebnih podatkov, ki ji pripada posredovani osebni podatek.

Uradni zaznamek iz prvega odstavka tega člena zapiše odgovorna oseba ali pooblaščeni obdelovalec, ki je osebne podatke posredoval uporabniku. 

12. člen

(Posredovanje osebnih podatkov znotraj upravljavca)

Dokumenti, ki vsebujejo osebne podatke zaposlenega,  se zaposlenemu, na katerega se osebni podatki nanašajo, posredujejo v skladu s tretjim odstavkom 9. člena tega Pravilnika. 

Osebni podatki zaposlenih in ostalih oseb se lahko posredujejo znotraj upravljavca tudi tistim osebam, ki jih potrebujejo v okviru opravljanja svojih del in nalog. 

Oseba iz tretjega odstavka prejšnjega člena mora zaznamovati vsako posredovanje posebnih vrst osebnih podatkov znotraj družbe v skladu s prejšnjim členom. 

13. člen

(Pregledovanje, prepisovanje in kopiranje osebnih podatkov s strani strank oziroma upravičencev)

Pred pregledom, prepisovanjem in kopiranjem dokumentov, ki vsebujejo osebne podatke, je potrebno preveriti identiteto stranke oziroma vsakega drugega, ki verjetno izkaže, da ima od pregledovanja, prepisovanja in preslikovanja pravno korist (v nadaljevanju: upravičenec) z vpogledom v njegovo osebno izkaznico ali drug dokument, ki nedvoumno izkazuje njegovo istovetnost. 

Pri vsakem posameznem pregledovanju, prepisovanju in kopiranju dokumentov po tem členu, ki vsebujejo osebne podatke, se zapiše uradni zaznamek, ki se vloži v spis. Iz uradnega zaznamka, ki ga mora podpisati tudi upravičenec, mora biti razviden datum in ura pregleda, vrsta dokumenta, katerega kopija se je posredovala upravičencu, osebno ime upravičenca, njegov naslov, številka in vrsta dokumenta, iz katerega je ugotovljena identiteta ter namen, zaredi katerega je bil opravljen pregled, prepis oziroma kopiranje dokumenta. 

Upravičenca je pred pregledom, prepisovanjem in kopiranjem dokumentov, ki vsebujejo osebne podatke, potrebno opozoriti na dolžnost varovanja takšnih podatkov. Opozorilo mora biti sestavni del uradnega zaznamka iz prejšnjega odstavka. 

14. člen

(Kopiranje in tiskanje osebnih podatkov s strani zaposlenih)

Zaposleni v družbi, ki pri izvajanju svojih delovnih nalog kopirajo, na drug tehnični način razmnožujejo ali tiskajo dokumente, ki vsebujejo osebne podatke, na napravah, ki jih uporablja večje število zaposlenih, po končanem kopiranju ali tiskanju ne smejo puščati dokumentov v, na ali ob napravah. 

15. člen

(Hramba osebnih podatkov)

Osebni podatek lahko izvajalec vodi v zbirki osebnih podatkov le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se podatki obdelujejo.

Osebni podatki se lahko shranjujejo le toliko časa, kolikor je rok hrambe razviden kataloga zbirke osebnih podatkov. 

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače. 

Za brisanje osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. 

Osebni podatki v fizični obliki se uničijo na način, s katerim se zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv (npr. rezalnik papirja). 

Uničenje nosilcev podatkov in pomožnega gradiva se zagotovi v skladu z določbami predpisov, ki urejajo upravno poslovanje z dokumentarnim gradivom. 

Prepovedano je odmetavati odpadne nosilce podatkov, ki vsebujejo osebne podatke, na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti). 

Pri prenosu nosilcev podatkov, ki vsebujejo posebne vrste osebnih podatkov, na mesto uničenja, je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov. O uničenju se sestavi ustrezen zapis. 

III. PODROČNE UREDITVE VARSTVA OSEBNIH PODATKOV 

16. člen

(dostop do programske opreme)

Dostop do programske opreme mora biti varovan tako,  da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki  imajo z družbo  sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale  podatke iz tega Pravilnika.

17. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni  podatki, se  sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo ustrezne strokovne službe, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu družbe.

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

18. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz  družbe brez odobritve predpostavljenega in vednosti osebe, zadolžene za delovanje  računalniškega informacijskega sistema.

19. člen 

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki  vnešeni  v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel. 

20. člen

(gesla in njihova uporaba)

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb.   Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj,če se podatki tam nahajajo.

Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

21. člen

(Elektronska pošta in uporaba druge programske opreme na računalniku)

Elektronska pošta in računalnik se uporabljata v službene namene. 

Ne glede na prejšnji odstavek se elektronska pošta in ostala programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Vsebina elektronske pošte v zasebne namene ne sme biti neprimerna ali žaljiva. 

Oseba, zadolžena za delovanje računalniškega informacijskega sistema, lahko na posebej utemeljeno pisno zahtevo delodajalca,  v prisotnosti komisije iz 4. odstavka tega člena, v izrednih primerih (nenadna odpoved delavca, smrt delavca, ali drug izreden dogodek) vpogleda v elektronsko pošto le, če je to nujno potrebno za vodenje delovnega procesa. 

Vpogled v vsebino e-pošte zaposlenega opravi 3 članska komisija, ki jo vsakokrat imenuje delodajalec. V njej mora biti vsaj en predstavnik zaposlenih, ki ni vodstveni delavec. O vpogledu mora komisija napisati zapisnik. 

Če se pojavi utemeljen sum, da zaposleni ne spoštujejo omejitev iz drugega odstavka tega člena, lahko oseba, zadolžena za delovanje računalniškega informacijskega sistema, na posebej utemeljeno pisno zahtevo delodajalca opravi nadzor količine uporabe elektronske pošte, a zgolj z vidika obsega priponk, ki obremenjujejo strežnik. Pri tem se ne sme pregledovati vsebine elektronske pošte. 

O namenu uporabe elektronske pošte in ostale programske opreme iz prvega in drugega odstavka tega člena ter možnosti nadzora iz tretjega in četrtega odstavka tega člena mora biti zaposleni pisno obveščen. Kot zadostno obvestilo se šteje obvestilo vsem zaposlenim po e-pošti.

Vpogled v telefonske prometne podatke priključkov, katerih lastnik je upravljavec, lahko upravljavec zahteva od operaterjev telekomunikacijskih storitev ali vzdrževalca hišne centrale le takrat, kadar pride med družbo in zaposlenim do kakršnegakoli spora glede višine stroškov porabe konkretnega telefonskega priključka. 

22. člen

(Internet)

Internet se uporablja v službene namene. 

Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Internetne strani, ki se pregledujejo v zasebne namene, ne smejo vsebovati neprimerne ali žaljive vsebine. 

Upravljavec lahko s posebnim sklepom odredi blokado določenih spletnih strani. 

Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema, na podlagi pisnega sklepa.

O blokadi se obvesti vse zaposlene po elektronski pošti.

IV. VAROVANJE PROSTOROV, NOSILCEV PODATKOV, STROJNE IN PROGRAMSKE OPREME 

23. člen

(varovanje prostorov)

Prostori, v katerih se nahajajo nosilci podatkov, ki vsebujejo osebne podatke, tajne podatke in druge varovane podatke, strojna in programska oprema (v nadaljevanju: varovani prostori), morajo biti varovani z organizacijskimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov. 

Dostop do varovanih prostorov je mogoč le v rednem delovnem času, izven njega pa samo na podlagi dovoljenja direktorja.

Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih  podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.

Zaposleni ne smejo puščati nosilcev  osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje. 

24. člen

(varovanje nosilcev)

Nosilci podatkov, ki vsebujejo osebne podatke, se ne smejo hraniti izven varovanih prostorov, zaposleni pa jih lahko odnašajo izven prostorov družbe samo z dovoljenjem direktorja  in če je to nujno potrebno za reševanje zadeve, ki vsebuje te osebne podatke.

Nosilci  osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.

Posebne vrste osebnih podatkov se ne smejo hraniti izven varovanih prostorov.

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

25. člen

(vzdrževanje in popravila)

Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z  vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo  z družbo sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

26. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo  enaka določila, kot za ostale  podatke iz tega pravilnika.

27. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se vsakodnevno preveri z vidika prisotnosti računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu. 

Vsi podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo na medijih za prenos računalniških podatkov ali preko komunikacijskih kanalov, morajo biti pred uporabo preverjeni z vidika prisotnosti računalniških virusov. 

28. člen

(prepovedi)

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz prostorov Informacijskega pooblaščenca brez odobritve in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. 

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelani ter kdo je to storil. 

Oseba, zadolžena za delovanje računalniškega informacijskega sistema, določi režim dodeljevanja, hranjenja in spreminjanja gesel. 

V. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE 

29. člen

(Pogodbena obdelava)

Izvajalec lahko v skladu z 28. členom Splošne uredbe zaupa posamezna opravila v zvezi z obdelavo osebnih podatkov zunanji pravni ali fizični osebi (pogodbeni obdelovalec), pri tem pa si mora izvajalec prizadevati, da pogodbeni obdelovalec zagotavlja zadostna jamstva o tem, da bo izvajal ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave s Splošno uredbo, zakonom, ki ureja področje varstva osebnih podatkov in tem Pravilnikom.

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (v nadaljevanju: pogodbeni obdelovalec), se sklene pisno pogodbo. Pogodba mora obvezno vsebovati tudi pogoje in ukrepe za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Navedeno velja tudi za pogodbene obdelovalce, ki vzdržujejo obstoječo strojno in programsko opremo ter izdelujejo in inštalirajo novo strojno ali programsko opremo. 

Pogodbeni obdelovalci (zunanje pravne oz. fizične osebe) lahko opravljajo storitve obdelave osebnih podatkov samo v okviru pooblastil iz pogodbe iz prvega odstavka tega člena in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen. 

Pogodbeni obdelovalci, ki za družbo opravljajo pogodbeno dogovorjene storitve izven prostorov družbe, morajo imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta Pravilnik. 

Zavod vodi se seznam zunanjih izvajalcev, ki vsebuje: naziv in sedež pravne osebe, ime in priimek oseb, ki izvajajo zunanje storitve ter kontaktne podatke teh oseb (naslov e-pošte in telefonska številka). 

VI. BRISANJE PODATKOV 

30. člen

Po prenehanju potrebe po vodenju in zakonske podlage za obdelavo osebnih podatkov, se podatki zbrišejo oziroma nosilci podatkov uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

Roki, po katerih se osebni podatkov izbrišejo iz zbirke podatkov, so razvidni iz Evidence dejavnosti obdelav osebnih podatkov (zbirk osebnih podatkov).

31. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, …) se uničijo na način, ki onemogoča banje vseh ali dela uničenih podatkov.

Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.). 

Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.

Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa. 

Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik.

VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA 

32. člen

Izvajalec mora zagotoviti ustrezne tehnične in organizacijske ukrepe, s katerimi se varujejo osebni podatki ter preprečuje njihovo slučajno, namerno ali drugače nezakonito uničenje, spremembo, izgubo, nepooblaščeno razkritje, dostop ali drugo nepooblaščeno obdelavo. 

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov takoj obvestiti odgovorno osebo, sami pa morajo poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti. 

Ob navedenih ukrepih mora izvajalec ozaveščati osebe, udeležene v postopkih obdelave podatkov o varnostnih politikah ter postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov (kot npr.: odjavljanje iz sistema po zaključku dela, uporaba programskega zaklepanja računalnika ob odsotnosti od računalnika, zaklepanje prostorov ali stalni nadzor, politika čiste in urejene delovne mize in delovnega prostora, pomen zagotavljanja sledljivosti obdelave, vsak uporabnik uporablja svoje uporabniško ime in geslo, fizično varovanje gesel, previdnost pri izbiri gesel, občasno spreminjanje gesel, varno pošiljanje podatkov po elektronskih medijih, pazljivost in skrbnost pri posredovanju podatkov po telefonu, takojšnje obveščanje o incidentu, posvetovanje s pooblaščeno osebo za varstvo osebnih podatkov, upoštevanje notranjih pravil in aktov,…). 

VIII. ODGOVORNOST ZA IZVAJANJE POSTOPKOV IN UKREPOV ZA ZAVAROVANJE OSEBNIH PODATKOV 

33. člen

(Izvajanje postopkov in ukrepov)

Vsak, ki obdeluje osebne podatke, je dolžan izvajati s tem Pravilnikom predpisane postopke in ukrepe za zavarovanje osebnih podatkov in varovati osebne podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja. 

34. člen

(Odgovornost za izvajanje in nadzor nad izvajanjem)

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih s tem Pravilnikom, so odgovorne pooblaščene osebe, ki jih imenuje direktor. 

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem Pravilnikom, opravlja direktor skupaj z osebo, zadolženo za delovanje računalniškega informacijskega sistema. 

35. člen

(Izjava)

Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov in drugih zaupnih podatkov. 

Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami zakona, izjava pa mora vsebovati tudi pouk o posledicah kršitve tega Pravilnika in zakona. 

36. člen

(Odgovornost za kršitev)

Zaposleni, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti zakonitega zastopnika izvajalca.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v Evidencah dejavnosti obdelav osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

Kršitev določil tega Pravilnika s strani zaposlenih pomeni kršenje obveznosti iz delovnega razmerja, ostali pa za kršitve odgovarjajo na temelju pogodbenih obveznosti. 

Odgovornost iz prejšnjega odstavka ne izključuje kazenske ali odškodninske odgovornosti. 

 37. člen 

V primeru, da izvajalec ugotovi, da je v procesu obdelave osebnih podatkov prišlo do slučajnega, namernega ali drugačnega nezakonitega uničenja, spremembe, izgube, nepooblaščenega razkritja, dostopa ali druge oblike nepooblaščene obdelave, je dolžan izvajalec brez nepotrebnega odlašanja, oziroma najpozneje v 72 urah po seznanitvi s kršitvijo, o kršitvi uradno obvesti pristojni nadzorni organ (Informacijskega pooblaščenca).

Ta obveznost izvajalca ni podana, če ni izkazana verjetnost, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov, na katere se kršitev nanaša. 

Uradno obvestilo iz 1. odstavka tega člena Pravilnika nadzornemu organu mora vsebovati vsaj naslednje podatke: 

  • opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov; 
  • sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij; 
  • opis verjetnih posledic kršitve varstva osebnih podatkov; 
  • opis ukrepov, ki jih izvajalec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve. 

Kadar  je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec brez nepotrebnega odlašanja sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

Upravljavec mora posamezniku posredovati informacije o vrsti kršitve varstva osebnih podatkov, imenu in kontaktnih podatkih pooblaščene osebe za varstvo osebnih podatkov, opis verjetnih posledic kršitve varstva osebnih podatkov ter opis ukrepov za obravnavo kršitve in ukrepov za blažitev morebitnih škodljivih učinkov kršitve.

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, ni potrebno, če je:

– upravljavec že izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, ali

– upravljavec sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, verjetno ne bo več udejanjilo, ali

– bi to zahtevalo nesorazmeren napor – v takem primeru se objavi javno sporočilo ali izvede podoben ukrep, s katerim bodo posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

IX.  POOBLAŠČENA OSEBA ZA VARSTVO OSEBNIH PODATKOV

38. člen

Upravljavec lahko določi in imenuje pooblaščeno osebo za varstvo osebnih podatkov, ki upravljavcu pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov s pravili Splošne uredbe ter določbami zakona, ki ureja varstvo osebnih podatkov.

Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge: 

  • obveščanje upravljavca in pri njem zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s Splošno Uredbo in drugimi določbami prava Unije ali nacionalne zakonodaje iz področja varstvu osebnih podatkov; 
  • spremljanje skladnosti s Splošno Uredbo, drugimi določbami prava Unije ali nacionalne zakonodaje iz področja varstva osebnih podatkov in politikami izvajalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami; 
  • svetovanje pri izvajanju ocene učinka tveganja; 
  • sodelovanje z nadzornim organom (Informacijskim pooblaščencem) in drugo.

Pooblaščena oseba je lahko zaposleni oseba pri upravljavcu  ali druga oseba, ki  sklene z upravljavcem ustrezno pogodbo. Imeti pa ima poklicne odlike, tovrstna znanje in izkušnje.

Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave.

X. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

39. člen

Izvajalec mora posamezniku na njegovo zahtevo:

  • omogočiti vpogled v Evidence dejavnosti obdelave –  zbirke osebnih podatkov;
  • potrditi, ali se podatki v zvezi z njim obdelujejo ali ne in mu omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje (pravica do dostopa);
  • dopolniti, popraviti, izbrisati ali omejiti uporabo osebnih podatkov, za katere posameznik dokaže, da so nepopolni, netočni ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom (pravica do popravka, do izbrisa, do omejitve obdelave),
  • Omogočiti, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral(pravica do prenosljivosti podatkov). 

Izvajalec na zahtevo posameznika do seznanitve z osebnimi podatki zagotovi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, izvajalec informacije zagotovi v elektronski obliki, ki je splošno uporabljana in je skladna s pravili posredovanja osebnih podatkov s tem Pravilnikom. 

40. člen

Izvajalec osebnih podatkov mora posamezniku na njegovo zahtevo tudi:

  • posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
  • posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;
  • dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
  • dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
  • pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.

Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) prvega odstavka 6. člena Splošne Uredbe, vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene. Posameznika, na katerega se nanašajo osebni podatki, se na to pravico izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

XI . DRUGE OBVEZNOSTI UPRAVLJAVCA PO SPLOŠNI UREDBI

41. člen

(Ocena učinka v zvezi z varstvom podatkov)

Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b) obsežne obdelave posebnih vrst podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški, ali

(c) obsežnega sistematičnega spremljanja javno dostopnega območja.

Ocena zajema vsaj:

(a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

42. člen

(Vgrajeno in privzeto varstvo podatkov)

Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

XII. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV  VODENIH PRI IZVAJALCU

43. člen

(Obdelava osebnih podatkov za katere je potrebna privolitev)

Pisno privolitev zaposlenih mora izvajalec pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo ali ga namerava izvajalec voditi, pa taka zbirka ali obdelava osebnega podatka ni predpisana z zakonom.

Pisno soglasje iz predhodnega člena mora vsebovati:

  • jasno opredeljeno voljo za izdajo soglasja,
  • navedbo podatkov, ki se zbirajo,
  • natančno opredeljen namen zbiranja podatkov,
  • zagotovilo, da se bodo podatki uporabljali le za namen za katerega so zbrani,
  • čas shranjevanja podatkov,
  • seznanitev z možnostjo preklica soglasja,
  • datum podpisa izjave in podpis osebe.

44. člen

(Videonadzor)

V primeru izvajanega videonadzora mora upravljavec osebnih podatkov o izvajanju videonadzora objaviti obvestilo. Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor.

Obvestilo iz prejšnjega odstavka mora vsebovati naslednje informacije:

  • da se izvaja videonadzor;
  • naziv upravljavca osebnih podatkov ter
  • telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema.

Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.

45. člen

Videonadzor dostopa v poslovne prostore se lahko izvaja, če je to potrebno za varnost ljudi in premoženja, zaradi zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih prostorov ali če zaradi narave dela obstaja možnost ogrožanja delavcev.

O izvajanju videonadzora je potrebno pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru.

Zbirka osebnih podatkov po tem členu vsebuje posnetek posameznika (slika oziroma glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.

46. člen

Videonadzor znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi in premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.

Videonadzor se lahko izvaja le glede tistih delovnih prostorov, kjer je potrebno varovati interese iz prejšnjega odstavka.

Prepovedano je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.

Zaposleni morajo biti pred začetkom izvajanja videonadzora po tem členu vnaprej pisno obveščeni o njegovem izvajanju.

XII  DRUGE DOLOČBE 

47. člen

(Začetek veljavnosti)

Ta pravilnik prične veljati osmi (8). dan po objavi na oglasni deski upravljavca ali seznanitvi delavcev po elektronski pošti.

Maribor, 30.06.2021                                                           Zavod Moja babica

                                                                                                   Direktor: Pavel Petra Marjetka