PRAVILNIK O VARSTVU OSEBNIH PODATKOV

V skladu z načelom odgovornosti na podlagi člena 5(2) in 24 Splošne uredbe o varstvu podatkov (GDPR) in na podlagi sklepa direktorja družbe AV Studio d.o.o., (v nadaljevanju: Družba), izdaja Družba naslednji:

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

V DRUŽBI AV STUDIO D.O.O.

1. SPLOŠNE DOLOČBE

1.1. S tem pravilnikom se določajo tehnični in organizacijski postopki in ukrepi za učinkovito izvajanje načel varstva podatkov ter potrebni zaščitni ukrepi, da se izpolnijo zahteve Uredbe (EU) 2016/670 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), zakona, ki ureja varstvo osebnih podatkov, sprejetim na podlagi Splošne uredbe (v nadaljevanju: ZVOP-2), z namenom preprečiti slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

1.2. Zaposleni, delavci in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z določili Splošne uredbe, ZVOP-2, s področno zakonodajo, ki ureja posamezno področje njihovega dela v zvezi z varstvom osebnih podatkov ter z vsebino tega pravilnika.

1.3. Do uveljavitve ZVOP-2 se v delu, ki ne nasprotuje Splošni uredbi, uporabljajo tudi določila Zakona o varstvu osebnih podatkov (Ur. l. RS, št. 86/2004 s sprem.; v nadaljevanju: ZVOP-1) in pravilnika, ki je veljal do uveljavitve tega pravilnika.

1.4. Pravilnik velja za zaposlene delavce pri Družbi in smiselno tudi za zunanje sodelavce ter druge udeležence v

delovnem procesu.

2. OPREDELITEV POJMOV

2.1. V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

2.1.1. osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

2.1.2. obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

2.1.3. omejitev obdelave pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

2.1.4. oblikovanje profilov pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

2.1.5. psevdonimizacija pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, če se take dodatne informacije hranijo

ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

2.1.6. zbirka pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz

pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

2.1.7. upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Evropske unije (v nadaljevanju: EU) ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom EU ali pravom države članice;

2.1.8. obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne

podatke v imenu upravljavca;

2.1.9. uporabnik pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom EU ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

2.1.10. tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

2.1.11. privolitev posameznika pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Privolitev posameznika pomeni tudi vsako ravnanje v obliki izjave ali drugačnega jasnega aktivnega delovanja, iz katerega je mogoče sklepati na želje posameznika, s katero izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;

2.1.12. kršitev varnosti osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

2.1.13. genetski podatki ali genski podatki pomenijo osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi oziroma genskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

2.1.14. biometrični podatki pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

2.1.15. podatki o zdravstvenem stanju pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

2.1.16. glavni sedež pomeni (i) v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v EU ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v EU in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve; (ii) v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v EU ali, če obdelovalec nima osrednje uprave v EU, sedež obdelovalca v EU, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz Splošne uredbe;

2.1.17. predstavnik pomeni fizično ali pravno osebo s sedežem v EU, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 Splošne uredbe in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz Splošne uredbe;

2.1.18. podjetje pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

2.1.19. povezana družba pomeni obvladujočo družbo in njene odvisne družbe;

2.1.20. zavezujoča poslovna pravila pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju Republike Slovenije spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

2.1.21. nadzorni organ pomeni Informacijskega pooblaščenca, določenega z zakonom, ki ureja

Informacijskega pooblaščenca;

2.1.22. zadevni nadzorni organ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker

(i) ima upravljavec ali obdelovalec sedežu na ozemlju države članice tega nadzornega organa, (ii) obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike s prebivališčem v državi članici tega nadzornega organa, ali (iii) je bila vložena pritožba pri tem nadzornem organu;

2.1.23. čezmejna obdelava osebnih podatkov pomeni (i) obdelavo osebnih podatkov, ki poteka v EU v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici ali (ii) obdelavo osebnih podatkov, ki poteka v EU v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

2.1.24. ustrezen in utemeljen ugovor pomeni ugovor osnutku odločitve glede tega, ali je bila Splošna uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s Splošno uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Evropski uniji;

2.1.25. storitev informacijske družbe pomeni storitev, kakor je opredeljena v točki b) prvega odstavka

1. člena Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17. 9. 2015, str. 1);

2.1.26. mednarodna organizacija pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma ali za sodelovanje na področju mednarodnega javnega prava tudi organizacija in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljena z mednarodno pogodbo med Republiko Sloveniji in drugo državo ali med Republiko Slovenijo in več državami ali na podlagi take mednarodne pogodbe.

3. EVIDENCE OSEBNIH PODATKOV

3.1. Družba vodi naslednje evidence osebnih podatkov:

3.1.1. Evidenco dejavnosti obdelav v skladu s členom 30 Splošne uredbe in 32. členom ZVOP-2;

3.1.2. Evidenco podatkov o zaposlenih delavcih v skladu s 6., 7., 12. in 13. členom Zakona o evidencah na področju dela in socialne varnosti (Ur. l. RS, št. 40/2006; v nadaljevanju: ZEPDSV);

3.1.3. Evidenco o stroških dela v skladu s 6., 7., 12. in 16. členom ZEPDSV;

3.1.4. Evidenco o izrabi delovnega časa v skladu s 6., 7., 12. in 18. členom ZEPDSV;

3.1.5. Evidenco o zdravstvenih pregledih v skladu s 36., 56. in 61. členom Zakona o varnosti in zdravju pri delu (Ur. l. RS, št. 43/2011; v nadaljevanju: ZVZD-1)

3.1.6. Evidenco o opravljenem usposabljanju za varno delo in preizkuse usposobljenosti delavcev v skladu s

5., 16., 19., 38. in 61. členom ZVZD-1;

3.1.7. Evidenco strank v skladu s točko (b) člena 6(1) Splošne uredbe in drugim odstavkom 9. člena ZVOP-2 ter privolitvijo posameznika;

3.1.8. Evidenca pogodbenih partnerjev v skladu s točko (b) člena 6(1) Splošne uredbe in drugim odstavkom 9. člena ZVOP-2 ter privolitvijo posameznika;

3.2. Evidence osebnih podatkov Družba vodi v pisni, kar vključuje elektronsko obliko.

3.3. Delavci, ki obdelujejo osebne podatke, morajo biti seznanjeni z evidencami osebnih podatkov, vpogled v evidence osebnih podatkov pa je potrebno omogočiti zgolj tistim zaposlenim, ki potrebujejo osebne podatke za namene, za katere se obdelujejo.

3.4. Družba je dolžna voditi točne in posodobljene evidence, iz katerih je jasno razviden najmanj:

3.4.1. naziv ali ime in kontaktne podatke Družbe in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov,

3.4.2. nameni obdelave,

3.4.3. opis kategorij posameznikov in vrst osebnih podatkov, kategorije uporabnikov, ki so jim bili ali jim bodo

razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah,

3.4.4. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) Splošne uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

3.4.5. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

3.4.6. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) Splošne

uredbe;

3.4.7. katera oseba je odgovorna za posamezno evidenco ter katere osebe lahko zaradi narave svojega dela

obdelujejo osebne podatke, ki se nanašajo na posamezno evidenco.

3.5. V posamezno evidenco se poleg podatkov iz točke 1.3. tega pravilnika vpisujejo podatki, ki jih določa področna zakonodaja.

4. DEJANSKE OMEJITEV OBDELAVE

4.1. Družba:

4.1.1. ne obdeluje posebnih vrst osebnih podatkov;

4.1.2. ne obdeluje osebnih podatkov za drug namen kot za tistega, za katerega so bili prvotno zbrani;

4.1.3. ne obdeluje osebnih podatkov na način, da bi obdelava osebnih podatkov lahko povzročila veliko tveganje za človekove pravice in temeljne svoboščine posameznikov, kljub temu bo izvajala oceno učinkov predvidenih dejanj obdelave na varstvo osebnih podatkov (ocena učinkov);

4.1.4. izpolnjuje pogojev po členu 37 Splošne uredbe in 45. ali 47. členu ZVOP-2, zato ni dolžna imenovati pooblaščene osebe (DPO);

4.1.5. ne ponuja storitev informacijske družbe neposredno mladoletnim osebam, ki so mlajše od 15 let;

4.1.6. ne sprejema odločitev zvezi posameznikom izključno na avtomatizirani obdelavi osebnih podatkov;

4.1.7. ne uporablja podatkov iz javnih knjig ne povezuje uradnih evidenc in javnih knjig;

4.1.8. ne izvaja videonadzora in biometričnih ukrepov.

5. NAČELA OBDELAVE IN PRAVICE POSAMEZNIKOV

5.1. Načela obdelave osebnih podatkov

5.2. Družba oziroma njeni zaposleni, ki obdelujejo osebne podatke, so pri obdelavi osebnih podatkov dolžni spoštovati naslednja načela:

5.2.1. osebni podatki se obdelujejo zakonito, tako da so določene pravne podlage za njihovo konkretno obdelavo, ter da se obdelujejo pošteno in na pregleden način za posameznika, tako da se ne obdelujejo za prikrite ali drugače nepoštene namene, zato da se posamezniki lahko svobodno odločijo, ali bodo sodelovali pri obdelavi njihovih osebnih podatkov oziroma da lahko temu zakonito in učinkovito ugovarjajo (zakonitost, poštenost in preglednost);

5.2.2. osebni podatki se zbirajo za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena);

5.2.3. osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov);

5.2.4. osebni podatki so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točnost in posodobljenost);

5.2.5. osebni podatki se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe);

5.2.6. osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost, zaupnost in razpoložljivost);

5.3. Zaposleni obdelujejo osebne podatke na način, da so Družbi zmožni dokazati skladnost svojih obdelav osebnih podatkov z določbami točke 2.1. tega pravilnika. Družba namreč mora biti vedno zmožna dokazati skladnost svojih obdelav osebnih podatkov ter mora v skladu s tem voditi tudi predpisano dokumentacijo v skladu z zakonom.

5.4. Pravice posameznikov

5.5. Družba posamezniku zagotavlja naslednje pravice:

5.5.1. pravico od Družbe pridobiti potrditev, ali v zvezi z njim obdeluje osebne podatke, in kadar je temu tako, dostop do osebnih podatkov in informacij, določenih v 15. členu Splošne uredbe;

5.5.2. pravico doseči, da Družba brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave, v skladu s 16. členom Splošne uredbe (pravica do popravka);

5.5.3. pravico doseči, da Družba brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim v skladu s 17. členom Splošne uredbe (pravica do izbrisa oziroma pravica do pozabe);

5.5.4. pravico doseči, da upravljavec omeji obdelavo v primerih in v skladu s 18. členom Splošne uredbe

(pravica do omejitve obdelave);

5.5.5. pravico biti seznanjen s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave. Družba vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členi 16, 17(1) in 18 Splošne uredbe, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Družba o teh uporabnikih obvesti posameznika, če ta posameznik tako zahteva, vse v skladu z 19. členom Splošne uredbe;

5.5.6. pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval Družbi, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga Družba, ki so ji bili osebni podatki zagotovljeni, pri tem ovirala, v primerih in v skladu z 20. členom Splošne uredbe (pravica do prenosljivosti podatkov);

5.5.7. pravico kadar koli ugovarjati obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1) Splošne uredbe, vključno z oblikovanjem profilov na podlagi teh določb. Družba preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, vse v skladu z 21. členom Splošne uredbe (pravica do ugovora);

5.5.8. pravico kadar koli ugovarjati obdelavi osebnih podatkov v zvezi z njim ne glede na prejšnjo točko, kadar se osebni podatki obdelujejo za namene neposrednega trženja, kolikor je pravica do ugovora povezana s takim neposrednim trženjem, v skladu z 21. členom Splošne uredbe (pravica do ugovora pri neposrednem trženju);

5.5.9. pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva, v skladu z 22. členom Splošne uredbe;

5.5.10. pravico biti obveščen o kršitvi varstva osebnih podatkov. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, Družba brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

6. TEHNIČNI IN ORGANIZACIJSKI UKREPI ZA VARNOST OSEBNIH PODATKOV

6.1. Splošno

6.1.1. Družba tako v času določanja sredstev oziroma načrtovanja nove obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, ki so oblikovani za učinkovito izvajanje načel varstva podatkov in v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve Splošne uredbe in ZVOP-2 ter zaščitijo pravice posameznikov.

6.1.2. Ukrepi morajo biti primerni glede na stanje najnovejšega tehnološkega razvoja oziroma dejansko razpoložljive tehnologije na tem področju, naravo, obseg, okoliščine in namene obdelave ter tveganja za poseg v človekove pravice in temeljne svoboščine posameznikov, ki nastajajo pri obdelavi, kakor tudi stroške njihovega izvajanja.

6.1.3. Družba z ukrepi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave glede na količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da se varujejo osebni podatki ter preprečuje njihovo naključno, namerno ali drugače nezakonito uničenje, spremembo, izgubo, nepooblaščeno razkritje nedoločenemu številu posameznikov, dostop ali drugo nepooblaščeno obdelavo brez posredovanja zadevnega posameznika.

6.1.4. Ukrepi vključuje zlasti:

6.1.4.1. Anonimizacijo osebnih podatkov, kar pomeni obdelavo osebnih podatkov na tak način, da osebnih

podatkov ni več mogoče pripisati specifičnemu posamezniku.

6.1.4.2. kadar je to primerno, šifriranje osebnih podatkov, kar pomeni zavarovanje nosilcev osebnih podatkov s posebnim geslom za odpiranje z uporabo prosto dostopne programske opreme, ki to omogoča, ter določanjem gesel za odpiranje dokumenta, pri čemer je geslo na naslov prejemnika posredovano ločeno od posredovanega dokumenta in po drugem mediju;

6.1.4.3. ukrepe za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;

6.1.4.4. ukrepe za zmožnost pravočasne povrnitve razpoložljivosti v primeru varnostnega incidenta (fizičnega ali tehničnega);

6.1.4.5. postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih

ukrepov;

6.1.4.6. pri dosegljivosti osebnih podatkov preko elektronskega komunikacijskega sredstva ali omrežja mora strojna, sistemska in aplikativna programska oprema zagotavljati, da je obdelava v mejah pooblastil uporabnika sredstva oziroma omrežja;

6.1.4.7. ukrepe, ki omogočajo poznejše ugotavljanje, kdaj so bile posamezne vrste osebnih podatkov vnesene v zbirko osebnih podatkov, uporabljene ali drugače obdelane in kdo je to storil, in sicer za obdobje petih let od zaključka leta, v katerem je potekala obdelava, razen če za obdelave posameznih vrst osebnih podatkov drug zakon določa drugače.

6.1.5. Noben delavec Družbe, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če tega od nje ne zahteva zakon, pravo Evropske unije ali pravo druge države članice.

6.2. Varovanje prostorov in računalniške opreme

6.2.1. Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

6.2.2. Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja direktorja.

6.2.3. Ključi varovanih prostorov in dostopne kartice se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

6.2.4. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo, kar vključuje avtomatsko zaklepanje računalnikov po določenem času odsotnosti delavca.

6.2.5. Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene,

računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.

6.2.6. Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.

6.2.7. Nosilci osebnih podatkov, ki se nahajajo izven varovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.

6.2.8. V prostorih, ki so namenjeni poslovanju s strankami, ne sme biti nobenih nosilcev osebnih podatkov.

6.2.9. Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z Družbo sklenjeno ustrezno pogodbo.

6.2.10. Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v varovanih prostorih samo z vednostjo pooblaščene osebe. Delavci, kot so čistilke, varnostniki, idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke.

6.3. Varovanje sistemske in aplikativno programske računalniške opreme ter podatkov, ki se obdelujejo z računalniško opremo

6.3.1. Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

6.3.2. Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja ali od direktorja pooblaščene osebe, izvajajo pa ga lahko samo ustrezne strokovne službe oziroma pooblaščeni servisi in organizacije in posamezniki, ki imajo z Družbo sklenjeno ustrezno pogodbo.

6.3.3. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

6.3.4. Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.

6.3.5. Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sproti preverja glede na prisotnost računalniških virusov. Ob zaznavi možnosti pojava računalniškega virusa je delavec dolžan nemudoma kontaktirati strokovno službo oziroma pooblaščen servis, organizacijo ali posameznika, ki ima z Družbo sklenjeno ustrezno pogodbo, zaradi preprečitve aktivacije računalniškega virusa, oziroma se ob pojavu računalniškega virusa tega čimprej odpravi s pomočjo ustrezne strokovne službe oziroma pooblaščenega servisa, organizacije ali posameznika, ki ima z Družbo sklenjeno ustrezno pogodbo, obenem pa se ugotovi vzrok pojava virusa v računalniškem sistemu Družbe.

6.3.6. Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo na eksternih medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

6.3.7. Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz informacijskega sistema Družbe ali je kopirati brez odobritve vodje organizacijske enote in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

6.3.8. Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

6.3.9. Odgovorna oseba v soglasju z direktorjem Družbe določi politiko gesel, ki vključuje postopek dodeljevanja, hranjenja in spreminjanja gesel, zahtevano dolžino in kompleksnost gesel, zahteve glede zgodovine (ponavljanja) gesel in trajanje veljavnosti gesel ter zamenjavo prednastavljenih gesel.

6.3.10. V skladu s politiko dodeljevanja gesel je onemogočena možnost nepooblaščeni osebi, da prebere delavcu posredovano geslo za uporabo računalnika in druge strojne ali programske opreme ob hkratno zagotovljeni možnosti, da delavcu za to pooblaščena oseba (npr. sistemski administrator ali administrator podatkovne baze) obstoječe geslo spremeni ali uporabniku dodeli novega.

6.3.11. Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervizorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo bodisi v šifrirani elektronski obliki bodisi v zaprtih pisemskih ovojnicah v ločenem in posebej varovanem sefu oziroma varnostni omari in se jih posebej skrbno varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Po vsaki takšni uporabi se določi nova vsebina gesel.

6.3.12. Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj. Kopije se hranijo bodisi v šifrirani elektronski obliki bodisi v za to predvidenem sefu oziroma varnostni omari.

6.3.13. Družba zagotavlja sledljivost glede dostopa in izpisovanja podatkov iz sistema izmenjave informacij tako, da je mogoča identifikacija osebe, ki je pri Družbi pooblaščena za obdelavo teh podatkov in ki je dostopala oziroma izpisovala podatke iz sistema izmenjave informacij in preverjanje namena obdelave in izpisa podatkov.

6.3.14. Družba na polletni ravni preveri ustreznost osebnih podatkov, tveganj in ukrepov ter ugotovitve vnese v evidenco dejavnosti obdelav, in po potrebi prilagodi ta pravilnik.

7. ODNOSI Z ZUNANJIMI IZVAJALCI

7.1. Skupni upravljalci

7.1.1. Kadar Družba in povezane družbe skupaj določajo določijo namene in sredstva obdelave, ti skupni upravljalci z medsebojnim dogovorom določijo svoje naloge v skladu s Splošno uredbo in ZVOP-2, zlasti v zvezi z uveljavljanjem pravic posameznikov, na katere se nanašajo osebni podatki, in s tem, kdo izpolnjuje katere od dolžnosti zagotavljanja informacij iz 13. in 14. člena Splošne uredbe oziroma 92. člena ZVOP-2.

7.1.2. V dogovoru skupna upravljalca določita tudi kontaktno mesto kontaktna mesta za posameznike, na katere se nanašajo osebni podatki.

7.1.3. Posameznik lahko ne glede na pogoje dogovora uresničuje svoje pravice v skladu s Splošno uredbo

glede vsakega od upravljavcev in proti vsakemu od njih.

7.2. Družba kot upravljalec

7.2.1. Družba lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo ali dogovorom zaupa

obdelovalcu.

7.2.2. Družba sme sodelovati samo s tistimi obdelovalci, ki zagotovijo zadostna jamstva, da bodo izvajali ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave s Splošno uredbo, ZVOP-2 oziroma drugimi predpisi, ki urejajo varstvo osebnih podatkov.

7.2.3. Obdelovalec brez predhodnega posebnega ali splošnega pisnega dovoljenja Družbe v obdelavo ne sme vključiti drugih obdelovalcev, pri čemer Družba posebej presodi, ali lahko vključitev dodatnega obdelovalca vpliva na tveganost obdelave osebnih podatkov.

7.2.4. Obdelava pri obdelovalcu poteka na podlagi pogodbe ali drugega dogovora ali na podlagi izrecnega zakonskega pooblastila, ki obdelovalca zavezuje napram Družbi ter določa predmet, trajanje, vrsto in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter pravice in obveznosti Družbe ter obdelovalca. Pogodba ali dogovor določa najmanj obvezne sestavine, določene v 28. členu Splošne uredbe in 31. členu ZVOP-2. Podatki se smejo obdelovati le v skladu z navodili Družbe.

7.2.5. Pred sklenitvijo pogodbe in med njenim izvajanjem odgovorna oseba Družbe posebej preveri:

7.2.5.1. ali obdelovalec zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na način, da obdelava varuje pravice posameznikov;

7.2.5.2. ali obdelovalec zaposluje druge obdelovalce, brez da bi Družba to predhodno dovolilo s posebnim

ali splošnim pisnim dovoljenjem;

7.2.5.3. ali obdelovalec omogoča Družbi, da nasprotuje zaposlitvi dodatnih obdelovalcev ali njihovi

zamenjavi;

7.2.5.4. ali obdelovalec omogoča, da katera koli oseba, ki ukrepa pod vodstvom Xxxxxx ali obdelovalca osebne podatke ne obdeluje brez navodil Xxxxxx;

7.2.5.5. obdelovalec zagotavlja oceno, ali bi lahko vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, kadar Družba to zahteva.

7.2.6. V primeru, kadar odgovorna oseba Družbe utemeljeno sumi, da niso izpolnjeni pogoji za zakonito pogodbeno obdelavo, je dolžna zavrniti sklenitev pogodbe oziroma zadržati izvajanje pogodbe oziroma zavrniti izvedbo obdelave, dokler obdelovalec ne zagotovi zakonite pogodbene obdelave.

7.2.7. Kadar obdelovalec uporablja tudi storitve drugega obdelovalca, da v imenu Xxxxxx izvede določena dejanja obdelave, se temu drugemu obdelovalcu s pogodbo ali dogovorom ali na podlagi izrecnega zakonskega pooblastila naložijo enake dolžnosti varstva osebnih podatkov, kot so navedene kot pravna obveznost za prvega obdelovalca. Če drugi obdelovalec ne izpolnjuje svojih obveznosti glede varstva osebnih podatkov, za izpolnjevanje obveznosti drugega obdelovalca v odnosu do Družbe odgovarja prvi obdelovalec.

7.2.8. Pogodba ali drug dogovor je v pisni ali v enakovredni elektronski obliki. Družba si prizadeva z obdelovalcem skleniti pogodbo v obliki standardnih pogodbenih določil, določenih s strani Komisije ali nadzornega organa, kadar je to možno in primerno.

7.2.9. Obdelovalec lahko jamstva oziroma odgovore na posamezna vprašanja v zvezi z jamstvi zagotovi Družbi z dokumentirano zavezanostjo k odobrenem kodeksu ravnanja iz 40. člena Splošne uredbe, izvajanjem odobrenega mehanizma potrjevanja iz 42. člena Splošne uredbe, politiko o varstvo osebnih podatkov ali pravilnikom o varstvu osebnih podatkov.

7.3. Družba kot obdelovalec

7.3.1. Kadar zunanji izvajalec samostojno določi namene in sredstva obdelave, velja za upravljavca v zvezi s

tako obdelavo in je odgovoren kot upravljavec. V tem primeru Družba lahko velja za obdelovalca.

7.3.2. Kadar Družba nastopa kot obdelovalec, zagotavlja upravljalcu smiselno enaka jamstva, kot so določena v točki 4.2. tega pravilnika. Družba zagotavlja upravljalcu vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.

8. SPREJEM, POSREDOVANJE IN OBDELAVA OSEBNIH PODATKOV

8.1. Obdelava pošte

8.1.1. Xxxxxxx, ki je odgovoren za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo Družbo, razen pošiljk naslovljenih neposredno na določenega Delavca osebno. Xxxxxxx ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku ter pošiljk, na katerih je najprej navedeno osebno ime delavce brez označbe njegovega uradnega položaja in šele nato naslov podjetja.

8.1.2. Xxxxxxx, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.

8.1.3. Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drugo organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali na razpis.

8.1.4. Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

8.1.5. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

8.1.6. Osebni podatki se lahko posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo ali če je obveščanje uporabnikov določeno z zakonom.

8.1.7. Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo. Izjema je obveščanje, ki se izvaja skladno z zakonom.

8.1.8. Vsako posredovanje osebnih podatkov se beleži v evidenco vhodne in izhodne pošte, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj, na kakšni pravni podlagi in za kateri namen.

8.2. Posredovanje podatkov

8.2.1. Kadar Družba osebne podatke v zvezi s posameznikom pridobi od tega posameznika, takrat, ko pridobi osebne podatke, zagotovi informacije, določene v 13. členu Splošne uredbe. Osnutek sporočila je priloga št. 3 k temu pravilniku.

8.2.2. Kadar Družba osebne podatke ni pridobila od posameznika, temu zagotovi informacije, določene v 14. členu Splošne uredbe. Osnutek sporočila je priloga št. 4.a. k temu pravilniku oziroma 4.b., kadar gre za neposredno trženje.

8.2.3. Družba posamezniku pri zagotavljanju pravic, določenih v točki 5.5 tega pravilnika, posreduje sporočila in odgovore, ki so v osnutku priloga št. 5 k temu pravilniku.

8.2.4. Družba sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, da lahko učinkovito uveljavlja pravice, določene prejšnji odstavkih, tako da je to zagotovljeno v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.

8.2.5. Družba posamezniku olajša pridobitev informacij oziroma sporočil, tako da na svoji spletni strani objavi navodila ter obrazce za uveljavljanje posameznih pravic.

8.2.6. Zahtevo za uveljavljanje pravic v skladu s 15. do 22. členom Splošne uredbe lahko posameznik vloži pisno, kar vključuje elektronsko obliko, ali ustno na zapisnik pri Družbi.

8.2.7. Zahteva obsega osebno ime posameznika, naslov, morebitni naslov elektronske pošte in druge njegove nujne podatke, potrebne za iskanje in za določitev osebnih podatkov, na katere se zahteva nanaša, oziroma za rešitev zahteve, morebitne podatke o pooblaščencu ali zastopniku posameznika, opredelitev oblike, v kateri želi prejeti odgovor, ter opredelitev zahtevanih osebnih podatkov.

8.2.8. Če je zahteva nepopolna ali nerazumljiva, odgovorna oseba Družbe v petih delovnih dneh zahteva, da se pomanjkljivosti odpravijo, in določi vložniku rok za odpravo pomanjkljivosti. Če posameznik, na katerega se nanašajo osebni podatki, v tem roku, ki ne more biti krajši od petih delovnih dni, pomanjkljivosti ne odpravi, Družba zavrže njegovo zahtevo oziroma mu pisno sporoči, da je ne bo obravnavala.

8.2.9. Odgovorna oseba Družbe lahko zaradi potrditve točnosti identitete posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne potrebne informacije. Ugotavljanje identitete posameznika pri zahtevah, vloženih po elektronski pošti, se lahko izvaja tudi (i) z elektronskim podpisom, ki je izenačen z lastnoročnim podpisom in velja v skladu z Uredbo (EU) št. 910/2014, (ii) s potrditvijo zahteve

v papirni obliki ali osebno ali (iii) na način osebne vročitve odločitve Družbe o zahtevi na uradni naslov posameznika ali naslov, ki izhaja iz lastnih zbirk Družbe.

8.2.10. Odgovorna oseba Družbe o zahtevi posameznika odloči brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev. Družba obvesti posameznika o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo in informacijo o možnosti pritožbe v skladu z ZVOP-2 in s tem pravilnikom.

8.2.11. Če Družba o zahtevi ne ravna skladu s prejšnjim odstavkom, se šteje, da je zahtevo zavrnila.

8.2.12. Do sprejema odločitve Družbe oziroma če je zoper to odločitev bila vložena pritožba, do dokončnosti odločitve Informacijskega pooblaščenca o pritožbi, stranke in stranski udeleženci nimajo pravice do pregledovanja dokumentacije, ki je predmet zahteve.

8.2.13. Družba o zahtevi posameznika odloči z upravno odločbo oziroma v obliki pisnega obvestila, ki vsebuje obrazložitev razlogov za odločitev in informacijo o možnosti pritožbe v skladu z ZVOP-2 in s tem pravilnikom.

8.2.14. Če posameznik po prejeti odločitvi Družbe meni, da ta ni v celoti odločila o njegovi zahtevi, še zlasti če meni, da osebni podatki, ki jih je prejel, niso osebni podatki, ki jih je zahteval, ali da ni prejel vseh zahtevanih osebnih podatkov, lahko pred vložitvijo pritožbe pri Družbi vloži obrazložen ugovor v osmih dneh od prejema odločitve Družbe. Družba o ugovoru odloči v petih delovnih dneh. Rok za pritožbo začne v primeru vložitve ugovora teči po prejemu odločitve o ugovoru oziroma preteku roka za odločitev.

8.2.15. Če Družba ne odloči pravočasno o zahtevi posameznika oziroma o ugovoru, lahko posameznik pri Informacijskem pooblaščencu vloži pritožbo zaradi molka Družbe. Če Družba zahtevo oziroma ugovor zavrne, lahko posameznik pri Informacijskem pooblaščencu vloži pritožbo v 15 dneh od prejema obvestila oziroma odločbe Družbe.

8.2.16. Odgovorna oseba Družbe od prejema posameznikove zahteve do ugoditve ali v primeru zavrnitve, do pravnomočnega zaključka postopka, ne sme uničiti, spremeniti ali odsvojiti zahtevanih osebnih podatkov, ne glede na potek predpisanih ali interno določenih rokov hrambe.

8.2.17. Informacije in sporočila ter ukrepi in odgovori Družbe iz tega dela pravilnika se zagotavljajo brezplačno.

8.2.18. Kadar so zahteve posameznika očitno neutemeljene ali pretirane, zlasti ker se zahteve pogosto ponavljajo (zlasti, če so glede istih osebnih podatkov ponovljene vsaj petkrat v enem letu), lahko Družba s posebno obrazloženo odločitvijo: (i) zavrne ukrepanje v zvezi z zahtevo, ali (ii) zahtevi ugodi, če je po vsebini utemeljena, in posamezniku zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa. V tem primeru Družba obrazloži tudi razloge glede očitne neutemeljenosti ali pretiranosti zahteve.

8.2.19. Stroške priprave podatkov za seznanitev, stroške delnega dostopa in stroške dokazovanja tehnične izvedljivosti prenosljivosti osebnih podatkov nosi Družba.

8.2.20. Odgovorna oseba Družbe posreduje osebne podatke drugim fizičnim ali pravnim osebam ali osebam javnega sektorja, ki izkažejo pravno podlago za pridobivanje zahtevanih osebnih podatkov.

8.2.21. Družba osebne podatke posreduje proti plačilu stroškov posredovanja, razen če zakon določa drugače.

8.2.22. Družba posreduje podatke na podlagi zahteve za posredovanje, ki vsebuje sestavine, določene v 40. členu ZVOP-2.

8.2.23. Zahtevane osebne podatke Xxxxxx posreduje vlagatelju zahteve najpozneje v 15 dneh od prejema popolne zahteve, ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval. Če Družba ne ravna v skladu s prejšnjim stavkom se šteje, da je zahteva zavrnjena.

8.2.24. Vsako posredovanje osebnih podatkov se beleži v evidenco dejavnosti obdelav, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj, na kakšni pravni podlagi in za kateri namen.

9. VODENJE PODATKOV

9.1. Osebni podatki o delavcih Družbe se vodijo in hranijo skladno z določbami Splošne uredbe, ZVOP-2, Zakona

o delovnih razmerjih (Ur. l. RS., št. 21/2013 s sprem., v nadaljevanju: ZDR-1) in ZEPDSV in ZVZD-1.

9.2. Dokumenti s podatki o delavcu, za katerega se prenehajo voditi evidence Družbe kot delodajalca in izvirne

listine, na podlagi katerih se vpisujejo podatki v te evidence, se hranijo kot listine trajne vrednosti.

9.3. Zasebne kontaktne podatke delavca (zasebna telefonska številka ali zasebni elektronski naslov) lahko Družba zbira samo z izrecno privolitvijo delavca za namen lažjega in hitrejšega komuniciranja v interesu obeh strank. Če pa je stalna dosegljivost delavca predpisana v notranjih aktih Družbe ali v pogodbi o zaposlitvi, mora Družba poskrbeti za službeni mobilni telefon ali oddaljen dostop do službene elektronske pošte.

9.4. Delavec, ki se pri poslovanju Družbe ugotavlja istovetnost, državljanstvo oziroma kontrolo podatkov posameznika, najprej vpogleda v osebni dokument (osebna izkaznica, potna listina in vozniško dovoljenje) imetnika in prepiše osebne podatke iz njega, kadar je to potrebno. Družba lahko kopijo osebnega dokumenta pridobi na podlagi pisne privolitve imetnika osebnega dokumenta za vnaprej določene primere.

9.5. Ob kopiranju osebnega dokumenta je treba z ustrezno oznako na kopiji zagotoviti, da se kopija ne bo uporabljala za druge namene. Prepovedano je nadaljnje kopiranje kopije in hramba kopije v elektronski obliki.

9.6. Družba lahko uporablja osebne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (neposredno trženje).

9.7. Za namene izvajanja neposrednega trženja lahko Družba obdeluje le naslednje osebne podatke: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik sam objavil brez očitnega namena, da bi omejil njihovo nadaljnjo obdelavo.

9.8. Posameznik lahko kadarkoli pisno ali na drug dogovorjen način brezplačno zahteva, da Družba trajno ali začasno preneha uporabljati ali drugače obdelovati njegove osebne podatke za namen neposrednega trženja. V tem primeru Družba najpozneje v 15 dneh preneha obdelovati osebne podatke za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvesti posameznika, ki je vložil to zahtevo.

10. PRENOS PODATKOV

10.1. Kadar Družba prenaša osebne podatke povezani družbi v tretjo državo, lahko to stori le, če je Evropska komisija s sklepom predhodno ugotovila, da tretja država, ozemlje ali eden ali več določenih sektorjev v tej tretji državi zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje Informacijskega pooblaščenca.

10.2. Sicer lahko Družba osebne podatke prenese v tretjo državo le, če Družba zagotovi ustrezne zaščitne ukrepe za zagotovitev ustrezne ravni varstva osebnih podatkov po njihovem prenosu, in pod pogojem, da tretja država posameznikom zagotavlja izvrševanje njihovih pravic v skladu s Splošno uredbo oziroma učinkovita pravna sredstva zoper morebitne kršitve Splošne uredbe. Zaščitni ukrepi brez posebnega dovoljenja Informacijskega pooblaščenca vključujejo (i) pravno zavezujoče in izvršljive mednarodne pogodbe, (ii) zavezujoča poslovna pravila, odobrena s strani Informacijskega pooblaščenca, (iii) standardna določila o varstvu podatkov Evropske komisije oziroma Informacijskega pooblaščenca, (iv) odobrenima kodeksom ravnanja in mehanizmom certificiranja.

10.3. Prenos osebnih podatkov brez sklepa o ustreznosti oziroma sprejetih ustreznih zaščitnih ukrepov se lahko izvede le pod enim izmed pogojev, določenih v členu 49 Splošne uredbe in 58. členu ZVOP-2.

10.4. Odgovorna oseba Družbe dokumentira ustrezne zaščitne ukrepe v evidenci dejavnosti obdelav.

11. OCENA UČINKA

11.1. Družba je izdelala Oceno učinka, ki se hrani in je na vpogled na sedežu družbe.

11.2. Če bi iz ocene učinkov bilo razvidno, da bi obdelava lahko povzročila veliko tveganje, če Družba ne bi sprejela ukrepov za ublažitev tveganja, se Družba pred obdelavo posvetuje z Informacijskim pooblaščencem in v soglasju z direktorjem Družbe prilagodi ta pravilnik.

12. HRAMBA IN BRISANJE PODATKOV

12.1. Po izpolnitvi namena obdelave oziroma preteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

12.2. Rok hrambe osebnih podatkov je zaradi spoštovanja določenega namena obdelave osebnih podatkov omejen na najkrajše možno obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če zakon za posamezne obdelave določa rok hrambe.

12.3. Roki, po katerih se osebni podatkov izbrišejo iz zbirke podatkov, so razvidni iz posamezne evidence osebnih podatkov ter vsakokrat veljavnih materialnih predpisov.

12.4. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, se morajo takoj izbrisati oziroma trajno odstraniti in prenehati uporabljati. Evidence, ki jih vodi Družba kot delodajalec za posameznega delavca se prenehajo voditi z dnem, ko mu preneha pogodba o zaposlitvi.

12.5. Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča

restavracija vseh ali dela brisanih podatkov.

12.6. Podatki na fizičnih medijih (listine, kartoteke, register, seznam, idr.) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov.

12.7. Na enak način kot sami osebni podatki se uničuje pomožno gradivo.

12.8. Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v posode, kamor se odlagajo komunalni odpadki.

12.9. Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.

12.10. Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje odgovorna oseba Družbe, ki uničenje beleži v evidenco dejavnosti obdelave.

13. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

13.1. Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti odgovorno osebo Družbe ali predstojnika, sami pa poskušajo takšno aktivnost preprečiti.

13.2. Direktor družbe zoper tistega, ki je ravnal na način, opisan v prejšnjem odstavku, ustrezno ukrepa.

13.3. Zoper osebo, pri kateri obstaja sum vdora v zbirko osebnih podatkov, storjenega z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani, se lahko poleg disciplinskega postopka, izreka opomina pred redno odpovedjo pogodbe o zaposlitvi, redne odpovedi pogodbe iz krivdnih razlogov ali izredne odpovedi pogodbe o zaposlitvi, osebo prijavi organom pregona zaradi storitve kaznivega dejanja.

14. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

14.1. Za izvajanje postopkov in ukrepov za varnost osebnih podatkov so odgovorne naslednje osebe:

14.1.1. osebe, ki so določene v Prilogi št. 2 k temu pravilniku;

14.1.2. druga oseba, ki jo imenuje Družba in osebe, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke iz posamezne zbirke osebnih podatkov in jo za to pooblasti Družba ter vpiše v Prilogo št. 1 k temu pravilniku.

14.2. Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, izvaja odgovorna oseba Družbe.

14.3. Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za varnost podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

14.4. Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov.

14.5. Vzorec izjave je Priloga št. 2 k temu pravilniku.

15. KONČNE DOLOČBE

15.1. Za kršitev določil tega pravilnika so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih

obveznosti.

15.2. Ta pravilnik prične veljati z dnem podpisa direktorja.

AV STUDIO d.o.o.

V Velenju, 15. 9. 2019