PRAVILNIK O VAROVANJU OSEBNIH PODATKOV
Na podlagi predpisov s področja varstva osebnih podatkov in 17. člena Statuta Ribiške zveze Slovenije je skupščina Ribiške zveze Slovenije na 4. redni seji dne 19. 6. 2021 sprejela naslednji
PRAVILNIK O VAROVANJU OSEBNIH PODATKOV
I. SPLOŠNE DOLOČBE
1.člen
S tem pravilnikom se določajo organizacijski, tehnični in logistično-tehnični postopki in ukrepi za varovanje ter zavarovanje osebnih podatkov, vodenih v zbirkah osebnih podatkov, s katerimi upravljajo Ribiške družine, Zveze ribiških družin in Ribiška zveza Slovenije (v nadaljevanju: upravljavci) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, so dolžni spoštovati določbe zakonodaje s področja varstva osebnih podatkov, področno zakonodajo, ki ureja posamezno področje njihovega dela ter vsebino tega pravilnika.
Dolžnost varovanja osebnih podatkov iz prejšnjega odstavka velja tudi za člane organov in delovnih teles ter druge posameznike, ki se pri izvajanju nalog upravljavcev srečujejo z obdelavo osebnih podatkov.
V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe predpisov, ki urejajo varstvo
osebnih podatkov.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. Osebni podatek - pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik), na katerega se nanašajo osebni podatki. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
2. Obdelava - pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
3. Omejitev obdelave – pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove
obdelave v prihodnosti
4. Zbirka - je vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa
je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi.
5. Katalog posamezne zbirke osebnih podatkov - je opis posamezne zbirke osebnih podatkov, na podlagi katere imajo upravljavci vzpostavljen pregled nad osebnimi podatki, ki jih upravljajo in obdelujejo.
6. Upravljavec so RD, ZRD ali RZS, ki sami ali skupaj določajo namene in sredstva obdelave osebnih
podatkov.
7. Obdelovalec - je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca.
8. Uporabnik - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji
posredujejo ali razkrijejo osebni podatki, ne glede na to, ali je tretja oseba ali ne.
9. Tretja oseba - pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca.
10. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
11. Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično- tehnične
postopke in ukrepe, s katerimi se:
- varujejo prostori, aparature in sistemska programska oprema,
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
- zagotavlja varnost posredovanja in prenosa osebnih podatkov,
- preprečuje nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki,
in do njihovih zbirk,
- omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vpisani in uporabljeni v zbirki
podatkov in kdo je to storil - za obdobje, za katero se posamezni podatki shranjujejo.
II. ZAKONITOST OBDELAVE OSEBNIH PODATKOV
3. člen
(zakonitost)
Obdelava osebnih podatkov je zakonita, če upravljavec izpolnjuje vsaj enega od naslednjih pogojev:
- je posameznik xxxxx xxxxxxxx,
- je potrebna za izvedbo pogodbe ali za sklenitev pogodbe,
- je potrebna za izpolnitev zakonske obveznosti,
- je v zakonitem interesu upravljavca ali tretje osebe.
4. člen
(privolitev)
Če je pravna podlaga za obdelavo osebnih podatkov privolitev, so minimalne zahteve glede privolitve posameznika za obdelavo njegovih osebnih podatkov sledeče:
- privolitev mora biti dana v pisni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku,
- privolitev mora biti informirana, kar pomeni, da mora posameznik na katerega se nanašajo
osebni podatki poznati identiteto upravljavca ter namen obdelave osebnih podatkov,
- privolitev mora biti izrecna in nedvoumna, kar pomeni, da mora biti dana z jasnim pritrdilnim
xxxxxxxx, ki kaže na to da posameznik sprejema predlagano obdelavo svojih podatkov,
- posameznik ima možnost, da svojo privolitev kadarkoli prekliče,
- upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo,
- privolitev mora biti dana prostovoljno.
5. člen
(pogodbeni temelj)
Včlanitev v ribiško družino se obravnava kot pogodbeni temelj, ki je podlaga za obdelave osebnih podatkov, ki so neločljivo povezane s samim članstvom v društvu, uresničevanjem pravic in dolžnosti članov ter delovanjem upravljavcev v skladu z nameni in cilji delovanja ter nalogami, ki so opredeljene v temeljnih aktih.
V okviru pogodbenega temelja upravljavci zbirajo in obdelujejo naslednje vrste osebnih podatkov: ime in priimek, datum in kraj rojstva, spol, naslov stalnega oziroma začasnega prebivališča, fotografijo in elektronske kontaktne podatke
6. člen
(zakonska podlaga)
Upravljavci obdelujejo osebne podatke tudi na podlagi predpisov, ki urejajo sladkovodno ribištvo, področje športa, delovanje društev, delovno pravno - socialno področje in davčne obveznosti ter podeljenih javnih pooblastil.
7. člen
(zakoniti interes)
Osebni podatki se obdelujejo tudi, če je to nujno zaradi uresničevanja zakonitih interesov upravljavca osebnih podatkov in ti interesi očitno prevladajo nad interesi posameznika, na katerega se nanašajo, pri čemer se upoštevajo razumna pričakovanja posameznikov glede na njihovo razmerje do upravljavcev.
III. VZPOSTAVLJEN SISTEM UPRAVLJANJA VAROVANJA OSEBNIH PODATKOV
8. člen
(katalogi zbirk osebnih podatkov)
Upravljavci imajo vzpostavljen pregled nad osebnimi podatki, ki jih upravljajo in obdelujejo na način, da
imajo podatke o vseh zbirkah osebnih podatkov popisane v katalogih posameznih zbirk osebnih podatkov. Katalog posamezne zbirke osebnih podatkov vsebuje podatke o tej zbirki, kot so:
- naziv zbirke osebnih podatkov
- podatke o upravljavcu osebnih podatkov
- namen obdelave osebnih podatkov,
- pravna podlaga za njihovo obdelavo,
- kategorije posameznikov, na katere se nanašajo osebni podatki v zbirki,
- vrste osebnih podatkov v zbirki,
- podatek o tem ali zbirka vsebuje posebne vrste osebnih podatkov,
- rok hrambe osebnih podatkov,
- način pridobitve osebnih podatkov, njihovo dopolnjevanje in spremembe, obdelava s strani
upravljavca, njihovo posredovanje tretjim osebam ter njihovo brisanje,
- odgovorne osebe za posamezno zbirko in uporabniške pravice za njihovo obdelavo po delovnih
mestih in funkcijah oziroma organih ter delovnih telesih upravljavcev ,
- pooblastila in osnove za obdelavo s strani pogodbenih obdelovalcev,
- podatek, ali se osebni podatki iznašajo v tretje države,
- ali so sprejeti kakšni dodatni ukrepi varovanja posamezne zbirke,
- ali se zbirka povezuje z uradnimi evidencami ali javnimi knjigami,
- ali obstaja avtomatizirano sprejemanje odločitev, vključno z obdelovanjem profilov,
- kakšne so pravice posameznikov v zvezi s posamezno zbirko osebnih podatkov,
- ali je za posamezno zbirko izdelana ocena učinkov.
Katalog zbirke odgovorna oseba za posamezno zbirko osebnih podatkov dopolni ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki oziroma spremembi ukrepov varovanja.
Zaposleni in člani organov ter delovnih teles, ki pri izvajanju nalog upravljavcev obdelujejo osebne podatke, morajo biti seznanjeni s katalogi posameznih zbirk osebnih podatkov, vpogled v katalog posamezne zbirke osebnih podatkov pa je potrebno omogočiti tudi posameznikom, na katere se nanašajo osebni podatki in nadzornim organom.
9. člen
Upravljavci vodijo opis ukrepov zagotavljanja varnosti podatkov in varnosti prostorov, v katerih se nahajajo
fizične zbirke, vključno z opredelitvijo oseb, ki imajo pravico vstopa v prostor brez posebnega pooblastila.
10. člen
(Vzpostavitev zbirke osebnih podatkov)
Odgovorna oseba za posamezno zbirko zagotovi vse informacije o tej zbirki osebnih podatkov - Katalog zbirke osebnih podatkov najkasneje 10 dni pred vzpostavitvijo zbirke osebnih podatkov. Predlog Kataloga zbirke in ukrepov varovanja osebnih podatkov posreduje pooblaščeni osebi za varstvo osebnih podatkov, ki glede na tveganja, povezana z dejanji obdelave, ter glede na naravo, obseg, okoliščine in namene obdelave osebnih podatkov, poda svoje mnenje glede vzpostavitve zbirke in svetuje glede ustreznih ukrepov varovanja podatkov. Katalog posamezne zbirke osebnih podatkov pred vzpostavitvijo potrdi izvršilni organ upravljavca.
11. člen
(hramba in roki hrambe zbirk osebnih podatkov)
Za hrambo zbirk osebnih podatkov so odgovorni zaposleni in člani organov ter delovnih teles upravljavcev, ki so pooblaščeni za obdelovanje osebnih podatkov. Zbirke osebnih podatkov, vodene pri upravljavcih, se hranijo dokler ni dosežen namen, zaradi katerih se je zbirka uvedla in vzpostavila. Roki hrambe zbirk osebnih podatkov so opredeljeni v Katalogu posamezne zbirke osebnih podatkov.
12. člen
(prenehanje vodenja posamezne zbirke)
O prenehanju vodenja posamezne zbirke osebnih podatkov na predlog predsednika upravljavca odloča izvršilni organ upravljavca.
IV. ODGOVORNOSTI IN POOBLASTILA ZA OBDELAVO OSEBNIH PODATKOV
13. člen
Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in z osebnimi podatki, vodenimi pri upravljavcih, so odgovorne osebe, ki so navedene v katalogu posamezne zbirke osebnih podatkov. Za izvajanje tega pravilnika ter za redno pregledovanje in ažuriranje seznama katalogov posameznih zbirk osebnih podatkov je odgovorna pooblaščena oseba za varstvo osebnih podatkov.
Osebne podatke lahko pridobivajo in obdelujejo v okviru svojih pristojnosti in v skladu s statutarnimi nalogami le zaposleni, člani organov in delovnih teles ter drugi posamezniki, ki se pri izvajanju nalog upravljavcev srečujejo z obdelavo osebnih podatkov in imajo za to pooblastila. Pooblastila za pridobivanje ali obdelavo osebnih podatkov so določena v opisu del in nalog delovnega mesta ter v katalogu posamezne zbirke osebnih podatkov.
14. člen
Pooblaščena oseba za varstvo osebnih podatkov je oseba z ustreznimi poklicnimi odlikami, zlasti s strokovnim znanjem o zakonodaji in praksi na področju varstva osebnih podatkov, ki upravljavcu na neodvisen način pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov z zakonodajo, ki ureja varstvo osebnih podatkov. Izpolnjevati mora vse z zakonom določene pogoje.
Izvršilni organ upravljavca s sklepom imenuje pooblaščeno osebo za varstvo osebnih podatkov, ki je
odgovorna neposredno vodstvu upravljavca.
Pooblaščena oseba za varstvo osebnih podatkov opravlja naslednje naloge:
- obvešča vodstvo ter zaposlene, ki izvajajo obdelavo ter jim svetuje o njihovih obveznostih skladno z zakonodajo s področja varstva osebnih podatkov,
- spremlja skladnost z zakonodajo s področja varstva osebnih podatkov,
- deluje kot kontaktna oseba za varstvo osebnih podatkov,
- ozavešča in usposablja zaposlene, člane organov in delovnih teles ter druge posameznike, ki so
pri izvajanju nalog upravljavca vključeni v obdelavo osebnih podatkov,
- potrjuje skladnost glede varstva osebnih podatkov pri sklepanju pogodb ali oblikovanju projektov,
- izvaja oceno učinka v zvezi z varstvom osebnih podatkov ter spremlja njeno izvajanje,
- sodeluje z nadzornim organom,
- izvaja revizije varstva osebnih podatkov.
Kontaktni podatki pooblaščene oseb za varstvo osebnih podatkov so objavljeni na spletni strani
upravljavca ter javljeni pristojnemu državnemu organu.
V. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI
15. člen
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca zahtevati, da mu omogoči naslednje pravice v zvezi z osebnimi podatki, ki jih upravlja in ki se nanašajo nanj:
- pravica do preglednosti obdelave,
- pravico do dostopa,
- pravico do popravka,
- pravico do izbrisa,
- pravico do omejitve obdelave,
- pravico do prenosljivosti podatkov,
- pravico do ugovora.
Upravljavec v katalogu posamezne zbirke osebnih podatkov glede na podlago in namen obdelave osebnih podatkov označijo, katere pravice lahko posameznik pri posamezni obdelavi osebnih podatkov uveljavlja. Upravljavci morajo posamezniku zagotoviti informacije o njegovih pravicah v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku.
Za osebne podatke, ki jih upravljavec ne upravlja, ampak le obdeluje (nastopa v vlogi pogodbenega obdelovalca in ne upravljavca zbirke osebnih podatkov), posameznika pozove, da svoje zahteve naslovijo na upravljavca osebnih podatkov, saj je le upravljavec pristojen za zagotavljanje pravic posameznikom.
16. člen
(transparentnost obdelave)
Kadar se osebni podatki v zvezi s posameznikom pridobijo neposredno od posameznika ali iz drugih virov, mora upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotoviti vse informacije v zvezi z obdelavo osebnih podatkov, ki so navedene v katalogu posamezne zbirke osebnih podatkov.
Na posameznikovo zahtevo mu vse informacije v zvezi s posamezno obdelavo njegovih osebnih podatkov posreduje s posredovanjem kataloga posamezne zbirke osebnih podatkov.
17. člen
(pravica do dostopa)
Posamezniku, na katerega se nanašajo osebni podatki ima pravico od upravljavca dobiti
- potrditev ali se v zvezi z njim obdelujejo osebni podatki,
- dostop do oziroma izpis osebnih podatkov, ki jih obdeluje in
- informacije o sami obdelavi osebnih podatkov, ki so navedene v katalogu posamezne zbirke osebnih podatkov.
18. člen
(pravica do popravka)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim, bodisi s podajo izjave bodisi s predložitvijo ustreznih dokazil. Prav tako ima posameznik tudi pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
19. člen
(pravica do preklica privolitve)
Če obdelava osebnih podatkov poteka na podlagi privolitve, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da svojo privolitev, kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.
20. člen
(pravica do izbrisa)
Upravljavec na zahtevo posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega
odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eden od naslednjih razlogov:
- osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani,
- posameznik je preklical privolitev, na podlagi katere poteka obdelava in za obdelavo ne obstaja druga pravna podlaga,
- posameznik obdelavi ugovarja, za njihovo obdelavo ne ostaja noben prevladujoči zakoniti interes,
- osebni podatki so bili obdelani nezakonito,
- kadar je osebne podatke potrebno izbrisati za izpolnitev pravne obveznosti v skladu s pravom
Unije ali pravom države.
21. člen
(pravica do omejitve obdelave)
Upravljavec na zahtevo posameznika, na katerega se nanašajo osebni podatki, omeji obdelavo, kadar
velja eden od naslednjih primerov:
- posameznik oporeka točnosti osebnih podatkov,
- je obdelava nezakonita in posameznik nasprotuje izbrisu osebnih podatkov ter na namesto tega zahteva omejitev njihove obdelave,
- upravljavec ne potrebuje več osebnih podatkov za namene obdelave, temveč jih posameznik
potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov,
- je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri ali zakoniti razlogi upravljavca
prevladujejo nad razlogi posameznika.
22. člen
(obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave)
Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18 GDPR, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
23. člen
(pravica do prenosljivosti podatkov)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljeni in strojno berljivi obliki, in da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec pri tem oviral, kadar:
- obdelava temelji na privolitvi ali
- je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik in
- se obdelava izvaja z avtomatiziranimi sredstvi.
24. člen
(pravica do ugovora)
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem pravico, da kadarkoli ugovarja obdelavi osebnih podatkov kadar:
- je obdelava potrebna za opravljanje nalog v javnem interesu, pri izvajanju javne oblasti ali kadar je obdelava potrebna zaradi zakonitih interesov,
- se podatki obdelujejo za namene neposrednega trženja.
VI. NAČIN URESNIČEVANJA PRAVIC POSAMEZNIKOV
25. člen
(vložitev zahteve in ugotavljanje popolnosti zahteve)
Posameznik zahtevo za uveljavljanje pravic vloži pisno ali ustno na zapisnik pri upravljavcu osebnih
podatkov.
Vse zahteve se posredujejo pooblaščeni osebi za varstvo osebnih podatkov, ki preveri, ali je zahteva
razumljiva in obsega vse, kar je treba, da se lahko obravnava. Zahteva mora predvsem obsegati:
- osebno ime posameznika in druge njegove podatke, ki so potrebni za določitev osebnih podatkov, na katere se zahteva nanaša oziroma za rešitev zahteve,
- morebitne podatke o pooblaščencu ali zastopnika posameznika,
- opredelitev oblike, v kateri želi prejeti odgovor,
- opredelitev zahteve posameznika.
Če je zahteva nepopolna ali nerazumljiva, pooblaščena oseba v roku 5 delovnih dni zahteva, da se pomanjkljivosti odpravijo, za kar posamezniku določi rok 5 delovnih dni. To zahtevo posamezniku pošlje v obliki pisnega sporočila na naslov, ki ga je navedel v zahtevi oziroma s katerega je poslal zahtevo, ali mu jo izroči, če je podal zahtevo neposredno pri upravljavcu. Če posameznik v tem roku pomanjkljivosti ne odpravi, pooblaščena oseba s pisnim sporočilom zavrže njegovo zahtevo oziroma mu pisno sporoči, da je ne bo obravnaval.
26. člen
(preverjanje istovetnosti posameznika)
Upravljavec osebnih podatkov lahko zaradi potrditve točnosti identitete posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne potrebne informacije. Ugotavljanje identitete posameznika pri zahtevah, vloženih po elektronski pošti, se lahko izvaja tudi:
- z elektronskim podpisom, ki je izenačen z lastnoročnim podpisom in velja v skladu z Uredbo (EU)
št. 910/2014,
- s potrditvijo zahteve v papirni obliki ali osebno ali
- na način osebne vročitve upravljavčeve odločitve o zahtevi na uradni naslov posameznika ali
naslov, ki izhaja iz lastnih zbirk upravljavca.
27. člen
(odločanje o upravičenosti zahteve)
Pooblaščena oseba za varstvo osebnih podatkov potrdi, ali zavrne upravičenost posamezne zahteve s strani posameznika. O svoji odločitvi obvesti vodstvo upravljavca, posameznika ter odgovorno osebo za posamezno zbirko osebnih podatkov.
Kadar je zahteva upravičena, jo posreduje odgovorni osebi za posamezno zbirko osebnih podatkov, ta
pa poskrbi za njeno izvedbo.
Upravljavec posamezniku v roku enega meseca odgovori na njegovo zahtevo in mu v primeru upravičene zahteve le-to tudi izpolni. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.
28. člen
(posredovanje informacij)
Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi
sredstvi.
Informacije se posredujejo:
- pisno na uradni naslov posameznika ali njegovega zastopnika ali na naslov, ki izhaja iz lastnih
zbirk upravljavca priporočeno s povratnico,
- pisno v roke posameznika, ki je vložil zahtevo, po potrditvi identitete posameznika ali njegovega
zastopnika (identifikacija na podlagi vpogleda v osebno izkaznico),
- po elektronski pošti kriptirano na elektronski naslov, ki ga je posameznik potrdil z varnim elektronskim podpisom s kvalificiranim potrdilom vloge ali elektronskega sporočila,
- ali na elektronski naslov, ki ga je posameznik navedel na pisni vlogi, ki jo je lastnoročno podpisal.
29. člen
Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za ne ukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.
30. člen
(zaračunavanje zagotavljanja pravic posameznikom)
Posameznikom se njihove pravice zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti, ker se ponavljajo, lahko upravljavec bodisi zaračuna razumno pristojbino, pri čemer upošteva upravne oziroma administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.
VII. POGODBENA OBDELAVA
31. člen
Upravljavec lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pisno pogodbo zaupa obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz tega pravilnika. Obdelovalec je prav tako odgovoren za varovanje osebnih podatkov in ohranitev njihove zaupnosti.
Upravljavec v katalogu posamezne zbirke osebnih podatkov določi seznam obdelovalcev za posamezno
zbirko osebnih podatkov ter njihova pooblastila za obdelavo osebnih podatkov.
Obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru
upravljavčevih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Upravljavec za vsakega obdelovalca v pogodbi o obdelavi osebnih podatkov določi:
- vsebino in trajanje obdelave,
- naravo in namen obdelave,
- vrste osebnih podatkov in kategorije posameznikov na katere se nanašajo osebni podatki,
- obveznosti in pravice upravljavca,
- določilo o tem ali se osebni podatki iznašajo v tretje države ali mednarodne organizacije,
- zavezanost k zaupnosti oseb, ki so pooblaščene za obdelavo osebnih podatkov,
- postopke in ukrepe, ki jih mora obdelovalec spoštovati in izvajati za varnost obdelave,
- pomoč s strani obdelovalca osebnih podatkov,
- dogovor glede poveritve določenih del in nalog drugemu obdelovalcu,
- izbris in vrnitev osebnih podatkov upravljavcu po zaključku obdelave, v primeru spora ali v primeru
prenehanja delovanja upravljavca,
- postopek izvajanja revizij.
Pooblaščena oseba upravljavca, ki je navedena v pogodbi o obdelavi osebnih podatkov, mora spremljati
izvajanje postopkov in ukrepov iz tega pravilnika.
VIII. POSTOPKI IN UKREPI ZA VAROVANJE OSEBNIH PODATKOV
32. člen
Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavci in obdelovalci z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotavljajo ustrezno raven varnosti glede na tveganja.
33. člen
(sprejem in posredovanje osebnih podatkov)
Oseba, ki je zadolžena za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku ali organu upravljavca, na katerega je ta pošiljka naslovljena.
Oseba iz prejšnjega odstavka odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo
k upravljalcu - prinesejo jih stranke xxx xxxxxxx, razen pošiljk iz tretjega in četrtega odstavka tega člena.
Oseba iz prvega odstavka tega člena ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
Oseba, ki je zadolžena za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na osebo, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime brez označbe njegovega uradnega položaja in šele nato naslov upravljavca.
34. člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Posebne vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah in vročajo proti podpisu.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.
35. člen
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Posredovanje osebnih podatkov pooblaščenim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli odgovorna oseba za posamezno zbirko osebnih podatkov s potrditvijo kataloga posamezne zbirke osebnih podatkov, ki vsebuje navedbo zunanjih uporabnikov. S tem potrdi stalno pooblastilo za posredovanje osebnih podatkov iz posamezne zbirke.
Za vsako drugo posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se mora zabeležiti na način, da je razvidno, kateri osebni podatki
so bili posredovani, komu, kdaj in na kakšni podlagi.
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
36. člen
(varovanje prostorov in računalniške opreme)
Prostori, v katerih so nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drugi računalniški, elektronski ali mikrofilmski nosilec podatka (v nadaljevanju: varovani prostori) ter strojna in programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Varovanje informacijskih sredstev in podatkov je lahko zagotovljeno na podlagi pogodbe, sklenjene z zunanjim izvajalcem, ki za upravljavca opravlja storitev celovite informacijske podpore.
37. člen
Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni, kot opredeljuje posamezni katalog
zbirke osebnih podatkov.
Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih v informacijskem sistemu upravljavcev pa avtoriziran.
38. člen
V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso pooblaščene za dostop do osebnih podatkov, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da nepooblaščenim ni omogočen vpogled vanje.
Dostop je mogoč le v rednem delovnem času oziroma v okviru objavljenih uradnih ur, izven tega časa pa
samo na podlagi dovoljenja pristojnega funkcionarja upravljavca.
Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.
Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti oseb, ki jih nadzorujejo.
Zaposleni, člani organov in delovnih teles ter drugi pooblaščeni posamezniki, ne smejo puščati nosilcev
osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.
39. člen
V primerih, ko avtorizirana oseba nosilce osebnih podatkov upravljavcev z USB ključi, disketami, CD-ji, prenosnimi računalniki itd. odnese iz službenih prostorov, je za varovanje podatkov na teh nosilcih osebno odgovorna.
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih upravljavcev oziroma
pod pogoji in na način, ki ga določa organizacijski predpis, prek oddaljenega vstopa v informacijski sistem.
40. člen
Vzdrževanje in popravila strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo odgovorne osebe upravljavca oziroma pooblaščene osebe za varstvo osebnih podatkov. Izvajajo ga samo zunanji izvajalci, ki za upravljavca lahko opravljajo storitev celovite informacijske podpore in so zavezani k varovanju zaupnosti podatkov, ki se nahajajo v strojni opremi.
41. člen
Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih le ob prisotnosti ali z vednostjo odgovornega ali pooblaščenega delavca upravljavca.
Izjema so lahko zunanji izvajalci, ki za upravljavca opravljajo storitve celovite informacijske podpore, za
katere to določilo ne velja.
42. člen
Zaposleni, člani organov in delovnih teles, tehnično-vzdrževalni delavci in čistilke se lahko gibljejo v varovanih prostorih izven delovnega časa in brez prisotnosti odgovornega delavca le, če so nosilci podatkov shranjeni in zavarovani na ustrezen način.
Varovanje sistemske in aplikativne programske računalniške opreme ter podatkov, ki se obdelujejo z
računalniško opremo.
43. člen
Dostop do računalniške programske opreme mora biti varovan tako, da dovoljuje dostop samo za to določenim zaposlenim, članom organov in delovnih teles ter drugim pooblaščenim posameznikom, ki se pri izvajanju nalog upravljavca srečujejo z obdelavo osebnih podatkov ter delavcem, ki v skladu s pogodbo opravljajo dogovorjene storitve.
44. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme, ki služi za
obdelavo osebnih podatkov, je dovoljeno samo na pisno zahtevo in z vednostjo odgovorne osebe
upravljavca ter z vednostjo ključnega uporabnika programske opreme in odgovorne osebe za katalog
posamezne zbirke osebnih podatkov.
Izvajajo ga lahko samo pooblaščeni izvajalci, ki imajo z upravljavcem sklenjeno ustrezno pogodbo z
določili o zavarovanju oziroma pogodbeni obdelavi osebnih podatkov.
Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme, ki služi za
obdelavo osebnih podatkov, ustrezno dokumentirati.
45. člen
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke
iz tega pravilnika.
Pooblaščeni za obdelavo in ravnaje z osebnimi podatki vključenimi v informacijski sistem upravljavcev ter oseba, ki kopira podatke, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.
46. člen
Na podlagi pogodbe o opravljanju storitev celovite informacijske podpore, pooblaščeni zunanji izvajalec nudi upravljavcu celovito podporo informacijskih storitev, pa tudi tehnične pogoje za zbiranje in obdelavo podatkov, ki so predmet tega pravilnika.
Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, kjer so osebni podatki, zunanji izvajalec aktivno preverja glede na prisotnost računalniških virusov.
Vsi podatki in programska oprema, ki so namenjeni uporabi na računalnikih in v računalniškem informacijskem sistemu in prispejo k upravljavcu na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
47. člen
Zaposleni delavci, člani organov in delovnih teles in drugi posamezniki, ki se pri izvajanju nalog upravljavcev srečujejo z obdelavo osebnih podatkov, ne smejo brez izrecnega dovoljenja odgovorne osebe upravljavca inštalirati programske opreme.
48. člen
Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.
Režim dodeljevanja, hranjenja in spreminjanja gesel je določen z delovnim navodilom.
49. člen
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje v informacijskem sitemu upravljavca, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, se hranijo v skladu z delovnim navodilom.
Varovana gesla se smejo uporabiti v izjemnih in nujnih primerih z dokumentiranjem uporabe ter kasnejšo
dodelitvijo novega gesla v skladu z delovnim navodilom.
50. člen
Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema ob okvarah ali izgubi
podatkov iz drugih razlogov, se sistemsko redno izdelujejo kopije vsebine osebnih podatkov.
Te kopije se hranijo v za to določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in
elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
51. člen
(brisanje podatkov oz. uničenje nosilcev osebnih podatkov)
Osebni podatki se lahko zbirajo in hranijo le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se vodijo in zbirajo. Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so navedeni v katalogu posamezne zbirke
osebnih podatkov.
52. člen
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča
restavracija vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, mikrofilm) se brišejo z uničenjem nosilcev v skladu z določili delovnega navodila.
53. člen
(obdelava in zavarovanje posebnih vrst osebnih podatkov)
Obdelava posebnih vrst osebnih podatkov je prepovedana, razen če je posameznik v to obdelavo izrecno
xxxxxxxx, ali pa je obdelava predpisana z zakonom.
Obdelava in zavarovanje posebnih vrst osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc biometričnih značilnosti, mora biti izvajana posebno vestno in skrbno:
- posebne vrste osebnih podatkov se ne smejo hraniti izven varovanih prostorov,
- posebne vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico,
- posebne vrste osebnih podatkov se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom,
- obdelava posebnih vrst osebnih podatkov mora biti posebej označena in zavarovana.
Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označene in varovane tako, da se nepooblaščenim osebam prepreči dostop do njih.
IX. DOLOČILA O PRENOSU OSEBNIH PODATKOV V TRETJE DRŽAVE
54. člen
Posredovanje osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem posredovanju v tretjo državo ali mednarodno organizacijo, je dopustno v skladu z zakonodajo s področja varstva osebnih podatkov in pod pogojem, da je Evropska komisija sprejela sklep o ustreznosti, da tretja država ali mednarodna organizacija v celoti zagotavljajo ustrezno raven varstva osebnih podatkov.
Seznam tretjih držav in mednarodnih organizacij, v zvezi s katerimi je bil sprejet sklep o ustreznosti je objavljen v Uradnem listu Evropske unije in na spletni strani Evropske komisije.
Kadar sklep iz prvega odstavka ni sprejet, lahko upravljavec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.
Ne glede na določbe prvega in tretjega odstavka tega člena se lahko osebni podatki prenesejo in
posredujejo v tretjo državo ali mednarodno organizacijo, če:
- je podana izrecna privolitev posameznika, na katerega se nanašajo osebni podatki, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo;
- je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje pred pogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;
- je prenos potreben za sklenitev ali izvajanje pogodbe, ki je v korist posameznika, na katerega se
nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko;
- je prenos potreben zaradi pomembnih razlogov javnega interesa;
- je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
Prenos osebnih podatkov v tretjo državo je potrebno evidentirati.
X. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV
55. člen
Pred nastopom dela delavca na delovnem mestu, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora biti delavec nedvoumno seznanjen z obveznostmi varovanja takih podatkov ter podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov in ki ga opozarja na posledice kršitve zaveze. Varovanje osebnih podatkov je tudi odgovornost, ki je opredeljena v opisih delovnih mest.
Z obveznostjo varovanja osebnih podatkov se seznanijo tudi člani organov in delovnih teles upravljavcev ob nastopu funkcije in drugi posamezniki, ki se pri izvajanju statutarnih nalog v okviru svojih pristojnosti srečujejo z obdelavo osebnih podatkov, ki podpišejo izjavo o varovanju osebnih podatkov.
Dostop do osebnih podatkov imajo osebe, ki so podpisale izjavo iz prvega oziroma drugega odstavka tega člena, vendar le v obsegu, ki je potreben za opravljanje njihovih delovnih oziroma izvajanja statutarnih nalog upravljavca. Nihče ne sme dobiti osebnih podatkov prej ali v večjem obsegu, kot je to potrebno za opravljanje njegovih delovnih nalog.
Pooblaščeni delavci in druge osebe, ki sodelujejo ali so sodelovali pri ravnanju z osebnimi podatki in vse druge osebe, ki so zaradi narave svojega dela prišle v stik z osebnimi podatki, teh podatkov ne smejo sporočiti tretjim osebam, razen v primerih določenih z zakonskimi predpisi na podlagi katerih so zbrani, ali s soglasjem tistega, na katerega se nanašajo osebni podatki, niti jih ne smejo same uporabljati ali omogočiti, da bi jih uporabljaje tretje osebe.
Obveza varovanja osebnih podatkov, s katerimi se delavec, član organa ali delovnega telesa upravljavca ter drug pooblaščen posameznik seznani pri svojem delu pri upravljavcu, traja tudi po prenehanju delovnega razmerja oziroma po prenehanju funkcije oziroma prenehanju izvajanja statutarnih nalog.
56. člen
Zaposleni, člani organov in delovnih teles upravljavca ter drugi pooblaščeni posamezniki, ki se pri izvajanju nalog upravljavca srečujejo z obdelavo osebnih podatkov, stori kršitev delovne dolžnosti:
- če opusti vestno in skrbno nadzorovanje varovanih prostorov,
- če opusti ravnanja za preprečitev vpogleda v podatke ali na nosilce osebnih podatkov,
- če ne uniči kopije osebnih podatkov,
- če ne obvesti pooblaščenega osebja ali pooblaščenega zaposlenega o zlorabi osebnih podatkov
ali vdoru v zbirko osebnih podatkov,
- če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, sozaposlenim ali drugim
osebam, ki nimajo pooblastila za vpogled in obdelavo osebnih podatkov iz te zbirke,
- če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam,
- če brez izrecnega dovoljenja odnaša iz prostorov upravljavca nosilce osebnih podatkov,
- če posreduje osebne podatke pooblaščenim zunanjim institucijam brez dovoljenja pooblaščene
osebe in takega posredovanja ne evidentira,
- če ne izdeluje redno kopije vsebine osebnih podatkov.
Razkrivanje osebnih podatkov nepooblaščenim osebam ali njihova zloraba je sankcionirana kot kršitev delovnih ali članskih dolžnosti – disciplinska kršitev in kot kaznivo dejanje ter hkrati razlog za prenehanje pogodbe o zaposlitvi iz krivdnih razlogov oziroma podlaga za odškodninsko odgovornost.
57. člen
Ob zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov upravljavca, s strani
tretjih oseb, se obvesti organe pooblaščene za pregon.
Ukrepanje ob ugotovitvi o zlorabi osebnih podatkov ali vdoru v zbirke osebnih podatkov
58. člen
Zaposleni, člani organov ali delovnih teles in drugi pooblaščeni, ki se pri izvajanju nalog upravljavca srečujejo z obdelavo osebnih podatkov, so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.
Zaposleni, član organa ali delovnega telesa in drugi pooblaščeni, ki se pri izvajanju nalog upravljavca srečuje z obdelavo osebnih podatkov, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščen dostop do osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti odgovorno osebo za zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero so je vdrlo, ter pooblaščeno osebo za varstvo osebnih podatkov.
Odgovorna oseba je dolžna o dogodku takoj obvestiti vodstvo upravljavca. Način evidentiranja in
poročanja o grožnjah informacijskim sredstvom je opredeljeno v delovnem navodilu.
Osebe, ki izvajajo funkcijo ali poslovno sodelujejo z upravljavcem in ugotovijo, da je prišlo do zlorabe
osebnih podatkov ali vdora v zbirke osebnih podatkov, o tem takoj obvestijo vodstvo upravljavca.
59. člen
Vodstvo upravljavca mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko
osebnih podatkov, ustrezno ukrepati.
Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.
Pooblaščena oseba v primeru kršitve varstva osebnih podatkov ali suma kršitve sproži preiskavo, da ugotovi vrste kršitve osebnih podatkov in posledice ali verjetne posledice kršitve varstva osebnih podatkov. Na podlagi tega predlaga ukrepe za zmanjševanje ali preprečevanje posledic kršitve varstva osebnih podatkov, sankcioniranje kršitve ter preprečevanje tovrstnih kršitev v prihodnje. Ukrepe obravnava in potrdi vodstvo upravljavca.
60. člen
(uradno obvestilo nadzornemu organu in posamezniku o kršitvi varstva osebnih podatkov)
Kadar je verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznika, je pooblaščena oseba za varstvo osebnih podatkov brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, dolžna o njej tudi uradno obvesti Informacijske pooblaščenca Republike Slovenije.
Uradno obvestilo vsebuje vsaj:
- opis vrste kršitve varstva osebnih podatkov,
- kontaktne podatke o Pooblaščenih osebah za varstvo osebnih podatkov,
- opis verjetnih posledic kršitve varstva osebnih podatkov,
- opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve
varstva osebnih podatkov.
V primeru, da gre za kršitve varstva osebnih podatkov, ki lahko povzroči veliko tveganje za pravice in svoboščine posameznikov, je upravljavec dolžan brez nepotrebnega odlašanja sporočiti posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.
V obvestilu posamezniku mora biti v razumljivem in preprostem jeziku opisana kršitev varstva osebnih
podatkov ter informacije iz 2. odstavka tega člena.
61. člen
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja pooblaščena oseba, ki jo imenuje izvršilni organ upravljavca. Nadzor se izvaja praviloma enkrat letno ter ob ugotovljenih kršitvah varstva osebnih podatkov.
XI. KONČNE DOLOČBE
62. člen
Spremembe in dopolnitve tega pravilnika sprejme skupščina RZS po postopku in na način kot velja za
sprejem pravilnika.
63. člen
Dosegljivost pravilnika zaposlenim, članom organov in delovnih teles in drugim posameznikom, ki se pri izvajanju statutarnih nalog upravljavcev v okviru svojih pristojnosti srečujejo z obdelavo osebnih podatkov, ter članstvu in širši javnosti, se zagotavlja na spletnih straneh upravljavcev.
64. člen
Zaposleni, ki delajo na delovnih mestih, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz 55. člena tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.
Člani organov in delovnih teles ter drugi posamezniki, ki se pri izvajanju statutarnih nalog upravljavcev v okviru svojih pristojnosti srečujejo z obdelavo osebnih podatkov, podpišejo izjavo iz 55. člena tega pravilnika do 31. 12. 2021.
Katalogi posameznih zbirk osebnih podatkov, ki ob uveljavitvi tega pravilnika še niso vzpostavljeni, se
vzpostavijo do 31. 12. 2021.
65. člen
Ta pravilnik začne veljati petnajsti dan po dnevu sprejema na skupščini RZS in se objavi na spletni strani RZS. Z dnem veljavnosti tega pravilnika preneha veljati Pravilnik o varstvu osebnih podatkov sprejet na skupščini RZS dne 20.06.2008.
xx. Xxxxxxxx Xxxxxx
predsednik Ribiške zveze Slovenije