Contract

Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov /ZVOP-1/ (Uradni list RS, št. 94/07) in na podlagi Zakona o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06) podjetje CEROP d.o.o. (v nadaljevanju: podjetje), ki ga zastopa direktor Xxxxx Xxxxx, sprejema

PRAVILNIK O VAROVANJU OSEBNIH PODATKOV

I. Splošne določbe

1. člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za varovanje ter zavarovanje osebnih podatkov v podjetju z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Zakona o varstvu osebnih podatkov.

Določila tega pravilnika veljajo in se smiselno uporabljajo tudi za zunanje sodelavce, štipendiste podjetja in kandidate za sklenitev delovnega razmerja.

2. člen

Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi.

V smislu določbe prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:

▪ identifikacijski podatki o posamezniku,

▪ podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,

▪ podatki, ki se nanašajo na družinska razmerja,

▪ podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,

▪ podatki o zaposlitvi,

▪ podatki o socialnem in ekonomskem stanju posameznika,

▪ podatki o izobrazbi in pridobljenih znanjih,

▪ slikovni podatki videonadzora,

▪ podatki o uporabi komunikacijskih sredstev,

▪ podatki o zdravstvenem stanju posameznika,

▪ podatki o posamezniku na področju notranjih zadev.

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1. ZVOP-1 - Zakon o varstvu osebnih podatkov (Ur. l. RS, št. 86/2004, 113/2005 in 94/2007-UPB1);

2. Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;

3. Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;

4. Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;

5. Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);

6. Upravljavec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;

7. Občutljivi osebni podatki - so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;

8. Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;

9. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);

10. Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje posebne podatke v imenu in na račun upravljalca osebnih podatkov;

11. Posredovanje podatkov – je posredovanje ali razkritje osebnih podatkov.

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično-tehnične postopke in ukrepe, s katerimi se:

▪ varujejo prostori, aparature in sistemska programska oprema,

▪ varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,

▪ zagotavlja varnost posredovanja in prenosa osebnih podatkov,

▪ preprečuje nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do njihovih zbirk,

▪ omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vpisani in uporabljeni v zbirki podatkov in kdo je to storil - za obdobje, za katero se posamezni podatki shranjujejo.

Obdelava in zavarovanje občutljivih osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v

sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc biometrične značilnosti, mora biti izvajana posebno vestno in skrbno.

Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in varovani tako, da se nepooblaščenim osebam prepreči dostop do njih.

3. člen

Opis zbirk osebnih podatkov, katerih upravljavec je podjetje, se vodi v katalogu zbirk osebnih podatkov, ki se vodi v skladu z določbami 26. člena ZVOP-1 in hrani v prostorih poslovnega sekretarja. Podatki iz 1., 2., 4., 5., 6., 7., 10., 11., 12. in 13. točke kataloga zbirk osebnih podatkov se posredujejo državnemu organu, pristojnemu za vodenje Registra zbirk osebnih podatkov (Informacijskemu pooblaščencu RS).

Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu državnemu organu. Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki, spremembe pa se v roku 8 dni posredujejo tudi pristojnemu državnemu organu.

Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.

Podjetje je dolžno voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov. V seznam se vpisujejo naslednji podatki: naziv zbirke osebnih podatkov, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko osebnih podatkov ter delovno mesto oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko osebnih podatkov.

II. Varovanje prostorov in računalniške opreme

5. člen

Prostori, v katerih se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drugi računalniški ali elektronski nosilec podatka (v nadaljevanju: varovani prostori) ter strojna in programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz prvega odstavka tega člena je mogoč in dopusten le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja pooblaščene osebe.

Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti zaposlenih, ki jih nadzorujejo.

Zunaj delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema, na katerih se obdelujejo ali hranijo osebni podatki, mora biti zunaj delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika, pa kodiran.

Nosilci osebnih podatkov, hranjeni zunaj aktivnih delovnih prostorov oz. zunaj varovanih prostorov (hodniki, skupni prostori, ipd.) morajo biti stalno zaklenjeni v ognjevarni in protivlomno zaščiteni omari.

Ključi varovanih prostorov se uporabljajo in hranijo v skladu z navodilom pooblaščene osebe. Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.

6. člen

V varovane prostore osebe, ki ne delajo v prostorih in ki niso zaposlene v podjetju, ne smejo vstopati brez spremstva ali prisotnosti zaposlenega. Zaposleni, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti.

Zaposleni, ki pri svojem delu uporabljajo osebne podatke, ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na vidnem mestu ali jih kako drugače izpostavljati nevarnostim vpogleda nepooblaščenim osebam oz. zaposlenim vanje.

V prostorih, ki so namenjeni poslovanju s strankami oz. z osebami, ki niso zaposlene v podjetju, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

7. člen

Nosilcev osebnih podatkov zaposleni podjetja ne smejo odnašati iz podjetja brez izrecnega pisnega dovoljenja pooblaščene osebe, in sicer le za potrebe podjetja.

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih podjetja.

Pooblaščena oseba lahko dovoli iznos nosilcev osebnih podatkov iz podjetja potem, ko zaposleni predhodno vpiše namen in razlog za iznos podatkov iz podjetja v evidenco.

Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli pooblaščena oseba. Tako posredovanje se evidentira.

8. člen

Vzdrževanje in popravila strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s podjetjem sklenjeno ustrezno pogodbo o servisiranju računalniške oz. strojne opreme.

9. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v varovanih prostorih samo z vednostjo pooblaščene osebe.

Tehnično-vzdrževalno osebje in čistilke se lahko zunaj delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

III. Varovanje sistemske in aplikativne programske računalniške opreme ter podatkov, ki se obdelujejo z računalniško opremo

10. člen

Dostop do računalniške programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

11. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo s podjetjem sklenjeno ustrezno pogodbo.

Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

12. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za druge podatke iz tega pravilnika.

13. člen

Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora skrbeti, da se pri servisiranju, popravilu, spreminjanju ali dopolnjevanju sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov po prenehanju potrebe po kopiji ta uniči.

Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti ves čas servisiranja računalnika in programske opreme prisoten in mora nadzirati, da ni nedopustnega ravnanja z osebnimi podatki.

Ob izkazani potrebi po popravilu računalnika, na katerega disku so osebni podatki, zunaj podjetja in brez nadzora pooblaščenega zaposlenega podjetja se morajo podatki z diska računalnika izbrisati tako, da je onemogočena restavracija. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih podjetja v prisotnosti pooblaščenega zaposlenega.

14. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja (z antivirusnimi programi) morebitna prisotnost računalniških virusov.

Ob pojavu računalniškega virusa se tega v čim krajšem času odpravi s pomočjo sektorja (službe), ki pokriva navedeno področje ali s pomočjo zunanjih strokovnjakov, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi na računalnikih podjetja in v računalniškem informacijskem sistemu in prispejo v podjetje na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

Zaposleni ne smejo namestiti nobene programske opreme brez vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema.

Zaposleni ne smejo odnašati programske opreme iz prostorov podjetja brez odobritve pooblaščene osebe in vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema.

16. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

Pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel.

17. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se varujejo pred dostopom nepooblaščenih oseb pri direktorju podjetja.

Varovana gesla se smejo uporabiti v izjemnih in nujnih primerih. Vsaka taka uporaba se dokumentira. Po taki uporabi se določi nova gesla.

18. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.

Te kopije se hranijo v za to določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

IV. Obdelava osebnih podatkov

19. člen

Osebni podatki v podjetju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.

Ne glede na prejšnji odstavek se lahko v podjetju obdelujejo osebni podatki posameznikov, ki so s podjetjem sklenili pogodbo ali pa so na podlagi pobude posameznika s podjetjem v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

Ne glede na prvi odstavek tega člena se lahko v podjetju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov podjetja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Namen obdelave osebnih podatkov v podjetju je lahko opredeljen z zakonom. V primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

21. člen

Osebne podatke lahko pridobivajo in obdelujejo le zaposleni v podjetju, ki imajo za to pooblastila. Pooblastilo za pridobivanje ali obdelavo osebnih podatkov mora biti opredeljeno v opisu del in nalog ali v pooblastilu direktorja podjetja ali pridobljeno s strani skrbnika posamezne zbirke osebnih podatkov.

V. Pogodbena obdelava

22. člen

Podjetje lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz tega pravilnika.

Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz tega pravilnika ter materialne obveznosti pogodbenega obdelovalca v primeru, da pride do nepooblaščenega razkritja osebnih podatkov po njegovi krivdi.

Pooblaščena oseba podjetja, ki je podpisala pogodbo o obdelavi osebnih podatkov mora spremljati izvajanje postopkov in ukrepov iz tega pravilnika.

V primeru spora med podjetjem in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec osebne podatke, ki jih je pogodbeno obdeloval, na podlagi zahteve podjetja, nemudoma vrniti podjetju. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.

V primeru prenehanja delovanja pogodbenega obdelovalca se osebni podatki in morebitne kopije teh podatkov brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.

VI. Katalog zbirke osebnih podatkov

23. člen

Podjetje vodi katalog zbirke osebnih podatkov.

Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki.

Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je treba omogočiti tudi vsakomur, ki to zahteva.

Podjetje je dolžno voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov in katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov. V seznam se vpisujejo naslednji podatki:

▪ naziv zbirke osebnih podatkov,

▪ podatke o upravljavcu osebnih podatkov,

▪ pravno podlago za obdelavo osebnih podatkov,

▪ kategorije posameznikov na katere se nanašajo osebni podatki,

▪ vrste osebnih podatkov v zbirki osebnih podatkov,

▪ namen obdelave,

▪ rok hrambe,

▪ omejitev pravic posameznikov in pravno podlago omejitev,

▪ uporabnike osebnih podatkov,

▪ ali se osebni podatki iznašajo v tretjo državo,

▪ splošen opis zavarovanja osebnih podatkov,

▪ podatke o povezanih zbirkah,

▪ podatke o zastopniku,

▪ pooblaščene osebe za obdelavo osebnih podatkov in vodenja zbirke.

24. člen

Podjetje vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona, in osebne podatke, ki jih vodi na podlagi soglasja osebe, na katero se podatki nanašajo.

Kot stalne zbirke osebnih podatkov podjetje vodi:

▪ katalog evidence podatkov o zaposlenih delavcih,

▪ katalog evidence podatkov o stroških dela,

▪ katalog evidence podatkov o izrabi delovnega časa,

▪ katalog evidence podatkov o oblikah razreševanja kolektivnih delovnih sporov pri delodajalcu,

▪ katalog evidence podatkov o preventivnih zdravstvenih pregledih delavcev,

▪ katalog evidence podatkov o opravljenem usposabljanju za varno delo in preizkusih praktičnega znanja,

▪ katalog evidence podatkov o poškodbah pri delu, kolektivnih nezgodah in ugotovljenih poklicnih boleznih,

▪ katalog evidence podatkov videoposnetkov.

Podjetje lahko za tekoče potrebe poslovanja vzpostavi in vodi tudi druge zbirke osebnih podatkov.

Vrste zbirk osebnih podatkov, ki jih vodi podjetje, so določene z internim seznamom – katalog zbirk osebnih podatkov.

Podjetje o prenehanju vodenja posamezne zbirke osebnih podatkov sporoči pristojnemu državnemu organu, Informacijskemu pooblaščencu RS, najkasneje v 8 dneh po prenehanju vodenja posamezne

zbirke osebnih podatkov, katero zbirko osebnih podatkov je prenehala voditi in kaj je storila z osebnimi podatki iz te zbirke.

25. člen

Zaposleni oz. oseba, o kateri se vodijo osebni podatki, oz. pooblaščenec zaposlenega ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njem oz. o zastopancu, in jih ima pravico prepisati ali kopirati. Vpogled in prepis osebnih podatkov mora biti osebi omogočen v 15 dneh od dneva, ko je vložil pisno zahtevo.

Oseba iz prvega odstavka tega člena ima pravico zahtevati, da ji podjetje posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo. Izpis je treba osebi zagotoviti v 30 dneh od dneva prejema pisne zahteve. Stroške izpisa, ki ga je mogoče pridobiti enkrat na 3 mesece, nosi podjetje.

26. člen

Osebni podatki, vodeni v zbirki osebnih podatkov podjetja, se lahko posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in uporabo pooblaščeni z zakonom, ali na podlagi pisne zahteve ali privolitve osebe, na katero se osebni podatki nanašajo.

Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi podjetje, drugim upravičencem, se evidentira. Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora zaposleni, ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki podatkov podjetja in se nanašajo nanj.

VII. Posebne ureditve za zbirke osebnih podatkov, vodenih v podjetju

Odgovorni v podjetju

27. člen

Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v podjetju, so odgovorni:

▪ Direktor

▪ Poslovni sekretar

▪ Vodja knjigovodstva

Pooblaščeni zaposleni

28. člen

Pooblaščeni zaposleni na delovnih mestih: poslovni sekretar in vodja knjigovodstva so pooblaščeni, da za potrebe dela vpogledajo v osebne podatke, vsebovane v vseh zbirkah osebnih podatkov, vodenih v podjetju in jih uporabijo.

Pooblaščena oseba v katalogu zbirk določi tudi pooblaščene zaposlene za obdelavo osebnih podatkov, vsebovanih v zbirki, po funkciji v podjetju oz. delovnem mestu.

Pooblaščena oseba v podjetju za obdelavo osebnih podatkov v zbirki iz predhodnega odstavka tega člena izda posameznemu zaposlenemu pooblastilo za obdelavo osebnih podatkov v zbirki ali zbirkah osebnih podatkov, s katerim določi obseg pooblastila in vrsto zbirke ali zbirk, za obdelavo katere ali katerih je zaposleni pooblaščen.

Zbirke osebnih podatkov, za katere je potrebno soglasje

29. člen

Pisno soglasje zaposlenih mora podjetje pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo/ga namerava podjetje voditi, pa taka zbirka ali osebni podatek ni predpisana oz. ni predpisan z zakonom.

Osebne podatke zaposlenih lahko podjetje zbira, obdeluje, uporablja in dostavlja tretjim osebam samo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

30. člen

Pisno soglasje iz predhodnega člena mora vsebovati:

▪ jasno opredeljeno voljo za izdajo soglasja,

▪ navedbo podatkov, ki se zbirajo,

▪ natančno opredeljen namen zbiranja podatkov,

▪ zagotovilo, da se bodo podatki uporabljali le za namen, za katerega so zbrani,

▪ čas shranjevanja podatkov,

▪ seznanitev z možnostjo preklica soglasja,

▪ datum podpisa izjave in podpis osebe.

Vodenje in ažuriranje zbirk osebnih podatkov

31. člen

Zbirke osebnih podatkov zaposlenih se vzpostavijo ob sklenitvi delovnega razmerja z osebo oz. se ažurirajo ob vsaki spremembi, ki jo javi zaposleni. Osebne podatke v zbirki osebnih podatkov zaposlenih vzpostavi oz. ažurira poslovni sekretar.

Videonadzor

32. člen

Videonadzor se lahko v podjetju izvaja v službenih oz. poslovnih oz. delovnih prostorih, če je to potrebno zaradi varnosti ljudi in premoženja, zaradi zagotavljanja nadzora vstopa in izstopa ali iz službenih oz. poslovnih oz. delovnih prostorov.

Prepovedano je izvajati videonadzor izven prej navedenih prostorov, in sicer v garderobah in sanitarnih prostorih.

Odločitev o uvedbi videonadzora sprejme direktor podjetja pisno. V tej odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora.

Podjetje mora o izvajanju videonadzora pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru. To obvestilo mora vsebovati:

▪ informacijo, da se izvaja videonadzor,

▪ naziv izvajalca videonadzora,

▪ telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema.

Obvestilo mora biti vidno in razločno nameščeno na način, ki omogoča posamezniku, da se seznani z njim najpozneje v trenutku, ko se nad njim začne izvajati videonadzor. Obvestilo mora biti nameščeno trajno, dokler se izvaja videonadzor.

Zbirka osebnih podatkov videonadzora vsebuje posnetek posameznika (slika oz. glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.

Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.

Videoposnetki se, če ni zaznanih posebnosti, tekoče avtomatsko brišejo oz. najkasneje vsakih 30 dni.

Videoposnetki incidenčnih dogodkov se hranijo do konca postopka, vodenega zaradi incidenčnega dogodka.

Hramba in rok hrambe zbirk osebnih podatkov

33. člen

Za hrambo zbirk osebnih podatkov so odgovorni zaposleni, ki so pooblaščeni za obdelovanje zbirk osebnih podatkov.

34. člen

Zbirke osebnih podatkov zaposlenih v podjetju (kadrovske evidence) in druge zbirke osebnih podatkov, vodene v podjetju, se hranijo v zaklenjeni vodotesni in ognjevarni omari v prostorih poslovnega sekretarja.

35. člen

Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov.

Katalogi zbirk osebnih podatkov so združeni v interni seznam katalogov zbirk osebnih podatkov.

VIII. Sprejem in posredovanje osebnih podatkov

36. člen

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v podjetje - prinesejo jih stranke ali kurirji, razen pošiljk iz drugega in tretjega odstavka tega člena.

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne odpirajo tistih pošiljk, ki so naslovljene na drugo podjetje in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega brez označbe njegovega uradnega položaja in šele nato naslov podjetja.

37. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah in vročajo proti podpisu.

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.

38. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.

39. člen

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.

Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

IX. Brisanje podatkov oz. uničenje nosilcev osebnih podatkov

40. člen

Osebni podatki se lahko zbirajo in hranijo le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se vodijo in zbirajo.

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov.

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov, to je s fizičnim uničenjem nosilcev.

Na enak način se uničuje pomožno gradivo (npr. izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).

Nosilci se fizično uničijo (pokurijo, razrežejo, ipd.) v prostorih podjetja ali pod nadzorom pooblaščene osebe v podjetju.

X. Ukrepanje ob ugotovitvi o zlorabi osebnih podatkov ali vdoru v zbirke osebnih podatkov

42. člen

Zaposleni podjetja so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti pooblaščeno osebo, ki vodi in ureja zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero so je vdrlo.

Pooblaščena oseba mora zoper tistega, ki je zlorabil osebne podatke in je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.

Če obstaja sum pri vdoru v zbirko osebnih podatkov, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so bili izbrani ali če je do zlorabe osebnih podatkov že prišlo, mora pooblaščena oseba poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je delavec podjetja, vdor ali zlorabo oz. poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti nadrejenega, sami pa poskušajo takšno aktivnost preprečiti.

XI. Odgovornost za izvajanje ukrepov zavarovanja osebnih podatkov

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorne pooblaščene osebe, ki jih imenuje direktor podjetja.

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja pooblaščena oseba, ki jo imenuje direktor podjetja.

44. člen

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora biti zaposleni seznanjen z določbami tega pravilnika, določbami Zakona o varstvu osebnih podatkov ter o posledicah kršitve.

Pred nastopom dela zaposlenega mora zaposleni podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne in poslovne skrivnosti in ga opozarja na posledice kršitve zaveze.

45. člen

Razkrivanje osebnih podatkov, s katerimi se zaposleni seznani pri svojem delu, nepooblaščenim osebam ali zloraba teh podatkov je sankcionirana kot hujša kršitev delovnih obveznosti in kot kaznivo dejanje. Hkrati je to tudi razlog za prenehanje pogodbe o zaposlitvi iz krivdnih razlogov.

46. člen

Zaposleni stori lažjo kršitev delovne dolžnosti:

▪ če opusti vestno in skrbno nadzorovanje varovanih prostorov (prvi odstavek 6. člena),

▪ če opusti ravnanja za preprečitev vpogleda v podatke ali na nosilce osebnih podatkov (tretji odstavek 6. člena),

▪ če ne uniči kopije osebnih podatkov (prvi odstavek 13. člena),

▪ če ni prisoten ves čas servisiranja računalnika in programske opreme (drugi odstavek 13. člena),

▪ če ne evidentira kopij vsebin zbirk osebnih podatkov (drugi odstavek 18. člena),

▪ če ne obvesti pooblaščenega osebja ali pooblaščenega zaposlenega o zlorabi osebnih podatkov ali vdoru v zbirko osebnih podatkov.

47. člen

Zaposleni stori hujšo kršitev delovne dolžnosti:

▪ če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, so zaposlenim ali drugim osebam,

▪ če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam (drugi odstavek 6. člena) ,

▪ če brez izrecnega dovoljenja odnaša iz prostorov podjetja nosilce osebnih podatkov (prvi odstavek 7. člena),

▪ če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja pooblaščene osebe in takega posredovanja ne evidentira (četrti odstavek 7. člena),

▪ če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo (prvi odstavek 11. člena),

▪ če namesti programsko opremo ali jo odnese iz prostorov podjetja brez izrecnega dovoljenja pooblaščene osebe (prvi in drugi odstavek 15. člena),

▪ če ne hrani vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih mestih (drugi odstavek 18. člena).

XII. Končne določbe

48. člen

Katalog zbirk in zbirke osebnih podatkov, organizacija zavarovanja osebnih podatkov in ureditev drugih zadev določenih s tem pravilnikom se mora uskladiti z Zakonom o varstvu osebnih podatkov in določbami tega pravilnika v roku 60 dni od dneva sprejema tega pravilnika.

50. člen

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci podjetja.

Ta pravilnik sprejmejo službe oz. zaposleni v čigar delovne obveznosti sodi zbiranje, urejanje, obdelava, spreminjanje, shranjevanje, posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.

51. člen

Zaposleni, ki delajo na delovnih mestih, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz 28. člena tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.

52. člen

Pravilnik, kot tudi njegove spremembe in dopolnitve sprejema odgovorna oseba delodajalca – direktor.

Ta pravilnik začne veljati 8 dna po objavi na oglasni deski podjetja. Pravilnik se hrani v pisarni poslovnega sekretarja.

Vaneča, 4. 4. 2014

Direktor:

XXXXX XXXXX

PRILOGA 1:

IZJAVA O SEZNANJENOSTI S PRAVILNIKOM O VAROVANJU OSEBNIH PODATKOV IN RAVNANJU Z NJIMI

Podpisani/a :

Ime in priimek delavca/ke:                              Naziv delovnega mesta:                 

IZJAVLJAM, da sem seznanjen/a z določili Pravilnika o varovanju osebnih podatkov v podjetju CEROP d.o.o. in na tej osnovi:

▪ da bom dosledno upošteval/a določila,

▪ da bom kot poklicno in poslovno skrivnost varoval/a vse osebne podatke, do katerih v okviru svojega delovnega mesta dostopam in s katerimi upravljam

in jih ne bom:

▪ posredoval/a ali omogočil/a vpogled tretji nepooblaščeni osebi ter

▪ zlorabil/a za namene, za katere ti podatki niso zbrani.

PRAVNI POUK:

Podpisani/a sem seznanjen/a in se zavedam, da je razkrivanje ali posredovanje osebnih in zaupnih podatkov nepooblaščenim osebam in zloraba le-teh podatkov, sankcionirano kot hujša kršitev delovnih obveznosti in kaznivo dejanje.

Podpis delavca/ke:          

Vaneča, dne