Ochrana osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ A INTERNÍ KODEX CHOVÁNÍ

 I. OBECNÁ USTANOVENÍ

Článek 1

Tyto předpisy a Etický kodex definují organizační, technické a logicko-technické postupy a opatření k ochraně a zabezpečení osobních údajů v organizaci s cílem zabránit náhodnému nebo úmyslnému neoprávněnému zničení údajů, jejich změně nebo ztrátě, jakož i neoprávněným přístup, zpracování, použití nebo zpřístupnění osobních údajů.

Zaměstnanci a externí kolegové, kteří při své práci zpracovávají a využívají osobní údaje, musí znát zákon o ochraně osobních údajů, obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o údajích o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, s regionálními právními předpisy, které upravují jednotlivé oblasti jejich práce, a s obsahem těchto pravidel .

Ustanovení tohoto řádu platí a platí přiměřeně pro externí spolupracovníky, stipendisty organizace a uchazeče o zaměstnání, jakož i pro zákazníky a smluvní partnery.

Článek 2

Za chráněné osobní údaje se považují údaje o fyzické osobě, které vypovídají o vlastnostech, poměrech nebo poměrech jednotlivce, bez ohledu na formu, jakou jsou vyjádřeny. Za osobní údaje o fyzické osobě se ve smyslu ustanovení prvního odstavce tohoto článku považují zejména:

a) identifikační údaje o fyzické osobě,
údaje týkající se rasového původu a příslušnosti k národu nebo národnosti,
c) údaje o rodinných vztazích,
údaje o bydlení a životních podmínkách jednotlivce,
e) údaje o zaměstnání,
údaje o sociálním a ekonomickém postavení jednotlivce,
a) údaje o dosaženém vzdělání a dovednostech,
obrazová data z video dohledu,
c) údaje o použití komunikačních prostředků,
údaje o zdravotním stavu jednotlivce,
e) údaje o fyzické osobě v oblasti vnitřních věcí,

 

 Pojmy použité v těchto předpisech a v Kodexu chování mají následující význam:

Organizace – je společnost ve kterých tato politika platí

ZVOP-1 – platný zákon o ochraně osobních údajů (Úřední věstník Republiky Slovinsko, č. 94/07);

Osobní informace – jsou jakékoli údaje, které se týkají jednotlivce, bez ohledu na formu, ve které jsou vyjádřeny;

Individuální – je konkrétní nebo identifikovatelná fyzická osoba, které se osobní údaje týkají; fyzická osoba je identifikovatelná, lze-li ji přímo nebo nepřímo identifikovat, zejména odkazem na identifikační číslo nebo na jeden či více faktorů, které charakterizují její fyzickou, fyziologickou, duševní, ekonomickou, kulturní nebo organizační identitu, přičemž způsob identifikace není způsobit velké náklady nebo nevyžaduje mnoho času;

Shromažďování osobních údajů – je jakýkoli strukturovaný soubor údajů obsahující alespoň jeden osobní údaj, který je přístupný na základě kritérií, která umožňují použití nebo agregaci údajů, bez ohledu na to, zda je soubor centralizovaný, decentralizovaný nebo rozptýlený na funkční nebo geografické bázi; strukturovaný soubor údajů je soubor údajů, který je uspořádán tak, aby určoval nebo umožňoval identifikaci fyzické osoby;

Katalog sběru osobních údajů – je popis shromažďování osobních údajů;

Zpracování osobních údajů – jakákoli operace nebo série operací prováděných v souvislosti s osobními údaji, které jsou automaticky zpracovávány nebo které jsou součástí shromažďování osobních údajů při manuálním zpracování nebo mají být zahrnuty do shromažďování osobních údajů, zejména shromažďování, získávání , zadávání, upravování, ukládání, přizpůsobování nebo upravování, získávání, prohlížení, používání, zveřejňování přenosem, sdělováním, šířením nebo jiným zpřístupňováním, klasifikací nebo spojováním, blokováním, anonymizací, mazáním nebo ničením; zpracování může být manuální nebo automatizované (způsoby zpracování);

Správce osobních údajů - Já organizace, ve které se tato politika uplatňuje, kdo sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů, nebo zákonem stanovená osoba, která rovněž určuje účely a prostředky zpracování;

Citlivé osobní údaje – jsou údaje o rasovém, národnostním nebo etnickém původu, politickém, náboženském, filozofickém přesvědčení, členství v odborech, zdravotním stavu, sexuálním životě, zápisu nebo výmazu v rejstříku trestů nebo záznamech o přestupcích nebo z nich a biometrické charakteristiky;

Uživatel osobní data - je fyzická nebo právnická osoba nebo jiná osoba z veřejného nebo soukromého sektoru,

komu jsou osobní údaje poskytovány nebo zpřístupněny;

Datový nosič - jsou všechny druhy prostředků, na kterých jsou zaznamenávány nebo zaznamenávány informace (dokumenty, akty, materiály, soubory, počítačové vybavení, včetně magnetických, optických nebo jiných počítačových médií, fotokopie, zvukový a obrazový materiál, mikrofilmy, zařízení pro přenos dat, );

Smluvní zpracovatel – je fyzická nebo právnická osoba, která jménem a na účet zpracovává zvláštní údaje

správce osobních údajů;

Přenos dat – je přenos nebo zpřístupnění osobních údajů;

Zákonnost zpracování: Uživatel je povinen zpracovávat osobní údaje pouze zákonně pokud to je je splněna alespoň jedna z následujících podmínek:
  1. fyzická osoba, které se osobní údaje týkají, souhlasil na zpracování jeho osobních údajů pro jeden nebo více stanovených účelů - vlastnoručně podepsat souhlas;
  2. zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je fyzická osoba, jíž se osobní údaje týkají, nebo k provedení opatření na žádost takové fyzické osoby před uzavřením smlouvy;
  3. zpracování je nutné pro plnění zákonných povinností, který se vztahuje na provozovatele (právo EU / zákon RS);
  4. zpracování je nutné pro ochrana života zájmy individuální, kterých se osobní údaje týkají, nebo jiné fyzické osoby;
  5. zpracování je nutné pro plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci,

přiděleno správci (právo EU / právo RS);

  1. je vyžadováno zpracování protože legální zájmy, za kteří si se o to pokouší ovladač nebo třetí strana s výjimkou případů, kdy nad těmito zájmy převažují zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů, zejména je-li subjektem údajů dítě (Výjimka: zpracování údajů orgány veřejné moci při plnění jejich povinností).

V souhlasu, záznamech a kodexu chování je třeba určit účel zpracování (právním základem je bod

bf).

Uvedený právní základ může zahrnovat zvláštní ustanovení, které upravují použití pravidel z Nařízení, včetně: plošné pogoje, které upravují zákonnost zpracování údajů správcem; typy dat, které jsou zpracovávány; dotčené osoby, na které se osobní údaje vztahují; předměty, komu mohou být osobní údaje zpřístupněny, a účely, pro které mohou být zveřejněny; účelová omezení; skladovací doby; a úkony zpracování a postupy zpracování, včetně opatření k zajištění zákonného a spravedlivého zpracování, jako u jiných zvláštních případů zpracování. Právo Unie nebo právo členského státu splňují cíl veřejného zájmu a jsou přiměřené legitimnímu cíli, který sleduje.

pseudonymizace: se rozumí zpracování osobních údajů takovým způsobem, že osobní údaje již nelze bez dodatečných informací přiřadit konkrétnímu subjektu údajů, pokud jsou tyto dodatečné informace uchovávány odděleně a podléhají technickým a organizačním opatřením, aby bylo zajištěno, že není připisováno konkrétní nebo identifikovatelné osobě;

omezení zpracování: znamená označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

vytváření profilů: se rozumí jakákoli forma automatizovaného zpracování osobních údajů, která zahrnuje použití osobních údajů pro hodnocení určitých osobních aspektů týkajících se jednotlivce (analýza, predikce pracovního výkonu atd.);

souhlas jednotlivce, subjekt údajů: znamená jakýkoli dobrovolný, výslovný, informovaný a jednoznačný projev vůle fyzické osoby, jíž se osobní údaje týkají, kterým vyjadřuje souhlas se zpracováním osobních údajů, které se jí týkají, prohlášením nebo jednoznačným potvrzením;

porušení ochrany osobních údajů: znamená porušení zabezpečení, které má za následek náhodné nebo nezákonné zničení, ztrátu, změnu, neoprávněné zveřejnění nebo přístup k osobním údajům přenášeným, uchovávaným nebo jiným způsobem

Článek 3

Ochrana osobních údajů zahrnuje právní, organizační a vhodné logistické a technické postupy a opatření,

s níž:

  • prostory, zařízení a systémový software jsou chráněny,
  • chráněna aplikačním softwarem, který zpracovává osobní údaje,
  • zajišťuje bezpečnost přenosu a předávání osobních údajů,
  • zabraňuje neoprávněným osobám v přístupu k zařízením, na kterých jsou zpracovávány osobní údaje, a do

jejich sbírky,

  • umožňuje následné určení, kdy byly jednotlivé údaje vloženy a použity do databáze a kdo tak učinil - po dobu, po kterou jsou jednotlivá data uložena.

Zpracování a zabezpečení citlivých osobních údajů, včetně údajů o rasovém, etnickém nebo národnostním původu, politickém, náboženském nebo filozofickém přesvědčení, zdravotním stavu, sexuálním životě, zápisu nebo výmazu do nebo z rejstříku trestů nebo záznamů biometrických znaků, musí být prováděno se zvláštní péčí a pečlivě.

Citlivé osobní údaje musí být při zpracování speciálně označeny a zabezpečeny tak, aby k nim byl odepřen přístup neoprávněným osobám, ledaže by je fyzická osoba, které se citlivé osobní údaje týkají, nezveřejnila bez zjevného nebo výslovného úmyslu omezit účel jeho použití.

Článek 4

V souladu s ustanoveními obecného nařízení je zakázáno zpracovávat tyto zvláštní údaje (citlivé údaje), které odhalují: rasový nebo etnický původ, politické smýšlení, náboženské nebo filozofické přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů údaje pro účely jednoznačné identifikace fyzické osoby, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby.

Citlivé osobní údaje (zvláštní údaje) lze zpracovat pouze v následujících případech:

  1. pokud o to jednotlivec požádal vyjádřit osobní souhlas, což je obvykle psaný, stejně jako ve veřejném sektoru

stanoveno zákonem;

  1. pokud je zpracování nezbytné z důvodu plnění povinností a zvláštních práv správce osobních údajů v oblasti zaměstnanosti v souladu se zákonem, který rovněž poskytuje přiměřené záruky individuálních práv;
  2. pokud zpracování naprosto nezbytné k ochraně života nebo těla jednotlivce, kterých se osobní údaje týkají, případně další osoby, kdy fyzická nebo obchodně není fyzická nebo komerčně schopna udělit souhlas z bodu 1 tohoto článku;
  3. pokud pro ně účely legální činnosti zpracovávají instituce, spolky, společnosti, náboženské společnosti, odbory nebo jiné neziskové organizace s politickým, filozofickým, náboženským nebo odborovým cílem, ale pouze pokud se zpracování týká svým členům nebo jednotlivcům, kteří jsou s nimi v souvislosti s těmito cíli v pravidelném kontaktu, a pokud tyto údaje nejsou předávány dalším fyzickým osobám nebo osobám ve veřejném či soukromém sektoru bez písemného souhlasu fyzické osoby, které se týkají;
  4. -li fyzická osoba, které se citlivé osobní údaje týkají, zveřejnil jsem to veřejně bez

se zjevným nebo výslovným záměrem omezit účel jejich použití;

6. je-li pro účely zdravotní péče o obyvatelstvo a jednotlivce, jakož i hospodaření nebo výkonu

zdravotní služby zpracovávají zdravotníci a zdravotničtí pracovníci v souladu se zákonem;

  1. Pokud je potřeba za účelem uplatnění nebo odporování právního nároku;
  2. stanoví-li to jiný zákon z důvodu realizace veřejného zájmu (veřejné zdraví, archivace na veřejnosti).

úroky atd.).

Zpracování osobních údajů v souvislosti s odsouzením za trestné činy a přestupky nebo souvisejícími bezpečnostními opatřeními je prováděno pouze pod dohledem úředního orgánu nebo pokud zpracování dovoluje právo Unie nebo právo Republiky Slovinsko, která zajišťuje přiměřená ochranná opatření pro práva a svobody fyzických osob, jichž se osobní údaje týkají. Veškeré komplexní rejstříky odsouzení za trestné činy jsou vedeny pouze pod dohledem úředního orgánu.

Při předávání citlivých osobních údajů prostřednictvím telekomunikačních sítí se data považují za dostatečně zabezpečená, pokud jsou předávána šifrovacími metodami a elektronickým podpisem tak, že je zajištěna jejich nečitelnost nebo nerozpoznatelnost při přenosu.

Článek 5

Popis shromažďování osobních údajů spravovaných organizací je uchováván v katalog shromažďování osobních údajů a Registr činností zpracování osobních údajů, která je vedena v souladu s ustanovením čl. 26 ZVOP-1 a ustanoveními obecného nařízení o ochraně a uchovávání údajů v prostorách organizace, která tyto předpisy používá.

Pro každý sběr osobních údajů zřizuje správce osobních údajů katalog shromažďování osobních údajů a záznam o činnostech zpracování osobních údajů, který obsahuje informace uvedené v čl. 33 těchto předpisů.

II. PSEUDOMIZACE

Článek 6

Organizace je povinna stanovit zpracování osobních údajů tak, aby osobní údaje již nebylo možné přiřadit konkrétnímu subjektu údajů bez dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a podléhají technickým a organizačním opatřením k zajištění že osobní údaje nejsou přiřazeny konkrétní nebo identifikovatelné osobě.

Kromě nařízení GDPR a zákona o ochraně osobních údajů je organizace povinna řídit se pokyny a pokyny Informačního komisaře Republiky Slovinsko a v souladu s nimi aktualizovat popř. přijmout vhodná opatření a metody pseudodomizace.

III. ZABEZPEČENÍ PROSTORŮ A POČÍTAČOVÉHO VYBAVENÍ

Článek 7

Prostory, ve kterých se nacházejí držitelé chráněných osobních údajů - jakýkoli dokument, na kterém jsou zaznamenány osobní údaje, a jakýkoli jiný počítač nebo elektronický nosič dat (dále: chráněná území) a hardware a software musí být chráněny organizačními a fyzickými a/nebo technickými opatřeními, které brání neoprávněným osobám v přístupu k údajům.

Vstup do prostor uvedených v prvním odstavci tohoto článku je možný a povolen pouze v běžné pracovní době a mimo tuto dobu pouze se svolením oprávněné osoby.

Zabezpečené prostory nesmí zůstat bez dozoru, nebo musí být uzamčeny v nepřítomnosti zaměstnanců, kteří na ně dohlížejí. Mimo pracovní dobu musí být skříňky a stoly s nosiči osobních údajů uzamčeny, počítače a další hardware, na kterém jsou osobní údaje zpracovávány nebo uchovávány, musí být mimo pracovní dobu vypnuty a fyzicky nebo softwarově uzamčeny, přístup k osobním údajům uloženým na diskovém počítači, ale kódované.

Držitelé osobních údajů uchovávaných mimo aktivní pracovní prostory popř mimo chráněné prostory (chodby, společné prostory apod.) musí být trvale uzamčeny v ohnivzdorné a proti vloupání zabezpečené skříni. Klíče od zabezpečených prostor jsou používány a uchovávány v souladu s pokyny oprávněné osoby. Citlivé osobní údaje nesmí být uchovávány mimo zabezpečená místa.

Článek 8

Osoby, které v areálu nepracují a nejsou zaměstnanci organizace, nesmí bez doprovodu nebo v přítomnosti zaměstnance vstupovat do chráněných prostor.

Zaměstnanec, který pracuje v chráněných prostorech, musí prostor svědomitě a pečlivě kontrolovat a při odchodu uzamknout.

Zaměstnanci, kteří při své práci využívají osobní údaje, nebo je jakýmkoliv způsobem zpracovávají, nesmí v pracovní době nechávat nosiče osobních údajů na viditelném místě nebo je jinak vystavovat riziku kontroly neoprávněnými osobami popř. v nich zaměstnaní. V místnostech určených pro podnikání se zákazníky popř s osobami, které nejsou zaměstnanci organizace, musí být datové nosiče a počítačové displeje instalovány tak, aby na ně zákazníci neměli výhled.

Článek 9

Zaměstnanci organizace nesmějí bez výslovného písemného souhlasu odvádět držitele osobních údajů z organizace

povolení oprávněné osoby, a to pouze pro potřeby organizace.

Zpracování osobních údajů ze shromažďování osobních údajů je povoleno pouze v prostorách organizace, která používá tyto zásady, přičemž tyto údaje jsou zpracovávány zákonně a poctivě.

Oprávněná osoba může povolit odstranění nosičů osobních údajů z organizace po předchozím souhlasu zaměstnance

zadejte účel a důvod exportu dat z organizace do evidence.

Předání osobních údajů pověřeným externím institucím a dalším osobám, které prokáží právní základ pro získání osobních údajů, povoluje oprávněná osoba. Takový zásah se zaznamená.

Článek 10

 Údržba a opravy počítačového hardwaru a dalšího vybavení, se kterým jsou osobní údaje zpracovávány, jsou povoleny pouze s vědomím a souhlasem oprávněné osoby a mohou je provádět pouze autorizované servisy a jejich pracovníci údržby, kteří mají uzavřenou příslušnou smlouvu o servisu výpočetní techniky. s organizacemi popř Hardware.

Článek 11

Provozovny, správci hardwaru a softwaru, návštěvníci a obchodní partneři se mohou pohybovat v zabezpečených prostorách pouze s vědomím oprávněné osoby.

Technicko-údržbáři a uklízeči se mohou mimo pracovní dobu pohybovat pouze v těch chráněných prostorách, kde je zamezený přístup k osobním údajům (datové nosiče jsou uloženy v uzamčených skříních a stolech, počítače a další hardware jsou vypnuté nebo jinak fyzicky či softwarově uzamčeny).

IV. ZABEZPEČENÍ SOFTWARU POČÍTAČOVÉHO ZAŘÍZENÍ A DAT ZPRACOVANÝCH POČÍTAČOVÝM VYBAVENÍM

Článek 12

Přístup k počítačovému softwaru musí být chráněn tak, aby umožňoval přístup pouze předem určeným zaměstnancům nebo právnickým či fyzickým osobám, které provádějí sjednané služby v souladu se smlouvou.

Článek 13

Opravy, změny a doplňování systémového a aplikačního software je povoleno pouze se souhlasem oprávněné osoby a mohou je provádět pouze autorizované služby a organizace a fyzické osoby, které mají s organizacemi uzavřenou příslušnou smlouvu. Dodavatelé musí řádně zdokumentovat změny a doplnění systémového a aplikačního softwaru.

Článek 14

Pro ukládání a zabezpečení aplikačního softwaru platí stejná ustanovení jako pro ostatní data z něj

předpisy.

Článek 15

Zaměstnanec oprávněný zpracovávat a nakládat s osobními údaji na počítači je povinen zajistit, aby při servisu, opravě, změně nebo doplňování systémového nebo aplikačního programového vybavení byly osobní údaje zlikvidovány, pomine-li potřeba kopie.

Po celou dobu servisu počítače a programového vybavení musí být přítomen pracovník pověřený zpracováním a nakládáním s osobními údaji na počítači a musí dohlížet, aby nedocházelo k nepřípustnému nakládání s osobními údaji.

Při prokázané potřebě opravy počítače s osobními údaji na disku mimo organizaci a bez dozoru pověřeného pracovníka organizace musí být data z disku počítače smazána tak, aby byla znemožněna obnova . Pokud takové vymazání není možné, musí být oprava provedena v provozovně organizace za přítomnosti pověřeného pracovníka.

Článek 16

Aktualizuje se obsah disků síťového serveru a lokálních pracovních stanic, kde se nacházejí osobní údaje

kontroluje (antivirovými programy) případnou přítomnost počítačových virů.

Objeví-li se počítačový virus, je s pomocí sektoru (oddělení), který pokrývá uvedenou oblast nebo s pomocí externích odborníků, co nejdříve eliminován a zároveň je příčina výskytu viru v počítačový informační systém je určen.

Veškerá osobní data a software, které jsou určeny k použití na počítačích organizace a v počítačovém informačním systému a dostávají se do organizace na nosičích počítačových dat nebo prostřednictvím telekomunikačních kanálů, musí být před použitím zkontrolovány na přítomnost počítačových virů.

Článek 17

Zaměstnanci nesmí instalovat žádný software bez vědomí osob odpovědných za provoz počítačového informačního systému. Zaměstnanci nesmějí odstraňovat software z prostor organizace bez souhlasu oprávněné osoby a vědomí osob odpovědných za provoz počítačového informačního systému.

Článek 18

Přístup k datům prostřednictvím aplikačního programového vybavení je chráněn systémem hesel pro autorizaci a identifikaci uživatelů programů a dat a systém hesel musí umožňovat i možnost následného zjištění, kdy byly jednotlivé osobní údaje vloženy do databáze, použity nebo jinak zpracovány, a kdo to udělal.

Oprávněná osoba určuje režim přidělování, ukládání a změny hesel.

Článek 19

Všechna hesla a postupy používané pro vstup a správu sítě osobních počítačů (hesla pro dohled nebo kontrolu), správu elektronické pošty a správu aplikačních programů jsou u zástupce chráněny proti přístupu neoprávněných osob.

Ve výjimečných a naléhavých případech lze použít chráněná hesla. Každé takové použití musí být zdokumentováno. Potom

jsou použita nová hesla.

Článek 20

Pro potřeby obnovy počítačového systému při poruchách a jiných výjimečných situacích jsou zaručeny pravidelné kopie obsahu síťového serveru a lokálních stanic, pokud se tam data nacházejí.

Tyto kopie jsou uchovávány na místech k tomu určených, která musí být ohnivzdorná, chráněná proti zaplavení a elektromagnetickému rušení, v předepsaných klimatických podmínkách a uzamčená.

V. ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Článek 21

Osobní údaje v organizaci umí zpracovat, pokud zpracování osobních údajů a osobních údajů, které zpracovávají, je stanoveno zákonem nebo jde-li o zpracování některých osobních údajů udělený osobní souhlas fyzické osoby, který je vlastnoručně podepsán (souhlas).

 

Bez ohledu na předchozí odstavec osobní údaje fyzických osob, které jsou uzavřeli s organizacemi smlouvu nebo jsou na základě podnětu jednotlivce ve fázi jednání s organizacemi o uzavření smlouvy, pokud je zpracování osobních údajů nezbytné pro uskutečnění jednání o uzavření smlouvy nebo pro plnění smlouvy, ale je také nutné co nejdříve získat jejich vlastnoruční souhlas.

Bez ohledu na první odstavec tohoto článku mohou být osobní údaje zpracovávány v organizaci, pokud je to nezbytné pro realizaci oprávněných zájmů organizace a tyto zájmy jednoznačně převažují nad zájmy fyzické osoby, které se osobní údaje týkají.

 Článek 22

Účel zpracování osobních údajů v organizaci může být vymezen zákonem. V případě zpracování na základě osobního souhlasu fyzické osoby musí být fyzická osoba předem písemně nebo jiným vhodným způsobem informována o účelu zpracování osobních údajů.

Článek 23

Osobní údaje mohou získávat a zpracovávat pouze zaměstnanci organizace, kteří k tomu mají oprávnění resp externí pověřenec pro ochranu osobních údajů (DPO). Oprávnění k získávání nebo zpracování osobních údajů musí být definováno v popisu prací a úkolů nebo v pověření zástupce organizace nebo získané správcem individuálního shromažďování osobních údajů.

OPRÁVNĚNÁ OSOBA PRO OCHRANU ÚDAJŮ (DPO)

Článek 24

Organizace může mít jmenovaného pověřence pro ochranu osobních údajů, ale je povinna jmenovat pověřeného pověřence pro ochranu osobních údajů (zkráceně: DPO), kdykoli:

  • zpracování provádí orgán veřejné moci nebo subjekt s výjimkou soudů, které vystupují jako soudní orgán;
  • mezi hlavní činnosti správce nebo zpracovatele patří zpracovatelské úkony, kdy vzhledem ke své povaze, rozsahu a/nebo účelům musí být fyzické osoby, jichž se osobní údaje týkají, pravidelně a systematicky rozsáhle sledovány, nebo
  • mezi hlavní činnosti správce nebo zpracovatele patří rozsáhlé zpracování zvláštních typů údajů a osobních údajů souvisejících s odsouzením za trestné činy a přestupky.

Spřízněná organizace může jmenovat jednoho pověřence pro ochranu údajů, pokud je tento pověřenec pro ochranu údajů pro

ochrana dat snadno dostupná z každé jednotky.

I v případech neuvedených v předchozím odstavci může organizace jmenovat pověřenou osobu pro ochranu údajů. Pověřenec pro ochranu osobních údajů může jednat jménem organizace zastupující správce nebo zpracovatele. Oprávněná osoba pro ochranu osobních údajů je jmenována na základě odborných zásluh a zejména odborných znalostí legislativy a praxe v oblasti ochrany osobních údajů, jakož i schopnosti plnit úkoly.

Oprávněnou osobou pro ochranu údajů může být zaměstnanec organizace (zaměstnanci, vedení) nebo plnit úkoly na základě servisní smlouvy.

Organizace je povinna zveřejnit kontaktní údaje oprávněné osoby pro ochranu údajů a oznámit je dozorovému úřadu (Informační komisař Republiky Slovinsko).

Organizace dle činnosti L68.310 - Zprostředkování obchodu s nemovitostmi je dnem přijetí těchto předpisů povinna jmenovat pověřenou osobu pro ochranu osobních údajů (DPO).

Článek 25

Organizace je povinna zajistit, aby pověřený pověřenec pro ochranu osobních údajů (DPO) byl řádně a včas zapojen do všech záležitostí souvisejících s ochranou osobních údajů.

Organizace (Správce a zpracovatel) je povinna pomáhat DPO při plnění úkolů (z čl. 27 těchto předpisů a Kodexu), a to poskytnutím prostředků nezbytných pro plnění těchto úkolů a přístupem k osobním údajům a úkony zpracování, stejně jako zachování odbornosti DPO (vzdělávání).

Organizace zajišťuje, aby pověřenec pro ochranu údajů při plnění těchto úkolů žádné neobdržel

instrukce.

DPO nesmí být propuštěn nebo potrestán za plnění svých povinností. DPO je přímo podřízen nejvyšší správní úrovni organizace (managementu).

Subjekty údajů se mohou obracet na DPO se všemi otázkami souvisejícími se zpracováním jejich osobních údajů a výkonem jejich práv na základě obecného nařízení o ochraně osobních údajů.

Organizace je povinna zajistit, aby takové úkoly a povinnosti nevytvářely střet zájmů.

Článek 26

Oprávněná osoba pro ochranu údajů má minimálně tyto úkoly:

  1. informování vedení organizace a zaměstnanců, kteří zpracování provádějí, a poučení o jejich povinnostech
  2. sledování dodržování ustanovení nařízení GDPR, dalších ustanovení práva Unie nebo práva Republiky Slovinsko o ochraně údajů a zásadách správce nebo zpracovatele ve vztahu k ochraně osobních údajů, včetně zadávání úkolů, informovanosti a školení personálu zapojeného do činností zpracování a souvisejících auditů;
  3. na požádání poradenství v oblasti posouzení dopadů v souvislosti s ochranou údajů a sledování jejího provádění;
  4. spolupráce s dozorovým úřadem;
  5. působí jako kontaktní místo pro dozorový úřad pro dotazy související se zpracováním, včetně předchozího

konzultace a případně konzultace o jakékoli jiné záležitosti.

DPO je povinen při výkonu své funkce chránit mlčenlivost nebo mlčenlivost a může dodatečně plnit další povinnosti

úkoly a povinnosti, které mu organizace ukládá.

Oprávněná osoba pro ochranu údajů při plnění svých úkolů zohledňuje riziko spojené s jednáním

zpracování, a povahu, rozsah, okolnosti a účely zpracování.

UPOZORNĚNÍ PRO VEŘEJNOST A JEDNOTLIVCE

Organizace je povinna respektovat zásadu spravedlivého a transparentního zpracování, která vyžaduje, aby byl subjekt údajů informován o existenci aktu zpracování a jeho účelech.

Článek 27

Organizace je povinna vůči fyzické osobě, které se osobní údaje týkají:

  1. poskytnout veškeré dodatečné informace nezbytné k zajištění spravedlivého a transparentního zpracování s přihlédnutím ke konkrétním okolnostem a rámci zpracování osobních údajů;
  2. informovat o existenci profilování a jeho důsledcích;
  3. dále informovat o tom, zda je fyzická osoba povinna osobní údaje předat, ao důsledcích, když tyto údaje nepředloží;
  4. informovat o právu odvolat souhlas (souhlas) se zpracováním jeho osobních údajů;
  5. informovat výslovně a odděleně od ostatních informací o právu stěžovat si na zpracování svých údajů (výslovné upozornění nejpozději při první komunikaci s jednotlivcem, toto právo je mu prezentováno jasně a odděleně od všech ostatních informací);
  6. oznámit bez zbytečného odkladu porušení ochrany osobních údajů, je-li pravděpodobné, že by toto porušení ochrany osobních údajů mohlo způsobit vysoké riziko pro práva a svobody fyzické osoby, aby mohla být přiměřeně chráněna

Tyto informace lze společně indikovat pomocí standardizovaných ikon popř v písemném souhlasu poskytnout smysluplný přehled o plánovaném zpracování jasně viditelným, srozumitelným a čitelným způsobem. V případě, že jsou ikony poskytovány v elektronické podobě, měly by být strojově čitelné.

Článek 28

Zpráva z čl. 27 písm. d) musí obsahovat: popis druhu porušení ochrany osobních údajů, další informace a opatření (sdělení o jménu a kontaktních údajích oprávněné osoby pro ochranu osobních údajů, popis pravděpodobných následků porušení, popis opatření).

Oznámení fyzické osobě se nevyžaduje, pokud je splněna některá z následujících podmínek:

  1. organizace (správce) přijal vhodná technická a organizační ochranná opatření a tato opatření byla uplatněna na osobní údaje, ve vztahu k nimž došlo k porušení zabezpečení, zejména opatření, na jejichž základě se osobní údaje stanou nesrozumitelnými pro kohokoli, kdo k nim nemá oprávnění, jako je šifrování;
  2. organizace přijala následná opatření k zajištění vysokého rizika pro práva a svobody fyzických osob, kterých se osobní údaje týkají;
  3. to by vyžadovalo nepřiměřené

V takovém případě se místo toho zveřejní vyhláška nebo se provede obdobné opatření, kterým jednotlivci

na koho se osobní údaje vztahují, stejně účinně informováni.

V případě, že organizace neinformuje osobu, jíž se osobní údaje týkají, o porušení ochrany osobních údajů, může si to od ní dozorový úřad (Informační komisař Republiky Slovinsko) vyžádat po posouzení pravděpodobnosti, že došlo k porušení ochrany osobních údajů. ochrana by představovala vysoké riziko.

Článek 29

Fyzické osoby, kterých se osobní údaje týkají, musí být informovány o zpracování osobních údajů ve vztahu k nim v době shromažďování údajů od fyzické osoby, které se osobní údaje týkají (např. při podpisu souhlasu), nebo při získávání osobních údajů z jiného zdroje, v přiměřené lhůtě podle okolností případu.

Pokud mohou být osobní údaje legálně zpřístupněny jinému uživateli (poprvé), je organizace povinna předem informovat jednotlivce, kterého se osobní údaje týkají.

Pokud má organizace v úmyslu zpracovávat osobní údaje pro jiný účel, než pro který byly shromážděny, je organizace povinna informovat fyzickou osobu, jíž se osobní údaje týkají, s tímto jiným účelem a poskytnout jí další potřebné informace před takovým dalším zpracování dat.

Pokud není možné sdělit původ osobních údajů dané osobě z důvodu použití různých zdrojů, měly by jí být poskytnuty obecné informace.

Článek 30

V případě porušení ochrany osobních údajů je organizace povinna toto porušení oficiálně oznámit dozorovému orgánu (Informační komisař Republiky Slovinsko). bez zbytečného odkladu a nejlépe nejpozději do 72 hodin poté, co se o porušení dozvěděl, pokud organizace nemůže v souladu se zásadou odpovědnosti prokázat, že je nepravděpodobné, že by porušení ochrany osobních údajů ohrozilo práva a svobody fyzických osob.

V případě, že úřední oznámení nelze podat do 72 hodin, je organizace povinna přiložit k úřednímu oznámení

důvody prodlení a informace lze poskytovat postupně a bez dalšího zbytečného odkladu.

Oznámení musí obsahovat alespoň:

  1. popis druhu porušení ochrany osobních údajů, případně i kategorie a přibližný počet dotčených osob, kterých se osobní údaje týkají, a druhy a přibližný počet dotčených záznamů osobních údajů;
  2. zprávu o jménu a kontaktních údajích pověřeného pověřence pro ochranu osobních údajů nebo jiné kontaktní místo, kde lze získat více informací;
  3. popis pravděpodobných následků porušení ochrana osobních údajů;
  4. popis opatření, které provozovatel přijme nebo jehož přijetí je navrženo k řešení porušení ochrany osobních údajů, jakož i opatření ke zmírnění možných nepříznivých dopadů porušení, pokud

Pokud a v rozsahu, v jakém nelze informace poskytnout současně, mohou být informace poskytovány postupně bez zbytečného dalšího odkladu.

Správce dokumentuje každé porušení ochrany osobních údajů, včetně skutečností souvisejících s porušením ochrany osobních údajů, jeho dopady a přijatá nápravná opatření. Tato dokumentace umožňuje dozorovému orgánu ověřit soulad s tímto článkem.

Článek 31

Organizace je rovněž povinna informovat jednotlivce, kterého se porušení týká, o vznikajících porušení A o opatřeních bez zbytečné zdržování oz. nejpozději do 30 dnů od obdržení žádosti. V případě potřeby lze tuto lhůtu s ohledem na složitost a počet žádostí prodloužit maximálně o další dva měsíce (prodloužení o dalších 60 dnů). Organizace je povinna informovat jednotlivce o každém takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody prodlení.

Informace a veškerá komunikace a akce jsou poskytovány zdarma.

Pokud jsou žádosti subjektu údajů zjevně neopodstatněné nebo nepřiměřené, zejména proto, že se opakují, může organizace:

  • účtovat přiměřený poplatek zohledňující administrativní náklady na poskytnutí informace nebo sdělení

nebo provedení požadované akce, popř

  • odmítá jednat ve vztahu k

VI. SMLUVNÍ (EXTERNÍ) ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Článek 32

Jednotlivé úkoly související se zpracováním osobních údajů může organizace pověřit smlouvou smluvního zpracovatele, který je registrován k výkonu takové činnosti a poskytuje příslušné postupy a opatření z těchto předpisů.

 

Smluvní zpracovatel může v rámci provádět jednotlivé úkony související se zpracováním osobních údajů

nesmí zpracovávat přihlašovací údaje a osobní údaje klienta k jinému účelu.

Vzájemná práva a povinnosti jsou upraveny smlouvou, která musí být uzavřena písemně a musí obsahovat také ujednání o postupech a opatřeních z tohoto řádu, jakož i věcné povinnosti smluvního zpracovatele pro případ neoprávněného zpřístupnění osobních údajů z důvodu na jeho vinu.

Oprávněná osoba organizace, která podepsala smlouvu o zpracování osobních údajů, musí sledovat plnění postupů a opatření z tohoto řádu. V případě sporu mezi organizací a smluvním zpracovatelem je smluvní zpracovatel povinen na základě žádosti organizace neprodleně vrátit osobní údaje, které smluvně zpracovával.

Jakékoli kopie těchto údajů musí být neprodleně zničeny nebo předány státnímu orgánu, který je podle zákona příslušný k odhalování nebo stíhání trestných činů, soudu nebo jinému státnímu orgánu, stanoví-li tak zákon. V případě, že zpracovatel smlouvy ukončí činnost, budou osobní údaje a případné kopie těchto údajů bez zbytečného odkladu vráceny správci osobních údajů.

VII. KATALOG SBĚRU OSOBNÍCH ÚDAJŮ

Článek 33

Organizace vede katalog shromažďování osobních údajů.

Katalog sbírek osobních údajů je aktualizován pokaždé, když se změní typ osobních údajů v každé sbírce. Zaměstnanci, kteří zpracovávají osobní údaje, musí být seznámeni s katalogem shromažďování osobních údajů, přístup do katalogu sbírek osobních údajů musí být rovněž zpřístupněn každému, kdo o to požádá.

 Organizace je povinna vést aktuální seznam, ze kterého je u každého shromažďování osobních údajů zřejmé, která osoba je za jednotlivé shromažďování osobních údajů odpovědná a které osoby mohou vzhledem k povaze své práce zpracovávat osobní údaje týkající se každého sběru osobních údajů.

  1. název sběru osobních údajů;
  2. údaje o správci osobních údajů (u fyzické osoby: jméno a příjmení, adresa provozovny nebo adresa trvalého nebo přechodného pobytu, a u samostatného podnikatele také firma, sídlo a IČ; u právnické osoby: název nebo firma a adresa nebo sídlo správce osobních údajů a rodné číslo);
  3. právní základ pro zpracování osobních údajů;
  4. kategorie osob, kterých se osobní údaje týkají;
  5. typy osobních údajů při shromažďování osobních údajů;
  6. účel zpracování;
  7. doba uchovávání osobních údajů;
  8. omezení práv fyzických osob ohledně osobních údajů při shromažďování osobních údajů a právní základ omezení;
  9. uživatelé nebo kategorie uživatelů osobních údajů obsažených ve sběru osobních údajů;
  10. skutečnost, zda jsou osobní údaje předávány do třetí země, kde, komu a právní základ částky;
  11. obecný popis ochrany osobních údajů;
  12. údaje o souvisejících sběrech osobních údajů z úředních záznamů a veřejných knih;
  13. údaje o zástupci z § 5 odst. XNUMX tohoto zákona (u fyzické osoby: jméno osoby, adresa provozovny nebo adresa trvalého nebo přechodného pobytu a u samostatného fyzického podnikatele firma, sídlo a IČ; pro právnická osoba: titul nebo firma a adresa nebo sídlo správce osobních údajů a IČ).

Správce osobních údajů musí zajistit správnost a aktuálnost obsahu katalogu.

Údaje z bodů 1, 2, 4, 5, 6, 9, 10, 11, 12 a 13 katalogu sběrů osobních údajů jsou zprostředkující na stát

orgánu odpovědnému za správu registru shromažďování osobních údajů (komisař pro informace Republiky Slovinsko).

 Tato povinnost platí do nabytí účinnosti Nařízení GDPR, tedy do 25.5.2018. května XNUMX, poté již není ustanovení z předchozího odstavce závazné, pokud právní předpisy Republiky Slovinsko nestanoví jinak.

Pro každý sběr osobních údajů bude poskytnut katalog sběru osobních údajů nejpozději 15 dnů před založením shromažďování osobních údajůa údaje z katalogu ve stejném období jsou rovněž předány příslušnému orgánu státnímu orgánu.

Katalog sbírek osobních údajů je aktualizován pokaždé, když se změní typ osobních údajů v jednotlivé sbírce,

změny se provádějí do 8 dnů jsou rovněž předány příslušnému státnímu orgánu.

Zaměstnanci, kteří zpracovávají osobní údaje, musí znát katalog sběrů osobních údajů, porozumění v

musí být také povolen katalog shromažďování osobních údajů každému, kdo o to požádá.

Článek 34

Organizace spravuje osobní údaje v databázích osobních údajů zřízených zákonem a osobní údaje

údaje, které uchovává na základě souhlasu osoby, které se údaje týkají.

Jako trvalé shromažďování osobních údajů organizace uchovává:

  1. katalog záznamů údajů o zaměstnaných pracovnících,
  2. katalog záznamů o mzdových nákladech,
  3. katalog evidence údajů o čerpání pracovní doby,
  4. katalog záznamů údajů o preventivních lékařských prohlídkách pracovníků,
  5. katalog záznamů údajů o absolvovaném školení bezpečné práce a zkouškách praktických znalostí,
  6. zákaznický / obchodní katalog

Organizace může zakládat a spravovat další shromažďování osobních údajů pro pokračující obchodní potřeby. Typy shromažďování osobních údajů spravované organizací jsou stanoveny interním seznamem – katalogem shromažďování osobních údajů. Organizace informuje příslušný státní orgán, komisaře pro informace Republiky Slovinsko, o ukončení správy jednotlivého shromažďování osobních údajů, a to nejpozději do 8 dnů po ukončení správy jednotlivého shromažďování osobních údajů, které shromažďuje osobních údajů, které přestala spravovat, a co s osobními údaji z tohoto sběru udělala.

Článek 35

Zaměstnanci popř osoba, o které jsou osobní údaje vedeny, popř oprávněný zástupce zaměstnance nebo osoba či zákonný zástupce osoby, jejíž osobní údaje jsou vedeny při sběru osobních údajů, může přístup k osobním údajům o něm vedeným popř o zástupci a má právo je kopírovat nebo kopírovat.

 Přístup a přepis osobních údajů osoba musí být povolena 15 dnů ode dne podání písemné žádosti. Osoba uvedená v prvním odstavci tohoto článku má právo požadovat, aby jí organizace poskytla výpis osobních údajů ze sběru osobních údajů, které se jí týkají. Výpis musí být osobě poskytnut do 30 dnů od obdržení písemné žádosti. Náklady na tisk, který lze získat jednou za 3 měsíce, nese organizace.

Článek 36

Osobní údaje vedené při sběru osobních údajů resp záznamy organizace, mohou být předány dalším uživatelům pouze v případě, že jsou oprávněni je získávat a používat ze zákona, nebo na základě písemné žádosti či souhlasu osoby, které se osobní údaje týkají.

Předávání osobních údajů ze sbírek osobních údajů vedených organizací dalším příjemcům je evidováno. Na žádost osoby, o níž byly osobní údaje poskytnuty, je zaměstnanec, který poskytl osobní údaje, povinen předat osobě seznam subjektů, kterým byly po určitou dobu poskytnuty údaje obsažené v databázi organizace a vztahující se k ní. .

VIII. EVIDENCE ZPRACOVATELSKÉ ČINNOSTI

Článek 37

Organizace (a zástupce provozovatele, pokud takový existuje) je povinen vést záznamy o činnostech zpracování osobních údajů v rámci své odpovědnosti, pokud jsou splněny následující podmínky:

  • jestliže zpracování, které provádí, může představovat riziko pro práva a svobody fyzických osob a není příležitostné nebo,
  • zpracování se týká zvláštních typů údajů (zvláštní osobní údaje, citlivé údaje) nebo;
  • osobní údaje související s odsouzením za trestné činy a přečiny;
  • zaměstnává 250 a více

V každém případě může organizace vést záznamy o činnostech zpracování osobních údajů, neboť tím prokazuje, že postupuje v souladu se zásadou odpovědnosti a ochrany práv a svobod fyzických osob a v souladu s obecným nařízením o ochraně osobních údajů.

Článek 38

Tento záznam o činnostech zpracování osobních údajů obsahuje následující informace:

 

  1. titul nebo jméno a kontaktní údaje organizace, (také společného správce, zástupce správce

a oprávněné osoby pro ochranu údajů – pokud existují);

b) účely zpracování;
  1. popis kategorií osob, kterých se osobní údaje týkají, a typů osobních údajů;
  2. kategorie uživatelů, kterým byly nebo budou osobní údaje zpřístupněny (včetně uživatelů ve třetích zemích nebo mezinárodních organizacích);
e) informace o předávání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země nebo mezinárodní organizace, jakož i dokumentace o vhodných ochranných opatřeních;
  1. lhůty pro výmaz různých typů dat;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.
Důkaz činnosti zpracování osobních údajů je v v písemné (včetně elektronické) podobě.
 Organizace popř je oprávněná osoba dozorovému orgánu (Informační komisař Republiky Slovinsko) na požádání o předložení záznamů popř povolit k němu přístup.

 ZABEZPEČENÍ ZPRACOVÁNÍ

Článek 39

S přihlédnutím k nejnovějšímu technologickému vývoji a nákladům na implementaci, jakož i k povaze, rozsahu, okolnostem a účelům zpracování, jakož i k rizikům pro práva a svobody fyzických osob, která se liší v pravděpodobnosti a závažnosti, je organizace povinna zajistit přiměřenou úroveň zabezpečení zavedením vhodných technických a organizačních opatření k riziku, včetně, nikoli však výhradně, následujících opatření:

  1. pseudonymizace a šifrování osobních údajů;
  2. schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
  3. schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu;
  4. prostřednictvím procesu pravidelného testování, posuzování a hodnocení technické a organizační efektivity

opatření k zajištění bezpečnosti zpracování.

Při určování vhodné úrovně zabezpečení je třeba věnovat zvláštní pozornost rizikům, která představuje zpracování, zejména v důsledku náhodného nebo nezákonného zničení, ztráty, změny, neoprávněného zveřejnění nebo přístupu k osobním údajům, které jsou přenášeny, uchovávány nebo jinak zpracovávány.

Organizace zajistí, aby jakákoli fyzická osoba jednající pod vedením organizace, která má přístup k osobním údajům, je nesměla zpracovávat bez pokynů organizace (správce), pokud

vyžaduje právo Unie nebo právo členského státu.

IX. ZVLÁŠTNÍ USTANOVENÍ PRO SBĚR OSOBNÍCH ÚDAJŮ SPRAVOVANÝ V ORGANIZACI ODPOVĚDNÉ V ORGANIZACI

Článek 40

Za založení, správu, aktualizaci a nakládání se sbírkami osobních údajů a osobními údaji spravovanými v organizaci jsou odpovědní:

  • Zástupce organizace
  • Obchodní tajemník
  • Vedoucí účetnictví (externí účetní oddělení)

OPRÁVNĚNÍ ZAMĚSTNANCI

Článek 41

Pověření zaměstnanci na pozicích: obchodní tajemník a vedoucí účetnictví - popř externí účetní služba jsou oprávněni nahlížet a používat osobní údaje obsažené ve všech sbírkách osobních údajů vedených v organizaci pro pracovní účely.

Oprávněná osoba v katalogu sbírek dále určuje pověřené zaměstnance pro zpracování osobních údajů,

obsažené ve sbírce, podle funkce v organizaci popř pracoviště.

Oprávněná osoba v organizaci pro zpracování osobních údajů při shromažďování uvedené v předchozím odstavci tohoto článku vydává oprávnění ke zpracování osobních údajů při shromažďování nebo shromažďování osobních údajů jednotlivému zaměstnanci, kterým určí rozsah oprávnění a druh inkasa či inkas, které je pracovník oprávněn zpracovávat.

SBĚR OSOBNÍCH ÚDAJŮ, K KTERÉMU JE VYŽADOVÁN SOUHLAS

Článek 42

Písemný souhlas zaměstnanců a smluvních stran musí organizace získat pro založení a správu sbírky osobních údajů nebo osobních údajů, které má organizace v úmyslu spravovat, ale takové shromažďování nebo osobní údaje není předepsáno resp není předepsáno zákonem.

Osobní údaje zaměstnanců a smluvních stran může organizace shromažďovat, zpracovávat, využívat a předávat třetím osobám pouze v případě, že je to nezbytné pro výkon práv a povinností z pracovněprávního vztahu nebo v souvislosti s pracovněprávním vztahem popř. ve vztahu k uzavřené smlouvě.

Článek 43

Písemný souhlas z předchozího článku musí obsahovat:

§ jasně definovaná ochota vydat souhlas,

  • upřesnění údajů, které se shromažďují,

§ přesně definovaný účel sběru dat,

  • záruka, že údaje budou použity pouze k účelu, pro který byly shromážděny,

§ doba ukládání dat,

  • seznámení s možností odvolání souhlasu,

§ datum podpisu prohlášení a podpis osoby.

 SPRÁVA A AKTUALIZACE SBÍREK OSOBNÍCH ÚDAJŮ

Článek 44

Sběry osobních údajů zaměstnanců jsou zakládány při uzavření pracovněprávního vztahu s osobou resp jsou aktualizovány s každou změnou nahlášenou zaměstnancem. Osobní údaje v databázi osobních údajů zaměstnanců jsou zřízeny resp aktualizuje obchodní tajemník popř pověřená osoba vedení.

Záznamy o činnostech zpracování jsou pořizovány a vedeny při získávání nových zákazníků a smluvních partnerů na základě jejich písemného souhlasu se správou osobních údajů. Osobní údaje v záznamech o činnostech zpracování jsou stanoveny popř aktualizuje obchodní tajemník popř pověřená osoba vedení.

VIDEO DOHLED

Článek 45

Video dohled lze provádět v organizaci v práci resp podnikání popř pracoviště, je-li to nezbytné pro bezpečnost osob a majetku, zajistit kontrolu vstupu a výstupu nebo z práce popř podnikání popř pracovní prostory.

Je zakázáno provádět video dohled mimo výše uvedené prostory, zejména v šatnách a sociálních zařízeních.

O zavedení videodohledu rozhoduje písemně zástupce organizace. V tomto rozhodnutí musí být odůvodněny

důvody pro zavedení video dohledu.

O zavedení videodohledu musí organizace písemně informovat všechny zaměstnance, kteří pracují v monitorovaném prostoru. Toto oznámení musí obsahovat:

  • informace o tom, že se provádí video dohled,
  • titul poskytovatele video dohledu,
  • telefonní číslo pro získání informací o tom, odkud a na jak dlouho nahrávky

video monitorovací systém.

Oznámení musí být viditelně a zřetelně umístěno tak, aby se s ním jednotlivec mohl seznámit nejpozději v okamžiku zahájení videodohledu. Upozornění musí být instalováno trvale, pokud je na místě video dohled.

Shromažďování osobních údajů z kamerového dohledu obsahuje záznam jednotlivce (obrazový nebo hlasový), datum a čas vstupu a výstupu z areálu, ale může také obsahovat osobní jméno zaznamenané osoby, adresu trvalého nebo přechodného pobytu, zaměstnání, číslo a informace o typu osobního dokladu a důvodu se zadávají, pokud jsou uvedené osobní údaje shromažďovány navíc nebo se záznamem kamerového systému.

Video monitorovací systém používaný pro video dohled musí být zabezpečen proti přístupu neoprávněných osob.

Pokud nejsou zjištěny žádné zvláštnosti, jsou videa automaticky smazána resp nejpozději každých 30 dnů. Videozáznamy incidentů jsou uchovávány až do konce procedury provedené kvůli incidentu.

UCHOVÁVÁNÍ A DOBA UCHOVÁVÁNÍ SBĚRU OSOBNÍCH ÚDAJŮ

Článek 46

Za uchovávání sbírek osobních údajů odpovídají zaměstnanci, kteří jsou oprávněni zpracovávat shromažďování osobních údajů

údaje popř DPO.

Článek 47

Sběry osobních údajů zaměstnanců v organizaci (personální evidence) a další sběry osobních údajů vedené v organizaci jsou uchovávány v uzamčené vodotěsné a ohnivzdorné skříni v prostorách obchodního tajemníka popř. zástupce organizace.

Článek 48

Lhůty uchovávání sběru osobních údajů jsou stanoveny pro každý sběr osobních údajů s katalogem sběru osobních údajů. Katalogy sbírek osobních údajů jsou sloučeny do interního seznamu katalogů sbírek osobních údajů.

X. PŘIJETÍ A PŘEDÁNÍ OSOBNÍCH ÚDAJŮ

Článek 49

Zaměstnanci, kteří mají na starosti příjem a evidenci pošty, otevírají a kontrolují všechny poštovní zásilky a zásilky, které přicházejí do organizace jiným způsobem. - přinášejí je zákazníci nebo kurýři, s výjimkou zásilek z druhého a třetího odstavce tohoto článku.

Zaměstnanci, kteří mají na starosti příjem a evidenci pošty, neotevírají ty zásilky, které jsou adresovány jiné organizaci a jsou doručeny omylem, stejně jako zásilky, které jsou označeny jako osobní údaje nebo u kterých z označení na obálce vyplývá, že se týkají soutěže nebo výběrového řízení.

Zaměstnanci, kteří mají na starosti příjem a evidenci pošty, nesmí otevírat zásilky adresované zaměstnanci, na kterých je na obálce uvedeno, že mají být doručeny do vlastních rukou adresátovi, jakož i zásilky, na kterých je uvedeno osobní jméno zaměstnance. je nejprve uvedeno bez uvedení jeho oficiální pozice a teprve poté adresa organizace.

Článek 50

Osobní údaje mohou být přenášeny informačními, telekomunikačními a jinými prostředky pouze tehdy, jsou-li zavedeny postupy a opatření zabraňující neoprávněným osobám ve zneužití nebo zničení údajů a neoprávněnému přístupu k jejich obsahu.

Citlivé osobní údaje jsou zasílány adresátům v zalepených obálkách a doručovány proti podpisu. Obálka, ve které se předávají osobní údaje, musí být zhotovena tak, aby obálka neumožňovala viditelnost obsahu obálky při běžném osvětlení nebo při osvětlení obálek běžným světlem.

Článek 51

Zpracování citlivých osobních údajů musí být speciálně označeno a zabezpečeno.

Článek 52

Osobní údaje jsou poskytovány pouze těm uživatelům, kteří prokáží vhodný právní základ nebo s písemnou žádostí či souhlasem fyzické osoby, které se údaje týkají.

Ke každému předání osobních údajů musí příjemce podat písemnou žádost, ve které musí být jasně uvedeno ustanovení zákona opravňující uživatele k získávání osobních údajů, nebo k žádosti musí být přiložena písemná žádost nebo souhlas fyzické osoby. ke komu se údaje vztahují.

Každý přenos osobních údajů je zaznamenán v záznamu přenosů, ze kterého musí být patrné, jaké osobní údaje byly předány, komu, kdy a na jakém základě.

Originály dokumentů nejsou nikdy poskytovány, s výjimkou případu písemného soudního příkazu. Originál dokumentu musí být v době nepřítomnosti nahrazen kopií.

XI. VYMAZÁNÍ DAT NEBO ZNIČENÍ DRŽITELŮ OSOBNÍCH ÚDAJŮ

Článek 53

Osobní údaje mohou být shromažďovány a uchovávány pouze po dobu nezbytně nutnou k dosažení účelu, pro který jsou určeny

vést a sbírat.

Po uplynutí doby uchovávání jsou osobní údaje vymazány, zničeny, blokovány nebo anonymizovány, pokud zákon nebo jiný zákon nestanoví jinak. Podmínky, za kterých jsou osobní údaje vymazány z databáze, jsou patrné z bodu 7 katalogu databáze osobních údajů.

Článek 54

K odstranění dat z počítačových médií se používá taková metoda odstranění, že obnovení není možné

všechna nebo část smazaných dat.

Data na klasických nosičích (dokumenty, soubory, rejstřík, seznam atd.) jsou likvidována způsobem znemožňujícím čtení všech nebo části zničených dat, tedy fyzickým zničením nosičů.

Pomocný materiál (např. výpočty a grafy, náčrtky, zkušební nebo neúspěšné tisky atd.) se ničí stejným způsobem. Nosiče jsou fyzicky likvidovány (spáleny, rozřezány apod.) v prostorách organizace nebo pod dohledem oprávněné osoby v organizaci.

XII. OPATŘENÍ PŘI ODHALENÍ ZNEUŽÍVÁNÍ OSOBNÍCH ÚDAJŮ NEBO HACKOVÁNÍ SBÍREK OSOBNÍCH ÚDAJŮ

Článek 55

Zaměstnanci organizace jsou povinni přijmout opatření k zamezení zneužití osobních údajů a musí s osobními údaji, se kterými se setkají při své práci, zacházet svědomitě a pečlivě způsobem a podle postupů uvedených v těchto předpisech.

Zaměstnanec, který se dozví nebo zjistí, že došlo ke zneužití osobních údajů (zjištění osobních údajů, neoprávněné zničení, neoprávněná úprava, poškození databáze, zpronevěra osobních údajů) nebo průnik do databáze osobních údajů, je povinen neprodleně oznámit oprávněné osobě odpovědnou osobu a upravuje sbírku osobních údajů, která byla zneužita nebo hacknuta.

Oprávněná osoba musí zakročit proti osobě, která zneužila osobní údaje a která se neoprávněně nabourala do shromažďování osobních údajů

údajů, podnikněte příslušná opatření.

V případě podezření, že zásah do shromažďování osobních údajů byl proveden se záměrem a účelem zneužití osobních údajů nebo jejich užití v rozporu s účely, pro které byl vybrán, nebo pokud již došlo ke zneužití osobních údajů, pověřená osoba musí kromě zahájení disciplinárního řízení proti pachateli nebo vydání výstrahy před řádným skončením pracovního poměru nebo vedle řádného skončení pracovního poměru z důvodu zavinění nebo vedle mimořádného ukončením pracovní smlouvy, jedná-li se o zaměstnance organizace, narušení nebo zneužití popř pokus nahlásit zneužití orgánům činným v trestním řízení.

Za zneužití osobních údajů se považuje každé použití osobních údajů pro účely, které nejsou v souladu s účely shromažďování uvedenými v zákoně, na základě kterého jsou shromažďovány, nebo s účely uvedenými v katalogu shromažďování osobních údajů. Pokus o použití osobních údajů k neoprávněným účelům je považován za pokus o zneužití.

Zaměstnanci jsou povinni neprodleně oznámit svému nadřízenému činnosti související se zjištěním nebo neoprávněným zničením důvěrných údajů, neoprávněným nebo neoprávněným použitím, přivlastněním, úpravou nebo poškozením a sami se takové činnosti snaží zabránit.

XIII. ODPOVĚDNOST ZA PROVÁDĚNÍ OPATŘENÍ K ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Článek 56

Za realizaci postupů a opatření k zabezpečení osobních údajů odpovídají pověřené osoby určené zástupcem organizace.

Dozor nad prováděním postupů a opatření uvedených v těchto předpisech vykonává pověřená osoba, která

jmenuje zástupce organizace.

Článek 57

Každý, kdo zpracovává osobní údaje, je povinen zavést předepsané postupy a opatření pro zabezpečení údajů a chránit údaje, o kterých se dozvěděl nebo o nich věděl při výkonu své práce. Povinnost chránit údaje nekončí ukončením pracovního poměru.

Před nástupem do práce na pracovišti, kde dochází ke zpracování osobních údajů, musí být zaměstnanec seznámen s

ustanovení tohoto řádu, ustanovení zákona o ochraně osobních údajů a důsledky porušení.

Před nástupem do práce musí zaměstnanec podepsat prohlášení, které ho zavazuje k ochraně osobních údajů

jako profesní a obchodní tajemství a upozorní ho na následky porušení závazku.

Článek 58

Zpřístupnění osobních údajů, se kterými se zaměstnanec při své práci seznámí, neoprávněným osobám popř

zneužití těchto údajů je sankcionováno jako závažné porušení pracovních povinností a jako trestný čin.

Zároveň je to i důvod pro rozvázání pracovního poměru z důvodu zavinění.

Článek 59

Zaměstnanec se dopustí méně závažného porušení povinností:

  • pokud opustí svědomité a pečlivé sledování chráněných prostor (první odstavec článku),
  • pokud upustí od opatření k zamezení přístupu k datům nebo nosičům osobních údajů (třetí
  • odstavec článku),
  • pokud nezničí kopii osobních údajů (článek 14),
  • není-li přítomen po celou dobu servisu počítače a softwaru (druhý odstavec článku),
  • pokud nezaznamenává kopie obsahu shromažďování osobních údajů (druhý odstavec článku),
  • pokud to neoznámí pověřenému pracovníkovi nebo pověřenému zaměstnanci / objednateli / smluvnímu partnerovi

o zneužití osobních údajů nebo nabourání se do sběru osobních údajů.

Článek 60

Zaměstnanec závažným způsobem poruší pracovní povinnost:

  • pokud sděluje osobní údaje, se kterými se seznámil při své práci, zaměstnancům nebo jiným osobám

(zákazníci, smluvní partneři nebo třetí strany),

  • pokud v pracovní době opustí péči a kontrolu nosičů osobních údajů a tím odejde
  • možnost jejich prohlížení neoprávněnými osobami (druhý odstavec článku),
  • pokud si bez výslovného povolení odnese z prostor organizace nosiče osobních údajů (za prvé

odstavec 7 článku),

  • pokud předá osobní údaje oprávněným externím institucím bez svolení oprávněné osoby a tento přenos nezaznamená (čl. 7 odst. XNUMX),
  • pokud opravuje, mění nebo doplňuje systémový nebo aplikační software (nejprve

odstavec 11 článku),

  • pokud nainstaluje software nebo jej odnese z prostor organizace bez výslovného povolení
  • oprávněné osoby (první a druhý odstavec článku),
  • pokud neuchovává obsah sbírek osobních údajů na zabezpečených uzamčených místech (druhý odstavec článku).

XIV. ZÁVĚREČNÁ USTANOVENÍ

Článek 61

Katalog shromažďování a shromažďování osobních údajů, organizace zabezpečení osobních údajů a úprava dalších záležitostí stanovených tímto řádem musí být v souladu se zákonem o ochraně osobních údajů a ustanoveními tohoto řádu do 60 dnů ode dne přijetí tohoto řádu. kniha pravidel.

Článek 62

Všichni zaměstnanci organizace musí být seznámeni s ustanoveními tohoto předpisu.

Tyto předpisy přijímají služby popř zaměstnanci, jejichž pracovní náplní je shromažďování, úprava, zpracování, úprava, uchovávání, přenos nebo používání osobních údajů nebo nosičů osobních údajů.

Článek 63

Zaměstnanci, kteří pracují na pracovištích, kde se osobní údaje nebo nosiče osobních údajů shromažďují, upravují, zpracovávají, mění, ukládají, předávají nebo používají, musí do 30 dnů ode dne přijetí těchto předpisů podepsat prohlášení připojené k těmto předpisům.

Článek 64

Předpisy, jakož i jejich změny a doplňky přijímá odpovědná osoba zaměstnavatele - zástupce organizace.

Článek 65

Ustanovení aktuálního zákona o ochraně osobních údajů a obecného nařízení o ochraně osobních údajů (NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679) ze dne 27. dubna 2016, popř. ustanovení zákona o ochraně osobních údajů a obecného nařízení o ochraně údajů, platné směrnice a pokyny komisaře pro informace Republiky Slovinsko a platný Kodex chování pro shromažďování osobních údajů příslušného úřadu.

Článek 66

Toto nařízení s kodexem chování vstupuje v platnost druhý den po zveřejnění na nástěnce organizace používající tuto politiku. Pravidla jsou uložena v kanceláři zástupce organizace.

                                                                     Lublaň, dál 05. 04. 2022  

        Domy

        Přistát

        Bydlení

        Luxusní vily

        Luxusní apartmány

        Komerční nemovitosti

        Interiéry

        Výzkumník

        Hudební truhla

        Události a zážitky

        Ukázat

        Hledáme…

        Investiční projekty

Pes byl vždy považován za nejlepšího přítele člověka a zůstal jím dodnes.

Mnoho studií potvrzuje, že psi mají pozoruhodné terapeutické účinky na děti, všechny členy rodiny, pacienty i lidi na pracovišti. Pes jako společnost v kancelářích zvyšuje efektivitu práce a odbourává stres.

V domácím prostředí přináší radost a lepší náladu do každé rodiny. Je to opravdu "štěstí na vodítku:"

Ještě lepší je, když žije v prostředí, kde lano vůbec nepotřebuje.

Proto se jako realitní společnost chováme ke psům, stejně jako ke všem ostatním živým bytostem a všem druhům domácích mazlíčků, velmi ohleduplně a láskyplně.

Ve společnosti svého pejska jste u nás vždy vítáni.