Tip nepremičnine
- Turistični kompleksi
Število sob
- /
Bivalna površina
- /
Površina parcele
- Velikost: 10.100 m2
PRAVILNIK O VAROVANJU OSEBNIH PODATKOV IN INTERNI KODEKS RAVNANJA
I. SPLOŠNE DOLOČBE
S tem pravilnikom ter Kodeksom ravnanja se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za varovanje ter zavarovanje osebnih podatkov v organizaciji z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s Splošno uredbo o varstvu podatkov Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.
Določila tega pravilnika veljajo in se smiselno uporabljajo tudi za zunanje sodelavce, štipendiste organizacije in kandidate za sklenitev delovnega razmerja ter za stranke in pogodbene partnerje.
Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi. V smislu določbe prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:
V tem pravilniku in Kodeksu ravnanja uporabljeni izrazi imajo naslednji pomen:
Organizacija – je podjetje v katerem se uporablja ta pravilnik
ZVOP-1 – veljavni Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07);
Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali organizacijsko identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
Katalog zbirke osebnih podatkov – je opis zbirke osebnih podatkov;
Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
Upravljavec osebnih podatkov – je organizacija, v kateri se uporablja ta pravilnik, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja,
ki se ji posredujejo ali razkrijejo osebni podatki;
Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, );
Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje posebne podatke v imenu in na račun
upravljavca osebnih podatkov;
Posredovanje podatkov – je posredovanje ali razkritje osebnih podatkov;
dodeljene upravljavcu (pravo EU / pravo RS);
V soglasju, evidenci in kodeksu ravnanja je potrebno določiti namen obdelave (pravna podlaga je točka
b-f).
Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz Uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot za druge posebne primere obdelave. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.
psevdonimizacija: pomeni obdelavo osebnih podatkov tako, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;
omejitev obdelave: pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
oblikovanje profilov: pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom (analiza, predvidevanje uspešnosti pri delu ipd.);
privolitev posameznika, na katerega se nanašajo osebni podatki: pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
kršitev varstva osebnih podatkov: pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače
Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično-tehnične postopke in ukrepe,
s katerimi se:
njihovih zbirk,
Obdelava in zavarovanje občutljivih osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc biometrične značilnosti, mora biti izvajana posebno vestno in skrbno.
Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe.
V skladu z določili Splošne Uredbe je prepovedana obdelava t.i. posebnih podatkov (občutljivih podatkov), ki razkrivajo: rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
Občutljivi osebni podatki (posebni podatki) se lahko obdelujejo le v naslednjih primerih:
določena z zakonom;
očitnega ali izrecnega namena, da omeji namen njihove uporabe;
zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom;
interesu ipd.).
Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi, se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije ali pravo RS, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Kakršni koli celoviti registri kazenskih obsodb se vodijo samo pod nadzorom uradnega organa.
Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.
Opis zbirk osebnih podatkov, katerih upravljavec je organizacija, se vodi v katalogu zbirk osebnih podatkov ter Evidenci dejavnosti obdelave osebnih podatkov, ki se vodi v skladu z določbami 26. člena ZVOP-1 ter določbami Splošne uredbe o varstvu podatkov in hrani v prostorih organizacije, ki uporablja ta pravilnik.
Upravljavec osebnih podatkov za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov in Evidenco dejavnosti obdelave osebnih podatkov, ki vsebuje podatke navedene v členu 33. tega pravilnika.
Organizacija je dolžno vzpostaviti obdelavo osebnih podatkov tako, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.
Organizacija je zraven Uredbe GDPR ter Zakona o varstvu osebnih podatkov dolžno upoštevati navodila in smernice Informacijskega pooblaščenca RS ter v skladu z njimi osveževati oz. sprejemati ustrezne ukrepe in načine psevdomizacije.
Prostori, v katerih se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drugi računalniški ali elektronski nosilec podatka (v nadaljevanju: varovani prostori) ter strojna in programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Dostop v prostore iz prvega odstavka tega člena je mogoč in dopusten le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja pooblaščene osebe.
Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti zaposlenih, ki jih nadzorujejo. Zunaj delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema, na katerih se obdelujejo ali hranijo osebni podatki, mora biti zunaj delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika, pa kodiran.
Nosilci osebnih podatkov, hranjeni zunaj aktivnih delovnih prostorov oz. zunaj varovanih prostorov (hodniki, skupni prostori, ipd.) morajo biti stalno zaklenjeni v ognjevarni in protivlomno zaščiteni omari. Ključi varovanih prostorov se uporabljajo in hranijo v skladu z navodilom pooblaščene osebe. Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.
V varovane prostore osebe, ki ne delajo v prostorih in ki niso zaposlene v organizaciji, ne smejo vstopati brez spremstva ali prisotnosti zaposlenega.
Zaposleni, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti.
Zaposleni, ki pri svojem delu uporabljajo osebne podatke, ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na vidnem mestu ali jih kako drugače izpostavljati nevarnostim vpogleda nepooblaščenim osebam oz. zaposlenim vanje. V prostorih, ki so namenjeni poslovanju s strankami oz. z osebami, ki niso zaposlene v organizaciji, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
Nosilcev osebnih podatkov zaposleni organizacije ne smejo odnašati iz organizacije brez izrecnega pisnega
dovoljenja pooblaščene osebe, in sicer le za potrebe organizacije.
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih organizacije, ki uporablja ta pravilnik, pri čemer se takšni podatki obdelujejo zakonito in pošteno.
Pooblaščena oseba lahko dovoli iznos nosilcev osebnih podatkov iz organizacije potem, ko zaposleni predhodno
vpiše namen in razlog za iznos podatkov iz organizacije v evidenco.
Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli pooblaščena oseba. Tako posredovanje se evidentira.
Vzdrževanje in popravila strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s organizacijam sklenjeno ustrezno pogodbo o servisiranju računalniške oz. strojne opreme.
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v varovanih prostorih samo z vednostjo pooblaščene osebe.
Tehnično-vzdrževalno osebje in čistilke se lahko zunaj delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
Dostop do računalniške programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo s organizacijam sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za druge podatke iz tega
pravilnika.
Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora skrbeti, da se pri servisiranju, popravilu, spreminjanju ali dopolnjevanju sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov po prenehanju potrebe po kopiji ta uniči.
Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti ves čas servisiranja računalnika in programske opreme prisoten in mora nadzirati, da ni nedopustnega ravnanja z osebnimi podatki.
Ob izkazani potrebi po popravilu računalnika, na katerega disku so osebni podatki, zunaj organizacije in brez nadzora pooblaščenega zaposlenega organizacije se morajo podatki z diska računalnika izbrisati tako, da je onemogočena restavracija. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih organizacije v prisotnosti pooblaščenega zaposlenega.
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno
preverja (s protivirusnimi programi) morebitna prisotnost računalniških virusov.
Ob pojavu računalniškega virusa se tega v čim krajšem času odpravi s pomočjo sektorja (službe), ki pokriva navedeno področje ali s pomočjo zunanjih strokovnjakov, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi na računalnikih organizacije in v računalniškem informacijskem sistemu in prispejo v organizacija na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
Zaposleni ne smejo namestiti nobene programske opreme brez vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema. Zaposleni ne smejo odnašati programske opreme iz prostorov organizacije brez odobritve pooblaščene osebe in vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema.
Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.
Pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel.
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se varujejo pred dostopom nepooblaščenih oseb pri zastopniku.
Varovana gesla se smejo uporabiti v izjemnih in nujnih primerih. Vsaka taka uporaba se dokumentira. Po taki
uporabi se določi nova gesla.
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.
Te kopije se hranijo v za to določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
Osebni podatki v organizaciji se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika, ki je lastnoročno podpisana (soglasje).
Ne glede na prejšnji odstavek se lahko v organizaciji obdelujejo osebni podatki posameznikov, ki so s organizacijam sklenili pogodbo ali pa so na podlagi pobude posameznika s organizacijam v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, vendar je prav tako z njihove strani v najkrajšem možnem času pridobiti lastnoročno podpisano soglasje.
Ne glede na prvi odstavek tega člena se lahko v organizaciji obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov organizacije in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.
22. člen
Namen obdelave osebnih podatkov v organizaciji je lahko opredeljen z zakonom. V primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.
Osebne podatke lahko pridobivajo in obdelujejo le zaposleni v organizaciji, ki imajo za to pooblastila oz. zunanji pooblaščenec za varstvo osebnih podatkov (DPO). Pooblastilo za pridobivanje ali obdelavo osebnih podatkov mora biti opredeljeno v opisu del in nalog ali v pooblastilu zastopnika organizacije ali pridobljeno s strani skrbnika posamezne zbirke osebnih podatkov.
Organizacija ima lahko imenovano pooblaščeno osebo za varstvo podatkov, vendar je pooblaščeno osebo za varstvo podatkov dolžno imenovati (kratko: DPO) vedno, kadar:
Povezana organizacija lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za
varstvo podatkov lahko dostopna iz vsake enote.
Tudi v primerih, ki niso navedeni v prejšnjem odstavku organizacija sme imenovati pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu organizacije, ki predstavlja upravljavca ali obdelovalca. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog.
Pooblaščena oseba za varstvo podatkov je lahko član osebja organizacije (zaposleni, poslovodstvo) ali pa naloge opravlja na podlagi pogodbe o storitvah.
Organizacija je dolžno objaviti kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporočiti nadzornemu organu (Informacijskemu pooblaščencu RS).
Organizacija glede na dejavnost L68.310 – Posredništvo v prometu z nepremičninami, na dan sprejema tega pravilnika je zavezana za imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO).
Organizacija je dolžno zagotoviti, da je pooblaščena oseba za varstvo podatkov (DPO) ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
Organizacija (Upravljavec in obdelovalec) je dolžno DPO pomagati pri opravljanju nalog (iz člena 27. tega pravilnika in Kodeksa), tako da zagotovi sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje strokovnega znanja DPO (izobraževanje).
Organizacija zagotovi, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih
navodil.
DPO ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. DPO neposredno poroča najvišji upravni ravni organizacije (poslovodstvu).
Posamezniki, na katere se nanašajo osebni podatki, lahko z DPO stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi Splošne uredbe o varstvu osebnih podatkov.
Organizacija je dolžno zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.
Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:
posvetovanjem in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.
DPO je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost ter lahko dodatno opravlja druge
naloge in dolžnosti, katere ji naloži organizacija.
Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji
obdelave, ter naravo, obseg, okoliščine in namene obdelave.
Organizacija je dolžno spoštovati načelo poštene in pregledne obdelave, ki zahteva, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih.
Organizacija je dolžno posamezniku, na katerega se nanašajo osebni podatki:
Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon oz. v pisnem soglasju, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave. V primeru, da so ikone navedene v elektronski obliki, bi morale biti strojno berljive.
Sporočilo iz točke d) 27. člena mora vsebovati: opis vrste kršitve varstva osebnih podatkov, druge informacije in ukrepe (sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov, opis verjetnih posledic kršitve, opis ukrepov).
Sporočilo posamezniku ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:
V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki,
na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
V kolikor organizacija posameznika, na katerega se nanašajo osebni podatki, ne obvesti o kršitvi varstva osebnih podatkov, lahko nadzorni organ (Informacijski pooblaščenec RS) to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje.
Posameznike, na katere se nanašajo osebni podatki, je potrebno o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki (npr. ob podpisu soglasja), ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera.
Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku (prvič), je organizacija predhodno dolžno obvestiti tudi posameznika, na katerega se nanašajo osebni podatki.
Kadar namerava organizacija obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, je organizacija dolžno posameznika, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov obvestiti o tem drugem namenu ter mu podati druge potrebne informacije.
Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.
V primeru kršitve varstva osebnih podatkov je organizacija o kršitvi dolžno uradno obvestiti nadzorni organ (Informacijskega pooblaščenca RS) brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen, če lahko organizacija v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.
V primeru, da uradnega obvestila ni možno podati v 72 urah, je organizacija dolžno uradnemu obvestilu priložiti
razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.
Uradno obvestilo vsebuje vsaj:
Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
Prav tako je organizacija dolžno obvestiti posameznika, na katerega se kršitev nanaša, o nastali kršitvi In o ukrepih brez nepotrebnega odlašanja oz. najkasneje v roku 30 dni od prejema zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca (podaljšanje za dodatnih 60 dni) ob upoštevanju kompleksnosti in števila zahtev. O vsakem takem podaljšanju je organizacija dolžno obvestiti posameznika v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.
Informacije ter vsa sporočila in ukrepi, se zagotovijo brezplačno.
Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko organizacija:
ali izvajanja zahtevanega ukrepa, ali
Organizacija lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz tega pravilnika.
Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru
naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen.
Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz tega pravilnika ter materialne obveznosti pogodbenega obdelovalca v primeru, da pride do nepooblaščenega razkritja osebnih podatkov po njegovi krivdi.
Pooblaščena oseba organizacije, ki je podpisala pogodbo o obdelavi osebnih podatkov mora spremljati izvajanje postopkov in ukrepov iz tega pravilnika. V primeru spora med organizacijam in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec osebne podatke, ki jih je pogodbeno obdeloval, na podlagi zahteve organizacije, nemudoma vrniti organizaciji.
Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. V primeru prenehanja delovanja pogodbenega obdelovalca se osebni podatki in morebitne kopije teh podatkov brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.
Organizacija vodi katalog zbirke osebnih podatkov.
Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki. Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je treba omogočiti tudi vsakomur, ki to zahteva.
Organizacija je dolžno voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov in katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.
Upravljavec osebnih podatkov mora skrbeti za točnost in ažurnost vsebine kataloga.
Podatki iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. točke kataloga zbirk osebnih podatkov se posredujejo državnemu
Ta dolžnost velja do pričetka veljavnosti Uredbe GDPR, t.j. do 25.5.2018, kasneje določilo iz prejšnjega odstavka več ni obvezujoče, razen v kolikor bo zakonodaja RS določila drugače.
Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu državnemu organu.
Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki,
spremembe pa se v roku 8 dni posredujejo tudi pristojnemu državnemu organu.
Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v
katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.
Organizacija vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona, in osebne
podatke, ki jih vodi na podlagi soglasja osebe, na katero se podatki nanašajo.
Kot stalne zbirke osebnih podatkov organizacija vodi:
Organizacija lahko za tekoče potrebe poslovanja vzpostavi in vodi tudi druge zbirke osebnih podatkov. Vrste zbirk osebnih podatkov, ki jih vodi organizacija, so določene z internim seznamom – katalog zbirk osebnih podatkov. Organizacija o prenehanju vodenja posamezne zbirke osebnih podatkov sporoči pristojnemu državnemu organu, Informacijskemu pooblaščencu RS, najkasneje v 8 dneh po prenehanju vodenja posamezne zbirke osebnih podatkov, katero zbirko osebnih podatkov je prenehala voditi in kaj je storila z osebnimi podatki iz te zbirke.
Zaposleni oz. oseba, o kateri se vodijo osebni podatki, oz. pooblaščenec zaposlenega ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njem oz. o zastopancu, in jih ima pravico prepisati ali kopirati.
Vpogled in prepis osebnih podatkov mora biti osebi omogočen v 15 dneh od dneva, ko je vložil pisno zahtevo. Oseba iz prvega odstavka tega člena ima pravico zahtevati, da ji organizacija posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo. Izpis je treba osebi zagotoviti v 30 dneh od dneva prejema pisne zahteve. Stroške izpisa, ki ga je mogoče pridobiti enkrat na 3 mesece, nosi organizacija.
Osebni podatki, vodeni v zbirki osebnih podatkov oz. evidenci organizacije, se lahko posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in uporabo pooblaščeni z zakonom, ali na podlagi pisne zahteve ali privolitve osebe, na katero se osebni podatki nanašajo.
Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi organizacija, drugim upravičencem, se evidentira. Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora zaposleni, ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki podatkov organizacije in se nanašajo nanj.
Organizacija (in predstavnik upravljavca, kadar ta obstaja) je dolžno voditi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti, v kolikor so podani sledeči pogoji:
V vsakem primeru lahko organizacija vodi Evidenco dejavnosti obdelave osebnih podatkov, saj tako dokazuje delovanje v skladu z načelom odgovornosti in zaščite pravic in svoboščin posameznikov ter v skladu s Splošno uredbo o varstvu podatkov.
Ta evidenca dejavnosti obdelave osebnih podatkov vsebuje naslednje informacije:
in pooblaščene osebe za varstvo podatkov – ko obstajajo);
Organizacija je ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, dolžno z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
ukrepov za zagotavljanje varnostni obdelave.
Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Organizacija zagotovit, da katera koli fizična oseba, ki ukrepa pod vodstvom organizacije, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil organizacije (upravljavca), razen če to od nje
zahteva pravo Unije ali pravo države članice.
Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v organizaciji, so odgovorni:
Pooblaščeni zaposleni na delovnih mestih: poslovni sekretar in vodja knjigovodstva – oz. zunanji računovodski servis so pooblaščeni, da za potrebe dela vpogledajo v osebne podatke, vsebovane v vseh zbirkah osebnih podatkov, vodenih v organizaciji in jih uporabijo.
Pooblaščena oseba v katalogu zbirk določi tudi pooblaščene zaposlene za obdelavo osebnih podatkov,
vsebovanih v zbirki, po funkciji v organizaciji oz. delovnem mestu.
Pooblaščena oseba v organizaciji za obdelavo osebnih podatkov v zbirki iz predhodnega odstavka tega člena izda posameznemu zaposlenemu pooblastilo za obdelavo osebnih podatkov v zbirki ali zbirkah osebnih podatkov, s katerim določi obseg pooblastila in vrsto zbirke ali zbirk, za obdelavo katere ali katerih je zaposleni pooblaščen.
Pisno soglasje zaposlenih in pogodbenih strank mora organizacija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo/ga namerava organizacija voditi, pa taka zbirka ali osebni podatek ni predpisana oz. ni predpisan z zakonom.
Osebne podatke zaposlenih ter pogodbenih strank lahko organizacija zbira, obdeluje, uporablja in dostavlja tretjim osebam samo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem oz. v zvezi s sklenjeno pogodbo.
Pisno soglasje iz predhodnega člena mora vsebovati:
§ natančno opredeljen namen zbiranja podatkov,
§ čas shranjevanja podatkov,
§ datum podpisa izjave in podpis osebe.
VODENJE IN AŽURIRANJE ZBIRK OSEBNIH PODATKOV
Zbirke osebnih podatkov zaposlenih se vzpostavijo ob sklenitvi delovnega razmerja z osebo oz. se ažurirajo ob vsaki spremembi, ki jo javi zaposleni. Osebne podatke v zbirki osebnih podatkov zaposlenih vzpostavi oz. ažurira poslovni sekretar oz. pooblaščena oseba poslovodstva.
Evidenca dejavnosti obdelave se vzpostavi in vodi ob pridobivanju novih strank in pogodbenih partnerjev, na podlagi njihovega pisnega soglasja o vodenju osebnih podatkov. Osebne podatke v evidenci dejavnosti obdelave vzpostavi oz. ažurira poslovni sekretar oz. pooblaščena oseba poslovodstva.
Videonadzor se lahko v organizaciji izvaja v službenih oz. poslovnih oz. delovnih prostorih, če je to potrebno zaradi varnosti ljudi in premoženja, zaradi zagotavljanja nadzora vstopa in izstopa ali iz službenih oz. poslovnih oz. delovnih prostorov.
Prepovedano je izvajati videonadzor izven prej navedenih prostorov, in sicer v garderobah in sanitarnih prostorih.
Odločitev o uvedbi videonadzora sprejme zastopnik organizacije pisno. V tej odločitvi morajo biti obrazloženi
razlogi za uvedbo videonadzora.
Organizacija mora o izvajanju videonadzora pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru. To obvestilo mora vsebovati:
videonadzornega sistema.
Obvestilo mora biti vidno in razločno nameščeno na način, ki omogoča posamezniku, da se seznani z njim najpozneje v trenutku, ko se nad njim začne izvajati videonadzor. Obvestilo mora biti nameščeno trajno, dokler se izvaja videonadzor.
Zbirka osebnih podatkov videonadzora vsebuje posnetek posameznika (slika oz. glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.
Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.
Videoposnetki se, če ni zaznanih posebnosti, tekoče avtomatsko brišejo oz. najkasneje vsakih 30 dni. Videoposnetki incidenčnih dogodkov se hranijo do konca postopka, vodenega zaradi incidenčnega dogodka.
Za hrambo zbirk osebnih podatkov so odgovorni zaposleni, ki so pooblaščeni za obdelovanje zbirk osebnih
podatkov oz. DPO.
Zbirke osebnih podatkov zaposlenih v organizaciji (kadrovske evidence) in druge zbirke osebnih podatkov, vodene v organizaciji, se hranijo v zaklenjeni vodotesni in ognjevarni omari v prostorih poslovnega sekretarja oz. zastopnika organizacije.
Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov. Katalogi zbirk osebnih podatkov so združeni v interni seznam katalogov zbirk osebnih podatkov.
Zaposleni, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v organizacija – prinesejo jih stranke ali kurirji, razen pošiljk iz drugega in tretjega odstavka tega člena.
Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne odpirajo tistih pošiljk, ki so naslovljene na drugo organizacija in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega brez označbe njegovega uradnega položaja in šele nato naslov organizacije.
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah in vročajo proti podpisu. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.
Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
Osebni podatki se lahko zbirajo in hranijo le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se
vodijo in zbirajo.
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače. Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov.
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija
vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, …) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov, to je s fizičnim uničenjem nosilcev.
Na enak način se uničuje pomožno gradivo (npr. izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.). Nosilci se fizično uničijo (pokurijo, razrežejo, ipd.) v prostorih organizacije ali pod nadzorom pooblaščene osebe v organizaciji.
Zaposleni organizacije so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.
Zaposleni, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti pooblaščeno osebo, ki vodi in ureja zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero so je vdrlo.
Pooblaščena oseba mora zoper tistega, ki je zlorabil osebne podatke in je nepooblaščeno vdrl v zbirko osebnih
podatkov, ustrezno ukrepati.
Če obstaja sum pri vdoru v zbirko osebnih podatkov, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so bili izbrani ali če je do zlorabe osebnih podatkov že prišlo, mora pooblaščena oseba poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je delavec organizacije, vdor ali zlorabo oz. poskus zlorabe prijaviti organom pregona.
Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti nadrejenega, sami pa poskušajo takšno aktivnost preprečiti.
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorne pooblaščene osebe, ki jih imenuje zastopnik organizacije.
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja pooblaščena oseba, ki jo
imenuje zastopnik organizacije.
Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora biti zaposleni seznanjen z
določbami tega pravilnika, določbami Zakona o varstvu osebnih podatkov ter o posledicah kršitve.
Pred nastopom dela zaposlenega mora zaposleni podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov
kot poklicne in poslovne skrivnosti in ga opozarja na posledice kršitve zaveze.
Razkrivanje osebnih podatkov, s katerimi se zaposleni seznani pri svojem delu, nepooblaščenim osebam ali
zloraba teh podatkov je sankcionirana kot hujša kršitev delovnih obveznosti in kot kaznivo dejanje.
Hkrati je to tudi razlog za prenehanje pogodbe o zaposlitvi iz krivdnih razlogov.
Zaposleni stori lažjo kršitev delovne dolžnosti:
o zlorabi osebnih podatkov ali vdoru v zbirko osebnih podatkov.
Zaposleni stori hujšo kršitev delovne dolžnosti:
(stranke, pogodbeni partnerji oz. tretje osebe),
odstavek 7. člena),
odstavek 11. člena),
Katalog zbirk in zbirke osebnih podatkov, organizacija zavarovanja osebnih podatkov in ureditev drugih zadev določenih s tem pravilnikom se mora uskladiti z Zakonom o varstvu osebnih podatkov in določbami tega pravilnika v roku 60 dni od dneva sprejema tega pravilnika.
Z določbami tega pravilnika morajo biti seznanjeni vsi delavci organizacije.
Ta pravilnik sprejmejo službe oz. zaposleni v čigar delovne obveznosti sodi zbiranje, urejanje, obdelava, spreminjanje, shranjevanje, posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.
Zaposleni, ki delajo na delovnih mestih, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo, ki je priloga tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.
Pravilnik, kot tudi njegove spremembe in dopolnitve sprejema odgovorna oseba delodajalca – zastopnik organizacije.
Za vsa razmerja, ki niso določena s tem Pravilnikom se uporabljajo določila veljavnega Zakona o varstvu osebnih podatkov ter Splošne uredbe o varstvu podatkov (UREDBA (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA), z dne 27. aprila 2016, oz. določila vsakokrat veljavnega Zakona o varstvu osebnih podatkov ter Splošne uredbe o varstvu podatkov, veljavne smernice ter navodila Informacijskega pooblaščenca RS in veljavnega Kodeksa obnašanja pri zbiranju osebnih podatkov pristojnega organa.
Ta Pravilnik s kodeksom ravnanja začne veljati naslednji dan po objavi na oglasni deski organizacije, ki uporablja ta pravilnik. Pravilnik se hrani v pisarni zastopnika organizacije.
Ljubljana, dne 05. 04. 2022
Prepričani smo, da lahko k zmanjšanju toplogrednih plinov pripomore vsak izmed nas, kot lastnik ali najemnik.
Prav tako lastniki raznovrstnih
poslovnih nepremičnin.
Zaupajo nam številne cenjene stranke, podjetja in ustanove. Z velikim veseljem kreiramo skupne uspešne zgodbe.
Postanite del naše zgodbe tudi Vi.
Kot lastnica ali lastnik nepremičnine lahko prodajo Vaše nepremičnine zaupate naši nepremičninski družbi Studio Da Vinci d.o.o. z dolgoletnimi izkušnjami na področju nepremičnin.
Smo podpisniki kodeksa Dobrih poslovnih običajev pri
Gospodarski zbornici Slovenija in ponosni na pridobljeni certifikat:
»Zaupanja vredna nepremičninska družba«.
There is no excerpt because this is a protected post.
Nakup nepremičnine na Hrvaškem je za mnogo Slovencev še vedno nekaj nezaželenega. Kljub temu se nepremičninski strokovnjaki strinjajo, da lahko dosegamo zavidljive rezultate, če pristopimo
Hrvaška je znana po svojih čudovitih plažah in turističnih atrakcijah. To območje postaja vse bolj priljubljeno za nakup nepremičnin, zlasti luksuznih nepremičnin, ki se dvigajo
Cookie | Duration | Description |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Pes je od nekdaj veljal za človekovega najboljšega prijatelja in tako je ostalo vse do današnjih dni.
Mnoge raziskave potrjujejo, da imajo psi izjemne terepevtske učinke tako na otroke, vse družinske člane, na bolnike, kot tudi na ljudi na delovnih mestih. Pes, kot družba v pisarnah povečuje delovno učinkovitost in sprošča stres.
V domačem okolju v vsako družino vnaša veselje in boljše razpoloženje. Je resnično “sreča na vrvici:”
Še boljše je, če biva v okolju, kjer vrvice sploh ne potrebuje.
Zato smo kot nepremičninska družba zelo spoštljivi in ljubeznivi do psov, kot tudi do vseh drugih živih bitij in vseh vrst hišnih ljubljenčkov.
Pri nas ste tudi v družbi svojega psa vedno dobrodošli.