PRAVILNIK O VAROVANJU OSEBNIH PODATKOV IN INTERNI KODEKS RAVNANJA

 I.  SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom ter Kodeksom ravnanja se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za varovanje ter zavarovanje osebnih podatkov v organizaciji z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s Splošno uredbo o varstvu podatkov Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.

Določila tega pravilnika veljajo in se smiselno uporabljajo tudi za zunanje sodelavce, štipendiste organizacije in kandidate za sklenitev delovnega razmerja ter za stranke in pogodbene partnerje.

2. člen

Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi. V smislu določbe prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:

a)       identifikacijski podatki o posamezniku,

podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,

c)       podatki, ki se nanašajo na družinska razmerja,

podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,

e)       podatki o zaposlitvi,

podatki o socialnem in ekonomskem stanju posameznika,

a)       podatki o izobrazbi in pridobljenih znanjih,

slikovni podatki videonadzora,

c)       podatki o uporabi komunikacijskih sredstev,

podatki o zdravstvenem stanju posameznika,

e)       podatki o posamezniku na področju notranjih zadev,

 V tem pravilniku in Kodeksu ravnanja uporabljeni izrazi imajo naslednji pomen:

Organizacija – je podjetje v katerem se uporablja ta pravilnik

ZVOP-1 – veljavni Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07);

Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;

Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali organizacijsko identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;

Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;

Katalog zbirke osebnih podatkov – je opis zbirke osebnih podatkov;

Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);

Upravljavec osebnih podatkov – je organizacija, v kateri se uporablja ta pravilnik, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;

Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;

Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja,

ki se ji posredujejo ali razkrijejo osebni podatki;

Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, );

Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje posebne podatke v imenu in na račun

upravljavca osebnih podatkov;

Posredovanje podatkov – je posredovanje ali razkritje osebnih podatkov;

Zakonitost obdelave: Uporabnik je dolžan obdelovati osebne podatke zakonito in le v kolikor je izpolnjen vsaj eden od naslednjih pogojev:

1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov – lastnoročno podpisati soglasje;
2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (pravo EU / pravo RS);
4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti,

dodeljene upravljavcu (pravo EU / pravo RS);

1. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok (Izjema: obdelava podatkov s strani javnih organov pri opravljanju njihovih nalog).

V soglasju, evidenci in kodeksu ravnanja je potrebno določiti namen obdelave (pravna podlaga je točka

b-f).

Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz Uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot za druge posebne primere obdelave. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

psevdonimizacija: pomeni obdelavo osebnih podatkov tako, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

omejitev obdelave: pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

oblikovanje profilov: pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom (analiza, predvidevanje uspešnosti pri delu ipd.);

privolitev posameznika, na katerega se nanašajo osebni podatki: pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

kršitev varstva osebnih podatkov: pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače

3. člen

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično-tehnične postopke in ukrepe,

s katerimi se:

• varujejo prostori, aparature in sistemska programska oprema,
• varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
• zagotavlja varnost posredovanja in prenosa osebnih podatkov,
• preprečuje nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do

njihovih zbirk,

• omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vpisani in uporabljeni v zbirki podatkov in kdo je to storil – za obdobje, za katero se posamezni podatki shranjujejo.

Obdelava in zavarovanje občutljivih osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc biometrične značilnosti, mora biti izvajana posebno vestno in skrbno.

Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe.

4. člen

V skladu z določili Splošne Uredbe je prepovedana obdelava t.i. posebnih podatkov (občutljivih podatkov), ki razkrivajo: rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Občutljivi osebni podatki (posebni podatki) se lahko obdelujejo le v naslednjih primerih:

1. če je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi

določena z zakonom;

2. če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z zakonom, ki določa tudi ustrezna jamstva pravic posameznika;
3. če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve iz 1. točke tega člena;
4. če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo;
5. če je posameznik, na katerega se nanašajo občutljivi osebni podatki, le-te sam javno objavil brez

očitnega ali izrecnega namena, da omeji namen njihove uporabe;

6. če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja

zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom;

7. če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku;
8. če tako določa drug zakon zaradi izvrševanja javnega interesa (javno zdravje, arhiviranje v javnem

interesu ipd.).

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi, se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije ali pravo RS, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Kakršni koli celoviti registri kazenskih obsodb se vodijo samo pod nadzorom uradnega organa.

Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

5. člen

Opis zbirk osebnih podatkov, katerih upravljavec je organizacija, se vodi v katalogu zbirk osebnih podatkov ter Evidenci dejavnosti obdelave osebnih podatkov, ki se vodi v skladu z določbami 26. člena ZVOP-1 ter določbami Splošne uredbe o varstvu podatkov in hrani v prostorih organizacije, ki uporablja ta pravilnik.

Upravljavec osebnih podatkov za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov in Evidenco dejavnosti obdelave osebnih podatkov, ki vsebuje podatke navedene v členu 33. tega pravilnika.

II.  PSEVDOMIZACIJA

6. člen

Organizacija je dolžno vzpostaviti obdelavo osebnih podatkov tako, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.

Organizacija je zraven Uredbe GDPR ter Zakona o varstvu osebnih podatkov dolžno upoštevati navodila in smernice Informacijskega pooblaščenca RS ter v skladu z njimi osveževati oz. sprejemati ustrezne ukrepe in načine psevdomizacije.

III.  VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

7. člen

Prostori, v katerih se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drugi računalniški ali elektronski nosilec podatka (v nadaljevanju: varovani prostori) ter strojna in programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz prvega odstavka tega člena je mogoč in dopusten le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja pooblaščene osebe.

Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti zaposlenih, ki jih nadzorujejo. Zunaj delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema, na katerih se obdelujejo ali hranijo osebni podatki, mora biti zunaj delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika, pa kodiran.

Nosilci osebnih podatkov, hranjeni zunaj aktivnih delovnih prostorov oz. zunaj varovanih prostorov (hodniki, skupni prostori, ipd.) morajo biti stalno zaklenjeni v ognjevarni in protivlomno zaščiteni omari. Ključi varovanih prostorov se uporabljajo in hranijo v skladu z navodilom pooblaščene osebe. Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.

8. člen

V varovane prostore osebe, ki ne delajo v prostorih in ki niso zaposlene v organizaciji, ne smejo vstopati brez spremstva ali prisotnosti zaposlenega.

Zaposleni, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti.

Zaposleni, ki pri svojem delu uporabljajo osebne podatke, ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na vidnem mestu ali jih kako drugače izpostavljati nevarnostim vpogleda nepooblaščenim osebam oz. zaposlenim vanje. V prostorih, ki so namenjeni poslovanju s strankami oz. z osebami, ki niso zaposlene v organizaciji, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

9. člen

Nosilcev osebnih podatkov zaposleni organizacije ne smejo odnašati iz organizacije brez izrecnega pisnega

dovoljenja pooblaščene osebe, in sicer le za potrebe organizacije.

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih organizacije, ki uporablja ta pravilnik, pri čemer se takšni podatki obdelujejo zakonito in pošteno.

Pooblaščena oseba lahko dovoli iznos nosilcev osebnih podatkov iz organizacije potem, ko zaposleni predhodno

vpiše namen in razlog za iznos podatkov iz organizacije v evidenco.

Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli pooblaščena oseba. Tako posredovanje se evidentira.

10. člen

 Vzdrževanje in popravila strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s organizacijam sklenjeno ustrezno pogodbo o servisiranju računalniške oz. strojne opreme.

11. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v varovanih prostorih samo z vednostjo pooblaščene osebe.

Tehnično-vzdrževalno osebje in čistilke se lahko zunaj delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

IV.  VAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

12. člen

Dostop do računalniške programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

13. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo s organizacijam sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

14. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za druge podatke iz tega

pravilnika.

15. člen

Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora skrbeti, da se pri servisiranju, popravilu, spreminjanju ali dopolnjevanju sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov po prenehanju potrebe po kopiji ta uniči.

Zaposleni, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti ves čas servisiranja računalnika in programske opreme prisoten in mora nadzirati, da ni nedopustnega ravnanja z osebnimi podatki.

Ob izkazani potrebi po popravilu računalnika, na katerega disku so osebni podatki, zunaj organizacije in brez nadzora pooblaščenega zaposlenega organizacije se morajo podatki z diska računalnika izbrisati tako, da je onemogočena restavracija. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih organizacije v prisotnosti pooblaščenega zaposlenega.

16. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno

preverja (s protivirusnimi programi) morebitna prisotnost računalniških virusov.

Ob pojavu računalniškega virusa se tega v čim krajšem času odpravi s pomočjo sektorja (službe), ki pokriva navedeno področje ali s pomočjo zunanjih strokovnjakov, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi na računalnikih organizacije in v računalniškem informacijskem sistemu in prispejo v organizacija na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

17. člen

Zaposleni ne smejo namestiti nobene programske opreme brez vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema. Zaposleni ne smejo odnašati programske opreme iz prostorov organizacije brez odobritve pooblaščene osebe in vednosti oseb, zadolženih za delovanje računalniškega informacijskega sistema.

18. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

Pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel.

19. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se varujejo pred dostopom nepooblaščenih oseb pri zastopniku.

Varovana gesla se smejo uporabiti v izjemnih in nujnih primerih. Vsaka taka uporaba se dokumentira. Po taki

uporabi se določi nova gesla.

20. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.

Te kopije se hranijo v za to določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

V.  OBDELAVA OSEBNIH PODATKOV

21. člen

Osebni podatki v organizaciji se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika, ki je lastnoročno podpisana (soglasje).

Ne glede na prejšnji odstavek se lahko v organizaciji obdelujejo osebni podatki posameznikov, ki so s organizacijam sklenili pogodbo ali pa so na podlagi pobude posameznika s organizacijam v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, vendar je prav tako z njihove strani v najkrajšem možnem času pridobiti lastnoročno podpisano soglasje.

Ne glede na prvi odstavek tega člena se lahko v organizaciji obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov organizacije in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

 22. člen

Namen obdelave osebnih podatkov v organizaciji je lahko opredeljen z zakonom. V primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

23. člen

Osebne podatke lahko pridobivajo in obdelujejo le zaposleni v organizaciji, ki imajo za to pooblastila oz. zunanji pooblaščenec za varstvo osebnih podatkov (DPO). Pooblastilo za pridobivanje ali obdelavo osebnih podatkov mora biti opredeljeno v opisu del in nalog ali v pooblastilu zastopnika organizacije ali pridobljeno s strani skrbnika posamezne zbirke osebnih podatkov.

POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV (DPO)

24. člen

Organizacija ima lahko imenovano pooblaščeno osebo za varstvo podatkov, vendar je pooblaščeno osebo za varstvo podatkov dolžno imenovati (kratko: DPO) vedno, kadar:

• obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

Povezana organizacija lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za

varstvo podatkov lahko dostopna iz vsake enote.

Tudi v primerih, ki niso navedeni v prejšnjem odstavku organizacija sme imenovati pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu organizacije, ki predstavlja upravljavca ali obdelovalca. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog.

Pooblaščena oseba za varstvo podatkov je lahko član osebja organizacije (zaposleni, poslovodstvo) ali pa naloge opravlja na podlagi pogodbe o storitvah.

Organizacija je dolžno objaviti kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporočiti nadzornemu organu (Informacijskemu pooblaščencu RS).

Organizacija glede na dejavnost L68.310 – Posredništvo v prometu z nepremičninami, na dan sprejema tega pravilnika je zavezana za imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO).

25. člen

Organizacija je dolžno zagotoviti, da je pooblaščena oseba za varstvo podatkov (DPO) ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

Organizacija (Upravljavec in obdelovalec) je dolžno DPO pomagati pri opravljanju nalog (iz člena 27. tega pravilnika in Kodeksa), tako da zagotovi sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje strokovnega znanja DPO (izobraževanje).

Organizacija zagotovi, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih

navodil.

DPO ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. DPO neposredno poroča najvišji upravni ravni organizacije (poslovodstvu).

Posamezniki, na katere se nanašajo osebni podatki, lahko z DPO stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi Splošne uredbe o varstvu osebnih podatkov.

Organizacija je dolžno zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

26. člen

Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

1. obveščanje poslovodstva organizacije in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih
2. spremljanje skladnosti z določili Uredbe GDPR, drugimi določbami prava Unije ali prava RS o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
3. svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja;
4. sodelovanje z nadzornim organom;
5. delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim

posvetovanjem in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

DPO je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost ter lahko dodatno opravlja druge

naloge in dolžnosti, katere ji naloži organizacija.

Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji

obdelave, ter naravo, obseg, okoliščine in namene obdelave.

OBVEŠČANJE JAVNOSTI IN POSAMEZNIKOV

Organizacija je dolžno spoštovati načelo poštene in pregledne obdelave, ki zahteva, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih.

27. člen

Organizacija je dolžno posamezniku, na katerega se nanašajo osebni podatki:

1. zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov;
2. obvestiti o obstoju oblikovanja profilov in njegovih posledicah;
3. obvestiti tudi o tem, ali je posameznik dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži;
4. obvestiti o pravici do umika privolitve (soglasja) obdelave njegovih osebnih podatkov;
5. eksplicitno in ločeno od ostalih informacij obvestiti o pravici do pritožbe na obdelavo njihovih podatkov (izrecno opozorilo najpozneje ob prvem komuniciranju s posameznikom, ta pravica se mu predstavi jasno in ločeno od vseh drugih informacij);
6. brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da se ta lahko ustrezno zavaruje

Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon oz. v pisnem soglasju, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave. V primeru, da so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

28. člen

Sporočilo iz točke d) 27. člena mora vsebovati: opis vrste kršitve varstva osebnih podatkov, druge informacije in ukrepe (sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov, opis verjetnih posledic kršitve, opis ukrepov).

Sporočilo posamezniku ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

1. organizacija (upravljavec) je izvedlo ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;
2. organizacija je sprejelo naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki;
3. to bi zahtevalo nesorazmeren

V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki,

na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

V kolikor organizacija posameznika, na katerega se nanašajo osebni podatki, ne obvesti o kršitvi varstva osebnih podatkov, lahko nadzorni organ (Informacijski pooblaščenec RS) to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje.

29. člen

Posameznike, na katere se nanašajo osebni podatki, je potrebno o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki (npr. ob podpisu soglasja), ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera.

Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku (prvič), je organizacija predhodno dolžno obvestiti tudi posameznika, na katerega se nanašajo osebni podatki.

Kadar namerava organizacija obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, je organizacija dolžno posameznika, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov obvestiti o tem drugem namenu ter mu podati druge potrebne informacije.

Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

30. člen

V primeru kršitve varstva osebnih podatkov je organizacija o kršitvi dolžno uradno obvestiti nadzorni organ (Informacijskega pooblaščenca RS) brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen, če lahko organizacija v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.

V primeru, da uradnega obvestila ni možno podati v 72 urah, je organizacija dolžno uradnemu obvestilu priložiti

razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.

Uradno obvestilo vsebuje vsaj:

1. opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
2. sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
3. opis verjetnih posledic kršitve varstva osebnih podatkov;
4. opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to

Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.

31. člen

Prav tako je organizacija dolžno obvestiti posameznika, na katerega se kršitev nanaša, o nastali kršitvi In o ukrepih brez nepotrebnega odlašanja oz. najkasneje v roku 30 dni od prejema zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca (podaljšanje za dodatnih 60 dni) ob upoštevanju kompleksnosti in števila zahtev. O vsakem takem podaljšanju je organizacija dolžno obvestiti posameznika v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.

Informacije ter vsa sporočila in ukrepi, se zagotovijo brezplačno.

Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko organizacija:

• zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila

ali izvajanja zahtevanega ukrepa, ali

• zavrne ukrepanje v zvezi z

VI.  POGODBENA (ZUNANJA) OBDELAVA OSEBNIH PODATKOV

32. člen

Organizacija lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz tega pravilnika.

Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru

naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen.

Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz tega pravilnika ter materialne obveznosti pogodbenega obdelovalca v primeru, da pride do nepooblaščenega razkritja osebnih podatkov po njegovi krivdi.

Pooblaščena oseba organizacije, ki je podpisala pogodbo o obdelavi osebnih podatkov mora spremljati izvajanje postopkov in ukrepov iz tega pravilnika. V primeru spora med organizacijam in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec osebne podatke, ki jih je pogodbeno obdeloval, na podlagi zahteve organizacije, nemudoma vrniti organizaciji.

Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. V primeru prenehanja delovanja pogodbenega obdelovalca se osebni podatki in morebitne kopije teh podatkov brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.

VII.  KATALOG ZBIRKE OSEBNIH PODATKOV

33. člen

Organizacija vodi katalog zbirke osebnih podatkov.

Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki. Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je treba omogočiti tudi vsakomur, ki to zahteva.

 Organizacija je dolžno voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov in katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.

1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).

Upravljavec osebnih podatkov mora skrbeti za točnost in ažurnost vsebine kataloga.

Podatki iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. točke kataloga zbirk osebnih podatkov se posredujejo državnemu

organu, pristojnemu za vodenje Registra zbirk osebnih podatkov (Informacijskemu pooblaščencu RS).

 Ta dolžnost velja do pričetka veljavnosti Uredbe GDPR, t.j. do 25.5.2018, kasneje določilo iz prejšnjega odstavka več ni obvezujoče, razen v kolikor bo zakonodaja RS določila drugače.

Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu državnemu organu.

Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki,

spremembe pa se v roku 8 dni posredujejo tudi pristojnemu državnemu organu.

Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v

katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.

34. člen

Organizacija vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona, in osebne

podatke, ki jih vodi na podlagi soglasja osebe, na katero se podatki nanašajo.

Kot stalne zbirke osebnih podatkov organizacija vodi:

1. katalog evidence podatkov o zaposlenih delavcih,
2. katalog evidence podatkov o stroških dela,
3. katalog evidence podatkov o izrabi delovnega časa,
4. katalog evidence podatkov o preventivnih zdravstvenih pregledih delavcev,
5. katalog evidence podatkov o opravljenem usposabljanju za varno delo in preizkusih praktičnega znanja,
6. katalog strank / poslovnih

Organizacija lahko za tekoče potrebe poslovanja vzpostavi in vodi tudi druge zbirke osebnih podatkov. Vrste zbirk osebnih podatkov, ki jih vodi organizacija, so določene z internim seznamom – katalog zbirk osebnih podatkov. Organizacija o prenehanju vodenja posamezne zbirke osebnih podatkov sporoči pristojnemu državnemu organu, Informacijskemu pooblaščencu RS, najkasneje v 8 dneh po prenehanju vodenja posamezne zbirke osebnih podatkov, katero zbirko osebnih podatkov je prenehala voditi in kaj je storila z osebnimi podatki iz te zbirke.

35. člen

Zaposleni oz. oseba, o kateri se vodijo osebni podatki, oz. pooblaščenec zaposlenega ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njem oz. o zastopancu, in jih ima pravico prepisati ali kopirati.

 Vpogled in prepis osebnih podatkov mora biti osebi omogočen v 15 dneh od dneva, ko je vložil pisno zahtevo. Oseba iz prvega odstavka tega člena ima pravico zahtevati, da ji organizacija posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo. Izpis je treba osebi zagotoviti v 30 dneh od dneva prejema pisne zahteve. Stroške izpisa, ki ga je mogoče pridobiti enkrat na 3 mesece, nosi organizacija.

36. člen

Osebni podatki, vodeni v zbirki osebnih podatkov oz. evidenci organizacije, se lahko posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in uporabo pooblaščeni z zakonom, ali na podlagi pisne zahteve ali privolitve osebe, na katero se osebni podatki nanašajo.

Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi organizacija, drugim upravičencem, se evidentira. Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora zaposleni, ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki podatkov organizacije in se nanašajo nanj.

VIII.  EVIDENCA DEJAVNOSTI OBDELAVE

37. člen

Organizacija (in predstavnik upravljavca, kadar ta obstaja) je dolžno voditi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti, v kolikor so podani sledeči pogoji:

• če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov in ni občasna ali,

• obdelava vključuje posebne vrste podatkov (posebne osebne podatke občutljive podatke) ali;
• osebne podatke v zvezi s kazenskimi obsodbami in prekrški;
• zaposluje 250 ali več

V vsakem primeru lahko organizacija vodi Evidenco dejavnosti obdelave osebnih podatkov, saj tako dokazuje delovanje v skladu z načelom odgovornosti in zaščite pravic in svoboščin posameznikov ter v skladu s Splošno uredbo o varstvu podatkov.

38. člen

Ta evidenca dejavnosti obdelave osebnih podatkov vsebuje naslednje informacije:

1. naziv ali ime in kontaktne podatke organizacije, (tudi skupnega upravljavca, predstavnika upravljavca

in pooblaščene osebe za varstvo podatkov – ko obstajajo);

b)       namene obdelave;

1. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

2. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki (vključno z uporabniki v tretjih državah ali mednarodnih organizacijah);

e)       informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, ter dokumentacijo o ustreznih zaščitnih ukrepih;

1. predvidene roke za izbris različnih vrst podatkov;

g)       kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.

Evidenca dejavnosti obdelave osebnih podatkov je v pisni (vključno v elektronski) obliki.

 Organizacija oz. pooblaščena oseba je nadzornemu organu (Informacijskemu pooblaščencu RS) dolžno na zahtevo predložiti evidenco oz. omogočiti dostop do nje.

 VARNOST OBDELAVE

39. člen

Organizacija je ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, dolžno z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

1. psevdonimizacijo in šifriranjem osebnih podatkov;
2. zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
3. zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
4. postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih

ukrepov za zagotavljanje varnostni obdelave.

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Organizacija zagotovit, da katera koli fizična oseba, ki ukrepa pod vodstvom organizacije, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil organizacije (upravljavca), razen če to od nje

zahteva pravo Unije ali pravo države članice.

IX.  POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV, VODENIH V ORGANIZACIJI ODGOVORNI V ORGANIZACIJI

40. člen

Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v organizaciji, so odgovorni:

• Zastopnik organizacije
• Poslovni sekretar
• Vodja knjigovodstva (zunanja računovodska služba)

POOBLAŠČENI ZAPOSLENI

41. člen

Pooblaščeni zaposleni na delovnih mestih: poslovni sekretar in vodja knjigovodstva – oz. zunanji računovodski servis so pooblaščeni, da za potrebe dela vpogledajo v osebne podatke, vsebovane v vseh zbirkah osebnih podatkov, vodenih v organizaciji in jih uporabijo.

Pooblaščena oseba v katalogu zbirk določi tudi pooblaščene zaposlene za obdelavo osebnih podatkov,

vsebovanih v zbirki, po funkciji v organizaciji oz. delovnem mestu.

Pooblaščena oseba v organizaciji za obdelavo osebnih podatkov v zbirki iz predhodnega odstavka tega člena izda posameznemu zaposlenemu pooblastilo za obdelavo osebnih podatkov v zbirki ali zbirkah osebnih podatkov, s katerim določi obseg pooblastila in vrsto zbirke ali zbirk, za obdelavo katere ali katerih je zaposleni pooblaščen.

ZBIRKE OSEBNIH PODATKOV, ZA KATERE JE POTREBNO SOGLASJE

42. člen

Pisno soglasje zaposlenih in pogodbenih strank mora organizacija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo/ga namerava organizacija voditi, pa taka zbirka ali osebni podatek ni predpisana oz. ni predpisan z zakonom.

Osebne podatke zaposlenih ter pogodbenih strank lahko organizacija zbira, obdeluje, uporablja in dostavlja tretjim osebam samo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem oz. v zvezi s sklenjeno pogodbo.

43. člen

Pisno soglasje iz predhodnega člena mora vsebovati:

§   jasno opredeljeno voljo za izdajo soglasja,

• navedbo podatkov, ki se zbirajo,

§   natančno opredeljen namen zbiranja podatkov,

• zagotovilo, da se bodo podatki uporabljali le za namen, za katerega so zbrani,

§   čas shranjevanja podatkov,

• seznanitev z možnostjo preklica soglasja,

§   datum podpisa izjave in podpis osebe.

 VODENJE IN AŽURIRANJE ZBIRK OSEBNIH PODATKOV

44. člen

Zbirke osebnih podatkov zaposlenih se vzpostavijo ob sklenitvi delovnega razmerja z osebo oz. se ažurirajo ob vsaki spremembi, ki jo javi zaposleni. Osebne podatke v zbirki osebnih podatkov zaposlenih vzpostavi oz. ažurira poslovni sekretar oz. pooblaščena oseba poslovodstva.

Evidenca dejavnosti obdelave se vzpostavi in vodi ob pridobivanju novih strank in pogodbenih partnerjev, na podlagi njihovega pisnega soglasja o vodenju osebnih podatkov. Osebne podatke v evidenci dejavnosti obdelave vzpostavi oz. ažurira poslovni sekretar oz. pooblaščena oseba poslovodstva.

VIDEONADZOR

45. člen

Videonadzor se lahko v organizaciji izvaja v službenih oz. poslovnih oz. delovnih prostorih, če je to potrebno zaradi varnosti ljudi in premoženja, zaradi zagotavljanja nadzora vstopa in izstopa ali iz službenih oz. poslovnih oz. delovnih prostorov.

Prepovedano je izvajati videonadzor izven prej navedenih prostorov, in sicer v garderobah in sanitarnih prostorih.

Odločitev o uvedbi videonadzora sprejme zastopnik organizacije pisno. V tej odločitvi morajo biti obrazloženi

razlogi za uvedbo videonadzora.

Organizacija mora o izvajanju videonadzora pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru. To obvestilo mora vsebovati:

• informacijo, da se izvaja videonadzor,
• naziv izvajalca videonadzora,
• telefonsko številko  za   pridobitev   informacije,   kje   in   koliko   časa   se   shranjujejo   posnetki   iz

videonadzornega sistema.

Obvestilo mora biti vidno in razločno nameščeno na način, ki omogoča posamezniku, da se seznani z njim najpozneje v trenutku, ko se nad njim začne izvajati videonadzor. Obvestilo mora biti nameščeno trajno, dokler se izvaja videonadzor.

Zbirka osebnih podatkov videonadzora vsebuje posnetek posameznika (slika oz. glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.

Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.

Videoposnetki se, če ni zaznanih posebnosti, tekoče avtomatsko brišejo oz. najkasneje vsakih 30 dni. Videoposnetki incidenčnih dogodkov se hranijo do konca postopka, vodenega zaradi incidenčnega dogodka.

HRAMBA IN ROK HRAMBE ZBIRK OSEBNIH PODATKOV

46. člen

Za hrambo zbirk osebnih podatkov so odgovorni zaposleni, ki so pooblaščeni za obdelovanje zbirk osebnih

podatkov oz. DPO.

47. člen

Zbirke osebnih podatkov zaposlenih v organizaciji (kadrovske evidence) in druge zbirke osebnih podatkov, vodene v organizaciji, se hranijo v zaklenjeni vodotesni in ognjevarni omari v prostorih poslovnega sekretarja oz. zastopnika organizacije.

48. člen

Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov. Katalogi zbirk osebnih podatkov so združeni v interni seznam katalogov zbirk osebnih podatkov.

X. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV

49. člen

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v organizacija – prinesejo jih stranke ali kurirji, razen pošiljk iz drugega in tretjega odstavka tega člena.

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne odpirajo tistih pošiljk, ki so naslovljene na drugo organizacija in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.

Zaposleni, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega brez označbe njegovega uradnega položaja in šele nato naslov organizacije.

50. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah in vročajo proti podpisu. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.

51. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.

52. člen

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.

Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

XI.  BRISANJE PODATKOV OZ. UNIČENJE NOSILCEV OSEBNIH PODATKOV

53. člen

Osebni podatki se lahko zbirajo in hranijo le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se

vodijo in zbirajo.

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače. Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov.

54. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija

vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, …) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov, to je s fizičnim uničenjem nosilcev.

Na enak način se uničuje pomožno gradivo (npr. izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.). Nosilci se fizično uničijo (pokurijo, razrežejo, ipd.) v prostorih organizacije ali pod nadzorom pooblaščene osebe v organizaciji.

XII.  UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV

55. člen

Zaposleni organizacije so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti pooblaščeno osebo, ki vodi in ureja zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero so je vdrlo.

Pooblaščena oseba mora zoper tistega, ki je zlorabil osebne podatke in je nepooblaščeno vdrl v zbirko osebnih

podatkov, ustrezno ukrepati.

Če obstaja sum pri vdoru v zbirko osebnih podatkov, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so bili izbrani ali če je do zlorabe osebnih podatkov že prišlo, mora pooblaščena oseba poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je delavec organizacije, vdor ali zlorabo oz. poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti nadrejenega, sami pa poskušajo takšno aktivnost preprečiti.

XIII.  ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV

56. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorne pooblaščene osebe, ki jih imenuje zastopnik organizacije.

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja pooblaščena oseba, ki jo

imenuje zastopnik organizacije.

57. člen

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora biti zaposleni seznanjen z

določbami tega pravilnika, določbami Zakona o varstvu osebnih podatkov ter o posledicah kršitve.

Pred nastopom dela zaposlenega mora zaposleni podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov

kot poklicne in poslovne skrivnosti in ga opozarja na posledice kršitve zaveze.

58. člen

Razkrivanje osebnih podatkov, s katerimi se zaposleni seznani pri svojem delu, nepooblaščenim osebam ali

zloraba teh podatkov je sankcionirana kot hujša kršitev delovnih obveznosti in kot kaznivo dejanje.

Hkrati je to tudi razlog za prenehanje pogodbe o zaposlitvi iz krivdnih razlogov.

59. člen

Zaposleni stori lažjo kršitev delovne dolžnosti:

• če opusti vestno in skrbno nadzorovanje varovanih prostorov (prvi odstavek člena),
• če opusti ravnanja za preprečitev vpogleda v podatke ali na nosilce osebnih podatkov (tretji
• odstavek člena),
• če ne uniči kopije osebnih podatkov (14. člen),
• če ni prisoten ves čas servisiranja računalnika in programske opreme (drugi odstavek člena),
• če ne evidentira kopij vsebin zbirk osebnih podatkov (drugi odstavek člena),
• če ne obvesti pooblaščenega osebja ali pooblaščenega zaposlenega / stranke / pogodbenega partnerja

o zlorabi osebnih podatkov ali vdoru v zbirko osebnih podatkov.

60.  člen

Zaposleni stori hujšo kršitev delovne dolžnosti:

• če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, zaposlenim ali drugim osebam

(stranke, pogodbeni partnerji oz. tretje osebe),

• če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti
• možnost vpogleda vanje nepooblaščenim osebam (drugi odstavek člena) ,
• če brez izrecnega dovoljenja odnaša iz prostorov organizacije nosilce osebnih podatkov (prvi

odstavek 7. člena),

• če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja pooblaščene osebe in takega posredovanja ne evidentira (četrti odstavek 7. člena),
• če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo (prvi

odstavek 11. člena),

• če namesti programsko opremo ali jo odnese iz prostorov organizacije brez izrecnega dovoljenja
• pooblaščene osebe (prvi in drugi odstavek člena),
• če ne hrani vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih mestih (drugi odstavek člena).

XIV.  KONČNE DOLOČBE

61. člen

Katalog zbirk in zbirke osebnih podatkov, organizacija zavarovanja osebnih podatkov in ureditev drugih zadev določenih s tem pravilnikom se mora uskladiti z Zakonom o varstvu osebnih podatkov in določbami tega pravilnika v roku 60 dni od dneva sprejema tega pravilnika.

62. člen

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci organizacije.

Ta pravilnik sprejmejo službe oz. zaposleni v čigar delovne obveznosti sodi zbiranje, urejanje, obdelava, spreminjanje, shranjevanje, posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.

63. člen

Zaposleni, ki delajo na delovnih mestih, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo, ki je priloga tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.

64. člen

Pravilnik, kot tudi njegove spremembe in dopolnitve sprejema odgovorna oseba delodajalca – zastopnik organizacije.

65. člen

Za vsa razmerja, ki niso določena s tem Pravilnikom se uporabljajo določila veljavnega Zakona o varstvu osebnih podatkov ter Splošne uredbe o varstvu podatkov (UREDBA (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA), z dne 27. aprila 2016, oz. določila vsakokrat veljavnega Zakona o varstvu osebnih podatkov ter Splošne uredbe o varstvu podatkov, veljavne smernice ter navodila Informacijskega pooblaščenca RS in veljavnega Kodeksa obnašanja pri zbiranju osebnih podatkov pristojnega organa.

66. člen

Ta Pravilnik s kodeksom ravnanja začne veljati naslednji dan po objavi na oglasni deski organizacije, ki uporablja ta pravilnik. Pravilnik se hrani v pisarni zastopnika organizacije.

                                                                     Ljubljana, dne 05. 04. 2022