Na podlagi določb Uredbe (EU) 2016/679 Evropskega Parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; ZVOP-1)
I Z D A J A
Šolski center za pošto, ekonomijo in telekomunikacije Ljubljana (v nadaljevanju ŠC PET), Celjska ulica 16, 1000 Ljubljana, dne 11. 11. 2019
PRAVILNIK O VAROVANJU OSEBNIH PODATKOV
ŠOLSKEGA CENTRA ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE LJUBLJANA
(o obdelavi osebnih podatkov, vključno z zagotavljanjem varnosti
osebnih podatkov in politiko varstva osebnih podatkov zaposlenih)
I. SPLOŠNE DOLOČBE
- člen
S tem pravilnikom se določajo organizacijski, tehnični in logistično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v ŠC PET z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo, kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci ŠC PET, ki pri svojem delu obdelujejo in uporabljajo osebne in zaupne podatke (v nadaljevanju: uporabniki), morajo pri svojem delu spoštovati predpise s področja varstva osebnih podatkov, vključno z določbami tega pravilnika.
- člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- Osebni podatek – pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
Zbirka osebnih podatkov – pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; - Obdelava osebnih podatkov – pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
- Evidenca dejavnosti obdelave osebnih podatkov – je opis zbirk osebnih podatkov v skladu s 30. členom Splošne uredbe;
- Upravljavec osebnih podatkov – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
- Posebne vrste osebni podatki – so podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;
- Uporabnik osebnih podatkov – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
- Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
- Obdelovalec – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
- Podobdelovalec – pomeni pravno ali fizično osebo, ki ji obdelovalec poveri določene naloge s področja obdelovanja osebnih podatkov:
- Privolitev posameznika – pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
- Pooblaščena oseba za varstvo osebnih podatkov – fizična ali pravna oseba, ki jo ŠC PET določi za opravljanje nalog iz 39. člena Splošne uredbe.
- člen
Opis zbirk osebnih podatkov, katerih upravljavec je ŠC PET, se vodi v Evidenci dejavnosti obdelav skladu z določbami Splošne uredbe.
V evidenco dejavnosti obdelav se vpisujejo naslednji podatki: naziv zbirke osebnih podatkov, pravna podlaga za obdelavo osebnih podatkov, namen obdelave osebnih podatkov, kategorije posameznikov, na katere se osebni podatki nanašajo, vrste osebnih podatkov v zbirki, delovna mesta oz. skupine notranjih uporabnikov, druge uporabnike osebnih podatkov (morebitne pogodbene obdelovalce, zunanje sodelavce), rok hrambe, delovna mesta oseb, odgovornih za posamezne zbirke (skrbnik zbirke) in navedbe aplikacij, prek katerih se osebni podatki obdelujejo (informacijska podpora)..
Evidenca dejavnosti vsebuje navedbo, da način zavarovanja osebnih podatkov v zbirkah določa ta pravilnik.
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
- člen
Zagotavljanje varnosti osebnih podatkov obsega organizacijske, tehnične in logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki v skladu s Splošno uredbo, Zakonom o varstvu osebnih podatkov (ZVOP-1) in nacionalnim predpisom, sprejetim za izvedbo Splošne uredbe, s katerimi se:
- varujejo prostori, oprema in sistemska programska oprema,
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki
- zagotavlja varnost posredovanja in prenosa osebnih podatkov
- onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk.
- člen
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema, sodijo v kategorijo varovanih prostorov in so varovani s fizičnimi (zaklepanje) ukrepi, ki zmanjšujejo tveganje za vstop nepooblaščenih oseb in njihov dostop do podatkov. Pri upravljavcu so to prostori programerske in servisne službe. Ti prostori so varovani s fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov in za katere velja naslednji režim:
- Dostop v te prostore je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja direktorja in ravnateljev ali od njih pooblaščene osebe.
- Dostop osebam, ki niso zaposlene v varovanih prostorih, je dovoljen le ob prisotnosti zaposlenih v teh prostorih.
- Delavci, morajo prostor, v katerem opravljajo svoje delo, vestno in skrbno nadzorovati in ob vsaki odsotnosti zakleniti.
- Nosilcev osebnih podatkov ne smejo izpostavljati nevarnosti nenadzorovanega vpogleda ali iznosa. Shranjeni morajo biti v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni.
- Osebni podatki se hranijo le v delovnih prostorih.
- Računalniki, na katerih se nahajajo osebni podatki, morajo biti v času vsake odsotnosti delavca, zadolženega za delo z osebnimi podatki, fizično ali programsko zaklenjeni.
- Nosilci osebnih podatkov, hranjeni izven delovnih prostorov oziroma izven varovanih prostorov (hodnik, skupni prostori, aktivni in pasivni arhiv itd.), morajo biti stalno zaklenjeni v ognjevarni zaščitni omari.
- Delavec, ki pri svojem delu obdeluje osebne podatke, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalni mizi ali jih drugače izpostavljati vpogledu vanje nepooblaščenim osebam oziroma zaposlenim.
- V prostorih, v katere imajo vstop stranke oziroma osebe, ki v ŠC PET niso zaposlene, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da je strankam onemogočen vpogled vanje.
Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.
Posebne vrste osebni podatki se ne smejo hraniti izven varovanih prostorov.
- člen
Obdelovanje osebnih podatkov je dovoljeno le v prostorih ŠC PET. Nosilcev osebnih podatkov delavci ne smejo odnašati izven prostorov ŠC PET brez izrecnega dovoljenja direktorja in ravnateljev oziroma z njihovih strani pooblaščene osebe.
- člen
Posredovanje osebnih podatkov pooblaščenim zunanjim institucijam in drugim, ki izkažejo pravno podlago za pridobitev osebnih podatkov (enega od pravnih temeljev iz 6/I člena Splošne uredbe), dovoli direktor ŠC PET oz. ravnatelj STSŠ ali VSŠ ali od njih pooblaščena oseba.
- člen
Vzdrževanje in popravilo strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščenih oseb upravljavca, izvajajo pa ga lahko samo za to usposobljeni servisi in vzdrževalci, ki imajo s ŠC PET sklenjeno pogodbo o servisiranju in vzdrževanju računalniške oziroma strojne opreme.
- člen
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci, poslovni partnerji in druge osebe, se smejo gibati v varovanih prostorih samo ob prisotnosti osebe, zaposlene v podjetju. Delavci, kot so čistilke in tehnično-vzdrževalni delavci, se smejo izven delovnega časa v prostorih šole zadrževati le z dovoljenjem direktorja oz. ravnateljev ali od njih pooblaščene osebe.
III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
- člen
Dostop do programske opreme mora biti varovan na način, ki omogoča dostop samo določenim za to v naprej pooblaščenim delavcem ali zaposlenim, ki v skladu s pogodbo opravljajo naloge, pri katerih je potrebna obdelava določenih osebnih podatkov.
- člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja oz. ravnateljev ali od njih poblaščene osebe, izvajajo pa ga lahko samo pooblaščeni oziroma za to usposobljeni servisi in organizacije in posamezniki, ki imajo s ŠC PET sklenjeno ustrezno pogodbo. Izvajalci morajo narejene spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
- člen
Delavci, pooblaščeni za obdelavo in ravnanje z osebnimi podatki na računalniku, morajo skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske oziroma aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči, enako tudi drugi za lažje delo pripravljeni delovni pripomočki (kot so excel tabele z uvoženimi osebni podatki iz zbirke ipd).
- člen
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se redno preverja glede na možno prisotnost računalniških virusov. Ob pojavu računalniškega virusa se ga odpravi s pomočjo ustreznih strokovnjakov in se ugotovi vzrok pojava virusa.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu in prispejo v ŠC PET na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
- člen
Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz prostorov šole brez odobritve s strani direktorja oz. ravnateljev ali z njihove strani pooblaščene osebe.
- člen
Dostop do podatkov preko aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
Direktor oz. ravnatelj oziroma z njihove strani pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel.
- člen
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se redno izdelujejo kopije vsebin zbirk osebnih podatkov.
Takšne kopije zbirk osebnih podatkov na disketah, kompaktnih diskih ali drugih medijih se hranijo v zavarovanih, zaklenjenih, ognjevarnih omarah, ki so zaščitene pred poplavami in elektromagnetnimi motnjami.
IV. POLITIKA VARSTVA OSEBNIH PODATKOV ZAPOSLENIH
- člen
Delavec oziroma zaposleni v ŠC PET, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v ŠC PET (prinesejo jih zaposleni, drugi ali kurirji), razen pošiljk iz drugega in tretjega odstavka tega člena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpre pošiljke, ki je naslovljena na drug organ ali organizacijo in je pomotoma dostavljena v ŠC PET.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpreti pošiljke, naslovljene osebno na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega, brez označbe njegovega uradnega položaja, in šele nato naslov ŠC PET.
- člen
Elektronska pošta, računalnik (prenosni in stacionarni), tablice, mobilni telefon in druge elektronske naprave, ki jih delavcu za potrebe opravljanja dela dodeli delodajalec, se s strani zaposlenih uporabljajo v službene namene. V omejenem obsegu in razumnih mejah se lahko elektronska pošta in računalnik uporabljata tudi v zasebne namene delavcev, pri čemer so se uporabniki na strani ŠC PET dolžni v smislu skrbi za ugled šole izogibati pošiljanju elektronskih sporočil z neprimerno in žaljivo vsebino.
V računalnik (delovno postajo), drugo tehnično sredstvo (na primer mobilni telefon), dano v uporabo s strani ŠC PET, ali v elektronsko pošto delavca, ki je angažiran bodisi na podlagi pogodbe o zaposlitvi bodisi na drugem pogodbenem temelju (v nadaljevanju: uporabnik opreme), sme ŠC PET poseči le v izjemnih primerih, opredeljenih v tem Pravilniku, in sicer v primeru nepričakovane, nenadne in dalj časa trajajoče ali trajne odsotnosti uporabnika opreme, na primer v primeru odpovedi delovnega razmerja s strani zaposlenega brez odpovednega roka, v primeru odpovedi delovnega razmerja iz krivdnih razlogov zaradi neopravičene odsotnosti, v primeru, da zaradi svojega zdravstvenega stanja
uporabnik ni sposoben izraziti svoje volje, pa takšno stanje traja dlje časa ali se upravičeno domneva, da bo trajalo dlje časa, smrt uporabnika in podobni izredni primeri, kadar:
- je to nujno potrebno za izpolnitev zakonskih obveznosti ŠC PET;
- je to nujno in neogibno potrebno za izpolnitev pogodbenih obveznosti ŠC PET, katerih neizpolnitev ali izpolnitev z zamudo bi za zavod pomenila izgubo ugleda ali nastanek premoženjske škode.
Uporabnika opreme se pred posegom v njegov računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto pozove k prostovoljni predložitvi gesel in/ali potrebnih dokumentov ter se mu za izpolnitev zahteve postavi primeren rok. Tako v primeru prostovoljnega posredovanja dostopnih gesel, kot tudi v primeru, da se uporabnik na poziv ŠC PET ne odzove ali ga zavrne, se vstop v računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto opravi s strani osebe, ki jo vsakokrat imenuje direktor ŠC PET oz. ravnatelj STSŠ ali VSŠ, delavcu/uporabniku pa se omogoči, da dejanju osebno prisostvuje, tako da se ga obvesti o kraju in času dejanja, razen če to iz objektivnih razlogov ni mogoče ali če zaposleni s svojim ravnanjem očitno onemogoča vstop.
O vsakem vstopu v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto po tem členu se vodi dokumentacija, ki vsebuje najmanj:
- obrazložen razlog za dopustnost vstopa,
- zapisnik o vstopu v računalnik ali elektronsko pošto z morebitnimi pripombami delavca, če je ta navzoč,
- navedbo prisotnih oseb,
- seznam oziroma izpis pridobljenih podatkov.
Šteje se, da je o namenu uporabe elektronske pošte in ostale programske opreme, ki jo uporabniku za namene opravljanja dela nudi ŠC PET, ter o možnostih nadzora po določbah tega člena tega Pravilnika, uporabnik predhodno obveščen, ko mu ŠC PET izroči izvod tega Pravilnika ali mu ga pošlje na e-naslov, ki ga delavcu/uporabniku da ŠC PET, ali ga za namen komunikacije s ŠC PET posreduje uporabnik sam. Kot primerno obvestilo šteje tudi objava tega Pravilnika na spletni strani ŠC PET.
- člen
Vpogled v telefonske prometne podatke mobilnih naročniških številk v lasti ŠC PET in uporabi posameznega uporabnika, lahko od operaterjev telekomunikacijskih storitev zahteva le direktor ŠC PET oz. ravnatelj STSŠ ali VSŠ ali od njih pooblaščena oseba in le v primeru spora med uporabnikom in ŠC PET o višini stroškov porabe za sporno mobilno naročniško številko za določeno obračunsko obdobje, pri čemer to stori skladno z določili Zakona o elektronskih komunikacijah in nikakor ne sme preverjati identitete oziroma lastništva klicanih ali klicočih številk, razen kadar bi to zaradi ugotavljanja, ali so bili klici opravljeni v službene namene, zahteval delavec/uporabnik sam.
ŠC PET mobilnim napravam v njegovi lasti in uporabi posameznega uporabnika ne sme slediti in v ta namen v svoje mobilne naprave ne sme namestiti naprave oziroma aplikacije za sledenje uporabniku.
- člen
Ob prenehanju delavnega razmerja je delavec ŠC PET dolžan vrniti službeni računalnik, drugo tehnično sredstvo, ključe od prostorov zavoda ter daljinski upravljalec za dostop do parkirišča in/ali službeni mobilni telefon, ki ga je uporabljal v službene namene, pri čemer mora pred vrnitvijo delavec sam poskrbeti, da so s službenih računalniških, tehničnih in mobilnih naprav očiščene oziroma izbrisane vse njegove zasebne vsebine, službene pa ohranjene v celoti.
- člen
Delavec lahko za namene opravljanja dela poleg službene opreme in naprav v lasti ŠC PET uporablja svoje zasebne računalnike in/ali mobilne telefone in druge tehnične naprave, če takšno uporabo odobri direktor oz. ravnatelj STSŠ ali VSŠ ali od njih pooblaščena oseba.
V primeru prenehanja delovnega razmerja je delavec dolžan z zasebnih računalnikov in/ali mobilnih telefonov ali drugih naprav (tudi USB ključev ipd.), ki jih je v soglasju z delodajalcem uporabljal za službene namene, izbrisati vse osebne podatke, ki so bili preneseni s službenega omrežja, in vse datoteke, ki jih je zaposleni uporabljal v službene namene, ne glede na to, ali vsebujejo osebne podatke.
- člen
Pravila izvedbe videonadzora in obdelave podatkov (posnetkov) podrobneje opredeljuje poseben pravilnik, ki ga sprejme direktor ŠC PET.
- člen
Za namene dokumentiranja aktivnosti in obveščanja javnosti o delu ŠC PET te dogodke v lastni organizaciji ali so-organizaciji, kot so prireditve, tekmovanja, izobraževanja in podobno, delno ali v celoti snema oziroma fotografira.
Obvestilo o tem, da bo dogodek sneman oziroma fotografiran, se zapiše na vabilo oziroma na obvestilo o dogodku. Navede se tudi namen snemanja oziroma fotografiranja. Na ta način se šteje, da so udeleženci oziroma obiskovalci obveščeni o snemanju oziroma fotografiranju javnega dogodka. Kadar je to bolj primerno (ob dogodkih z manjšim številom udeleženih, dogodkih, ki niso odprti za javnost, udeleženci pa utemeljeno pričakujejo večjo stopnjo zasebnosti), se snemanje oziroma fotografiranje ustno napove in udeležencem pusti možnost, da izrazijo svojo voljo glede zajema njihove podobe s kamero.
V. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
- člen
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, shranjevanjem, posredovanjem ali drugačno obdelavo osebnih podatkov za ŠC PET in je registrirana za opravljanje takšne dejavnosti (obdelovalec), se sklene pisna pogodba, predvidena v 28. členu Splošne uredbe. V takšni pogodbi morajo biti določeni tudi pogoji in ukrepi za zagotovitev varnosti osebnih podatkov, zagotavljanje njihove celovitosti in avtentičnosti ves čas obdelave.
Obdelovalci so tudi zunanji sodelavci, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo, v kolikor imajo pri svojem delu dostop do osebnih podatkov.
Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru pooblastil ŠC PET in osebnih podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
Pooblaščena pravna ali fizična oseba, ki za ŠC PET opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način zagotavljanja varnosti osebnih podatkov, kakor ga določa ta Pravilnik.
VI. POSREDOVANJE OSEBNIH PODATKOV
- člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Posebne vrste osebni podatki se pošiljajo naslovnikom s posebej skrbnimi, dodatnimi ukrepi za zagotavljanje varnosti (v zaprtih kuvertah, priporočeno, da je pošiljanje sledljivo, po elektronski poti pa zavarovano na način, da je med pošiljanjem kriptirano ali zavarovano z geslom).
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
Obdelava posebnih kategorij osebnih podatkov mora biti posebej označena in zavarovana.
Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (30. člen Splošne uredbe).
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
VII. BRISANJE PODATKOV
- člen
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
Osebni podatki, ki so del pogodb, se izbrišejo iz zbirke podatkov po izteku absolutnih zastaralnih rokov, ki so določeni v zvezi s posamezno obveznostjo ali upravičenjem.
Osebni podatki, ki se obdelujejo na podlagi privolitve, se izbrišejo najkasneje 15. dan po prejemu preklica.
- člen
Za brisanje podatkov z nosilcev podatkov se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, itd.) se uničijo na način, ki onemogoča branje oz. prepoznavanje vseh ali dela uničenih podatkov.
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno varnost osebnih podatkov tudi v času prenosa/prevoza.
VIII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
- člen
Vsi zaposleni so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati odgovorno, vestno in skrbno.
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem, nepooblaščenim dostopom ali uničenjem podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo, sami pa poskušajo takšno aktivnost preprečiti.
- člen
Zavod mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.
Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo, ali nameni, določenimi v podpisanih privolitvenih obrazcih.
- člen
Za obveščanje Informacijskega pooblaščenca o kršitvah varstva osebnih podatkov po 33. členu Splošne uredbe so odgovorni direktor ter ravnatelja STSŠ in VSŠ.
ŠC PET mora v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvestiti Informacijskega pooblaščenca v skladu s 55. členom Splošne uredbe, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo Informacijskemu pooblaščencu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.
Uradno obvestilo iz prejšnjega odstavka vsebuje vsaj:
- opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
- sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij,
- opis verjetnih posledic kršitve varstva osebnih podatkov;
- opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.
Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
Zaposleni in pooblaščena oseba za varstvo osebnih podatkov morajo dokumentirati vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe.
Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, ŠC PET brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov. Sporočilo mora vsebovati v jasnem in preprostem jeziku opisano vrsto kršitve varstva osebnih podatkov ter vsaj:
- sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
- opis verjetnih posledic kršitve varstva osebnih podatkov;
- opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.
Sporočilo posamezniku iz prejšnjega odstavka ni potrebno, če:
- je ŠC PET izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;
- je ŠC PET sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne bo več udejanjilo;
- bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
IX. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
- člen
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni vsi zaposleni na ŠC PET, kot tudi zunanji izvajalci, ki imajo z zavodom podpisan dogovor o sodelovanju.
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja direktor ŠC PET oz. ravnatelj STSŠ in VSŠ ali od njih pooblaščena oseba. Po vzpostavitvi stanja po tem pravilniku se nadzor izvršuje preko pisnih obvestil odgovornih oseb posameznih zbirk osebnih podatkov o spremembah v zvezi s temi postopki in ukrepi, v zvezi z osebami, ki lahko zaradi narave svojega dela obdelujejo določene osebne podatke in v zvezi s katalogom zbirk osebnih podatkov.
- člen
Pred nastopom dela delavca na delovnem mestu, na katerem se obdelujejo osebni podatki, mora delavec podpisati pisno izjavo, s katero se oblično zaveže k varovanju osebnih podatkov ves čas trajanja delovnega razmerja, pri čemer se delavca opozori, da obveznost varovanja osebnih podatkov ne preneha s prenehanjem delovnega razmerja in da bo kršitev te obveznosti šteta tudi kot kršitev njegovih zavez iz pogodbe o zaposlitvi. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika, izjava pa mora vsebovati tudi pouk o posledicah kršitve.
- člen
Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
- člen
Če obstaja sum kršitve s strani kakšne osebe, se ji začasno onemogoči dostop do osebnih podatkov. Komisija v sestavi, ki jo odredi direktor ŠC PET, je dolžna nemudoma raziskati nastalo situacijo. O tem je potrebno sestaviti zapisnik in ga predati direktorju.
- člen
Za kršitev določil iz tega pravilnika so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti.
X. KONČNE DOLOČBE
- člen
Z dnem izdaje tega pravilnika preneha veljati Pravilnik o zavarovanju osebnih podatkov z dne 15. 6. 2018.
Ta pravilnik začne veljati takoj po izdaji, to je 11. 11. 2019
V primeru spremembe zakonodaje na področju, na katero se nanaša ta pravilnik (varstvo osebnih podatkov) tega pravilnika ni treba spreminjati, spremembe zakonodaje pa se smiselno upoštevajo pri njegovem izvajanju oziroma pri njegovi uporabi.
S pravilnikom bodo seznanjeni vsi zaposleni ŠC PET po elektronski pošti, v roku 3 dni po izdaji pravilnika.
Pravilnik je javno dostopen vsem, ki so ga dolžni upoštevati in se nahaja v tajništvu direktorja. Pred podpisom Izjave o varovanju osebnih podatkov se podpisujoča oseba seznani z le-tem.
Marjana Plukavec
direktorica