Na podlagi Splošne uredbe EU o varstvu osebnih podatkov (GDPR) je
ALARIN, Aleš Štefančič s.p.
Sv.Anton, Turki 9
6276 Pobegi
(v nadaljevanju: upravljavec osebnih podatkov)
sprejel:
PRAVILNIK O VARSTVU OSEBNIH PODATKOV
SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski in tehnični postopki in ukrepi za
zavarovanje osebnih podatkov pri upravljavcu osebnih podatkov.
Z navedenimi postopki in ukrepi se preprečuje:
– nepooblaščen ali neregistriran dostop do zbirk osebnih podatkov,
– slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali
izguba,
– nepooblaščena uporaba, obdelava in posredovanje osebnih podatkov.
PRIDOBIVANJE OSEBNIH PODATKOV
2. člen
Osebni podatki se pridobijo na podlagi opravlja dejavnosti. Pridobijo se
neposredno od stranke. Osebni podatki o zaposlenih se pridobijo ob sklenitvi
pogodbe o zaposlitvi ali med trajanjem delovnega razmerja neposredno od
zaposlenega.
3. člen
Osebni podatki se lahko pridobijo in obdelujejo brez osebne privolitve v
naslednjih primerih:
– za izvedbo ali sklenitev pogodbe,
– za izpolnitev zakonskih obveznosti,
– za zaščito življenjskih interesov osebe,
– če je obdelava v javnem interesu,
– če je obdelava v zakonitem interesu upravljavca osebnih podatkov.
4. člen
V vseh ostalih primerih, ki niso navedeni v prejšnjem členu, je potrebno za
obdelavo osebnih podatkov pridobiti pisno izjavo, iz katere je jasno, za katere
namene določena oseba dovoli obdelavo njenih osebnih podatkov. Vsak posameznik
ima možnost izbrati za katere namene dovoli obdelavo osebnih podatkov in za
katere namene ne dovoli obdelave osebnih podatkov.
5. člen
Ob pridobitvi osebnih podatkov se vsakega posameznika obvesti o:
– identiteti in kontaktnih podatkih upravljavca,
– namenih, za katere se osebni podatki obdelujejo,
– pravni podlagi za obdelavo,
– zakonitem interesu za obdelavo,
– uporabnikih ali kategorijah uporabnikov osebnih podatkov,
– obdobju hrambe osebnih podatkov,
– obstoju pravice, da se zahteva dostop do osebnih podatkov in popravek ali
izbris osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora
obdelavi in pravice do prenosljivosti podatkov,
– možnosti preklica privolitve za obdelavo,
– pravici do vložitve pritožbe pri nadzornem organu;
– morebitnih posledicah, če posameznik ne zagotovi osebnih podatkov, ki
jih mora na podlagi zakona ali sklenjene pogodbe.
DOSTOP DO OSEBNIH PODATKOV
6. člen
Dostop do osebnih podatkov imajo vsi zaposleni in zunanji sodelavci, ki se pri
svojem delu srečujejo z osebnimi podatki. Posameznik ima dostop samo do tistega
dela osebnih podatkov, ki ga potrebuje zaradi opravljanja svojega dela.
7. člen
Če imajo dostop do osebnih podatkov tudi zunanji obdelovalci osebnih podatkov,
se mora o tem pred začetkom obdelave osebnih podatkov s strani zunanjega
obdelovalca, o tem obvestiti osebe, katerih osebne podatke bo obdeloval zunanji
obdelovalec. Zunanji obdelovalec lahko začne z obdelavo osebnih podatkov, za
katere je potrebna osebna privolitev posameznika šele na podlagi izjave
posamezne osebe, da dovoli obdelavo svojih osebnih podatkov zunanjemu
obdelovalcu osebnih podatkov.
8. člen
Uporabniki posameznih zbirk osebnih podatkov ter morebitne omejitve so določeni
v posameznih zbirkah osebnih podatkov.
9. člen
Za zbiranje, obdelavo, shranjevanje in posredovanje osebnih podatkov se
določajo odgovorne osebe. Zaposleni in zunanji sodelavci, ki pri svojem delu
obdelujejo in uporabljajo osebne podatke, oziroma imajo na katerikoli način
dostop do osebnih podatkov, morajo biti seznanjeni z zakonodajo s področja
varstva osebnih podatkov in z vsebino tega pravilnika.
10. člen
Posamezne zbirke osebnih podatkov vzpostavi in je zanje odgovoren direktor.
Glede na naravo dela lahko zbirko osebnih podatkov dopolnijo vsi zaposleni in
zunanji sodelavci, ki pri svojem delu uporabljajo osebne podatke iz posamezne
zbirke.
ZBIRKE PODATKOV
11. člen
Zbirke osebnih podatkov:
– osebni podatki o kupcih in potencialnih kupcih,
– osebni podatki o zaposlenih,
– osebni podatki o študentih, ki izvajajo študentsko delo,
– osebni podatki o učencih in študentih, ki izvajajo praktični pouk,
– osebni podatki arhitektov.
OBDELAVA OSEBNIH PODATKOV
12. člen
V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo
ustrezno zakonsko podlago ali osebno privolitev posameznika. Osebne podatke je
dovoljeno zbirati in obdelovati samo za namene, zaradi katerih so se osebni
podatki pridobili. Osebni podatki se ne smejo nadalje obdelovati, če je ta
obdelava v nasprotju s temi nameni.
Pri obdelavi občutljivih osebnih podatkov morajo biti le-ti posebej označeni in
zavarovani, tako da se nepooblaščenim osebam prepreči dostop. Posameznik
(oziroma njegov zakoniti zastopnik, če gre za mladoletno osebo), na katerega
osebni podatki se obdelujejo mora biti o tem obveščen.
POGODBENA OBDELAVA OSEBNIH PODATKOV
13. člen
V primeru, da osebne podatke obdelujejo zunanji obdelovalci
osebnih podatkov, se z njimi sklene pogodba o obdelavi osebnih podatkov.
14. člen
Zunanji pogodbeni obdelovalci, ki imajo dostop do osebnih podatkov
so:
– računovodski servis,
– skrbniki računalniškega sistema – programske opreme,
– skrbniki računalniškega sistema – hardware,
– skrbniki spletnih strani.
15. člen
V pogodbi o obdelavi osebnih podatkov se določi:
– razlog za posredovanje osebnih podatkov,
– vrste posredovanih osebnih podatkov,
– način varovanja posredovanih osebnih podatkov,
– namen obdelave osebnih podatkov,
– način posredovanja osebnih podatkov,
– način vračila osebnih podatkov.
PRAVICE POSAMEZNIKOV PRI OBDELAVI OSEBNIH PODATKOV
16. člen
Vsak posameznik ima pravico zahtevati od upravljavca osebnih podatkov popravek
osebnih podatkov, izbris osebnih podatkov ali pozabo osebnih podatkov. V tem
primeru mora upravljavec osebnih podatkov osebne podatke popraviti oziroma jih
trajno izbrisati in uničiti vse osebne podatke, ki se nanašajo na posameznika,
razen kadar je upravljavec posamezne osebne podatke dolžan hraniti na podlagi
zakona.
17. člen
Vsak posameznik ima pravico omejiti obdelavo njegovih osebnih podatkov.
Obdelavo osebnih podatkov omeji tako, da prekliče morebitno izjavo s katero
soglaša z obdelavo osebnih podatkov za določene namene, oziroma tako, da izjavo
spremeni in soglaša zgolj z obdelavo za izbrane namene.
18. člen
Vsak posameznik ima pravico pridobiti informacijo o tem, ali se obdelujejo
njegovi osebni podatki.
19. člen
Vsak posameznik, katerega osebni podatki se obdelujejo ima pravico do vpogleda
v osebne podatke, ki se nanašajo nanj ter do naslednjih informacij o njegovih
osebnih podatkih:
– namene obdelave,
– vrste osebnih podatkov,
– uporabniki ali kategorije uporabnikov,
– predvideno obdobje hrambe osebnih podatkov,
– obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih
podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na
katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki
obdelavi;
– pravico do vložitve pritožbe pri nadzornem organu;
– kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo,
vse razpoložljive informacije v zvezi z njihovim virom.
NAČIN VAROVANJA OSEBNIH PODATKOV
20. člen
Osebni podatki se varujejo tako, da je nepooblaščenim osebam onemogočen dostop
ali vpogled v osebne podatke.
21. člen
V prisotnosti nepooblaščenih oseb morajo biti nosilci osebnih podatkov in
računalniški prikazovalniki nameščeni tako, da te nepooblaščene osebe nimajo
neposrednega vpogleda.
22. člen
Osebni podatki se hranijo v omarah v zaklenjenih poslovnih prostorih.
23. člen
Osebni podatki v elektronski obliki se hranijo na računalnikih, ki se nahajajo
v zaklenjenih poslovnih prostorih. Računalniki so zaščiteni z geslom. Geslo
imajo samo osebe, ki imajo dostop do osebnih podatkov.
POSREDOVANJE OSEBNIH PODATKOV
24. člen
Osebni podatki se smejo posredovati samo tistim uporabnikom in samo na podlagi
ustrezne zakonske podlage oziroma na podlagi pisne zahteve ali s privolitvijo
posameznika (oziroma njegovega zakonitega zastopnika, če gre za mladoletno
osebo), na katerega se podatki nanašajo.
25. člen
Občutljive osebne podatke je preko komunikacijskih omrežij dovoljeno
posredovati samo v primeru, če so posebej zavarovani s kriptografskimi metodami
oziroma elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov
med njihovim prenosom.
26. člen
Osebne podatke je potrebno posredovati v obliki, ki nepooblaščeni osebi
preprečuje vpogled.
Občutljivi osebni podatki se lahko posredujejo samo na podlagi pisne zahteve.
Občutljive osebne podatke je preko komunikacijskih omrežij dovoljeno
posredovati samo v primeru, če so posebej zavarovani s kriptografskimi metodami
in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med
njihovim prenosom.
27. člen
Posamezniku (oziroma njegovemu zakonitemu zastopniku, če gre za mladoletno
osebo), o katerem se v zbirki osebnih podatkov hranijo osebni podatki, je
potrebno na njegovo zahtevo posredovati osebne podatke, ki se nanašajo nanj.
28. člen
Vsako posredovanje osebnih podatkov je potrebno zabeležiti v evidenco
posredovanj osebnih podatkov.
Iz evidence mora biti razvidno:
– vrste osebnih podatkov, ki so bili posredovani,
– komu so bili osebni podatki posredovani: oseba, naslov oziroma oseba,
podjetje, naslov ki so ji bili podatki posredovani,
– kdaj so bili osebni podatki posredovani: datum in ura,
– pravna podlaga.
UNIČENJE IN BRISANJE OSEBNIH PODATKOV
29. člen
Osebni podatki se hranijo le toliko časa, dokler je to potrebno za dosego
namena, zaradi katerega so se zbirali ali obdelovali. Po izpolnitvi namena
obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo.
30. člen
Osebni podatki v elektronski obliki se zbrišejo tako, da računalniška obnovitev
dela ali celotne zbirke osebnih podatkov ni možna.
Podatki v tiskani obliki se uničijo na način, ki onemogoča branje vseh ali dela
uničenih osebnih podatkov.
31. člen
Vsakega posameznika se obvesti, če se njegovi osebni podatki prenehajo
uporabljati oziroma se uničijo ali izbrišejo.
OBVEŠČANJE O VDORIH V ZBIRKE OSEBNIH PODATKOV
32. člen
V primeru vdora v zbirke osebnih podatkov, oziroma opustitve nadzora nad
zbirkami osebnih podatkov, ki bi lahko imeli za posledico nepooblaščen dostop,
je potrebno o tem nemudoma obvestiti Informacijskega pooblaščenca. O vdoru,
oziroma opustitvi nadzora nad zbirkami osebnih podatkov, ki bi lahko imeli za
posledico nepooblaščen dostop je potrebno obvestiti tudi vse osebe,
katerih osebni podatki so bili ali bi lahko bili zlorabljeni oziroma se je do
njih ob vdoru nepooblaščeno dostopalo.
IZVAJANJE VARNOSTNIH UKREPOV
33. člen
Za varovanje osebnih podatkov je odgovorno vodstvo upravljavca osebnih
podatkov. Nadzor nad varovanjem osebnih podatkov opravlja vodstvo upravljavca
osebnih podatkov.
34. člen
Osebne podatke so dolžni varovati vsi zaposleni, ki obdelujejo osebne podatke
oziroma so bili z njimi seznanjeni pri opravljanju svojega dela. Ta obveza
varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
Pred začetkom obdelave osebnih podatkov mora posameznik podpisati izjavo o
varovanju osebnih podatkov, ki ga zavezuje k varovanju osebnih podatkov. Iz
izjave mora biti tudi razvidno, da je seznanjen z obveznostmi na področju
varstva osebnih podatkov in z vsebino tega pravilnika.
Za kršitev je pooblaščeni delavec disciplinsko, odškodninsko in kazensko
odgovoren.
UKREPI IN SANKCIJE V PRIMERU ZLORAB IN NEPOOBLAŠČENIH DOSTOPOV
35. člen
O nepooblaščenem odkrivanju, uporabi, prilaščanju, spreminjanju, poškodovanju
ali brisanju osebnih podatkov so zaposleni dolžni nemudoma obvestiti
pooblaščeno osebo. Sami pa so dolžni po svojih močeh takšno aktivnost
preprečiti.
36. člen
Vsakega posameznika, ki je nezakonito dostopal do osebnih podatkov se prijavi
policiji.
37. člen
Vsakega posameznika, ki ima dostop do osebnih podatkov, a je le te uporabljal v
nasprotju z nameni uporabe oziroma je pri njihovi uporabi prekoračil
pooblastila in ima njegovo dejanje znake kaznivega dejanja, se prijavi
policiji.
38. člen
Zaposlenega, ki je nepooblaščeno dostopal do osebnih podatkov oziroma je pri
njihovi uporabi zlorabil pooblastila, oziroma jih je uporabljal v nasprotju z
nameni uporabe se lahko kaznuje z:
– ustnim opozorilom za najlažje oblike kršitev,
– pisnim opozorilom na izpolnjevanje delovnih obveznosti in možnostjo redne
odpovedi iz krivdnega razloga v primeru ponovne kršitve,
– redno odpovedjo pogodbe o zaposlitvi iz krivdnega razloga v skladu s 3.
alinejo 1. odstavka 89. člena Zakona o delovnih razmerjih (ZDR-1), če je pred
tem zaposleni že dobil pisno opozorilo,
– izredno odpovedjo pogodbe o zaposlitvi v skladu s 1. alinejo 1. odstavka 110.
člena Zakona o delovnih razmerjih (ZDR-1), če delavec krši pogodbeno ali drugo
obveznost iz delovnega razmerja in ima kršitev vse znake kaznivega dejanja,
– izredno odpovedjo pogodbe o zaposlitvi v skladu z 2. alinejo 1. odstavka 110.
člena Zakona o delovnih razmerjih (ZDR-1), če delavec naklepoma ali iz hude
malomarnosti huje krši pogodbene ali druge obveznosti iz delovnega razmerja.
39. člen
Če je zaradi zlorabe osebnih podatkov bila upravljavcu osebnih podatkov
povzročena škoda, ima upravljavec osebnih podatkov od kršitelja pravico
zahtevati povračilo nastale škode oziroma vložiti odškodninsko tožbo.
KONČNE DOLOČBE
40. člen
S tem pravilnikom se pisno seznani vse zaposlene.
41. člen
Za sprejetje tega pravilnika in njegovih sprememb oziroma dopolnitev je
pristojno vodstvo podjetja.
42. člen
Ta pravilnik začne veljati dne 2.02.2019.
V Sv.Anton, dne 2.02.2019