Na podlagi Splošne uredbe EU o varstvu osebnih podatkov (GDPR) je

ALARIN, Aleš Štefančič s.p.
Sv.Anton, Turki 9
6276 Pobegi
(v nadaljevanju: upravljavec osebnih podatkov)

sprejel:

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

SPLOŠNE DOLOČBE
 
1. člen
 
S tem pravilnikom se določajo organizacijski in tehnični postopki in ukrepi za zavarovanje osebnih podatkov pri upravljavcu osebnih podatkov.
Z navedenimi postopki in ukrepi se preprečuje:
– nepooblaščen ali neregistriran dostop do zbirk osebnih podatkov,
– slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali izguba,
– nepooblaščena uporaba, obdelava in posredovanje osebnih podatkov.
 
PRIDOBIVANJE OSEBNIH PODATKOV
 
2. člen
 
Osebni podatki se pridobijo na podlagi opravlja dejavnosti. Pridobijo se neposredno od stranke. Osebni podatki o zaposlenih se pridobijo ob sklenitvi pogodbe o zaposlitvi ali med trajanjem delovnega razmerja neposredno od zaposlenega.
 
3. člen
 
Osebni podatki se lahko pridobijo in obdelujejo brez osebne privolitve v naslednjih primerih:
– za izvedbo ali sklenitev pogodbe,
– za izpolnitev zakonskih obveznosti,
– za zaščito življenjskih interesov osebe,
– če je obdelava v javnem interesu,
– če je obdelava v zakonitem interesu upravljavca osebnih podatkov.
 
4. člen
 
V vseh ostalih primerih, ki niso navedeni v prejšnjem členu, je potrebno za obdelavo osebnih podatkov pridobiti pisno izjavo, iz katere je jasno, za katere namene določena oseba dovoli obdelavo njenih osebnih podatkov. Vsak posameznik ima možnost izbrati za katere namene dovoli obdelavo osebnih podatkov in za katere namene ne dovoli obdelave osebnih podatkov.
 
5. člen
 
Ob pridobitvi osebnih podatkov se vsakega posameznika obvesti o:
– identiteti in kontaktnih podatkih upravljavca,
– namenih, za katere se osebni podatki obdelujejo,
– pravni podlagi za obdelavo,
– zakonitem interesu za obdelavo,
– uporabnikih ali kategorijah uporabnikov osebnih podatkov,
– obdobju hrambe osebnih podatkov,
– obstoju pravice, da se zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov,
– možnosti preklica privolitve za obdelavo,
– pravici do vložitve pritožbe pri nadzornem organu;
–  morebitnih posledicah, če posameznik ne zagotovi osebnih podatkov, ki jih mora na podlagi zakona ali sklenjene pogodbe.
 
DOSTOP DO OSEBNIH PODATKOV
 
6. člen
 
Dostop do osebnih podatkov imajo vsi zaposleni in zunanji sodelavci, ki se pri svojem delu srečujejo z osebnimi podatki. Posameznik ima dostop samo do tistega dela osebnih podatkov, ki ga potrebuje zaradi opravljanja svojega dela.
 
7. člen
 
Če imajo dostop do osebnih podatkov tudi zunanji obdelovalci osebnih podatkov, se mora o tem pred začetkom obdelave osebnih podatkov s strani zunanjega obdelovalca, o tem obvestiti osebe, katerih osebne podatke bo obdeloval zunanji obdelovalec. Zunanji obdelovalec lahko začne z obdelavo osebnih podatkov, za katere je potrebna osebna privolitev posameznika šele na podlagi izjave posamezne osebe, da dovoli obdelavo svojih osebnih podatkov zunanjemu obdelovalcu osebnih podatkov.
 
8. člen
 
Uporabniki posameznih zbirk osebnih podatkov ter morebitne omejitve so določeni v posameznih zbirkah osebnih podatkov.
 
9. člen
 
Za zbiranje, obdelavo, shranjevanje in posredovanje osebnih podatkov se določajo odgovorne osebe. Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, oziroma imajo na katerikoli način dostop do osebnih podatkov, morajo biti seznanjeni z zakonodajo s področja varstva osebnih podatkov in z vsebino tega pravilnika.
 
10. člen
 
Posamezne zbirke osebnih podatkov vzpostavi in je zanje odgovoren direktor. Glede na naravo dela lahko zbirko osebnih podatkov dopolnijo vsi zaposleni in zunanji sodelavci, ki pri svojem delu uporabljajo osebne podatke iz posamezne zbirke.
 
ZBIRKE PODATKOV
 
11. člen
 
Zbirke osebnih podatkov:
– osebni podatki o kupcih in potencialnih kupcih,
– osebni podatki o zaposlenih,
– osebni podatki o študentih, ki izvajajo študentsko delo,
– osebni podatki o učencih in študentih, ki izvajajo praktični pouk,
– osebni podatki arhitektov.
 
OBDELAVA OSEBNIH PODATKOV
 
12. člen
 
V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno zakonsko podlago ali osebno privolitev posameznika. Osebne podatke je dovoljeno zbirati in obdelovati samo za namene, zaradi katerih so se osebni podatki pridobili. Osebni podatki se ne smejo nadalje obdelovati, če je ta obdelava v nasprotju s temi nameni.
Pri obdelavi občutljivih osebnih podatkov morajo biti le-ti posebej označeni in zavarovani, tako da se nepooblaščenim osebam prepreči dostop. Posameznik (oziroma njegov zakoniti zastopnik, če gre za mladoletno osebo), na katerega osebni podatki se obdelujejo mora biti o tem obveščen.
 
POGODBENA OBDELAVA OSEBNIH PODATKOV 
 
13. člen
 
V primeru, da osebne podatke obdelujejo zunanji obdelovalci osebnih podatkov, se z njimi sklene pogodba o obdelavi osebnih podatkov.
 
14. člen
 
Zunanji pogodbeni obdelovalci, ki imajo dostop do osebnih podatkov so:
– računovodski servis,
– skrbniki računalniškega sistema – programske opreme,
– skrbniki računalniškega sistema – hardware,
– skrbniki spletnih strani.
 
15. člen
 
V pogodbi o obdelavi osebnih podatkov se določi:
– razlog za posredovanje osebnih podatkov,
– vrste posredovanih osebnih podatkov, 
– način varovanja posredovanih osebnih podatkov,
– namen obdelave osebnih podatkov, 
– način posredovanja osebnih podatkov,
– način vračila osebnih podatkov.
 
PRAVICE POSAMEZNIKOV PRI OBDELAVI OSEBNIH PODATKOV
  
16. člen
 
Vsak posameznik ima pravico zahtevati od upravljavca osebnih podatkov popravek osebnih podatkov, izbris osebnih podatkov ali pozabo osebnih podatkov. V tem primeru mora upravljavec osebnih podatkov osebne podatke popraviti oziroma jih trajno izbrisati in uničiti vse osebne podatke, ki se nanašajo na posameznika, razen kadar je upravljavec posamezne osebne podatke dolžan hraniti na podlagi zakona.
 
17. člen
 
Vsak posameznik ima pravico omejiti obdelavo njegovih osebnih podatkov. Obdelavo osebnih podatkov omeji tako, da prekliče morebitno izjavo s katero soglaša z obdelavo osebnih podatkov za določene namene, oziroma tako, da izjavo spremeni in soglaša zgolj z obdelavo za izbrane namene.
 
18. člen
 
Vsak posameznik ima pravico pridobiti informacijo o tem, ali se obdelujejo njegovi osebni podatki.
 
19. člen
 
Vsak posameznik, katerega osebni podatki se obdelujejo ima pravico do vpogleda v osebne podatke, ki se nanašajo nanj ter do naslednjih informacij o njegovih osebnih podatkih:
– namene obdelave,
– vrste osebnih podatkov,
– uporabniki ali kategorije uporabnikov,
– predvideno obdobje hrambe osebnih podatkov,
– obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
– pravico do vložitve pritožbe pri nadzornem organu;
– kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom.
 
NAČIN VAROVANJA OSEBNIH PODATKOV
 
20. člen
 
Osebni podatki se varujejo tako, da je nepooblaščenim osebam onemogočen dostop ali vpogled v osebne podatke.
 
21. člen
 
V prisotnosti nepooblaščenih oseb morajo biti nosilci osebnih podatkov in računalniški prikazovalniki nameščeni tako, da te nepooblaščene osebe nimajo neposrednega vpogleda.
 
22. člen
 
Osebni podatki se hranijo v omarah v zaklenjenih poslovnih prostorih.
 
23. člen
 
Osebni podatki v elektronski obliki se hranijo na računalnikih, ki se nahajajo v zaklenjenih poslovnih prostorih. Računalniki so zaščiteni z geslom. Geslo imajo samo osebe, ki imajo dostop do osebnih podatkov.
 
POSREDOVANJE OSEBNIH PODATKOV
 
24. člen
 
Osebni podatki se smejo posredovati samo tistim uporabnikom in samo na podlagi ustrezne zakonske podlage oziroma na podlagi pisne zahteve ali s privolitvijo posameznika (oziroma njegovega zakonitega zastopnika, če gre za mladoletno osebo), na katerega se podatki nanašajo.
 
25. člen
 
Občutljive osebne podatke je preko komunikacijskih omrežij dovoljeno posredovati samo v primeru, če so posebej zavarovani s kriptografskimi metodami oziroma elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
 
26. člen
 
Osebne podatke je potrebno posredovati v obliki, ki nepooblaščeni osebi preprečuje vpogled.
Občutljivi osebni podatki se lahko posredujejo samo na podlagi pisne zahteve. Občutljive osebne podatke je preko komunikacijskih omrežij dovoljeno posredovati samo v primeru, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
 
27. člen
 
Posamezniku (oziroma njegovemu zakonitemu zastopniku, če gre za mladoletno osebo), o katerem se v zbirki osebnih podatkov hranijo osebni podatki, je potrebno na njegovo zahtevo posredovati osebne podatke, ki se nanašajo nanj.
 
28. člen
 
Vsako posredovanje osebnih podatkov je potrebno zabeležiti v evidenco posredovanj osebnih podatkov.
Iz evidence mora biti razvidno:
– vrste osebnih podatkov, ki so bili posredovani,
– komu so bili osebni podatki posredovani: oseba, naslov oziroma oseba, podjetje, naslov ki so ji bili podatki posredovani,
– kdaj so bili osebni podatki posredovani: datum in ura,
– pravna podlaga.
 
UNIČENJE IN BRISANJE OSEBNIH PODATKOV
 
29. člen
 
Osebni podatki se hranijo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali obdelovali. Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo.
 
30. člen
 
Osebni podatki v elektronski obliki se zbrišejo tako, da računalniška obnovitev dela ali celotne zbirke osebnih podatkov ni možna.
Podatki v tiskani obliki se uničijo na način, ki onemogoča branje vseh ali dela uničenih osebnih podatkov.
 
31. člen
 
Vsakega posameznika se obvesti, če se njegovi osebni podatki prenehajo uporabljati oziroma se uničijo ali izbrišejo.
 
OBVEŠČANJE O VDORIH V ZBIRKE OSEBNIH PODATKOV
 
32. člen
 
V primeru vdora v zbirke osebnih podatkov, oziroma opustitve nadzora nad zbirkami osebnih podatkov, ki bi lahko imeli za posledico nepooblaščen dostop, je potrebno o tem nemudoma obvestiti Informacijskega pooblaščenca. O vdoru, oziroma opustitvi nadzora nad zbirkami osebnih podatkov, ki bi lahko imeli za posledico nepooblaščen dostop  je potrebno obvestiti tudi vse osebe, katerih osebni podatki so bili ali bi lahko bili zlorabljeni oziroma se je do njih ob vdoru nepooblaščeno dostopalo.
 
IZVAJANJE VARNOSTNIH UKREPOV 
 
33. člen
 
Za varovanje osebnih podatkov je odgovorno vodstvo upravljavca osebnih podatkov. Nadzor nad varovanjem osebnih podatkov opravlja vodstvo upravljavca osebnih podatkov.
 
34. člen
 
Osebne podatke so dolžni varovati vsi zaposleni, ki obdelujejo osebne podatke oziroma so bili z njimi seznanjeni pri opravljanju svojega dela. Ta obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
Pred začetkom obdelave osebnih podatkov mora posameznik podpisati izjavo o varovanju osebnih podatkov, ki ga zavezuje k varovanju osebnih podatkov. Iz izjave mora biti tudi razvidno, da je seznanjen z obveznostmi na področju varstva osebnih podatkov in z vsebino tega pravilnika.
Za kršitev je pooblaščeni delavec disciplinsko, odškodninsko in kazensko odgovoren.
 
 
UKREPI IN SANKCIJE V PRIMERU ZLORAB IN NEPOOBLAŠČENIH DOSTOPOV
 
35. člen
 
O nepooblaščenem odkrivanju, uporabi, prilaščanju, spreminjanju, poškodovanju ali brisanju osebnih podatkov so zaposleni dolžni nemudoma obvestiti pooblaščeno osebo. Sami pa so dolžni po svojih močeh takšno aktivnost preprečiti.
 
36. člen
 
Vsakega posameznika, ki je nezakonito dostopal do osebnih podatkov se prijavi policiji.
 
37. člen
 
Vsakega posameznika, ki ima dostop do osebnih podatkov, a je le te uporabljal v nasprotju z nameni uporabe oziroma je pri njihovi uporabi prekoračil pooblastila in ima njegovo dejanje znake kaznivega dejanja, se prijavi policiji.
 
38. člen
 
Zaposlenega, ki je nepooblaščeno dostopal do osebnih podatkov oziroma je pri njihovi uporabi zlorabil pooblastila, oziroma jih je uporabljal v nasprotju z nameni uporabe se lahko kaznuje z:
– ustnim opozorilom za najlažje oblike kršitev,
– pisnim opozorilom na izpolnjevanje delovnih obveznosti in možnostjo redne odpovedi iz krivdnega razloga v primeru ponovne kršitve,
– redno odpovedjo pogodbe o zaposlitvi iz krivdnega razloga v skladu s 3. alinejo 1. odstavka 89. člena Zakona o delovnih razmerjih (ZDR-1), če je pred tem zaposleni že dobil pisno opozorilo,
– izredno odpovedjo pogodbe o zaposlitvi v skladu s 1. alinejo 1. odstavka 110. člena Zakona o delovnih razmerjih (ZDR-1), če delavec krši pogodbeno ali drugo obveznost iz delovnega razmerja in ima kršitev vse znake kaznivega dejanja,
– izredno odpovedjo pogodbe o zaposlitvi v skladu z 2. alinejo 1. odstavka 110. člena Zakona o delovnih razmerjih (ZDR-1), če delavec naklepoma ali iz hude malomarnosti huje krši pogodbene ali druge obveznosti iz delovnega razmerja.
 
39. člen
 
Če je zaradi zlorabe osebnih podatkov bila upravljavcu osebnih podatkov povzročena škoda, ima upravljavec osebnih podatkov od kršitelja pravico zahtevati povračilo nastale škode oziroma vložiti odškodninsko tožbo.
 
 
KONČNE DOLOČBE
 
40. člen
 
S tem pravilnikom se pisno seznani vse zaposlene.
 
41. člen
 
Za sprejetje tega pravilnika in njegovih sprememb oziroma dopolnitev je pristojno vodstvo podjetja.
 
42. člen
 
Ta pravilnik začne veljati dne 2.02.2019.
 
V Sv.Anton, dne 2.02.2019