Pravilnik o varovanju osebnih podatkov

Na podlagi predpisov s področja varstvo osebnih podatkov in 3.člena namen in Naloge Strokovnega Društva v Statuta DMSBZT Celje je v Celju na 3. redni redni seji 15.10.2019 sprejel naslednji


PRAVILNIK
o varovanju osebnih podatkov


I. SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za varovanje ter zavarovanje osebnih podatkov, vodenih v zbirkah osebnih podatkov, s katerimi upravlja Društvo medicinskih sester, babic in zdravstvenih tehnikov Celje (v nadaljevanju: Društvo) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

Člani Društva, ki pri svojem funkciji obdelujejo in uporabljajo osebne podatke, so dolžni spoštovati določbe zakonodaje s področja varstva osebnih podatkov, področno zakonodajo, ki ureja posamezno področje njihovega dela ter vsebino tega pravilnika.

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe predpisov, ki urejajo varstvo osebnih podatkov.

Ta pravilnik se sklicuje na notranje organizacijske predpise Društva (statut), ki so v veljavi na dan sprejetja pravilnika. V primeru spremembe le-teh se upošteva vsakokrat veljavni notranji organizacijski predpis (statut), brez spreminjanja in dopolnjevanja tega pravilnika.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  1. Osebni podatek - pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki). Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
  2. Obdelava - pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
  3. Zbirka - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
  4. Katalog zbirke osebnih podatkov - je opis posamezne zbirke osebnih podatkov, ki vsebuje vse informacije o tej zbirki osebnih podatkov na podlagi vprašalnika za popis zbirke osebnih podatkov.
  5. Upravljavec - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.
  6. Obdelovalec - je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca.
  7. Uporabnik - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki, ne glede na to, ali je tretja oseba ali ne.
  8. Tretja oseba - pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca.
  9. Posebne vrste osebnih podatkov - so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti.
  10. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
  11. Posredovanje podatkov - je posredovanje ali razkritje osebnih podatkov.
  12. Privolitev posameznika - je prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika.
  13. Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično-tehnične postopke in ukrepe, s katerimi se:
      • varujejo prostori, aparature in sistemska programska oprema,
      • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
      • zagotavlja varnost posredovanja in prenosa osebnih podatkov,
      • preprečuje nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do njihovih zbirk,
      • omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vpisani in uporabljeni v zbirki podatkov in kdo je to storil - za obdobje, za katero se posamezni podatki shranjujejo.
  14. Društvo je samostojno in nepridobitno združenje, ki ga ustanovitelji skladno Zakonom o društvih, ustanovijo zaradi uresničevanja skupnih interesov. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva.

II. NAČELA OBDELAVE IN VARSTVA OSEBNIH PODATKOV

3. člen

Obdelava osebnih podatkov v Društvu je dopustna, če:

  1. je posameznik vanjo privolil,
  2. je potrebna za izvedbo pogodbe ali za sklenitev pogodbe,
  3. je potrebna za izpolnitev zakonske obveznosti,
  4. je potrebna za zaščito življenjskih interesov posameznika,
  5. je v javnem interesu,
  6. je v zakonitem interesu upravljavca ali tretje osebe.

4. člen

Če je pravna podlaga za obdelavo osebnih podatkov privolitev, so minimalne zahteve glede privolitve posameznika za obdelavo njegovih osebnih podatkov sledeče:

5. člen

Obdelava posebnih vrst osebnih podatkov je prepovedana, razen če je posameznik v to obdelavo izrecno privolil, ali pa je obdelava predpisana z zakonom.


III. VZPOSTAVLJEN SISTEM UPRAVLJANJA VAROVANJA OSEBNIH PODATKOV

Katalogi zbirk osebnih podatkov

6. člen

Društvo kot upravljavec osebnih podatkov ima vzpostavljen pregled nad osebnimi podatki, ki jih upravlja in obdeluje na način, da ima podatke o vseh zbirkah osebnih podatkov popisane v katalogih zbirk osebnih podatkov. 

Katalog posamezne zbirke osebnih podatkov vsebuje podatke o tej zbirki, kot so:

 

Katalog zbirke odgovorna oseba za posamezno zbirko osebnih podatkov dopolni ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki oziroma ukrepov varovanja. 

Člani, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi posameznikom, na katere se nanašajo osebni podatki in nadzornim organom.

7. člen

Društvo vodi opis ukrepov zagotavljanja varnosti podatkov in varnosti prostorov, v katerih se nahajajo fizične zbirke, vključno z opredelitvijo oseb, ki imajo pravico vstopa v prostor brez posebnega pooblastila.

Vzpostavitev zbirke osebnih podatkov

8. člen

Odgovorna oseba za posamezno zbirko zagotovi vse informacije o tej zbirki osebnih podatkov - Katalog zbirke osebnih podatkov najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov. Predlog Kataloga zbirke in ukrepov varovanja osebnih podatkov posreduje Pooblaščeni osebi za varstvo osebnih podatkov, ki glede na tveganja, povezana z dejanji obdelave, ter glede na naravo, obseg, okoliščine in namene obdelave osebnih podatkov, poda svoje mnenje glede vzpostavitve zbirke in svetuje glede ustreznih ukrepov varovanja podatkov.

Hramba in roki hrambe zbirk osebnih podatkov

9. člen

Za hrambo zbirk osebnih podatkov so odgovorni člani Društva, ki so pooblaščeni za obdelovanje osebnih podatkov. Zbirke osebnih podatkov vodene v Društvu, se hranijo dokler ni dosežen namen, zaradi katerih se je zbirka uvedla in vzpostavila. Roki hrambe zbirk osebnih podatkov so opredeljeni v Katalogu posamezne zbirke osebnih podatkov.

Prenehanje vodenja posamezne zbirke

10. člen

Odgovorna oseba za posamezno zbirko podatkov sporoči predsedniku Društva oziroma odgovorni osebi, da je posamezno zbirko prenehala voditi najkasneje v 8 dneh po prenehanju vodenja posamezne zbirke. Ravno tako sporoči, kaj je storila z osebnimi podatki iz te zbirke.


IV. ODGOVORNOSTI IN POOBLASTILA ZA OBDELAVO OSEBNIH PODATKOV

Odgovorni v Društvu

11. člen

Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v Društvu, so odgovorne osebe, ki so navedene v katalogu zbirke osebnih podatkov. Za izvajanje tega pravilnika ter za redno pregledovanje in ažuriranje seznama zbirk osebnih podatkov pa je odgovorna pooblaščena oseba za varstvo osebnih podatkov, ki jo imenuje s sklepom vodstvo društva.

Osebne podatke lahko pridobivajo in obdelujejo le člani Društva, ki imajo za to pooblastila. 

Pooblastila za pridobivanje ali obdelavo osebnih podatkov so določena v statutu Društva ter v katalogu zbirk osebnih podatkov. 

Pooblaščena oseba za varstvo osebnih podatkov

12. člen

Pooblaščena oseba za varstvo osebnih podatkov je oseba z ustreznimi poklicnimi odlikami, zlasti s strokovnim znanjem o zakonodaji in praksi na področju varstva osebnih podatkov, ki Društvu na neodvisen način pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov z zakonodajo, ki ureja varstvo osebnih podatkov. Izpolnjevati mora vse z zakonom določene pogoje.

Predsednik Društva s sklepom imenuje pooblaščeno osebo za varstvo osebnih podatkov, ki je odgovorna neposredno vodstvu Društva.

Pooblaščena oseba za varstvo osebnih podatkov opravlja naslednje naloge:

Kontaktni podatki pooblaščene oseb za varstvo osebnih podatkov so objavljeni na spletni strani Društva ter javljeni pristojnemu državnemu organu.


V. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

13. člen

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od Društva zahtevati, da mu le-ta omogočiti naslednje pravice v zvezi z osebnimi podatki, ki jih Društvo upravlja in ki se nanašajo nanj:

Društvo je v katalogih zbirk osebnih podatkov glede na podlago in namen obdelave osebnih podatkov označilo, katere pravice lahko posameznik pri posamezni obdelavi osebnih podatkov uveljavlja. Upravljavec – Društvo mora posamezniku zagotoviti informacije o njegovih pravicah v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku.

Za osebne podatke, ki jih Društvo ne upravlja, ampak le obdeluje (nastopa v vlogi pogodbenega obdelovalca in ne upravljavca zbirke osebnih podatkov), posameznika pozove, da svoje zahteve naslovijo na upravljavca osebnih podatkov, saj je le upravljavec pristojen za zagotavljanje pravic posameznikom.

Transparentnost obdelave

14. člen

Kadar se osebni podatki v zvezi s posameznikom pridobijo neposredno od posameznika ali iz drugih virov, mora upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse informacije v zvezi z obdelavo osebnih podatkov, ki so navedene v katalogu posamezne zbirke osebnih podatkov. 

Na posameznikovo zahtevo mu vse informacije v zvezi s posamezno obdelavo njegovih osebnih podatkov posreduje s posredovanjem kataloga posamezne zbirke osebnih podatkov.

Pravica do dostopa

15. člen

Posamezniku, na katerega se nanašajo osebni podatki ima pravico od upravljavca dobiti 

Pravica do popravka

16. člen

Posameznik na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim, bodisi s podajo izjave bodisi s predložitvijo ustreznih dokazil. Prav tako ima posameznik tudi pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

Pravica do preklica privolitve

17. člen

Če obdelava osebnih podatkov poteka na podlagi privolitve, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da svojo privolitev, kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

Pravica do izbrisa

18. člen

Upravljavec na zahtevo posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eden od naslednjih razlogov:

Pravica do omejitve obdelave

19. člen

Upravljavec na zahtevo posameznika, na katerega se nanašajo osebni podatki, omeji obdelavo, kadar velja eden od naslednjih primerov:

Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave

20. člen

Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18 GDPR, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.

Pravica do prenosljivosti podatkov

21. člen

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljeni in strojno berljivi obliki, da te podatke posreduje drugemu upravljavcu, ne da bi upravljavec pri tem oviral, kadar: 

Pravica do ugovora

22. člen

Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov povezanih z njegovim posebnim položajem pravico, da kadarkoli ugovarja obdelavi osebnih podatkov kadar:


VI. NAČIN URESNIČEVANJA PRAVIC POSAMEZNIKOV

Vložitev zahteve in ugotavljanje popolnosti zahteve

23. člen

Posameznik zahtevo za uveljavljanje pravic vloži zahtevo pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov.

Vse zahteve se posredujejo predsedniku Društva, ki skupaj s pooblaščeno osebo za varstvo osebnih podatkov preveri, ali je zahteva razumljiva in obsega vse, kar je treba, da se lahko obravnava. Zahteva mora predvsem obsegati: 

Če je zahteva nepopolna ali nerazumljiva, predsednik Društva v roku 5 delovnih dni zahteva, da se pomanjkljivosti odpravijo, za kar posamezniku določi rok 5 delovnih dni. To zahtevo posamezniku pošlje v obliki pisnega sporočila na naslov, ki ga je navedel v zahtevi oziroma s katerega je poslal zahtevo, ali mu jo izroči, če je podal zahtevo neposredno pri upravljavcu. Če posameznik v tem roku pomanjkljivosti ne odpravi, predsednik Društva s pisnim sporočilom zavrže njegovo zahtevo oziroma mu pisno sporoči, da je ne bo obravnaval.

Preverjanje istovetnosti posameznika

24. člen

Upravljavec lahko zaradi potrditve točnosti identitete posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne potrebne informacije. Ugotavljanje identitete posameznika pri zahtevah, vloženih po elektronski pošti, se lahko izvaja tudi:

Odločanje o upravičenosti zahteve

25. člen

Pooblaščena oseba za varstvo osebnih podatkov potrdi, ali zavrne upravičenost posamezne zahteve s strani posameznika. O svoji odločitvi obvesti vodstvo Društva, posameznika ter odgovorno osebo za posamezno zbirko osebnih podatkov. 

Kadar je zahteva upravičena, jo posreduje odgovorni osebi za posamezno zbirko osebnih podatkov, ta pa poskrbi za njeno izvedbo.

Upravljavec posamezniku v roku enega meseca odgovori na njegovo zahtevo in mu v primeru upravičene zahteve le-to tudi izpolni. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.

Posredovanje informacij

26. člen

Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. 

Informacije se posredujejo:

27. člen

Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za ne ukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

Zaračunavanje zagotavljanja pravic posameznikom

28. člen

Posameznikom se njihove pravice zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti, ker se ponavljajo, lahko upravljavec bodisi zaračuna razumno pristojbino, pri čemer upošteva upravne oziroma administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.


VII. POGODBENA OBDELAVA

29. člen

Upravljavec lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pisno pogodbo zaupa obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz tega pravilnika. Obdelovalec je prav tako odgovoren za varovanje osebnih podatkov in ohranitev njihove zaupnosti.

Upravljavec v katalogu zbirk osebnih podatkov določi seznam obdelovalcev za posamezno zbirko osebnih podatkov ter njihova pooblastila za obdelavo osebnih podatkov.

Obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru upravljavčevih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. 

Upravljavec za vsakega obdelovalca v pogodbi o obdelavi osebnih podatkov določi:

Pooblaščena oseba –Društva, ki je navedena v pogodbi o obdelavi osebnih podatkov, mora spremljati izvajanje postopkov in ukrepov iz tega pravilnika.


VIII. POSTOPKI IN UKREPI ZA VAROVANJE OSEBNIH PODATKOV

30. člen

Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, Društvo z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotavlja ustrezno raven varnosti glede na tveganja.

Sprejem in posredovanje osebnih podatkov

31. člen

Člani, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v Društvo - prinesejo jih stranke ali kurirji, razen pošiljk iz drugega in tretjega odstavka tega člena.

Člani, ki so zadolženi za sprejem in evidenco pošte, ne odpirajo tistih pošiljk, ki so naslovljene na drugo pravno osebo in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.

Člani, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na člana, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime člana brez označbe njegovega uradnega položaja in šele nato naslov Društva.

32. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Posebne vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah in vročajo proti podpisu. 

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.

33. člen

Obdelava posebnih vrst osebnih podatkov mora biti posebej označena in zavarovana.

34. člen

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo. 

Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli odgovorna oseba za posamezno zbirko osebnih podatkov s potrditvijo kataloga posamezne zbirke osebnih podatkov, ki vsebuje navedbo zunanjih uporabnikov. S tem potrdi stalno pooblastilo za posredovanje osebnih podatkov iz posamezne zbirke.

Za vsako drugo posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo. 

Vsako posredovanje osebnih podatkov se mora zabeležiti na način, da je razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo. 

35. člen

Prostori, v katerih se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drugi računalniški, elektronski ali mikrofilmski nosilec podatka (v nadaljevanju: varovani prostori) ter strojna in programska oprema morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

36. člen

Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni, kot opredeljuje posamezni katalog zbirke osebnih podatkov.

Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih v informacijskem sistemu Društva pa avtoriziran.

37. člen

V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso pooblaščene za dostop do osebnih podatkov, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da nepooblaščenim ni omogočen vpogled vanje.

38. člen

V primerih, ko avtorizirana oseba nosilce osebnih podatkov – Društva z USB ključi, disketami, CD-ji, prenosnimi računalniki itd. odnese iz Društva, je za varovanje podatkov na teh nosilcih osebno odgovorna.

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih –Društva.

Za posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov je odgovoren predsednik Društva oz. druga pooblaščena oseba.

Posredovanje osebnih podatkov iz predhodnega odstavka tega člena se vpiše v knjigo evidenc o ravnanju z osebnimi podatki. 

39. člen

Vzdrževanje in popravila strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo predsednika Društva oziroma druge pooblaščene osebe, izvajajo pa ga lahko samo zunanji izvajalci, ki za Društvo opravljajo storitev celovite informacijske podpore in so zavezani k varovanju zaupnosti podatkov, ki se nahajajo v strojni opremi.

40. člen

Varovanje sistemske in aplikativne programske računalniške opreme ter podatkov, ki se obdelujejo z računalniško opremo.

41. člen

Dostop do računalniške programske opreme mora biti varovan tako, da dovoljuje dostop samo za določenim članom Društva, ki v skladu s statutom ali navodili vodstva Društva opravljajo dogovorjene storitve.

42. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme, ki služi za obdelavo osebnih podatkov, je dovoljeno samo na pisno zahtevo in z vednostjo predsednika Društva ter z vednostjo ključnega uporabnika programske opreme in odgovorne osebe za posamezni katalog osebnih podatkov. 

Izvajajo ga lahko samo pooblaščeni izvajalci, ki imajo z Društvom sklenjeno ustrezno pogodbo z določili o zavarovanju oziroma pogodbeni obdelavi osebnih podatkov.

Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme, ki služi za obdelavo osebnih podatkov, ustrezno dokumentirati.

43. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.

Član, pooblaščen za obdelavo in ravnaje z osebnimi podatki vključenimi v informacijski sistem Društva ter oseba, ki kopira podatke, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.

44. člen

Na podlagi pogodbe o opravljanju storitev celovite informacijske podpore, pooblaščeni zunanji izvajalec nudi Društvu celovito podporo informacijskih storitev, pa tudi tehnične pogoje za zbiranje in obdelavo podatkov, ki so predmet tega pravilnika.

Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, zunanji izvajalec aktivno preverja glede na prisotnost računalniških virusov.

Vsi podatki in programska oprema, ki so namenjeni uporabi na računalnikih Društva in v računalniškem informacijskem sistemu Društva in ki prispejo v Društvo na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

45. člen

Člani Društva ne smejo brez izrecnega dovoljenja odgovorne osebe inštalirati programske opreme.

46. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.

Režim dodeljevanja, hranjenja in spreminjanja gesel je določen s sklepom pristojnega organa Društva.

47. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje v informacijskem sitemu Društva, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, se hranijo v skladu s sklepom pristojnega organa Društva.

Varovana gesla se smejo uporabiti v izjemnih in nujnih primerih z dokumentiranjem uporabe ter kasnejšo dodelitvijo novega gesla v skladu s sklepom pristojnega organa Društva.

48. člen

Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema ob okvarah ali izgubi podatkov iz drugih razlogov, se sistemsko redno izdelujejo kopije vsebine osebnih podatkov.

Te kopije se hranijo v za to določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

Brisanje podatkov oz. uničenje nosilcev osebnih podatkov

49. člen

Osebni podatki se lahko zbirajo in hranijo le toliko časa, kolikor je potrebno, da se doseže namen, za katerega se vodijo in zbirajo. Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so navedeni v katalogu posamezne zbirke osebnih podatkov.

50. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, mikrofilm) se brišejo z uničenjem nosilcev v skladu z določili delovnega navodila.

Obdelava in zavarovanje posebnih vrst osebnih podatkov

51. člen

Obdelava in zavarovanje posebnih vrst osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc biometrične značilnosti, mora biti izvajana posebno vestno in skrbno:

Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označene in varovane tako, da se nepooblaščenim osebam prepreči dostop do njih.


IX. DOLOČILA O PRENOSU OSEBNIH PODATKOV V TRETJE DRŽAVE

52. člen

Posredovanje osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem posredovanju v tretjo državo ali mednarodno organizacijo, je dopustno v skladu z zakonodajo s področja varstva osebnih podatkov in pod pogojem, da je Evropska komisija sprejela sklep o ustreznosti, da tretja država ali mednarodna organizacija v celoti zagotavljajo ustrezno raven varstva osebnih podatkov.

Seznam tretjih držav in mednarodnih organizacij, v zvezi s katerimi je bil sprejet sklep o ustreznosti je objavljen v Uradnem listu Evropske unije in na spletni strani Evropske komisije.

Kadar sklep iz prvega odstavka ni sprejet, lahko Društvo osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

Ne glede na določbe prvega in tretjega odstavka tega člena se lahko osebni podatki prenesejo in posredujejo v tretjo državo ali mednarodno organizacijo, če:

Prenos osebnih podatkov v tretjo državo je potrebno evidentirati.


X. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV

53. člen

Pred nastopom funkcije člana na mestu, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora biti član nedvoumno seznanjen z obveznostmi varovanja takih podatkov ter podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov in ki ga opozarja na posledice kršitve zaveze. 

Dostop do osebnih podatkov imajo osebe, ki so podpisale izjavo iz prvega odstavka tega člena, vendar le v obsegu, ki je potreben za opravljanje njihovih nalog. Nihče ne sme dobiti dovoljenja prej ali v večjem obsegu, kot je to potrebno za opravljanje njegovih nalog.

Pooblaščeni član in druge osebe, ki sodelujejo ali so sodelovali pri ravnanju z osebnimi podatki in vse druge osebe, ki so zaradi narave svojega članstva prišle v stik z osebnimi podatki, teh podatkov ne smejo sporočiti tretjim osebam, razen v primerih določenih z zakonskimi predpisi na podlagi katerih so zbrani, ali s soglasjem osebe, na katerega se nanašajo osebni podatki, niti jih ne smejo same uporabljati ali omogočiti, da bi jih uporabljale tretje osebe.

Obveza varovanja osebnih podatkov s katerimi se član seznani pri svojem delu v Društvu traja tudi po prenehanju članstva v Društvu.

54. člen

Član stori kršitev varstva osebnih podatkov:

Razkrivanje osebnih podatkov nepooblaščenim osebam ali njihova zloraba je sankcionirana kot kršitev obveznosti člana Društva in kot kaznivo dejanje ter hkrati razlog za prenehanje članstva v Društvu iz krivdnih razlogov.

55. člen

Ob zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov Društvo, s strani oseb, ki niso člani Društva, se obvesti organe pooblaščene za pregon in Informacijsko pooblaščenko.

Ukrepanje ob ugotovitvi o zlorabi osebnih podatkov ali vdoru v zbirke osebnih podatkov

56. člen

Člani Društva so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri delu v Društvu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik. 

Član, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščen dostop do osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti odgovorno osebo za zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero so je vdrlo, ter pooblaščeno osebo za varstvo osebnih podatkov. 

Odgovorna oseba je dolžna o dogodku takoj obvestiti vodstvo Društva. Način evidentiranja in poročanja o grožnjah informacijskim sredstvom je opredeljeno s sklepom Društva. 

Osebe, ki izvajajo funkcijo ali poslovno sodelujejo z Društvom in ugotovijo, da je prišlo do zlorabe osebnih podatkov ali vdora v zbirke osebnih podatkov, o tem takoj obvestijo predsednika Društva .

57. člen

Vodstvo Društva mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

Pooblaščena oseba v primeru kršitve varstva osebnih podatkov ali suma kršitve sproži preiskavo, da ugotovi vrste kršitve osebnih podatkov in posledice ali verjetne posledice kršitve varstva osebnih podatkov. Na podlagi tega predlaga ukrepe za zmanjševanje ali preprečevanje posledic kršitve varstva osebnih podatkov, sankcioniranje kršitve ter preprečevanje tovrstnih kršitev v bodoče. Ukrepe obravnava in potrdi vodstvo Društva.

Uradno obvestilo nadzornemu organu in posamezniku o kršitvi varstva osebnih podatkov

58. člen

Kadar je verjetno, da bi bile kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznika je pooblaščena oseba za varstvo osebnih podatkov brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, dolžna o njej tudi uradno obvesti Informacijske pooblaščenca Republike Slovenije.

Uradno obvestilo vsebuje vsaj:

V primeru, da gre kršitve varstva osebnih podatkov, ki lahko povzroči veliko tveganje za pravice in svoboščine posameznikov, je Društvo dolžno brez nepotrebnega odlašanja sporočiti posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

V obvestilu posamezniku mora biti v razumljivem in preprostem jeziku opisana kršitev varstva osebnih podatkov ter informacije iz 2. odstavka tega člena.

59. člen

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja pooblaščena oseba, ki jo imenuje predsednik Društva oziroma kolegijski organ na podlagi statuta. Nadzor se izvaja praviloma enkrat letno ter ob ugotovljenih kršitvah varstva osebnih podatkov.


XI. KONČNE DOLOČBE

60. člen

Spremembe in dopolnitve tega pravilnika sprejme vodstvo Društva po postopku in na način kot velja za sprejem pravilnika.

61. člen

Dosegljivost pravilnika članom se zagotavlja na spletni strani Društva.

Ta pravilnik prejmejo člani, v čigar obveznosti sodijo zbiranje, urejanje, obdelava, spreminjanje, shranjevanje, posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.

62. člen

Člani, ki opravljajo funkcijo, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz 54. člena tega pravilnika v roku 60 dni od dneva sprejema tega pravilnika.

Katalogi zbirk osebnih podatkov, ki ob uveljavitvi tega pravilnika še niso vzpostavljeni, se vzpostavijo v roku 60 dni od dneva sprejema tega pravilnika.

63. člen

Ta pravilnik začne veljati osmi dan po dnevu sprejema, ki je bil 15.10.2019.


Predsednica DMSBZT Celje

Tomislava Kordiš