Pravilnik o varovanju osebnih podatkov
Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba) ter skladno z zakonom, ki ureja varstvo osebnih podatkov, družba PARNAD, d.o.o., Ljubljana, sprejema naslednji
PRAVILNIK O VAROVANJU OSEBNIH PODATKOV
I. SPLOŠNE DOLOČBE
1. člen (predmet urejanja)
S tem pravilnikom se podrobneje urejajo pravila, načela, varnostni ukrepi in postopki obdelave osebnih podatkov posameznikov v zvezi z delovanjem družbe PARNAD, d.o.o., Ljubljana (v nadaljevanju besedila: družba oziroma upravljavec).
V kolikor posamezno vprašanje ni urejeno s tem pravilnikom, se neposredno uporabljata Splošna uredba ter zakon, ki ureja varstvo osebnih podatkov.
2. člen (opredelitev pojmov)
»osebni podatek« pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
»obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
»upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Evropske unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Evropske unije ali pravom države članice;
»obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
»uporabnik« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne;
»privolitev posameznika, na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali drugačnega jasnega aktivnega delovanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katero izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
»varovani prostori« pomenijo prostori, kjer se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek, vsak drug računalniški ali elektronski nosilec podatka – in strojna ter programska oprema;
»tretja oseba« pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
»zunanji izvajalec« je vsaka pravna ali fizična oseba, ki z družbo nima sklenjene pogodbe o zaposlitvi ali druge pogodbe, ki ureja odvisen odnos in trajno ter osebno opravljanje dela (npr. pogodbe o trgovskem zastopanju, študentsko delo, delo na podlagi podjemne pogodbe ipd.) ter za družbo opravlja zgolj posamezna opravila na temelju pogodbe civilnega prava in je registriran za opravljanje takšne dejavnosti (pogodbeni obdelovalec);
»kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
»izjava o seznanjenosti z varstvom osebnih podatkov« je listina, ki jo podpiše posameznik, ki za družbo opravlja delo na podlagi katerega se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, ter ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti in ga opozarja na posledice kršitve zaveze;
»knjiga evidenc o kršitvi varstva osebnih podatkov« je evidenca, v katero se zabeleži zlasti vsaka kršitev varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe ter je namenjena zagotavljanju zakonitosti ravnanja z osebnimi podatki;
»evidenca dejavnosti obdelav« je evidenca informativne narave v pisni (elektronski) obliki, ki je namenjen seznanitvi posameznika, na katerega se nanašajo osebni podatki glede podatkov o upravljavcu, pravni podlagi za obdelavo osebnih podatkov, vrste in namen obdelave osebnih podatkov, rok hrambe ter drugih informacij za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
»privolitev za obdelavo osebnih podatkov« je izjava posameznika, na katerega se nanašajo osebni podatki, s katero soglaša z obdelavo osebnih podatkov, ob seznanitvi z vsemi informacijami iz 12., 13. in 14. člena Splošne uredbe ter vsemi sporočili in odgovori iz 15. do 22. člena in 34. člena Splošne uredbe;
»nosilec (osebnih) podatkov« so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
V primeru neskladja z definicijami pojmov po tem pravilniku ter Splošno uredbo, velja definicija pojmov skladno s Splošno uredbo.
3. člen (načela v zvezi z obdelavo osebnih podatkov)
Osebni podatki so obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (zakonitost, poštenost in preglednost).
Osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena).
Osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov).
Osebni podatki so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točnost in posodobljenost).
Osebni podatki so hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe).
Osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost, zaupnost in razpoložljivost).
Upravljavec in obdelovalec morata biti vedno zmožna dokazati skladnost svojih obdelav osebnih podatkov, skladno s prejšnjimi odstavki tega člena ter morata voditi tudi ustrezno predpisano dokumentacijo v skladu z zakonom (odgovornost).
4. člen (zakonitost obdelave)
Obdelava je zakonita le in kolikor:
- je posameznik, na katerega se nanašajo osebni podatki, veljavno privolil v obdelavo njegovih osebnih podatkov ali;
- je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe ali;
- je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca ali;
- je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali;
- je obdelava potrebna zaradi uresničevanja upravičenih ter zakonitih interesov, ki so opredeljeni v oceni učinka za varstvo osebnih podatkov ter za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali človekove pravice in temeljne svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov.
Obdelava osebnih podatkov za druge namene kot za tiste, za katere so bili osebni podatki prvotno zbrani, je dovoljena le, kadar ni nezdružljiva z nameni, za katere so bili osebni podatki prvotno zbrani ali kadar to določa zakon.
5. člen (izjava o seznanjenosti z varstvom osebnih podatkov)
Delavci upravljalca in zunanji izvajalci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni s Splošno uredbo, z zakonodajo v zvezi z varstvom osebnih podatkov in s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.
Oseba, ki za družbo opravlja delo, na podlagi katerega se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti in ga opozarja na posledice kršitve zaveze.
Izjava o varovanju osebnih podatkov vsebuje tudi določbo, da obveza varovanja osebnih podatkov, s katerimi se oseba, ki za družbo opravlja delo, na podlagi katerega se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov seznani pri svojem delu, traja tudi po prenehanju delovnega oziroma pogodbenega razmerja.
Določba o obveznosti varovanja osebnih podatkov iz prejšnjega odstavka tega člena se smiselno vključi v pogodbe z zunanjimi izvajalci.
6. člen (varovalni ukrepi)
Varovanje osebnih podatkov zajema pravne, organizacijske in ustrezno logistično – tehnične postopke in ukrepe, s katerimi se:
- varujejo prostori, naprave in sistemska programska oprema;
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
- zagotavlja varnost posredovanja in prenosa osebnih podatkov;
- onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki, in do njihovih zbirk;
- dosledno skrbi za politiko t.i. prazne mize;
- omogoča naknadno ugotavljanje, kdaj so bili posamezni podatki vneseni, uporabljeni ali obdelani v zbirki podatkov in kdo je to storil – za obdobje, za katero se posamezni podatki shranjujejo;
- zagotavlja učinkovit način izbrisa, uničenja oz. blokiranja ali anonimiziranja osebnih podatkov.
Ukrepe in postopke varovanja osebnih podatkov iz prvega odstavka tega člena so dolžni izvrševati vsi zaposleni v družbi.
II. VAROVANJE PROSTOROV IN VAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
7. člen (varovanje prostorov v delovnem času)
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori) morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Dostop v prostore iz prvega odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja odgovorne osebe.
Ključi oziroma drugi tehnični pripomočki za dostop (brezkontaktne kartice, digitalne poverilnice ipd.) varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.
Nosilci osebnih podatkov se ne hranijo izven aktivnih delovnih prostorov oziroma izven varovanih prostorov.
8. člen (varovanje prostorov izven delovnega časa)
Izven delovnega časa morajo biti prostori zaklenjeni in zavarovani tako, da vstop vanje ni mogoč, nosilci osebnih podatkov pa shranjeni v zaklenjenih omarah v delovnih prostorih.
Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena, fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika, pa kodiran.
9. člen (preprečevanje dostopa)
V varovane prostore ni prostega vstopa brez prisotnosti delavca iz tega prostora. Delavec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora storiti vse, da onemogoči dostop nepooblaščenim osebam. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.
Delavec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem.
V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso zaposlene pri družbi, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da strankam ni omogočen vpogled vanje.
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe.
10. člen (evidentiranje iznosa in posredovanja osebnih podatkov)
Nosilcev osebnih podatkov, z izjemo pogodb in osnutkov pogodb, ki se sklepajo izven prostorov družbe, delavci ne smejo odnašati izven prostorov družbe. Družba lahko izjemoma dovoli iznos nosilcev osebnih podatkov iz prostorov. Po pridobljenem soglasju delavec ustrezno zabeleži namen in razlog za iznos podatkov.
Posredovanje osebnih podatkov pooblaščenim zunanjim institucijam in drugim, ki izkažejo zakonsko podlago (pravno podlago) za pridobitev osebnih podatkov, dovoli družba, kar se ustrezno zabeleži.
11. člen (vzdrževanje in popravilo opreme)
Vzdrževanje in popravilo strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo družbe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci.
Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci se smejo gibati v varovanih prostorih le ob prisotnosti delavca, ki odgovarja za posamezen prostor.
Zaposleni oz. zunanji izvajalci, kot so čistilke, varnostniki, tehnično vzdrževalni delavci idr. se lahko gibljejo v varovanih prostorih izven delovnega časa in brez prisotnosti odgovornega delavca le, če so nosilci podatkov shranjeni na način, ki ga določa ta uredba za čas izven delovnega časa (onemogočen vpogled v osebne podatke; nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
12. člen (dostop do računalniške programske opreme)
Dostop do računalniške programske opreme mora biti varovan na način, ki omogoča dostop samo konkretno pooblaščenim delavcem in delavcem, ki po pogodbi opravljajo servisiranje, popravila, spreminjanja ali dopolnjevanja računalniške in programske opreme.
13. člen (evidentiranje dostopa)
Popravljanje, spreminjanje in dopolnjevanje sistemske ter aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije oziroma njihovi delavci. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
- Sistem varovanja mora omogočati naknadno ugotavljanje, kdaj so bili posamezni osebni podatki uporabljeni ali vneseni v zbirko osebnih podatkov oz. izbrisani iz nje. in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
14. člen (nadzor)
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.
Družba mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči.
Predstavnik družbe mora biti v času servisiranja računalnika in programske opreme ves čas navzoč in mora nadzirati, da ne pride do nedopustnega ravnanja ali zlorabe osebnih podatkov.
V primeru izkazane potrebe po popravilu računalnika, na disku, na katerem se nahajajo osebni podatki, izven prostorov družbe in brez kontrole predstavnika družbe, se morajo podatki iz diska računalnika izbrisati na način, ki onemogoča restavracijo. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih družbe v navzočnosti predstavnika družbe.
15. člen (preverjanje in odprava računalniških virusov)
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se dnevno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da se ugotovi vzrok pojava virusa.
Vsi podatki in programska oprema, ki so namenjeni uporabi na računalnikih družbe in v računalniškem informacijskem sistemu ter prispejo k družbi po medijih za prenos računalniških podatkov ali prek telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
16. člen (vnos in iznos programske opreme)
Zaposleni delavci ne smejo brez izrecnega dovoljenja družbe vgraditi programske opreme. Prav tako ne smejo odnašati programske opreme iz prostorov družbe brez izrecnega dovoljenja družbe.
17. člen (sistem gesel)
Pristop do podatkov prek aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Režim dodeljevanja, hranjenja in spreminjanja gesel določi odgovorna oseba družbe.
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervizorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
18. člen (varovanje kopij zbirk osebnih podatkov)
Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema po okvarah ali izgubi podatkov iz drugih razlogov mora delavec, ki je odgovoren za zbirko osebnih podatkov, redno izdelovati kopije vsebine osebnih podatkov oziroma poskrbeti za izdelavo kopij preko centralnega sistema, najmanj na dnevnem nivoju.
Računalniške kopije vsebin zbirk osebnih podatkov na disketah ali drugih medijih se hranijo v zavarovanih zaklenjenih omarah.
III. VAROVANJE POŠILJK, TELEKOMUNIKACIJ IN ELEKTRONSKIH SPOROČIL
19. člen (varstvo pri pretoku osebnih podatkov)
Prenašanje osebnih podatkov preko telekomunikacijskih sredstev ali drugih računalniških medijev izven družbe mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje prilaščanje, uničenje ali nedovoljeno seznanjanje z njihovo vsebino.
20. člen (sprejem pošiljk)
Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo, razen pošiljk iz tretjega in četrtega odstavka tega člena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov družbe.
21. člen (posredovanje pošiljk)
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, ki ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
22. člen (postopek posredovanja osebnih podatkov)
Osebni podatki, vodeni v zbirki osebnih podatkov družbe, se lahko posredujejo drugim fizičnim ali pravnim osebam ali osebam javnega sektorja samo na podlagi zahteve, iz katere izhaja veljavna pravna podlaga za pridobitev podatkov ter utemeljenost zahteve skladno z zakonom, ki ureja varstvo osebnih podatkov.
Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi družba, drugim fizičnim ali pravnim osebam ali osebam javnega sektorja se ustrezno zabeleži.
Upravljavec osebnih podatkov vlagatelju zahteve, če zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve, ali pa v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval.
Upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov ne določa drugače.
IV. ZUNANJI IZVAJALCI IN TRETJE OSEBE
23. člen (obdelava s strani obdelovalcev)
Upravljavec sme sodelovati samo s tistimi obdelovalci, ki zagotovijo zadostna jamstva, da bodo izvajali ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave s Splošno uredbo, z zakonom, ki ureja varstvo osebnih podatkov, oziroma drugimi predpisi, ki urejajo varstvo osebnih podatkov.
Obdelovalec brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca v obdelavo ne sme vključiti drugih obdelovalcev, pri čemer upravljavec posebej presodi, ali lahko vključitev dodatnega obdelovalca vpliva na tveganost obdelave osebnih podatkov.
Obdelava pri obdelovalcu poteka na podlagi pogodbe ali drugega dogovora ali na podlagi izrecnega zakonskega pooblastila, ki obdelovalca zavezuje napram upravljavcu.
24. člen (pogodba z zunanjimi izvajalci)
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov, se sklene pisna pogodba.
V pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja, zlasti za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.
25. člen (zagotavljanje varovanja osebnih podatkov)
Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
Zunanji izvajalec, ki za družbo opravlja dogovorjene storitve izven družbenih prostorov, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
26. člen (tretje osebe)
Določbe tega poglavja se smiselno uporabljajo tudi za tretje osebe, ki niso zunanji izvajalci.
V. NEPOSREDNO TRŽENJE
27. člen (neposredno trženje)
Družba bo osebne podatke posameznikov, na katere se nanašajo osebni podatki, ki jih je zbrala iz javno dostopnih virov, v okviru zakonitega opravljanja dejavnosti, na podlagi privolitve posameznika ali druge zakonske podlage in pravne podlage iz Splošne uredbe obdelovala tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje).
Za namene izvajanja neposrednega trženja bo družba uporabljala naslednje osebne podatke: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik, na katerega se osebni podatki nanašajo, sam objavil brez očitnega namena, da bi omejil njihovo nadaljnjo obdelavo, pri čemer bo posameznika ob izvajanju neposrednega trženja obvestila o svoji identiteti in svojih kontaktnih podatkih, ali je podatke zbrala iz javno dostopnih virov, ali v okviru zakonitega opravljanja dejavnosti in na kakšen način lahko posameznik uveljavlja pravico do popravka netočnih osebnih podatkov v zvezi z njim, pravico do ugovora glede obdelave osebnih podatkov v zvezi z njim in pravico, da upravljavec trajno ali začasno preneha uporabljati ali drugače obdelovati njegove osebne podatke za namen neposrednega trženja.
V kolikor bo družba osebne podatke iz prejšnjega člena posredovala drugim uporabnikom osebnih podatkov za namene neposrednega trženja, bo o tem posameznika obvestila in pred posredovanjem osebnih podatkov zagotovila pravno podlago za posredovanje podatkov ali pa pridobila izrecno privolitev posameznika. Obvestilo iz prejšnjega stavka bo vsebovalo informacijo o tem, katere podatke namerava posredovati, komu, kdaj in za kakšen namen.
VI. PRAVICE POSAMEZNIKA
28. člen (pravica dostopa)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, dostop do osebnih podatkov in naslednje informacije:
- namene obdelave;
- vrste zadevnih osebnih podatkov;
- uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki;
- predvideno obdobje hrambe osebnih podatkov ali, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- pravico do vložitve pritožbe pri nadzornem organu;
- kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom.
29. člen (pravica do popravka)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
30. člen (pravica do izbrisa)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati.
Upravljavec je dolžan izbrisati osebne podatke zlasti:
- kadar je prenehal namen, zaradi katerega so bili osebni podatki pridobljeni ali kako drugače obdelani;
- kadar je posameznik preklical privolitev in za obdelavo ne obstaja nobena druga pravna podlaga;
- kadar so bili osebni podatki obdelani nezakonito;
- kadar posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;
- zaradi izvršitve pravnomočne odločbe Informacijskega pooblaščenca.
Kadar upravljavec objavi osebne podatke in je v skladu s prvim odstavkom tega člena osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
31. člen (pravica do omejitve obdelave)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od primerov, določenih v 18. členu Splošne uredbe.
Kadar je bila obdelava osebnih podatkov omejena v skladu s prvim odstavkom tega člena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.
Upravljavec, ki je dosegel omejitev obdelave v skladu s prvim odstavkom tega člena, pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.
32. člen (obveznost obveščanja)
Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu z določbami prejšnjih členov tega poglavja in Splošne uredbe, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor.
Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
33. člen (pravica do prenosljivosti podatkov)
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:
- obdelava temelji na privolitvi ali je potrebna za izvajanje pogodbe oz. za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe, katere pogodbena stranka je posameznik, in
- se obdelava izvaja z avtomatiziranimi sredstvi.
Pri uresničevanju pravice do prenosljivosti podatkov v skladu s prvim odstavkom tega člena ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.
Uresničevanje pravice do prenosljivosti podatkov ne posega v pravico do izbrisa.
Pravica iz prvega odstavka tega člena ne vpliva negativno na pravice in svoboščine drugih.
34. člen (pravica do ugovora)
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
VII. POSTOPEK UVELJAVLJANJA PRAVIC
35. člen (Evidenca dejavnosti obdelave osebnih podatkov)
Družba vodi evidenco o vrsti osebnih podatkov, s katerimi razpolaga kot upravljavec ali obdelovalec. Vrste zbirk osebnih podatkov, ki jih družba vodi, so določene v Katalogu evidenc osebnih podatkov, ki je priloga tega pravilnika.
Evidenca osebnih podatkov vsebuje zlasti, ne pa izključno oziroma nujno, podatke o:
- pravni podlagi za upravljanje ali obdelovanje osebnih podatkov;
- kategorijah posameznikov, na katere se nanašajo osebni podatki;
- namenu obdelave osebnih podatkov;
- roku hrambe;
- omejitvah pravic posameznikov glede osebnih podatkov, vsebovanih v zbirki;
- vrstah osebnih podatkov;
- uporabnikih evidence oziroma osebnih podatkov;
- podatkih o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
- informacijah, ali se podatki iznašajo v tretje države.
36. člen (zagotavljanje preglednih informacij)
Posameznika, na katerega se nanašajo osebni podatki, katerih obdelava temelji na zakonski podlagi, pogodbeni podlagi oz. je izkazan zakonit interes, se z javno objavo tega pravilnika na oglasnih deskah, na intranetu oziroma v primeru obdelave osebnih podatkov oseb, ki z družbo stopajo v stik preko interneta, tudi eventualno na svoji internetni strani, obvesti, s čimer se šteje, da je posameznik seznanjen s pravicami, ki mu gredo po tem pravilniku, zakonu, ki ureja varstvo osebnih podatkov in Splošni uredbi.
37. člen (zahteva o varstvu osebnih podatkov)
Vsak zaposleni je dolžan strankam zagotavljati pomoč pri uresničevanju njihovih pravic v zvezi z varstvom osebnih podatkov. Za zahtevo o varstvu osebnih podatkov šteje tudi neformalna vloga, če je vloga po vsebini namenjena uresničevanju pravic o varstvu osebnih podatkov.
Zahtevo za uveljavljanje pravic v skladu s 15. do 22. členom Splošne uredbe se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov.
Upravljavec posamezniku, na katerega se nanašajo osebni podatki, ob prejemu zahteve, če je to vsebovano v zahtevi, pisno ali na drug način potrdi njen prejem. Če to zaradi načina vložitve zahteve ni mogoče, mu potrditev v pisni obliki pošlje v sedmih delovnih dneh od njenega prejema.
Upravljavec o zahtevi posameznika, na katerega se nanašajo osebni podatki, odloči brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev.
Če upravljavec o zahtevi ne ravna skladno s prejšnjim odstavkom, se šteje, da je zahtevo zavrnil.
Odločba oziroma pisno obvestilo mora vsebovati obrazložitev razlogov za odločitev in informacijo o možnosti pritožbe.
V postopku odločanja o zahtevi o varstvu osebnih podatkov se neposredno uporabljajo določbe Splošne uredbe ter zakon, ki ureja varstvo osebnih podatkov.
38. člen (sodno varstvo pravic posameznika)
Posameznik, na katerega se nanašajo osebni podatki, ki ugotovi, da so kršene njegove pravice, določene z Splošno uredbo, zakonom, ki ureja varstvo osebnih podatkov ali tem pravilnikom, lahko zahteva sodno varstvo tudi v skladu z zakonom, ki ureja obligacije, pred pristojnim sodiščem, ki odloča po zakonu, ki ureja pravdni postopek.
Postopek iz tega člena je nujen in prednosten.
VIII. POSTOPEK RAVNANJA V PRIMERU KRŠITVE VARSTVA OSEBNIH PODATKOV
39. člen (obvestilo Informacijskemu pooblaščencu)
V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, uradno obvesti Informacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene človekove pravice in temeljne svoboščine posameznika. Kadar uradno obvestilo Informacijskemu pooblaščencu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.
Upravljavec oz. obdelovalec takoj po zaznani kršitvi zavarujeta dnevniške zapise in druge podatke, na podlagi katerih bi se dalo ugotoviti dejstva v zvezi s kršitvijo, ter jih na poziv predložita Informacijskemu pooblaščencu.
Uradno obvestilo iz prvega odstavka tega člena vsebuje vsaj:
- opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
- sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
- opis verjetnih posledic kršitve varstva osebnih podatkov;
- opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.
Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe v Knjigi evidenc o kršitvi varstva osebnih podatkov. Ta dokumentacija Informacijskemu pooblaščencu omogoči, da preveri skladnost s tem členom.
40. člen (obvestilo upravljavcu)
Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti tudi upravljavca.
41. člen (obvestilo posamezniku, na katerega se nanašajo osebni podatki)
Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja v skladu z drugim odstavkom tega člena sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.
V sporočilu posamezniku, na katerega se nanašajo osebni podatki, je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz druge, tretje in četrte točke tretjega odstavka 39. člena tega pravilnika.
Sporočilo posamezniku, na katerega se nanašajo osebni podatki, ni potrebno, če je izpolnjen kateri koli izmed pogojev iz 3. odstavka 36. člena Splošne uredbe.
42. člen (interno obveščanje)
Delavec, ki zazna kršitev varstva osebnih podatkov, je dolžan brez nepotrebnega odlašanja o tem obvestiti vodjo oddelka, na katerem je zaposlen, in odgovorno osebo družbe.
IX. ROK HRAMBE IN IZBRIS OSEBNIH PODATKOV
43. člen (rok hrambe)
Rok hrambe osebnih podatkov je zaradi spoštovanja določenega namena obdelave osebnih podatkov omejen na najkrajše možno obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi katerega so se osebni podatki zbrali in nadalje obdelovali, razen če zakon za posamezne obdelave določa rok hrambe.
Po prenehanju potrebe po obdelavi osebnih podatkov, se podatki zbrišejo oziroma uničijo nosilci podatkov.
44. člen (izbris podatkov)
Brisanje osebnih podatkov na računalniških medijih se ob upoštevanju določb tega pravilnika in Splošne uredbe ter zakona, ki ureja varstvo osebnih podatkov, opravi na način in po postopku ter metodi, ki onemogoča restavriranje brisanih podatkov.
Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo pod nadzorom odgovorne osebe, tako da se bodisi papir razreže ali pa odda v industrijsko predelavo.
Z vestnostjo in skrbnostjo, določeno s tem pravilnikom za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke.
X. PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE
45. člen (tretje države ali mednarodne organizacije)
Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju določb Splošne uredbo oz. zakona, ki ureja varstvo osebnih podatkov lahko izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo.
Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Evropska Komisija s sklepom predhodno ugotovila, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje Informacijskega pooblaščenca.
Če Evropska Komisija za zadevno tretjo državo ali mednarodno organizacijo ni sprejela sklepa o tem, da zagotavlja ustrezno raven varstva podatkov, lahko upravljavec ali obdelovalec osebne podatke prenese v to državo ali mednarodno organizacijo le ob upoštevanju določb Splošne uredbe o varstvu podatkov ter če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.
XI. ODGOVORNOST IN IZVAJANJE UKREPOV VAROVANJA OSEBNIH PODATKOV
46. člen (ocena učinkov in prehodno posvetovanje)
Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, zaposleni pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja. Zaposleni pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi direktorja družbe.
Družba se pred obdelavo posvetuje z Informacijskim pooblaščencem, kadar je iz ocene učinka v zvezi z varstvom podatkov iz prvega odstavka tega člena razvidno, da bi obdelava povzročila veliko tveganje, če družba ne bi sprejela ukrepov za ublažitev tveganja.
47. člen (odškodninska odgovornost)
Vsakdo je dolžan uresničevati določbe o varovanju osebnih podatkov, zlasti upravljavci in obdelovalci zbirk osebnih podatkov, druge zaposlene osebe in zunanji izvajalci.
Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.
Ne glede na določbo drugega odstavka tega člena veljajo določbe civilnega in delovnega prava o neposredni odškodninski odgovornosti povzročitelja škode in pravila o regresnih zahtevkih.
XII. UKREPANJE OB UGOTOVITVI ZLORABE OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV
48. člen (nadzor in kazni)
Družba je dolžna zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov kot izhaja iz gornjega člena, ustrezno ukrepati.
Če obstaja sum, da je vdor v zbirko osebnih podatkov storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani, ali če je do zlorabe osebnih podatkov že prišlo, mora družba vdor ali zlorabo prijaviti organom pregona. Ta določba ne posega v pravice in dolžnosti posameznikov in družbe iz VII. poglavja tega pravilnika.
O zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov, oseb, ki niso delavci družbe, se obvesti pristojne organe.
XIII. PREHODNE IN KONČNE DOLOČBE
49. člen (začetek veljavnosti četrtega odstavka 5. člena pravilnika)
Določba četrtega odstavka 5. člena tega pravilnika stopi v veljavo najkasneje do 25.11.2018.
50. člen (spremembe prilog pravilnika)
Priloge tega pravilnika so sestavni del tega pravilnika in se ob vsakokratni spremembi dejanskega stanja in/ali spremembi zakonodaje po potrebi modificirajo. Spremembe se objavijo na spletni strani / oglasni deski družbe in začnejo veljati naslednji dan po objavi.
51. člen (objava in začetek veljavnosti tega pravilnika)
Ta pravilnik se objavi na spletni strani / oglasni deski družbe in začne veljati naslednji dan po objavi. Z dnem uveljavitve tega pravilnika, preneha veljati PRAVILNIK O ZAVAROVANJU OSEBNIH PODATKOV z dne 28.2.2007 in vse priloge povezane z tem pravilnikom.
Ljubljana, 24.5.2018
Direktor: Pepel Gregor
Priloge:
- Katalog evidenc dejavnosti obdelave osebnih podatkov
- Izjava o seznanjenosti z varstvom osebnih podatkov
- Knjiga evidenc o kršitvi varstva osebnih podatkov
- Privolitev za obdelavo osebnih podatkov
Priloga 1 - Katalog evidenc o obdelavi osebnih podatkov
Priloga 2
VZOREC IZJAVE O SEZNANJENOSTI Z VARSTVOM OSEBNIH PODATKOV
Podpisani _______________________________________ izjavljam, da sem seznanjen z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES, z zakonom, ki ureja varstvo osebnih podatkov in s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino Pravilnika o varovanju osebnih podatkov z dne ________. Seznanjen sem, da osebnih in drugih podatkov, s katerimi sem prišel v stik pri družbi PARNAD, d.o.o., Ljubljana, ne smem posredovati nepooblaščenim tretjim osebam ter da sem jih dolžan hraniti in varovati tudi po prenehanju delovnega oziroma drugega razmerja, pri tem pa ni pomembno ali sem do teh podatkov prišel zaradi opravljanja dela ali po naključju. Zavedam se, da moram v primeru, ko zapustim pisarno oziroma delovni prostor, poskrbeti za ustrezno varnost računalniške opreme, medijev, dokumentov ter podatkov, tako da je onemogočen dostop nepooblaščenim osebam.
Seznanjen sem, da je kršitev varovanja osebnih in drugih podatkov sankcionirana kot hujša kršitev (delovnih) obveznosti in lahko predstavlja razlog za odpoved pogodbe o zaposlitvi oziroma podjemne pogodbe in odškodninsko ter kazensko odgovornost.
V Ljubljani, ____________________
_____________________________
ime in priimek
_____________________________
podpis
Priloga 3
KNJIGA EVIDENC O KRŠITVI VARSTVA OSEBNIH PODATKOV
- Opis vrste kršitve varstva OP (kategorije, število zadevnih posameznikov ter evidenc)
………………………………………………………………………………………………………………………………………………………………………………
- Ime in kontaktni podatek osebe, ki jo dolžna poskrbeti za varstvo podatkov oz. drug kontakt
………………………………………………………………………………………………………………………………………………………………………………
- Opis verjetnih posledic kršitve varstva OP
……………………………………………………………………………
………………………………………………………………………………………
- Predlog ukrepov, opis ukrepov, ki jih upravljavec sprejme in opis ukrepov za ublažitev morebitnih škodljivih učinkov kršitve
………………………………………………………………………………………………………………………………………………………………………………
PRIVOLITEV ZA OBDELAVO OSEBNIH PODATKOV
Soglašam, da se moji osebni podatki:
in podatki o mojih nakupih proizvodov, ki jih trži družba Parnad, d. o. o., Ljubljana (datum nakupa, tip proizvoda, vrednost nakupa, način nakupa),
uporabljajo za namen:
A1 □ predstavitve proizvodov, ki jih trži družba Parnad, d. o. o., Ljubljana, na domu oziroma drugi lokaciji;
A2 □ neposrednega trženja (npr. obveščanje o promocijskih aktivnostih družbe, vabljenje na dogodke in srečanja ter pošiljanje lastnih publikacij, meni prilagojenih ponudb in promocijskih gradiv), in sicer preko navadne pošte, telefona, socialnih omrežij, e-pošte ter SMS/MMS-ov;
A3 □ obveščanja o preventivnih pregledih in izobraževanjih v zvezi s proizvodi, ki jih prodaja družba Parnad, d. o. o., Ljubljana, in sicer preko navadne pošte, telefona, socialnih omrežij, e-pošte ter SMS/MMS-ov,
A4 □ tržnega raziskovanja za potrebe družbe Parnad, d. o. o., Ljubljana, in sicer preko navadne pošte, telefona, socialnih omrežij, e-pošte ter SMS/MMS-ov.
IZJAVA O PRAVICAH VAROVANJA OSEBNIH PODATKOV
Seznanjen sem in soglašam:
- Da se bodo osebni podatki shranjevali in uporabljali le toliko časa, dokler bo to potrebno za dosego namena, zaradi katerega so bili obdelovani oziroma do poteka zakonskega roka. Po izpolnitvi namena obdelave upravljavec zagotavlja, da bodo osebni podatki izbrisani, oz. da bo dostop do zbranih osebni podatkov blokiran.
- Je upravljavec in uporabnik podatkov družba Parnad, d. o. o., Ljubljana, Cesta v Gorice 33, 1000 Ljubljana, Slovenija, elektronski naslov:
parnad@parnad.si, (v nadaljevanju besedila: družba).
- Se bodo osebni podatki uporabljali samo za zgoraj navedene namene in ne bodo posredovani tretjim osebam, drugi državi ali mednarodni organizaciji.
- Da imam skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 (v nadaljevanju: Splošna uredba) in zakonom, ki ureja varstvo osebnih podatkov, naslednje pravice:
- doseči, da se moji osebni podatki, če so netočni, popravijo;
- doseči, da v določenih položajih, ki so predvideni s predpisi, družba moje osebne podatke trajno izbriše;
- da prejmem informacijo o tem, katere moje osebne podatke je družba pridobila, ter da družba moje osebne podatke na mojo zahtevo posreduje drugemu upravljavcu;
- do omejitve obdelave mojih osebnih podatkov na način, predviden po merilih Splošne uredbe o varstvu podatkov;
- da me družba brez nepotrebnega odlašanja seznani o morebitni kršitvi mojih pravic;
- da privolitev, če sem družbi svoje osebne podatke zaupal s privolitvijo, kadarkoli prekličem, tako da preklic pošljem na e-naslov:
parnad@parnad.si ali na naslov navadne pošte: Parnad, d. o. o., Ljubljana, Cesta v Gorice 33, 1000 Ljubljana, pri čemer preklic privolitve ne vpliva na zakonitost obdelave pred tem.
Navedene pravice lahko uresničujete tako, da na družbo naslovite zahtevo o varstvu osebnih podatkov. O vaši zahtevi bomo odločili brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko izjemoma oz. po potrebi podaljša za največ dva dodatna meseca ob upoštevanju zapletenosti in števila zahtev.
Zoper odločbo oziroma pisno obvestilo o zahtevi, s katerim je odločeno o vaših pravicah, imate pravico do vložitve pritožbe na Informacijskega pooblaščenca v roku 15 dni od prejema našega obvestila oziroma odločbe. Pravico do pritožbe imate tudi v primeru našega molka.
Vaše pravice ter postopek uveljavljanja le-teh so določene v Pravilniku o varovanju osebnih podatkov, ki je dostopen na spletni strani: www.parnad.si/osebni-podatki. Za vsa vprašanja, ki s Pravilnikom o varovanju osebnih podatkov niso urejena, se neposredno uporabljata Splošna uredba o varstvu podatkov in veljavna zakonodaja.