Pravilnik o zavarovanju osebnih podatkov
Društvo Jasa, Kopitarjeva ulica 1 Maribor, matična številka 5975735000, (v nadaljevanju: »upravljavec«) na podlagi Zakona o varstvu osebnih podatkov, v nadaljevanju: »ZVOP-1«) ter Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: »Splošna uredba o varstvu podatkov«)
sprejema naslednji
Pravilnik o zavarovanju osebnih podatkov Društva Jasa
I. Uvodno glede obdelave osebnih podatkov
- člen
Upravljavec je podjetje, ki se ukvarja z izvajanjem ekološko-kulturoloških izobraževalnih aktivnosti. Glavna gospodarska dejavnost upravljavca je 94.999 (Dej.d.n.članskih organizacij) - izdajanje umetniško vrednih in poučnih knjig.
Upravljavec podatkov ne posreduje in ne iznaša v tretje države in/ali mednarodne organizacije.
Pri izvajanju navedenih dejavnosti upravljavec obdeluje naslednje osebne podatke: osebno ime, naslov, elektronski naslov, telefonska številka. Upravljavec ne obdeluje posebnih vrst osebnih podatkov (t.i. občutljivih osebnih podatkov), niti ne obdeluje osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.
Osebne podatke upravljavec obdeluje na podlagi pogodbenega razmerja ali privolitve posameznikov in sicer za namene
- zaposlitev
- poslovanja
- prodajne pogodbe
- tržne raziskave
- neposrednega trženja
- profiliranja in segmentiranja podatkov
- tržnih raziskav in statistike.
- člen
Za namen identifikacije in popisa vseh vrst osebnih podatkov, katere obdeluje upravljavec, se vodi Seznam evidenc dejavnosti obdelave osebnih podatkov (v nadaljevanju: »Seznam evidenc«), katerega namen je omogočiti popoln pregled nad tokom osebnih podatkov. Seznam evidenc je obenem podlaga za sprejem tehničnih, organizacijskih in kadrovskih ukrepov za zavarovanje osebnih podatkov, kot so opisani v tem Pravilniku.
Seznam evidenc se vodi na način, da je za vsako evidenco dejavnosti obdelave osebnih podatkov razvidno:
- na kakšni pravni podlagi se podatki obdelujejo,
- kaj je namen obdelave osebnih podatkov,
- katere vrste osebnih podatkov se obdelujejo,
- morebitne osebe oziroma uporabnike, katerim so osebnih podatki lahko razkriti,
- s katerimi tehničnimi, organizacijskimi in kadrovskimi ukrepi se zagotavlja varstvo osebnih podatkov.
Upravljavec skrbi za točnost in ažurnost Seznama evidenc. Upravljavec bo nadzornemu organu na njegovo zahtevo omogočil dostop do Seznama evidenc.
Delavci, ki pri izvajanju del in nalog za upravljavca obdelujejo osebne podatke, morajo biti seznanjeni s Seznamom evidenc, vpogled vanj pa je potrebno omogočiti tudi vsakomur, ki to zahteva in ima za vpogled zakonit interes (npr. posameznik, na katerega se nanašajo osebnih podatki, nadzorni organ).
- člen
Ob upoštevanju opisane narave, obsega, okoliščin in namena obdelave, kot je razviden iz 2. člena tega Pravilnika in Seznama evidenc, upravljavec zaključuje, da obdelava podatkov ne predstavlja velikega tveganja za pravice in svoboščine posameznikov, zato priprava predhodne ocene učinka v zvezi z obdelavo podatkov ni potrebna.
Pred vsako novo obdelavo osebnih podatkov, zlasti pa pred uporabo novih tehnologij ter pred vsako spremembo narave, obsega, okoliščin in namenov obdelave, ter vedno, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave, se upravljavec zaveže ponovno opraviti pregled tveganj in oceniti, ali je v zvezi z obdelavo potrebno pripraviti oceno učinka.
II. Splošne določbe
- člen
S tem Pravilnikom o zavarovanju osebnih podatkov (v nadaljevanju: »Pravilnik«) se določajo tehnični, organizacijski in kadrovski postopki in ukrepi za zavarovanje osebnih podatkov upravljavca, z namenom, da se izpolnijo zakonske zahteve glede varovanja osebnih podatkov in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.
Ti ukrepi sestojijo iz zavezujočih pravil, priporočil oziroma načel iz prakse, internih postopkov, organizacijskih struktur in varnosti informacijske tehnologije.
- člen
Namen tega Pravilnika je zagotoviti zaupnost, celovitost, dostopnost in točnost osebnih podatkov v interesu posameznikov, na katere se osebnih podatki nanašajo, in sicer v vsaki fazi obdelave osebnih podatkov. Vsi zaposleni se morajo zavedati tveganj, ki so povezana s tehničnimi in informacijskimi sistemi ter komunikacijsko tehnologijo, ter morajo zato izvajati obdelavo osebnih podatkov z zahtevano skrbnostjo.
Ukrepi, opisani v tem Pravilniku, so oblikovani ob upoštevanju najnovejšega tehnološkega razvoja in stroškov, izvajanja ter narave, obsega, okoliščin in namenov obdelave kot tudi tveganj za pravice in svoboščine posameznikov ter zagotavljajo ustrezno varnost podatkov glede na morebitna tveganja, ki jih pomeni obdelava podatkov, zlasti v primeru nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
- člen
Upravljavec se ravna po priznanih pravilih za varnost informacij. Pri tem ta Pravilnik izhaja iz predpostavke, da absolute varnostni ni in da zagotavljanje informacijske varnosti ni neko statično stanje, temveč da se mora varnost stalno izboljševati in prilagajati na spreminjajoče se pogoje. Ukrepi so torej nek kompromis med tem, kar je tehnično možno in realizacijo, ki je v konkretnem primeru sploh možna glede na kadrovske in ekonomske vidike upravljavca.
- člen
Upravljavec pri obdelavi osebnih podatkov upošteva splošna načela v zvezi z obdelavo osebnih podatkov.
Upravljavec obdeluje le tiste osebne podatke, za katere ima ustrezno zakonsko podlago na podlagi določb ZVOP-1 in Splošne uredbe o varstvu podatkov.
Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, razen če relevantna zakonodaja ne določa drugače.
Pri obdelavi osebnih podatkov upravljavec zagotavlja, da so osebni podatki:
- obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;
- zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo dalje na način, ki ni združljiv s temi nameni;
- ustrezni, relevantni in omejeni glede na namene, za katere se obdelujejo;
- točni in kadar je to potrebno posodobljeni;
- hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za namene, za katere se obdelujejo, razen če posamezen zakon ne določa česa drugega;
- obdelujejo na način, ki zagotavlja njihovo celovitost in zaupnost, zlasti pa, da so z ustreznimi tehničnimi ali organizacijskimi ukrepi ustrezno varovani pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem, ali poškodbo.
- člen
Ta Pravilnik velja za vse delavce pri upravljavcu, ne glede na to, ali so v delovnem razmerju pri upravljavcu (v nadaljevanju »delavci«). Pravilnik je namenjen zlasti tistim delavcem, ki so neposredno ali posredno udeleženi pri obdelavi osebnih podatkov, ter pri zagotavljanju varnosti informacijske tehnologije.
- člen
V tem Pravilniku uporabljeni izrazi imajo pomene kot to izhaja iz veljavnega ZVOP-1 ter Splošne uredbe o varstvu podatkov.
III. Kadrovski ukrepi
- člen
Naloge in pristojnosti glede obdelave osebnih podatkov, ki so si med seboj v konfliktu, so dodeljene različnim osebam ali oddelkom; vse z namenom, da se v najkrajšem možnem času prepoznajo nepooblaščene ali nenamerne spremembe podatkov.
Namene in pristojnosti za obdelavo osebnih podatkov določa direktor upravljalca in so zabeležene v katalogih zbirk osebnih podatkov.
Za pravilno izvajanje tega Pravilnika je dokončno pristojen in odgovoren predsednik upravljavca.
- člen
Ker obdelava osebnih podatkov pri upravljavcu ne zajema rednega in sistematičnega obsežnega spremljanja posameznikov in ker upravljavec ne obdeluje posebnih vrst osebnih podatkov in/ali podatkov v zvezi s kazenskimi obsodbami in prekrški, upravljavec ne bo imenoval posebne pooblaščene osebe za varstvo podatkov.
- člen
Vsi delavci, ki ukrepajo pod vodstvom upravljavca in imajo dostop do osebnih podatkov, teh podatkov ne smejo obdelovati brez ali izven navodil upravljavca. Vsi delavci, ki pri svojem delu obdelujejo osebne podatke, so dolžni izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere so zvedeli oziroma bili z njimi seznanjen pri opravljanju svojega dela.
Obveza varovanja podatkov ne preneha s prenehanjem opravljanja dela za upravljavca.
Vsi delavci, ki pri svojem delu obdelujejo osebne podatke, morajo biti seznanjeni z zakonodajo s področja varstva osebnih podatkov ter z vsebino tega Pravilnika. Upravljavec bo v ta namen poskrbel, da bodo taki delavci podpisali posebno Izjavo o varstvu osebnih podatkov, iz katere bo razvidno, da so seznanjeni z določbami tega Pravilnika in zakonodajo s področja varstva osebnih podatkov.
Upravljavec bo skladno z načelom odgovornosti delavcem, ki rokujejo z osebnimi podatki, po potrebi zagotavljal ustrezna izobraževanja oz. treninge s področja varovanja osebnih podatkov.
Za kršitev določil iz tega člena so delavci disciplinsko, odškodninsko in kazensko odgovorni. Kršitev določil tega Pravilnika se šteje za hujšo kršitev pravic in obveznosti iz delovnega ali drugega pogodbenega (študenti, zunanji izvajalci) razmerja. Od kršitvah se takim zaposlenim lahko pogodba o zaposlitvi redno odpove iz krivdnih razlogov ali izredno odpove v primeru hujših kršitev, drugim delavcem pa se odpove zadevna pogodba o sodelovanju.
IV. Fizična in okoljska varnost
- člen
Osebni podatki in informacijski sistemi morajo biti ustrezno zaščiteni pred tatvino, poškodovanjem in negativnimi učinki iz okolja.
Prostori, kjer se nahajajo osebnih podatki, njihove kopije in informacijski sistemi, morajo biti ognjevarni (gasilni aparati), zavarovani proti izlitjem vode, poplavam in elektromagnetnim motnjam v okviru predpisanih klimatskih pogojev ter zaklenjeni.
Vsi informacijski sistemi, ki so kritični za upravljavca, se morajo postaviti v varno okolje. To pomeni, da so vsi prostori, v katerih se nahajajo nosilci osebnih podatkov ter strojna in programska oprema, fizično varovani (npr. zaklenjeni, pospravljeni v sef idr.), tako da se nepooblaščenim osebam prepreči dostop do podatkov.
Taki varovani prostori oziroma stavba kot celota, kjer se shranjujejo osebni podatki, so opremljeni z napravo za javljanje vlomov. Na podlagi takih ukrepov je možno sprožiti alarm in zavarovati dokaze.
- člen
Osebni podatki se ne smejo hraniti izven varovanih prostorov.
Varovani prostori ne smejo ostajati nenadzorovani oziroma se zaklepajo ob odsotnosti delavcev, ki jih nadzorujejo. Izven delovnega časa se varovani prostori zaklepajo, ključi se morajo hraniti v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih iz zunanje strani.
- člen
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.
Delavci ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje (t.i. politika čiste mize).
V odsotnosti z delovnega mesta morajo zaposleni ekran računalnika izklopiti ali kako drugače fizično ali programsko zakleniti (t.i. politika čistega ekrana).
Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori), morajo biti stalno zaklenjeni.
- člen
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo odgovornega delavca upravljavca.
V. Varovanje integritete in zaupnosti podatkov ob sprejemu in prenosu
- člen
Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku ali službi, na katero je ta pošiljka naslovljena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo k upravljavcu, razen pošiljk iz prvega odstavka tega člena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena, ter pošiljk, ki so označene kot osebni podatki.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov upravljavca.
- člen
Osebni podatki se pošiljajo s priporočeno pošto ali osebno preko kurirja.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
- člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju ustreznih postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
V primeru elektronskega pošiljanja sporočil z osebnimi podatki upravljavec zagotavlja tehnične postopke, ki onemogočijo prestrezanje, kopiranje, spreminjanje, preusmerjanje ali uničenje prenesenih informacij. Ti postopki so šifriranje podatkov v ZIP datoteko in zaščita z močnimi gesli dolžine vsaj 12 znakov. Gesla se uporabnikom ne pošiljajo po elektronski pošti, ampak po nekem drugem kanalu, na primer v SMS sporočilu; s tem je onemogočeno, da bi morebitni prestreznik elektronske pošte lahko prestregel tudi geslo.
VI. Zagotavljanje zaupnosti, celovitosti in odpornosti sistemov in storitev za obdelavo podatkov
- člen
Da morebitni napadalci ne bi prišli do visoko občutljivih informacij, upravljavec z različnimi tehničnimi sredstvi določi več varnostnih con.
Uporabniki in informacijske storitve in sistemi se v omrežjih ločijo. Prav tako se ločijo razvojna, testna in obratovalna okolja.
Zagotavlja se kontrola dostopa, ki omogoča, da lahko dostop do funkcij, programov in podatkov informacijskega sistema prejmejo le upravičene osebe.
- člen
Dostop do programske opreme je varovan tako, da dovoljuje dostop samo za to v naprej določenim delavcem ali zunanjim ponudnikom storitev.
Dostop do informacijskih sistemov je omejen na pravice, ki so potrebne za izvajanje določene naloge (npr. pravice do urejanja (spreminjanja), vpogleda (branja), prepovedan dostop). Pri podelitvah pravic dostopa upravljavec sledi načelo »need-to-know«, kar pomeni, da uporabniki ne smejo prejeti več pravic, kot bi bile potrebne za izvajanje njihovih nalog ali za dostop do podatkov.
Vsakemu uporabniku se dodeli jasno (osebno) uporabniško ime (ID oznaka uporabnika). To velja tudi za privilegirane pravice do dostopa (npr. za administratorje).
Za preprečitev morebitnega napada ali varnostnega tveganja se beležijo vsi kritični, zlasti pa neuspeli poskusi dostopa.
Če določeni delavec zamenja delovno mesto, se mora preveriti pravice do dostopa. Tudi sicer se morajo pravice do dostopa redno preverjati.
Če delavec preneha opravljati delo za upravljavca, se morajo najpozneje ob koncu zadnjega delovnega dne odvzeti vsa izdana dovoljenja za dostop. Enako velja za vse zunanje ponudnike storitev.
- člen
Strojna oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami, mora biti zaščitena na način, da se zavaruje integriteta in zaupnost podatkov.
Vsi osebni računalniki, na katerih je možen dostop do osebnih podatkov, so varovani z uporabniškim imenom in geslom.
Programska oprema inštalirana na računalniku, ki omogoča dostop do osebnih podatkov, je varovana z uporabniškim imenom in geslom različnim od uporabniškega imena in gesla računalnika.
Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.
- člen
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih.
- člen
Vzdrževanje, popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z upravljavcem sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
Zaposleni ne smejo namestiti programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz poslovnih prostorov brez odobritve vodje organizacijske enote in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.
- člen
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede prisotnosti računalniških virusov.
Vse delovne postaje in prenosni računalniki in druga oprema morajo biti opremljeni z aktualno antivirusno zaščito. Vsi računalniki na delovnem mestu morajo biti opremljeni s kombinacijo iz lokalnega požarnega zidu in lokalnega sistema za zaznavanje in preprečevanje vdorov. Vsi prenosni računalniki in druga oprema morajo biti opremljeni z lokalnim požarnim zidom.
Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne strokovne službe, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo k upravljavcu na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
- člen
Če uporabnik ali administrator zapusti delovno mesto ali ne izvaja nobenih vnosov, se mora v določenem časovnem razponu samodejno vključiti zapora zaslona, zaščitena z geslom.
Na sistemih, kjer je to tehnično možno, poteka avtomatska odjava uporabnika, če ni bilo izvedenih vnosov znotraj opredeljenega časovnega razpona.
Na prenosnih računalnikih ni dovoljeno shranjevanje osebnih podatkov. Ker podjetje shranjuje osebne podatke v oblaku, osebnih podatkov ni niti potrebno, niti dovoljeno shranjevati na prenosne računalnike.
- člen
Pred nedovoljenimi dostopi in manipulacijami morajo biti zaščitene tudi pisarniške naprave za komunikacijo kot so tiskalniki, faks naprave, kopirni stroji idr.
Upravljavec mora prav tako sprejeti ustrezne informacijske varnostne ukrepe v primeru oddaljenega dostopa.
VII. Zagotavljanje dostopnosti oz. razpoložljivosti podatkov v primeru fizičnega ali tehničnega incidenta
- člen
Vsaka operacija s podatki se beleži v sistemskih dnevniških datotekah. Beleženje mora izvesti administrator v skladu z zahtevami in možnostmi operacijskih sistemov in aplikacij.
Revizijska sled mora zagotavljati, da se da ugotoviti, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani oziroma spremenjeni ter kdo je to storil. Vsi dogodki se morajo opremiti s časovnim žigom.
- člen
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba in zakonska podlaga, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, kam oziroma komu, kdaj in na kakšni podlagi. Evidenca sledljivosti posredovanj podatkov se vodi po kronološkem vrstnem redu.
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
- člen
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.
Za podatke, za katere velja visoka zahteva po razpoložljivosti, se mora varnostna kopija (backup)vzpostaviti redno, tako da se lahko v primeru izpada ene ali več komponent ponovno vzpostavi pripravljenost za obratovanje celotnega sistema.
- člen
Ob izpadu sistema mora biti zagotovljeno, da se ne izgubijo nobene kritične informacije.
Mediji za varnostno shranjevanje semorajo hraniti na krajih, ki izpolnjujejo zahteve zaupnosti, integritete in razpoložljivosti zadevnih informacij. To vključuje tudi zadostno prostorsko ločevanje med mediji za varnostno shranjevanje in varnostnim virom (npr. skladiščenje v drugih prostorih).
Zagotoviti se mora, da ima administracijsko osebje v nujnem primeru dostop do varnostnih medijev.
Določiti semorajoroki za shranjevanje in roki za izbris varnostnih kopij.
- člen
Informacije se arhivirajo v skladu z zakonskimi, pogodbenimi in poslovnimi zahtevami.
Določiti se mora trajanje shranjevanja za bistvene poslovne informacije in arhivske kopije.
Arhivski podatki se morajo skladiščiti ali shranjevati na krajih, ki izpolnjujejo zahteve razpoložljivosti, integritete in zaupnosti.
VIII. Redno testiranje, ocenjevanje in vrednotenje ukrepov
- člen
Upravljavec se zaveže, da bo redno testiral, ocenjeval in vrednotil učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
Upravljavec bo v ta namen vsaj enkrat letno preveril zakonitost obdelave osebnih podatkov. Za namen oprave notranje kontrole bo upravljavec pregledal dnevnike v zvezi z delovanji obdelav osebnih podatkov in se posvetoval z ustreznimi strokovnjaki za informacijsko varnost.
IX. Rok hrambe in brisanje podatkov
- člen
Upravljavec zagotavlja, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. V ta namen upravljavec v Seznamu evidenc predpiše roke za izbris osebnih podatkov.
Po preteku roka hranjenja se osebni podatki zbrišejo oziroma trajno uničijo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
- člen
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. Brisanje mora biti popolno in nepovratno. Poleg nosilca takih podatkov je torej potrebno uničiti tudi podatke v mapi »Izbrisano« ali »Koš« oziroma drugi ustrezni mapi / direktoriju, tako da vsebine ni več moč obnoviti.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov.
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.
X. Storitve, ki jih opravljajo zunanje pravne ali fizične osebe
- člen
Upravljavec lahko posamezna dejanja obdelave podatkov zaupa tudi zunanji pravni ali fizični osebi (v nadaljevanju: »obdelovalec«), ki zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov za varstvo osebnih podatkov. Obdelovalec, ki opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta Pravilnik.
V takem primeru bo upravljavec z obdelovalcem sklenil ustrezne pisne dogovore o pogodbeni obdelavi osebnih podatkov, v katerih bo določil pravice in obveznosti obeh strank. V takšnem dogovoru morajo biti obvezno predpisani pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja ter obveznosti obdelovalca napram upravljavcu. Omenjeno velja tudi za obdelovalce, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.
Obdelovalec lahko na podlagi takega dogovora v imenu in za račun upravljavca opravlja samo dogovorjena opravila v zvezi z obdelavo osebnih podatkov upravljavca. Obdelovalec podatkov ne sme obdelovati ali drugače uporabljati za noben drug namen.
XI. Poročanje v primeru varnostnega incidenta
- člen
Upravljavec zagotavlja dosleden in učinkovit sistem za ravnanje z varnostnimi incidenti, vključno z dokumentiranjem in obveščanjem o varnostnih dogodkih.
V ta namen upravljavec zagotovi informacijski sistem, ki je sposoben izvajati nadzor za prepoznavanje dogodkov (npr. požarni zid, zaznavanje vdorov, sistem nadzora). Informacijski sistemi nadalje omogočajo dokumentiranje vseh varnostno relevantnih ali sistemsko kritičnih dogodkov. Za spremljanje teh beleženj je odgovorna predsednica Mateja Jamnik, ki mora v primeru varnostno pomembnih incidentov ukrepati.
Vsi delavci so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, nedostopnosti, spreminjanju ali poškodovanju podatkov, takoj obvestiti Matejo Jamnik, sami pa poskušajo takšno aktivnost preprečiti.
Upravljavec v evidenco varnostnih incidentov beleži vsako kršitev varstva osebnih podatkov, iz katere morajo biti razvidna dejstva v zvezi s kršitvijo varstva osebnih podatkov, učinki take kršitve in sprejeti popravni ukrepi.
V evidenco varnostnih incidentov se po kronološkem vrstnem redu vpisujejo vsi varnostni incidenti, ne glede na stopnjo in vrsto tveganja za pravice in svoboščine posameznikov. Upravljavec zlasti beleži kršitve zaupnosti podatkov (npr. nepooblaščeno razkritje podatkov), kršitve v zvezi z možnostjo dostopa do podatkov in kršitve integritete podatkov (npr. nepooblaščena sprememba podatkov).
- člen
Če je verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov, mora upravljavec nemudoma, najkasneje pa v roku 72 ur po seznanitvi s kršitvijo, o njej uradno obvestiti pristojni nadzorni organ, skladno s 33. členom Splošne uredbe o varstvu podatkov.
Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikom, mora upravljavec skladno z določbo 34. člena Splošne uredbe o varstvu podatkov brez nepotrebnega odlašanja obvestiti tudi posameznike, na katere se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.
XII. Končne določbe
- člen
Vse spremembe in dopolnitve tega Pravilnika se sprejmejo na enak način kot Pravilnik in v pisni obliki.
- člen
Pravilnik začne veljati osmi (8.) dan potem, ko ga direktor upravljavca sprejme in objavi.
Pravilnik se objavi na pri upravljavcu običajen način in sicer tako, da se z njegovo vsebino lahko seznanijo vsi delavci pri upravljavcu.
- člen
Ta Pravilnik je vsem delavcem na razpolago in vpogled v kadrovski službi upravljavca v času delovnika. Delavcem je omogočeno, da se brez nadzora seznanijo z vsebino tega Pravilnika.
V Mariboru, dne 6.1.2021
Društvo Jasa
Mateja Jamnik, predsednica