EKO SREBRNA HIŠA

Pravilnik o zavarovanju osebnih podatkov

Upoštevajoč določa 24. in 25. člena Zakona o varstvu osebnih podatkov ( Uradni list RS, št. 94/ 2007–uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter določila Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES ), direktor družbe EKO SREBRNA HIŠA d.o.o., Dunajska 21, Ljubljana sprejema naslednji

PRAVILNIK o zavarovanju osebnih podatkov

I. SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v družbi EKO SREBRNA HIŠA d.o.o. z namenom, da se prepreči nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo, kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, Splošno uredbo o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega Pravilnika.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1. Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
2. Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
3. Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
4. Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
5. Upravljalec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
6. Občutljivi osebni podatki - so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
7. Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
8. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).

II. OBDELAVA OSEBNIH PODATKOV

3. člen

Posamezno zbirko osebnih podatkov na posameznem delovnem področju družbe EKO SREBRNA HIŠA d.o.o. vzpostavi odgovorna oseba za določeno zbirko osebnih podatkov, ki jo določi direktor družbe EKO SREBRNA HIŠA d.o.o.

4. člen

V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno zakonsko podlago po določilih Zakona o varstvu osebnih podatkov in določilih Splošne uredbe o varstvu podatkov.

Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače.

Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo tako da je spoštovan zakoniti in zastavljeni cilj njihove obdelave.

Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih.

O obdelavi osebnih podatkov mora biti posameznik obveščen v skladu z določili Zakona o varstvu osebnih podatkov in Splošne Uredbe o varstvu osebnih podatkov.

Odgovorne osebe ter osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke (pooblaščeni obdelovalci), morajo biti pred obdelavo osebnih podatkov seznanjene z določbami Zakona o varstvu osebnih podatkov, z določbami Splošne uredbe o varstvu podatkov in vsebino tega Pravilnika.

Glede obveščanja posameznika o obdelavi osebnih podatkov, glede pravice posameznika do dopolnitve, popravka, blokiranja, izbrisa, omejitve obdelave, prenosljivosti podatkov in ugovora ter postopka uveljavljanja teh pravic, se neposredno uporabljajo določbe Zakona o varstvu osebnih podatkov in Splošne uredbe o varstvu osebnih podatkov.

5. člen

Kadar obdelava temelji na privolitvi, mora biti privolitev k obdelavi podana v pisni obliki.

Zahteva za pisno privolitev mora biti oblikovana ločeno od ostalih zadev ter oblikovana na razumljiv in jasen način.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadarkoli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Preklic privolitve je lahko podan pisno ali ustno.

6. člen

Osebni podatki se lahko shranjujejo le toliko časa, kolikor določa zakon.

V primeru, ko zakon roka hrambe ne določa, mora biti rok hrambe osebnih podatkov omejen na najkrajše mogoče obdobje, ki v nobenem primeru ne sme presegati roka 5 let.

Po preteku roka hranjena se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če so na podlagi zakona, ki urejajo arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

Za brisanje osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Osebni podatki v fizični obliki se uničijo na način, s katerim se zagotovi, da postane osebni podatke nerazpoznaven in neobnovljiv (npr. rezalnik papirja).

Prepovedano je odmetavati odpadne nosilce podatkov, ki vsebujejo osebne podatke, na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. koš za smeti).

7. člen

Družba EKO SREBRNA HIŠA d.o.o. ne obdeluje osebnih podatkov na način, da bi obdelava predstavljala tveganje za pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo, zato družba EKO SREBRNA HIŠA d.o.o. ne vodi posebnih evidenc dejavnosti obdelave osebnih podatkov.

III. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

8. člen

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (zavarovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Nosilci osebnih podatkov se nahajajo na sedežu družbe EKO SREBRNA HIŠE d.o.o., do katerih ima dostop (ključ in/ali geslo) le direktor družbe in s strani njega pooblaščena oseba in/ali na sedežu pogodbenega obdelovalca, do katerih lahko dostopa le direktor in pogodbeni obdelovalec (pooblaščene osebe).

Do prostorov, kjer se nahajajo nosilci osebnih podatkov, imajo dostop samo s strani direktorja za to pooblaščene osebe in direktor sam.

Ko v zavarovanih prostorih, kjer se nahajajo nosilci osebnih podatkov, ni pooblaščenih oseb, ki lahko dostopajo do teh podatkov, so prostori zaklenjeni, prav tako so zaklenjene omare in pisalne mize, kjer se nahajajo osebni podatki, računalniki pa so fizično ali programsko zaklenjeni.

Pooblaščene osebe ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.

Občutljivi osebni podatki se smejo hraniti samo v posebej zavarovanih omarah.

9. člen

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov nameščeni tako, da stranke nimajo vpogleda vanje.

10. člen

Zaposleni, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo EKO SREBRNA HIŠA d.o.o. (npr. prinesejo jih stranke ali kurirji), razen pošiljk iz drugega odstavka tega člena.

Zaposleni, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku.

11. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

12. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.

Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

13. člen

Vzdrževanje in popravila strojne računalniške in druge opreme, kjer se nahajajo osebni podatki, je dovoljeno samo z vednostjo direktorja, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z družbo EKO SREBRNA HIŠA d.o.o. sklenjeno ustrezno pogodbo.

14. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo direktorja oz. pooblaščene osebe.

IV. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

15. člen

Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

16. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja družbe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z družbo EKO SREBRNA HIŠA d.o.o. sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

17. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega Pravilnika.

18. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu družbe EKO SREBRNA HIŠA d.o.o.

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo EKO SREBRNA HIŠA d.o.o. na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

19. členv Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz družbe EKO SREBRNA HIŠA d.o.o. brez odobritve direktorja družbe in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

20. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

21. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.

V. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

22. člen

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba, kot jo predvideva zakon in Splošna uredba o varstvu osebnih podatkov.

Pogodba iz prejšnjega odstavka mora obvezno vsebovati tudi pogoje in ukrepe za zagotovitev varstva osebnih podatkov in njihovega zavarovanja.

Prejšnji odstavek velja tudi za pogodbene obdelovalce, ki vzdržujejo obstoječo strojno in programsko opremo ter izdelujejo in inštalirajo novo strojno ali programsko opremo.

Pogodbeni obdelovalci lahko opravljajo storitve obdelave osebnih podatkov samo v okviru pooblastil iz pogodbe iz prvega odstavka tega člena in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

Pogodbeni obdelovalci, ki za družbo EKO SREBRNA HIŠA d.o.o. opravljajo pogodbeno dogovorjene storitve izven prostorov družbe EKO SREBRNA HIŠA d.o.o., morajo imeti vsaj enako strog način varovanj osebnih podatkov, kakor ga predvideva ta pravilnik.

VI. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

23. člen

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali direktorja družbe, sami pa poskušajo takšno aktivnost preprečiti.

Družba EKO SREBRNA HIŠA d.o.o. v primeru vdora v informacijski sistem družbe postopa skladno z zakonom in Splošno uredbo o varstvu osebnih podatkov.

VII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

24. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov je pooblaščen direktor družbe EKO SREBRNA HIŠA d.o.o. ali z njegove strani pooblaščena oseba.

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem Pravilnikom, opravlja direktor družbe EKO SREBRNA HIŠA d.o.o..

25. člen

Vsak, ki v družbi EKO SREBRNA HIŠA d.o.o. obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja v družbi oz. prenehanjem pogodbenega sodelovanja.

Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov.

Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega Pravilnika ter določbami zakona ter Splošne uredbe o varstvu osebnih podatkov.

Izjava je lahko vključena tudi v pogodbo o zaposlitvi.

26. člen

Kršitev določil pravilnika o zavarovanju osebnih podatkov predstavlja hujšo kršitev delovnih obveznosti oz. hujšo kršitev pogodbenih obveznosti, v kolikor gre za zunanjega obdelovalca.

VIII. KONČNA DOLOČBA

27. člen

Ta pravilnik prične veljati naslednji dan po sprejemu.

Ljubljana, 15.05.2018

EKO SREBRNA HIŠA d.o.o.

Direktor Franc Erjavec

Facebook Energetska izkaznica Russian English