Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov, v nadaljevanju: GDPR) izdaja Miha Bavec, prokurist podjetja TRANSFORMACIJA d.o.o.

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

UVODNE DOLOČBE

1. člen

(Namen in pravna narava pravilnika)

S tem pravilnikom o varstvu osebnih podatkov (v nadaljevanju: pravilnik) se opredeljujejo tehnični in organizacijski ukrepi ter druga pravila o varstvu posameznikov pri obdelavi osebnih podatkov v družbi TRANSFORMACIJA d.o.o., Stegne 7, 1000 Ljubljana (v nadaljnjem besedilu: družba).

Namen sprejetja tega pravilnika in vseh njegovih določb je, da se zagotovi spoštovanje vseh kogentnih pravil GDPR in druge upoštevne zakonodaje s področja varstva osebnih podatkov, še posebej pa sledečih temeljnih načel v zvezi z obdelavo osebnih podatkov:

  • da so osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (načelo zakonitosti, pravičnosti in preglednosti);
  • da so osebni podatki zbrani za jasno določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (načelo omejitve namena);
  • da so obdelovani osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (načelo najmanjšega obsega podatkov);
  • da so obdelovani osebni podatki točni oziroma ustrezno posodobljeni (načelo točnosti);
  • da so obdelovani osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, in sicer le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (načelo omejitve shranjevanja);
  • da se osebni podatki obdelujejo se način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti).

Ta pravilnik je tudi splošni akt v smislu zakonodaje s področja delovnih razmerij in določa obveznosti, ki jih morajo delavci poznati zaradi izpolnjevanja svojih pogodbenih in drugih obveznosti.

Ta pravilnik velja tudi za osebe, ki v družbi ali za družbo opravljajo delo na podlagi pogodb, ki niso pogodbe o zaposlitvi, vključno z dijaki in študenti.

Katerakoli od oseb, navedenih v 3. ali 4. odstavku tega člena, je dolžna ob kakršnemkoli dvomu glede pomena določb tega pravilnika poiskati strokovno razlago oziroma pomoč pri prokuristu družbe Mihi Bavcu in (v nadaljnjem besedilu: prokurist).


2. člen

(Opredelitev pojmov)

V tem pravilniku imajo ključni pojmi za njegovo uporabo in razumevanje sledeč pomen:

  • „osebni podatek“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
  • „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
  • „oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;
  • „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
  • „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
  • „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
  • „uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne;
  • „privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje za obdelavo osebnih podatkov, ki se nanašajo nanj;
  • »nosilec podatkov« pomeni vse vrste sredstev, na katerih so zapisani ali posneti osebni podatki (listine, akti, gradiva, spisi, računalniška oprema, fotokopije, zvočno in slikovno gradivo, itd.);
  • »zaposleni« pomeni osebe, ki imajo z družbo sklenjeno pogodbo o zaposlitvi, osebe, ki opravljajo delo v družbi kot dijaki ali študenti, osebe, ki opravljajo delo v družbi na podlagi pogodbe med družbo in njihovim delodajalcem, ki opravlja dejavnost zagotavljanja dela drugim delodajalcem, ter osebe, ki opravljajo delo za družbo na podlagi pogodb civilnega prava;

»varnostni incident« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.


3. člen

(Evidenca dejavnosti obdelave osebnih podatkov,

pooblaščena oseba,

ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje)

Družba na podlagi člena 30(1) GDPR vodi evidenco dejavnosti obdelave osebnih podatkov iz zbirke »Assessment center« s predpisanimi sestavinami, medtem ko evidenc obdelave osebnih podatkov iz preostalih zbirk zaradi neobstoja pogojev iz omenjenega člena GDPR ne vodi. Družba izvaja dejavnost obdelave osebnih podatkov iz zbirke »Assessment center« kot pogodbeni obdelovalec upravljalca Kadrovske storitve d.o.o., Beloruska ulica 7, Maribor, evidenca obdelave teh dejavnosti v družbi pa vsebuje časovno določene vrste obdelave teh podatkov s strani točno določenih oseb.

Družba na podlagi člena 37(1) GDPR imenuje Andrejo Žagar za pooblaščeno osebo za varstvo osebnih podatkov zbirke »Assessment center«, ki ima sledeče naloge:

  • obveščanje in svetovanje družbi, zaposlenim in pogodbenim obdelovalcem glede njihovih obveznosti in drugih okoliščin, ki vplivajo na izpolnjevanje tega pravilnika;
  • spremljanje skladnosti postopkov obdelave osebnih podatkov v družbi z vsemi upoštevnimi predpisi s področja varstva osebnih podatkov;
  • sodelovanje z državnim nadzornim organom;
  • kontaktna točka za posameznike glede spoštovanja njihovih pravic s področja varstva osebnih podatkov v družbi.

Skladno s členom 28 GDPR je družba z upravljalcem osebnih podatkov zbirke »Assessment center« sklenila pogodbo o obdelavi osebnih podatkov.

Zaradi neobstoja razlogov iz členov 35 in 37 GDPR družba ne izdela ocene učinkov v zvezi z varstvom podatkov drugih zbirk in ne imenuje pooblaščene osebe za varstvo osebnih podatkov ostalih zbirk.


4. člen

(Zakonitost obdelave osebnih podatkov)

V družbi oziroma za potrebe družbe se lahko obdelujejo le osebni podatki:

  • glede katerih je posameznik, na katerega se ti podatki nanašajo, podal svojo privolitev za obdelavo v enega ali več določenih namenov (člen 6(1)(a) GDPR);
  • katerih obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (člen 6(1)(b) GDPR), ali
  • zaradi izpolnitve zakonskih obveznosti družbe (člen 6(1)(c) GDPR).

Če pravna podlaga za obdelavo ne obstaja, je treba osebne podatke takoj prenehati aktivno obdelovati in onemogočiti dostop do njih ter o neobstoju podlage obvestiti osebo, pooblaščeno za varstvo osebnih podatkov, ki določi nadaljnje ravnanje s takimi podatki.

Osebni podatki se smejo zbirati samo za namene, opisane v 1. odstavku tega člena, in se ne smejo nadalje obdelovati.


5. člen

(Informiranje posameznikov,

pravica do popravka in izbrisa,

pravica do omejitve obdelave,

pravica do ugovora)

Ob pridobitvi osebnih podatkov od osebe, na katero se ti osebni podatki nanašajo, na njeno pisno zahtevo pa tudi kadarkoli kasneje, družba v skladu s členom 13(1) GDPR to osebo obvesti o:

  • identiteti in kontaktnih podatkih družbe in njene pooblaščene osebe za varstvo podatkov,
  • namenu in pravni podlagi obdelave njenih osebnih podatkov,
  • obdobju hrambe osebnih podatkov,
  • obstoju pravice (vključno s pogoji za uresničitev te pravice), da od družbe zahteva dostop do osebnih podatkov, njihovo popravo, pravico do ugovora obdelavi, dopolnitev, omejitev obdelave ali izbris,
  • pravici do preklica privolitve,
  • obstoju avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, vključno z razlogi, pomenom in predvidenimi posledicami takšne obdelave,
  • možnosti vložitve prijave oziroma pravnega sredstva pri Informacijskem pooblaščencu RS.

Posameznik ima pravico doseči, da družba brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar velja eden od naslednjih razlogov:

  • osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
  • posameznik prekliče svojo privolitev za obdelavo osebnih podatkov;
  • osebni podatki so bili obdelani nezakonito;
  • osebne podatke je treba izbrisati zaradi izpolnitve zakonskih obveznosti.

Posameznik nima pravice do takojšnjega izbrisa tistih osebnih podatkov, ki jih je družba dolžna določeno obdobje hraniti v skladu z zakonodajo. Izbris teh osebnih podatkov družba izvede takrat, ko je to v skladu z omenjeno zakonodajo mogoče.

Posameznik ima pravico doseči, da družba omeji obdelavo, kadar velja en od naslednjih primerov:

  • posameznik oporeka točnosti podatkov, in sicer za obdobje, ki družbi omogoča preveriti točnost osebnih podatkov;
  • je obdelava nezakonita in posameznik nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
  • družba osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  • v primeru vloženega ugovora posameznika.

Posameznik ima v primeru obdelave osebnih podatkov za potrebe neposrednega trženja pravico ugovarjati takšni obdelavi.

Posameznik lahko vsa vprašanja in zahteve v zvezi z obdelavo osebnih podatkov naslovi v pisni obliki na naslov družbe ali v elektronski obliki na naslov info@transformacija.com, vprašanja in zahteve s področja obdelave osebnih podatkov v zbirki »Assessment center« pa tudi  pooblaščeni osebi Andreji Žagar. Družba oziroma pooblaščena oseba je dolžna na takšno vprašanje ali zahtevo odgovoriti brez nepotrebnega odlašanja, najkasneje pa v roku 5 delovnih dni.


OPREDELITEV ZBIRK OSEBNIH PODATKOV

6. člen

(zbirke osebnih podatkov)

Osebni podatki v družbi se strukturirano obdelujejo v elektronski obliki v naslednjih zbirkah:

  • kadrovska evidenca,
  • evidenca kupcev storitev in poslovnih partnerjev,
  • Assessment center.

Osebni podatki kadrovske evidence se v družbi strukturirano obdelujejo tudi v fizični obliki, in sicer v personalnih mapah.


7. člen

(kadrovska evidenca)

Kadrovska evidenca vsebuje osebne podatke zaposlenih v skladu s pomenom tega izraza, opisanem v 2. členu tega pravilnika. Družba zbira izključno osebne podatke, ki so obvezni v skladu s predpisi o delovnih razmerjih in predpisih s področja socialne varnosti. Družba ne obdeluje osebnih podatkov zaposlenih v noben drug namen, jih ne posreduje nobenemu uporabniku z izjemo tistih, ki za to izkažejo zakonit interes, prav tako pa družba teh podatkov ne iznaša v tujino.

Kadrovska evidenca v elektronski obliki se hrani izključno v računalniku vodje pisarne, ki je zaščiten z vsemi tehničnimi ukrepi, opisanimi v tem pravilniku. Kadrovska evidenca je v obliki personalnih map shranjena v zaklenjeni ognjevarni omari poleg vodje pisarne, ki ima edini tudi ključ za odprtje te omare.

Dostop do osebnih podatkov kadrovske evidence imajo izključno vodja pisarne, prokurist družbe in vodja assessment centra in zaposleni na delovnem mestu »HR generalist«, katerega dela in naloge med drugim obsegajo tudi kadrovsko administracijo, selekcijo kadrov in svetovanje pri kadrovskih strategijah.

Vsi zaposleni v družbi ob sklenitvi pogodbe, ki je podlaga za njihovo delo, podpišejo posebno izjavo o seznanitvi z vsemi dejstvi in pravicami, ki jih imajo v zvezi s temi podatki na podlagi GDPR in na podlagi tega Pravilnika. Tisti, ki so v družbi že zaposleni, podpišejo takšno izjavo o seznanitvi dne 25.5.2018.

Osebni podatki, ki se obdelujejo v kadrovski evidenci, se hranijo v času trajanja pogodb s posamezniki, na katere se ti podatki nanašajo, in še dodatnih pet let po prenehanju veljavnosti teh pogodb. Po izteku tega roka se podatki trajno izbrišejo. Osebni podatki, za katere posebna zakonodaja določa trajno hrambo, se po izteku roka iz tega odstavka ne brišejo.


8. člen

(evidenca kupcev storitev in poslovnih partnerjev)

Družba vodi enotno evidenco kupcev svojih storitev in poslovnih partnerjev v elektronski evidenci, ki se nahaja na strežniku ponudnika tovrstnih storitev. Ta ponudnik se šteje kot  pogodbeni obdelovalec, z njim pa ima družba sklenjeno pogodbo v skladu s členom 28 GDPR.

Družba v evidenci kupcev storitev in poslovnih partnerjev ne obdeluje posebnih vrst osebnih podatkov, ampak zgolj kontaktne osebne podatke (ime in priimek, naslov, zaposlitev, telefonska številka, naslov elektronske pošte), na podlagi katerih je mogoče stopiti v stik s posamezniki, na katere se ti osebni podatki nanašajo. Prav tako družba na podlagi podatkov iz te evidence ne izvaja avtomatiziranega sprejemanja posameznih odločitev niti na njihovi podlagi ne oblikuje profilov.

Dostop na strežnik z enotno evidenco kupcev svojih storitev in poslovnih partnerjev je mogoč le z uporabniškim imenom in geslom, s katerim razpolagajo izključno zaposleni v družbi.

Obdelava vseh osebnih podatkov posameznikov v evidenci kupcev storitev in poslovnih partnerjev temelji na njihovi osebni privolitvi v skladu s členom 6(1)(a) GDPR ali pa je obdelava teh podatkov skladno s členom 6(1)(b) GDPR potrebna za izvajanje pogodb, katerih pogodbene stranke so posamezniki, na katere se osebni podatki nanašajo.

Osebni podatki, ki se obdelujejo v evidenci kupcev storitev in poslovnih partnerjev zaradi izvajanja pogodb, katerih pogodbene stranke so posamezniki, se obdelujejo v času trajanja teh pogodb, in še dodatnih pet let po prenehanju veljavnosti teh pogodb. Po izteku tega roka se podatki trajno izbrišejo.

Osebni podatki, ki se obdelujejo v evidenci kupcev storitev in poslovnih partnerjev na podlagi privolitve posameznikov, se iz te evidence trajno izbrišejo takoj, ko posameznik prekliče svoje soglasje.

Osebni podatki, za katere posebna zakonodaja določa trajno hrambo, se po izteku roka iz tega odstavka ne brišejo.


9. člen

(Assesment center)

Družba je licencirani pogodbeni partner družbe Kadrovske storitve d.o.o., Beloruska ulica 7, Maribor, ki je nosilec izvajanja programov Profiles International, LLC, a subsidiary of John Wiley & Sons, Inc. (Wiley) za območje Republike Slovenije. Družba ima za vse dejavnosti obdelave osebnih podatkov, namenjene izvajanju omenjenih programov, z družbo Kadrovske storitve d.o.o. sklenjeno ustrezno pogodbo o obdelavi osebnih podatkov.

Programi Profiles International, LLC, a subsidiary of John Wiley & Sons, Inc. (Wiley) so namenjeni testiranju že zaposlenih v posameznih družbah zaradi internega razvoja kadrov ali izvajanja kadrovske politike, lahko pa so namenjeni tudi testiranju kandidatov za zaposlitev.

Vsa testiranja potekajo na podlagi predhodne pisne privolitve vsakega posameznika, ki jo izrazi delodajalcu (naročniku), pri katerem je zaposlen oziroma pri katerem kandidira za zaposlitev. Ob pisni privolitvi je vsak posameznik seznanjen s tem, da bo obdelavo podatkov testiranj opravljala tudi družba z namenom končne analize rezultatov.

Testiranja potekajo neposredno na mednarodnih strežnikih nosilca programov

Profiles International, LLC, a subsidiary of John Wiley & Sons, Inc. (Wiley) , kjer se shranjujejo odgovori na posamezna vprašanja in na katerih se opravi tudi prva avtomatizirana analiza rezultatov. Družba nima vpogleda v odgovore posameznikov na posamezna vprašanja, ampak zgolj v rezultate, pridobljene s prvo avtomatizirano obdelavo odgovorov. Dostop do končnih rezultatov je omogočen zgolj tistim zaposlenim v družbi, ki so predhodno pridobili posebno licenco nosilca programov Profiles International, ti zaposleni pa pridobljene rezultate analizirajo v eni izmed oblik (npr. ProfilesXT – PXT, Checkpoint 360° – CP360, Profiles Performance Indicator – PPI idr.). Takšne analize družba pošlje naročniku testiranja s priporočeno pošto ali po elektronski pošti, katere vsebina je dodatno zavarovana s posebno kodo, ki omogoča odpiranje pošte zgolj naročniku. Družba trajno ne hrani analiz v elektronski obliki, ampak jih praviloma takoj uniči.


UKREPI ZA VAROVANJE OSEBNIH PODATKOV

10. člen

(Varovanje prostorov in nosilcev podatkov)

Prostori družbe se nahajajo v poslovni stavbi na naslovu Stegne 7 v Ljubljani, v teh prostorih pa se nahajajo tako računalniki z elektronskimi zbirkami podatkov kot tudi omare z vsemi listinami zbirk iz 6. člena tega Pravilnika.

Vsi računalniki oziroma programska oprema družbe so zavarovani z najnovejšo licencirano antivirusno opremo, ki onemogoča tudi nepooblaščene vdore v sistem in se samodejno posodablja v skladu z navodili proizvajalca omenjene opreme. Vsak računalnik je dodatno zaščiten z osebnim varnostnim geslom, ki onemogoča odklepanje sistema nepooblaščenim uporabnikom. Vse zbirke osebnih podatkov, ki se vodijo v elektronski obliki, se varnostno shranjuje tudi na zunanjem trdem disku zaradi nevarnosti uničenja ali nepovratne onesposobitve trdega diska v računalniku, v katerem se nahaja.

Edini vhod v poslovno stavbo, v kateri se nahaja družba, je varovan s prisotnostjo varnostnika 24 ur na dan vse dni v letu, poleg tega pa sta vhod in okolica stavbe opremljena z video nadzornim sistemom. Vsi prostori družbe imajo posebna vhodna vrata s ključavnico. Dostop v prostore je mogoč in dopusten le v delovnem času, izven delovnega časa pa samo zaposlenim v družbi.

Varovani prostori ne smejo nikoli ostati nenadzorovani oziroma jih je treba zaklepati ob odsotnosti zaposlenih, ki jih sicer nadzorujejo.

V varovane prostore ne smejo brez spremstva ali prisotnosti zaposlenega, ki te prostore nadzoruje, vstopati osebe, ki niso zaposlene v družbi. Zaposleni, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob odsotnosti vedno zakleniti.

Vzdrževalci, čistilci, varnostniki, serviserji, obiskovalci, poslovni partnerji se smejo zadrževati v varovanih prostorih samo z vednostjo zaposlenih. Izven delovnega časa se lahko delavci, kot so čistilci ali varnostniki, če je to nujno potrebno, gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

Ključe, kartice in ostala sredstva, ki omogočajo dostop do varovanih prostorov, je treba varovati, upravljati in hraniti vestno in skrbno. Vsako izgubo ali odtujitev ali sum o zlorabi, mora zaposleni takoj sporočiti prokuristu ali pooblaščeni osebi, ki mora sprejeti ustrezne ukrepe.

Vsa gesla, ki omogočajo dostop do elektronskih zbirk, so shranjena na računalniku vodje pisarne in so zaščitena še z dodatnim geslom, ki je poznano le vodji pisarne in prokuristu družbe.

Vzdrževanje in popravilo strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo direktorja ali prokurista, izvajajo pa ga lahko samo pooblaščeni servisi, ki imajo z družbo sklenjeno pogodbo o servisiranju te opreme, ki vključuje ustrezne določbe o pogodbeni obdelavi osebnih podatkov.


11. člen

(Kraj obdelave osebnih podatkov)

Obdelava osebnih podatkov je dovoljena le v prostorih družbe. Izjemoma je v primerih, kadar delavec dela na domu ali na terenu ob uporabi tehnologije dostopa na daljavo dovoljena obdelava osebnih podatkov izven družbe, pri tem pa mora takšen delavec storiti vse potrebno za zavarovanje osebnih podatkov.


12. člen

(Hramba podatkov izven baz)

Osebni podatki se lahko zgolj izjemoma, kadar je to glede na naravo dela nujno potrebno, shranjujejo in obdelujejo lokalno (na lokalnih računalnikih in drugih podobnih napravah). Po prenehanju potrebe po takem shranjevanju in obdelavi osebnih podatkov, se morajo osebni podatki prenesti v centralizirane baze podatkov ali pa se trajno izbrisati.

Morebitne kopije vsebin zbirk osebnih podatkov na lokalnih nosilcih (zunanji diski, USB-ključi in drugo) se hranijo v zaklenjenih omarah.


POGODBENA OBDELAVA OSEBNIH PODATKOV

10. člen

(Splošno)

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov (obdelovalec), se sklene pisna pogodba, predvidena v členu 28 GDPR. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Pred sklenitvijo pogodbe z obdelovalcem je zakoniti zastopnik družbe dolžan od upravljalca pridobiti podatke, ki omogočajo preveritev, ali obdelovalec izpolnjuje zahteve zakonodaje s področja varstva osebnih podatkov; to vključuje tudi razkritje vseh podpogodbenih obdelovalcev, vključno z njihovimi nazivi in sedeži.

Obdelovalci smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen, k čemur se jih zaveže s pogodbo.

Obdelovalec mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.

Poleg drugih zahtev si mora družba v pogodbah z obdelovalci zagotoviti pravico, da najmanj enkrat letno pri pogodbenem obdelovalcu izvede pregled ali revizijo na področju varstva osebnih podatkov. Pregled ali revizijo je potrebno izvesti ob vsakem sumu ali indicu, da obdelovalec krši sklenjeno pogodbo ali da ne zagotavlja zadostne ravni varstva osebnih podatkov. Revizija se izvede na stroške družbe, pri čemer obdelovalec morebitnih stroškov, povezanih z izvedbo takšne revizije, družbi ne sme zaračunati.


BRISANJE IN UNIČENJE OSEBNIH PODATKOV

11. člen

(Splošno)

Pri vsaki posamezni zbirki osebnih podatkov družbe je posebej določen rok obdelave osebnih podatkov, po izteku katerega je treba osebne podatke trajno in nepovratno izbrisati.

Po preteku roka hrambe iz prejšnjega odstavka tega člena se učinkovito izbrišejo, uničijo ali anonimizirajo tudi osebni podatki, ki se morebiti nahajajo izven strukturiranih zbirk podatkov.

Za brisanje podatkov z računalnikov, strežnikov in podobnih naprav se uporabi takšna metoda brisanja, da je nemogoča rekonstrukcija brisanih podatkov.

Podatki na fizičnih nosilcih, ki jih ni mogoče izbrisati, se uničijo na način, ki zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv. Točen način uničenja za posamezne tipe osebnih podatkov ali nosilcev določi zakoniti zastopnik družbe.

Prepovedano je odmetavati nosilce podatkov na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).


UKREPANJE OB VARNOSTNIH INCIDENTIH V ZVEZI Z OSEBNIMI PODATKI

12. člen

(Splošno)

Zaposleni so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov takoj obvestiti prokurista družbe, sami pa morajo poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti.

Prokurist družbe mora ob vsakem sumu kršitve varstva osebnih podatkov takšno kršitev sporočiti Informacijskemu pooblaščencu v 72 urah. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora prokurist družbe poskrbeti za to, da so tudi prizadeti posamezniki brez nepotrebnega odlašanja obveščeni o tem, da je prišlo do kršitve varstva osebnih podatkov.


13. člen

(Interni ukrepi)

Prokurist družbe je dolžan poskrbeti za to, da se po varnostnem incidentu opravi analiza vzrokov in predlog ukrepov, ki naj zmanjšajo ali izničijo tveganje za take in bodoče varnostne incidente, ter da se, če je to smiselno in mogoče, predlagani ukrepi tudi izvedejo.

Če se izkaže, da je varnostni incident povzročil ali bil pri njem udeležen zaposleni ali je do varnostnega incidenta prišlo zaradi malomarnosti s strani zaposlenega, prokurist družbe, ne glede na ostale določbe tega pravilnika, sprejme ustrezne delovnopravne ukrepe zoper zaposlenega.


ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV

14. člen

(Splošno)

Za nadzor nad izvajanjem postopkov in ukrepov za zavarovanje osebnih podatkov je odgovoren prokurist družbe, ki lahko za posamezne naloge pooblasti druge osebe, tudi tiste, ki niso zaposlene pri družbi.

Nadzor iz 1. odstavka tega člena vključuje tudi postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Pri tem so dolžni sodelovati vsi zaposleni, pogodbeni sodelavci in druge osebe v družbi.

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, s katerimi je bil seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja ali drugega pogodbenega razmerja, na podlagi katerega določena oseba opravlja delo za družbo.

Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami GDPR, izjava pa mora vsebovati tudi pouk o posledicah kršitve.


KONČNE DOLOČBE

15. člen

(Datum uveljavitve)

Ta pravilnik velja in se uporablja od 25.5.2018 naprej.


16. člen

(Objava, dostopnost)

Ta pravilnik se v elektronski obliki pošlje vsem zaposlenim v družbi, v elektronski obliki ga hrani vodja pisarne v svojem centralnem računalniku, v fizični obliki pa se vloži v posebno mapo pri vodji pisarne, ki je namenjena dokumentom s področja varovanja osebnih podatkov.


Pripravil: Miha Bavec

Ljubljana, 25. maj 2018