Pravilnik o varovanju osebnih podatkov

Na osnovi določil Statuta družbe DataLab Tehnologije, d.d. (v nadaljevanju: DataLab) in na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov ( Uradni list RS, 86/04 in 113/05) je uprava na kolegiju z dne 22.1.2007, v Ljubljani, sprejela naslednji

 
 
 
PRAVILNIK
O ZAVAROVANJU OSEBNIH PODATKOV
 
 
I. SPLOŠNE DOLOČBE
 
 
1. člen
 
S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v podjetju Datalab z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
 
Pravilnik določa ukrepe za :
 
1. varovanje prostorov, opreme in sistemske programske opreme, vključno z vhodno-izhodnimi enotami;
 
2. varovanje aplikativne programske opreme, s katero se obdelujejo osebni podatki;
 
3. preprečevanje nepooblaščenega dostopa do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih;
 
4. zagotavljanje učinkovitega načina blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
 
5. poznejše ugotavljanje, kdaj so bili posamezni podatki vnešeni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
 
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov ter z vsebino tega pravilnika.
 
 
2. člen
 
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
 
1.      ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05);
2.      Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
3.      Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
4.      Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
5.      Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
6.      Upravljavec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
7.      Občutljivi osebni podatki - so podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
8.      Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
9.      Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
 
 
3.člen
 
Za upravljalca osebnih podatkov se določi Andrej Mertelj, izvršni direktor DataLab.
 
 
4. člen
 
Opis zbirk osebnih podatkov, katerih upravljavec je po 3. členu tega Pravilnika Andrej Mertelj, izvršni direktor, se vodi v katalogu zbirk osebnih podatkov (opisu zbirk osebnih podatkov), ki se vodi v skladu z določbami 26. člena ZVOP-1.
 
Upravljavec lahko pooblasti drugo osebo za vodenje kataloga zbirk osebnih podatkov. Pooblastila za vodenje zbirk osebnih podatkov se hranijo v arhivu pooblastil za vodenje osebnih podatkov. Hrani jih kadrovska služba.
 
Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.
 
Izvršni direktor ali z njegove strani pooblaščena oseba je dolžna voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.
 
V seznam se vpisujejo sledeči podatki: naziv zbirke osebnih podatkov, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko osebnih podatkov ter osebno ime in delovno mesto oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko osebnih podatkov.
 
 
 
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
 
 
5. člen
 
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), so varovani z organizacijskimi in fizičnimi ukrepi:
-          receptorka, ki beleži prihode in odhode obiskovalcev
-          tehnični ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov, in sicer s pomočjo sistema kontrole pristopa in spremljanja prisotnosti.
 
Dostop je mogoč le v rednem delovnem času, ki ga opredeljuje Pravilnik o delovnem času zaposlenih na DATALABu (Številka: 1/2007, sprejet z dne 15.1.2007), izven tega časa pa samo na podlagi dovoljenja izvršnega direktorja. Dostop je mogoč le z uporabo vstopnih kartic, ki jih uporabljajo vsi zaposleni v podjetju. Za zunanje obiskovalce so na voljo vstopne kartice za obiskovalce, katerih obiske  beleži in hrani receptorka (beleži ime, priimek, namen obiska, oseba, h kateri je obiskovalec namenjen).
 
Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.
 
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih  podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni, kot določeno v Internih navodilih družbe.
 
Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
 
Nosilci  osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.
 
Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.
 
 
6. člen
 
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
 
 
7. člen
 
Vzdrževanje in popravila strojne računalniške in druge opreme je določeno in natančneje opredeljeno v Internih navodilih družbe Datalab.
 
 
 
8. člen
 
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
 
 
 
III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
 
 
9. člen
 
Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo in Internimi navodili družbe opravljajo dogovorjene storitve.
 
 
10. člen
 
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.
 
11. člen
 
Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa omogoča tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.
 
Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.
 
 
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
 
 
 12. člen
 
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba, predvidena v drugem odstavku 11. člena ZVOP-1. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.
 
Zunanje pravne ali fizične osebe smejo opravljati samo storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
 
Pooblaščena pravna ali fizična oseba, ki za Datalab Tehnologije d.d. opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
 
 
V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
 
 
13. člen
 
Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.
 
Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v podjetje,prinesejo jih stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena.
 
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
 
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na  katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov podjetja.
 
14. člen
 
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
 
OBČUTLJIVI OSEBNI PODATKI se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.
 
Osebni podatki se pošiljajo priporočeno.
 
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice. 
 
 
15. člen
 
Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
 
Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
 
 
 
 
 
16. člen
 
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
 
Za vsako posredovanje osebnih podatkov je potrebna ustrezna pravna podlaga ter privolitev posameznika, na katerega se podatki nanašajo.
 
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen ZVOP-1).
 
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
 
 
 
VI. BRISANJE PODATKOV
 
 
17. člen
 
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
 
Roki, po katerih se osebni podatkov izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov, upoštevaje 26. člen ZVOP-1.
 
18. člen
 
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
 
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov.
 
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
 
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
 
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.
 
Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik.
 
 
 
 
 
 
 
 
 
VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
 
 
19. člen
 
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali predstojnika, sami pa poskušajo takšno aktivnost preprečiti.
 
 
 
VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
 
 
20. člen
 
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorne pooblaščene osebe, ki jih imenuje izvršni direktor.
                                                                                                    
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja izvršni direktor.