Agencija

Interni akti

      

Pravilnik o postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije

 
VSEBINA:

  1. SPLOŠNE DOLOČBE
  2. OBDELAVA OSEBNIH PODATKOV IN ZBIRKE
  3. POSEBNE UREDITVE ZA ZBIRKE VODENE NA ARRS
  4. PRAVICE POSAMEZNIKA NA KATEREGA SE OSEBNI PODATKI NANAŠAJO
  5. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV
  6. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA ARRS
  7. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
  8. VAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
  9. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
  10. UKREPANJE OB ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE
  11. ODGOVORNOST ZA IZVAJANJE UKREPOV ZA ZAGOTAVLJANJE VARNOSTI OSEBNIH PODATKOV
  12. POOBLAŠČENA OSEBA ZA VARSTVO OSEBNIH PODATKOV
  13. KONČNE DOLOČBE

 

Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20; ZVOP-1), 32. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in 28. člena Statuta Javne agencije za raziskovalno dejavnost Republike Slovenije z dne 22.07.2004 in nasl., izdaja direktor Javne agencije za raziskovalno dejavnost Republike Slovenije

Pravilnik
o postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov
na Javni agenciji za raziskovalno dejavnost Republike Slovenije

I. SPLOŠNE DOLOČBE

1. člen

(namen)

S tem pravilnikom se določajo organizacijski, tehnični in logistično-tehnični postopki in ukrepi za zagotavljanje varnosti osebnih podatkov v Javni agenciji za raziskovalno dejavnost Republike Slovenije (v nadaljevanju: agencija ali ARRS) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Splošne uredbe o varstvu podatkov in zakona, ki ureja varstvo osebnih podatkov.

Javni uslužbenci agencije, obdelovalci in druge osebe, ki imajo pravno podlago oziroma so pooblaščeni za obdelavo osebnih podatkov morajo biti seznanjeni z zakonom, ki ureja varstvo osebnih podatkov, Splošno uredbo o varstvu podatkov, področno zakonodajo, ki ureja posamezno področje njihovega dela ter vsebino tega pravilnika.

2. člen

(pomen izrazov)

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  1. ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20);
  2. Osebni podatek - pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljevanju: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
  3. Zbirka - je vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
  4. Skrbnik zbirke - je javni uslužbenec agencije, ki je odgovoren za vzpostavitev, vodenje, vzdrževanje in hranjenje zbirke ter za zakonito in varno obdelavo osebnih podatkov v tej zbirki;
  5. Povezovanje zbirk - pomeni elektronsko povezovanje dveh ali več uradnih evidenc, javnih knjig ali drugih zbirk, ki se upravljajo pri različnih upravljavcih ali pri istem upravljavcu na podlagi različnih pravnih podlag, in ki se, neodvisno od tehnične izvedbe, izvaja v obsegu oziroma na način, ki predstavlja ali bi lahko predstavljalo bistveno večje tveganje za človekove pravice ali temeljne svoboščine posameznikov kot obdelava osebnih podatkov le v okviru ene same uradne evidence, javne knjige ali zbirke;
  6. Obdelava osebnih podatkov - pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
  7. Privolitev posameznika, na katerega se nanašajo osebni podatki - pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
  8. Upravljavec - pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (npr. ARRS);
  9. Obdelovalec - pomeni fizično ali pravno osebo, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (npr. organizatorji dogodkov, izvajalec videonadzora);
  10. Uporabnik - pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne (razen javni organi ob posamični poizvedbi);
  11. Tretja oseba - pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
  12. Javni uslužbenec (ali zaposleni) - je posameznik, ki sklene delovno razmerje v ARRS;
  13. Tretja država - je država, ki ni članica Evropske unije (v nadaljevanju: EU) ali del Evropskega gospodarskega prostora;
  14. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
  15. Psevdonimizacija - pomeni obdelavo osebnih podatkov na način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku. Psevdonimizirani podatki še vedno veljajo za osebne podatke;
  16. Anonimizacija - je takšna sprememba oblike osebnih podatkov, da posameznika, na katerega se osebni podatki nanašajo, ni več mogoče določiti z uporabo vseh verjetnih in razumnih sredstev, za katera se pričakuje, da jih bo uporabil bodisi upravljavec bodisi tretja oseba. Pomembno je, da mora biti obdelava podatkov nepreklicna in da identifikacija posameznika, na katerega se osebni podatki nanašajo, ni več mogoča;
  17. Kršitev varnosti osebnih podatkov - pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Izrazi, katerih pomen v tem pravilniku ni opredeljen, imajo pomen, kot je določen v Splošni uredbi o varstvu osebnih podatkov.

3. člen

(načela v zvezi z obdelavo osebnih podatkov)

Pri obdelavi osebnih podatkov je treba upoštevati naslednja temeljna načela:

  1. načelo zakonitosti, poštenosti in preglednosti - osebni podatki morajo biti obdelani zakonito (obstoj pravnega temelja), pošteno (zagotavljanje informacij posamezniku) in na pregleden način (npr. vodenje evidence dejavnosti obdelave);
  2. načelo omejitve namena - osebni podatki se lahko zbirajo zgolj za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene ne velja za nezdružljivo s prvotnimi nameni;
  3. načelo najmanjšega obsega podatkov - dopustna je zgolj obdelava ustreznih, relevantnih in omejenih osebnih podatkov glede na namene, za katere se obdelujejo;
  4. načelo točnosti - sprejeti je treba vse ukrepe s katerimi se zagotovi točnost in posodabljanje osebnih podatkov ter, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;
  5. načelo omejitve hrambe - osebni podatki se hranijo v obliki, ki dopušča identifikacijo posameznikov le toliko časa, kolikor je potrebno za namene obdelave; osebni podatki se lahko hranijo za daljše obdobje, če bodo obdelani za namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki;
  6. načelo celovitosti in zaupnosti - osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi;
  7. načelo odgovornosti - agencija mora biti sposobna izkazati, da se osebni podatki obdelujejo skladno s predhodno navedenimi načeli.

4. člen

(zakonitost obdelave)

Obdelava je zakonita le in v kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. če je obdelava potrebna za izpolnitev zakonske obveznosti agencije pod pogojem, da obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo in namen njihove obdelave določa zakon;
  2. če je obdelava potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti dodeljene agenciji;
  3. če je posameznik privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, če tako določa zakon ali brez podlage v zakonu, če obdelava ni potrebna za izpolnitev zakonske obveznosti agencije oziroma za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti dodeljene agenciji;
  4. če je obdelava osebnih podatkov potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  5. če je obdelava potrebna za zaščito življenjskih interesov posameznika (npr. obdelava zdravstvenih podatkov v primeru nesreč pri delu – iz torbice vzamemo zdravstveno kartico s podatki);
  6. kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva agencija, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. Navedena pravna podlaga se ne uporabi za obdelavo s strani agencije pri opravljanju njenih javnih (oblastnih) nalog.

Ne glede na prejšnji odstavek lahko agencija izjemoma obdeluje osebne podatke, ki so nujni za izvrševanje njenih zakonitih pristojnosti, nalog ali obveznosti, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

Privolitev posameznika (7. točka 1. odstavka 2. člena tega pravilnika) je lahko dana v ustni ali pisni obliki, v kateri se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Posameznika, ki je dal privolitev za obdelavo osebnih podatkov je treba, najkasneje ob podaji soglasja za obdelavo, obvestiti, da lahko privolitev kadarkoli prekliče enako enostavno kot je dal privolitev. Za dokaz veljavnosti privolitve se lahko naredi uradni zaznamek s podatki kot izhajajo iz priloge 1 ali se uporabi obrazec iz priloge 1

5. člen

(ukrepi in postopki)

Agencija zagotavlja ustrezno varnost osebnih podatkov.

Zagotavljanje varnosti osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov tako, da se zlasti:

  1. natančno določijo vloge in odgovornosti zaposlenih v agenciji v zvezi z obdelavo osebnih podatkov;
  2. varujejo oprema, prostori in dostop do prostorov, kjer se hranijo osebni podatki,
  3. varuje sistemska in aplikativna programska oprema, s katero se obdelujejo osebni podatki,
  4. zagotavlja varnost posredovanja in prenosa osebnih podatkov,
  5. onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk,
  6. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov.

Agencija in njeni zaposleni so dolžni pri vsaki obdelavi osebnih podatkov slediti načelu vgrajenega in privzetega varstva osebnih podatkov, ki obsega predvsem minimizacijo obdelave osebnih podatkov, psevdomizacijo in šifriranje ali anonimizacijo osebnih podatkov, kjer je to mogoče in ustrezno oziroma potrebno, preglednost pri nalogah in obdelavi osebnih podatkov, vzpostavitev revizijske sledi in omogočanje posameznikom, da spremljajo obdelavo svojih osebnih podatkov.

II. OBDELAVA OSEBNIH PODATKOV IN ZBIRKE

6. člen

(namen obdelave osebnih podatkov)

Osebni podatki se smejo zbirati in drugače obdelovati le za namene za katere so bili izbrani.

Obdelava osebnih podatkov za druge namene kot za tiste, za katere so bili zbrani (v nadaljevanju: nadaljnja obdelava) na podlagi privolitve je dopustna le na podlagi nove privolitve posameznika, na katerega se nanašajo osebni podatki, če zakon ne določa drugače.

Nadaljnja obdelava, ki ne temelji na privolitvi posameznika, ali na pravu EU ali slovenskem pravu, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz 1. odstavka 23. člena Splošne uredbe o varstvu podatkov, je dopustna, če je združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, pri čemer se med drugim upošteva:
(a) kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;
(b) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in agencijo;
(c) naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški;
(d) morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;
(e) obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Ne glede na prvotni namen zbiranja lahko agencija osebne podatke (interno) nadalje obdeluje, z izjemo posredovanja osebnih podatkov, v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene ob uporabi ustreznih zaščitnih ukrepov za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (npr. anonimizacija, psevdonimizacija, upoštevanje načela najmanjšega obsega podatkov).

Za namen obdelave iz prejšnjega odstavka lahko agencija posreduje osebne podatke uporabniku osebnih podatkov v anonimizirani obliki, v psevdonimizirani ali drugi obliki pa le, če tako določa zakon ali je podana privolitev posameznika. Uporabnik mora osebne podatke po uporabi uničiti in obvestiti agencijo o tem kdaj in na kakšen način jih je uničil, razen če zakon ne določa drugače.

Javni uslužbenec agencije, ki nadalje obdeluje osebne podatke mora pred nadaljnjo obdelavo pisno oceniti ali je nadaljnja obdelava glede na prejšnje odstavke dopustna in pridobiti mnenje pooblaščene osebe za varstvo podatkov. Pisna ocena in mnenje morajo biti shranjeni v pisni obliki.

7. člen

(posredovanje in drugi načini obdelave osebnih podatkov)

Za posredovanje, pridobivanje, evidentiranje in druge načine obdelave osebnih podatkov se uporabljajo določila tega pravilnika, Splošne uredbe o varstvu podatkov, ZVOP-1, Zakona o znanstvenoraziskovalni in inovacijski dejavnosti (Uradni list RS, št. 186/21, v nadaljevanju: ZZrID) in drugih predpisov.

Javni uslužbenec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku ali organizacijski enoti, na katero se ta pošiljka nanaša.

Javni uslužbenec agencije, ki obdeluje osebne podatke, sme z dovoljenjem direktorja posredovati osebne podatke samo na podlagi pisne vloge uporabnika v kateri mora biti jasno navedena določba zakona, ki predstavlja pravno podlago za pridobitev osebnih podatkov in izkazani pogoji, ki jih ta določba določa, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.

Pred posredovanjem osebnih podatkov je treba preveriti identiteto upravičene osebe, jo opozoriti na dolžnost varovanja osebnih podatkov in obveznost, da lahko pridobljene osebne podatke obdeluje samo za namen, za uresničevanje katerega so se ji posredovali.

Osebni podatki, ki se posredujejo v fizični obliki, morajo biti posredovani v skladu z določbami predpisov, ki urejajo upravno poslovanje z dokumentarnim gradivom, oziroma v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina ovojnice. Ovojnica mora tudi zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino (npr. prenos osebnih podatkov po elektronski pošti mora biti varovan z geslom za identifikacijo [1] , priporočena pošiljka naslovniku).

Dokument, ki vsebuje osebne podatke se posreduje v fotokopiji. V originalu se dokument, ki vsebuje osebne podatke posreduje le, če tako določa zakon ali drug predpis (npr. v primeru pisne odredbe sodišča). Posredovani originalni dokument mora biti v času odsotnosti nadomeščen s fizično (fotokopijo) ali elektronsko (skenirano) kopijo.

Osebne podatke zaposlenih v agenciji je dovoljeno posredovati zaposlenemu na katerega se osebni podatki nanašajo in drugim zaposlenim, če jih potrebujejo v okviru opravljanja svojih del in nalog.

8. člen

(posebna pravila za obdelavo posebnih vrst osebnih podatkov)

Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Posebne vrste osebnih podatkov se lahko obdelujejo le, če velja eno od naslednjega: posameznik je dal izrecno privolitev za obdelavo za enega ali več določenih namenov, če zakon ali pravo EU ne določa drugače; obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo EU ali zakon ali kolektivna pogodba, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki; obdelava je potrebna za zaščito življenjskih interesov, kadar posameznik ni sposoben dati privolitve; obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi; obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost; obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava EU ali slovenskega prava, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki; obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava EU ali slovenskega prava, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki; ali v drugih primerih, ki jih določa 9. člen Splošne uredbe o varstvu podatkov.

Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označeni in varovani tako, da se nepooblaščenim osebam prepreči dostop do njih. Posebne vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico. Posebne vrste osebnih podatkov je dovoljeno posredovati preko komunikacijskih omrežij le, če so varovani s kriptografskimi metodami in elekt. podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

9. člen

(obveščanje posameznika o obdelavi osebnih podatkov)

Javni uslužbenec, ki je pooblaščen za pridobivanje osebnih podatkov mora ob pridobitvi osebnih podatkov posamezniku na katerega se nanašajo osebni podatki zagotoviti naslednje informacije, če posameznik z njimi še ni seznanjen:

  1. kontaktne podatke agencije;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov;
  3. namene, za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na 6. točki 4. člena tega pravilnika, zakonite interese, za uveljavljanje katerih si prizadeva agencija ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
  6. kadar je ustrezno, dejstvo, da namerava agencija prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj sklepa Evropske komisije o ustreznosti ali sklic na zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  7. obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila za določitev tega obdobja;
  8. obstoj pravice, da se zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi, obstoj pravice, da se lahko privolitev kadar koli prekliče, obstoj pravice do vložitve pritožbe pri Informacijskemu pooblaščencu;
  9. ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
  10. če se osebni podatki niso pridobili neposredno od posameznika na katerega se nanašajo, vrste zadevnih osebnih podatkov in od kje izvirajo osebni podatki.

Za izpolnitev obveznosti iz prejšnjega odstavka se lahko naredi uradni zaznamek s podatki kot izhajajo iz priloge 2 ali se uporabi obrazec iz priloge 2.

Pred nadaljnjo obdelavo osebnih podatkov je treba posameznika na katerega se osebni podatki nanašajo obvestiti o namenu nadaljnje obdelave osebnih podatkov in informacijah od 7. do 9. točke prvega odstavka tega člena.

10. člen

(prenos osebnih podatkov v tretje države ali mednarodne organizacije)

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se izvede le če:

  • je Evropska komisija s sklepom o ustreznosti odločila, da tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov [2] ali
  • je Informacijski pooblaščenec ugotovil, da ima tretja država ali mednarodna organizacija v celoti zagotovljeno ustrezno raven varstva osebnih podatkov [3] ali
  • pogodba med agencijo in obdelovalcem osebnih podatkov vsebuje standardna določila o varstvu podatkov, ki jih je sprejela Evropska komisija [4].

11. člen

(nadzor nad posredovanjem osebnih podatkov)

Vsako posredovanje se zaznamuje z navedbo naslednjih podatkov:

  • kateri osebni podatki so bili posredovani,
  • komu so bili osebni podatki posredovani,
  • čas posredovanja osebnih podatkov in
  • pravna podlaga, na kateri so bili posredovani osebni podatki.

Podatki iz prejšnjega odstavka so v pisni ali elektronski obliki kot del podatkov zadeve, o kateri se vodi postopek (npr. razvidno iz odločbe, dopisa) oziroma če to ni mogoče, se uradni zaznamek evidentira v zadevi ali neposredno v zbirko, ki ji pripada posredovani osebni podatek.

Uradni zaznamek iz prvega odstavka tega člena naredi skrbnik zbirke ali drug pooblaščen javni uslužbenec agencije, ki je osebne podatke posredoval uporabniku in ga podpiše.

12. člen

(evidentiranje in arhiviranje dokumentov)

Za evidentiranje in arhiviranje zadev, dosjejev in dokumentov, ki vsebujejo osebne podatke se uporabljajo določbe predpisov, ki urejajo upravno poslovanje z dokumentarnim gradivom, zakon, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive in Načrt klasifikacijskih znakov agencije, številka 020-5/2017-1 z dne 29.11.2017.

13. člen

(vzpostavitev zbirke)

Skrbnik zbirke ob vzpostavitvi zbirke izpolni evidenco dejavnosti obdelave v skladu s 16. členom tega pravilnika, ki jo po odobritvi vodje organizacijske enote in pregledu pooblaščene osebe za varstvo podatkov objavi na interni spletni strani agencije.

Skrbnik zbirke je odgovoren zlasti za:

  • za hrambo zbirke;
  • obdelavo osebnih podatkov le za namene za katere so bili zbrani;
  • pridobitev predhodnega mnenja pooblaščene osebe za varstvo osebnih podatkov v primeru nadaljnje obdelave osebnih podatkov, zagotovitev informacije posamezniku o tem drugem namenu in po potrebi za pridobitev privolitve posameznika za nadaljnjo obdelavo;
  • zbiranje najmanjšega možnega obsega osebnih podatkov, ki jih agencija potrebuje za uresničitev namena obdelave;
  • obdelovanje zahtevkov posameznika v povezavi z zbirko, za katero skrbi (IV. poglavje tega pravilnika);
  • ustrezno obravnavanje osebnih podatkov v zbirki po poteku roka hrambe;
  • učinkovito in skladno obravnavo kršitev varnosti osebnih podatkov (X. poglavje tega pravilnika);
  • letni pregled in posodabljanje opisov zbirke v evidenci dejavnosti obdelave;
  • obveščanje pooblaščene osebe za varstvo osebnih podatkov o kršitvah varnosti osebnih podatkov, morebitnih težavah pri obdelavi osebnih podatkov in drugih pomembnih vprašanjih v zvezi z osebnimi podatki.

14. člen

(zbirke)

V zbirki se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno pravno podlago v skladu s 4. členom tega pravilnika, po določbah Splošne uredbe o varstvu podatkov, ZVOP-1 ali drugega predpisa.

Zbirke, ki nastanejo na podlagi privolitve brez podlage v zakonu po 3. točki 1. odstavka 4. člena tega pravilnika se morajo voditi v ločeni zbirki.

Javni uslužbenec agencije, ki pridobi osebne podatke na podlagi privolitve je dolžan z namenom, da bo agencija zmožna dokazati, da je posameznik na katerega se nanašajo osebni podatki privolil v dejanje obdelave, vzpostaviti oziroma vnesti podatke v zbirko privolitev iz katere izhaja kdo in kdaj je privolil in za katere osebne podatke, kako je bila privolitev pridobljena, in katere informacije so bile zagotovljene posamezniku. Dokaze o danih privolitvah je treba hraniti 5 let po končani obdelavi.

15. člen

(povezovanje zbirk)

Zbirke iz uradnih evidenc in javnih knjig je dovoljeno povezovati le, če tako določa zakon.

Najpozneje 30 dni pred povezovanjem dveh ali več zbirk, ki se vodijo za različne namene, je treba o tem pisno obvestiti Informacijskega pooblaščenca.

Če vsaj ena zbirka, ki naj bi se jo povezalo, vsebuje posebne vrste osebnih podatkov, ali če bi povezovanje imelo za posledico razkritje posebnih vrst osebnih podatkov ali je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka (EMŠO, davčna številka ali številka zdravstvenega zavarovanja), povezovanje ni dovoljeno brez predhodnega dovoljenja Informacijskega pooblaščenca. Informacijski pooblaščenec dovoli povezavo zbirk, če je zagotovljena ustrezna varnost osebnih podatkov in o tem izda odločbo, zoper katero ni pritožbe, dovoljen pa je upravni spor.

16. člen

(evidenca dejavnosti obdelave)

Opis zbirke, katere upravljalec je agencija, se vodi v evidenci dejavnosti obdelave za posamezne zbirke.

Evidenca dejavnosti obdelave, ki je v elektronski in pisni obliki, vsebuje vsaj naslednje informacije: 1. naziv zbirke; 2. naziv in kontaktne podatke agencije in, kadar obstajajo, skupnega upravljavca, predstavnika agencije in pooblaščene osebe za varstvo podatkov; 3. namene obdelave; 4. pravno podlago obdelave; 5. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov; 6. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah; 7. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije; 8. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov; 9. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.

Evidenco dejavnosti obdelave ureja in posodablja skrbnik zbirke, ki vsako njeno spremembo predloži v pregled pooblaščeni osebi za varstvo podatkov.

Zaposleni, ki obdelujejo osebne podatke morajo biti seznanjeni z evidencami dejavnosti obdelave.

Agencija je dolžna voditi ažuren seznam, iz katerega je za vsako zbirko jasno razvidno, katera oseba je odgovorna za posamezno zbirko (skrbnik zbirke) ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko. V seznam se vpisujejo naslednji podatki: naziv zbirke, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko ter osebno ime in delovno mesto oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko.

Obveznosti iz tega člena se ne uporabljajo, razen če je verjetno, da obdelava predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali če obdelava vključuje posebne vrste podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

17. člen

(ocena učinkov na varstvo osebnih podatkov)

Vodja organizacijske enote je dolžan v primeru kadar se predlaga ali vzpostavlja novo zbirko oziroma novo vrsto obdelave osebnih podatkov, ali če se pri obdelavi predvideva uporaba novih tehnologij, ali ko se spremeni tveganje, ki ga predstavlja dejanje obdelave in bi to, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročilo veliko tveganje za pravice in svoboščine posameznikov, opraviti pred obdelavo pisno oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, ki jo predloži direktorju v podpis. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

Pri izvedbi ocene učinka se mora zaprositi za mnenje pooblaščeno osebo za varstvo osebnih podatkov in sicer zlasti ali je ocena učinkov v zvezi z varstvom podatkov potrebna, katero metodologija naj se uporabi pri izvajanju ocene učinka v zvezi z varstvom podatkov, ali naj oceno učinka v zvezi z varstvom podatkov izvede interno ali naj jo odda v zunanje izvajanje, katere zaščitne ukrepe naj se uporabi za zmanjševanje morebitnih tveganj za pravice in interese posameznikov, na katere se nanašajo osebni podatki, in ali je bila ocena učinka v zvezi z varstvom podatkov pravilno izvedena in ali so njene ugotovitve (ali naj se obdelava nadaljuje ali ne in kateri zaščitni ukrepi naj se uporabijo) v skladu s Splošno uredbo o varstvu podatkov. Če se vodja organizacijske enote ne strinja s pridobljenim mnenjem pooblaščene osebe za varstvo podatkov, je dolžan v dokumentaciji ocene učinka posebej pisno utemeljiti, zakaj mnenja ni upošteval.

Informacijskega pooblaščenca se mora zaprositi za mnenje v skladu z 36. členom Splošne uredbe o varstvu podatkov, kadar iz ocene učinka izhaja, da bi obdelava povzročila veliko tveganje, če agencija ne bi sprejela ukrepov za ublažitev tveganja.

Ocena učinka se zahteva zlasti v primerih: obsežnega vrednotenja in profiliranja posameznikov; sistematičnega nadzora nad posameznikom brez njegovega zavedanja; obdelave posebnih vrst osebnih podatkov; množičnosti obdelave osebnih podatkov; primerjanja in kombiniranja različnih zbirk (npr. pridobljenih skozi različne aktivnosti upravljavca) in analitika na osnovi masovnih podatkov; nesorazmerja moči (npr. zaposlenih, otrok); inovativne uporabe obstoječih in novih tehnologij; omejitve dostopa do storitve/pogodbe ali neposrednega tveganja za zdravje in varnost posameznikov [5].

Ocena zajema: (1) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva agencija; (2) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; (3) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter (4) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Če je obdelava potrebna za izpolnitev zakonske obveznosti ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti agencije in je bila ocena učinka že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se ocene učinkov ne opravi razen, če zakon določa drugače.

III. POSEBNE UREDITVE ZA ZBIRKE VODENE NA ARRS

18. člen

(privolitev javnih uslužbencev agencije)

V skladu z določbami tega pravilnika mora agencija pridobiti pisno privolitev javnih uslužbencev za vzpostavitev in vodenje zbirke ali osebnega podatka, ki jo ali ga namerava agencija voditi, pa taka zbirka ali osebni podatek ni predpisana ali predpisan z zakonom.

19. člen

(vsebina pisne privolitve)

Pisna privolitev javnega uslužbenca agencije iz prejšnjega člena mora vsebovati:

  • navedbo osebe, ki daje privolitev,
  • vrste osebnih podatkov,
  • namen obdelave osebnih podatkov in pravno podlago za obdelavo (privolitev),
  • obdobje hrambe osebnih podatkov (npr. do preklica privolitve, do izpolnitve namena),
  • uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo,
  • seznanitev s pravico, da lahko svojo privolitev kadar koli prekliče na enako enostaven način kot je privolitev dal in da preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem,
  • seznanitev s pravico do dostopa, popravka ali izbrisa osebnih podatkov ali omejitev obdelave, in s pravico do vložitve pritožbe pri Informacijskemu pooblaščencu;
  • seznanitev, da zagotovitev podatkov ni zakonska ali pogodbena obveznost in da ne bo deležen nobenih neželenih ali neprijetnih posledic v zvezi z njegovim delovnim razmerjem oziroma kakršnekoli druge škode, če privolitve ne bo dal,
  • datum podpisa izjave in podpis osebe.

20. člen

(vodenje osebnih podatkov zaposlenih na agenciji)

Zbirke javnih uslužbencev agencije se vzpostavijo ob sklenitvi delovnega razmerja z javnim uslužbencem in se ažurirajo ob vsaki spremembi, ki jo javi javni uslužbenec. Osebne podatke v zbirki javnih uslužbencev vzpostavi in ažurira javni uslužbenec, pristojen za kadrovske zadeve v agenciji.

Druge zbirke o javnih uslužbencih agencije se vzpostavijo z nastopom okoliščin in dejstev, ki narekujejo vzpostavitev zbirke.

21. člen

(vpogled javnega uslužbenca agencije v zbirko)

Javni uslužbenec agencije lahko vpogleda v osebne podatke, vodene o njem in jih ima pravico prepisati ali kopirati. Agencija je dolžna omogočiti vpogled in prepis osebnih podatkov v roku 7 dni od prejema pisne zahteve.

Javni uslužbenec agencije ima pravico pisno zahtevati, da mu agencija posreduje izpis osebnih podatkov iz zbirke, ki se nanaša nanj, kar pa ne vpliva na njegovo pravico do dostopa do podatkov v skladu s 23. členom tega pravilnika. Izpis je treba zagotoviti v roku 30 dni od dneva prejema pisne zahteve. Stroške izpisa nosi agencija.

22. člen

(videonadzor poslovnih prostorov)

Videonadzor se na agenciji izvaja za nadzorovanje vhoda in izhoda v poslovni objekt Bleiweisova cesta 30, Ljubljana in vhoda in izhoda iz poslovnih prostorov agencije v obsegu, ki je nujno potreben zaradi varnosti ljudi, premoženja, osebnih, tajnih in drugih podatkov. Izvajanje videonadzora je v pristojnosti najemodajalca.

O izvajanju videonadzora je na vhodih v varovano območje in na vhodu v glavno stavbo izobešeno obvestilo o videonadzoru s katerim se naznani, da se izvaja videonadzor. Podatke o pooblaščeni osebi za izvajanje videonadzora in telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema se dobi na recepciji poslovnega objekta Bleiweisova cesta 30.

Videoposnetke spremlja na ekranu varnostnik - receptor na vhodu poslovnega objekta Bleiweisova cesta 30, Ljubljana.

Le v primeru incidenčnih dogodkov videoposnetke pregleduje odgovorna oseba agencije, zadolžena za splošno varnost na zahtevo direktorja ali od njega pooblaščene osebe. Vsak pregled posnetkov videonadzora mora biti mora biti utemeljen in evidentiran.

Video nadzorne kamere so v obsegu, ki je nujno potreben zaradi varnosti ljudi, premoženja, osebnih, tajnih in drugih podatkov na agenciji nameščene na naslednjih lokacijah:

  • kamere v pritličju glavnega vhoda v poslovni objekt Bleiweisova cesta 30, Ljubljana,
  • kamera na vhodu v poslovne prostor v 1. kletno etažo starega dela zgradbe,
  • kameri na obeh vhodih v poslovne prostore v 1. nadstropju osrednjega dela stavbe,
  • kamera na vhodu v poslovne prostore v 2. nadstropju stolpiča,
  • kamera na obeh vhodih v poslovne prostore v 3M nadstropju starega dela zgradbe.

Video nadzorni sistem se nahaja v sobi poleg recepcije na glavnem vhodu poslovnega objekta Bleiweisova cesta 30, Ljubljana. Prostor je tehnično varovan in vanj ima dostop samo odgovorna oseba zadolžena za splošno varnost poslovnega objekta Bleiweisova cesta 30, Ljubljana, in po potrebi odgovorna oseba za splošno varnost agencije in direktor agencije.

Videoposnetki se hranijo le toliko časa, kolikor je to potrebno za namene obdelave, ampak največ eno leto po nastanku, in se obdelujejo le za namene za katere so bili posneti, razen če drug predpis ne določa drugače. Nato se videoposnetki izbrišejo.

IV. PRAVICE POSAMEZNIKA NA KATEREGA SE OSEBNI PODATKI NANAŠAJO

23. člen

(pravica dostopa do podatkov)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

  1. namene obdelave;
  2. vrste osebnih podatkov;
  3. uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
  4. predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja (npr. do preklica, do dosege namena);
  5. informacija o obstoju pravice do popravka ali izbrisa osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi;
  6. informacija o pravici do vložitve pritožbe pri Informacijskemu pooblaščencu;
  7. kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, tudi vse razpoložljive informacije v zvezi z njihovim virom;
  8. o ustreznih zaščitnih ukrepih v zvezi s prenosom osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Ena kopija osebnih podatkov, ki se obdelujejo, je brezplačna.

24. člen

(pravica do popravka in do izbrisa)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da se brez nepotrebnega odlašanja:

  1. netočni osebni podatki v zvezi z njim popravijo ali ob upoštevanju namenov obdelave dopolnijo;
  2. osebni podatki v zvezi z njim izbrišejo in sicer: kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani; kadar posameznik prekliče privolitev, ki je podlaga za obdelavo osebnih podatkov in ni druge pravne podlage za obdelavo; kadar je vložen ugovor obdelavi, ki je potrebna zaradi zakonitih interesov ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene agenciji, pa za njihovo obdelavo ne obstajajo nobeni prevladujoči zakoniti razlogi; kadar so bili osebni podatki obdelani nezakonito ali jih je treba izbrisati za izpolnitev pravne obveznosti agencije.

Predlogu posameznika za izbris se ne ugodi, če je obdelava potrebna za: uresničevanje pravice do svobode izražanja in obveščanja; izpolnjevanje pravne obveznosti obdelave na podlagi prava EU ali slovenskega prava, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena agenciji; namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, kolikor bi pravica do izbrisa osebnih podatkov lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave; ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

O popravku, dopolnitvi ali izbrisu osebnih podatkov se obvesti vse uporabnike, ki so jim bili osebni podatki razkriti, razen če je to nemogoče ali bi predstavljalo nesorazmeren napor.

25. člen

(pravica do omejitve obdelave)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati, da se obdelava njegovih osebnih podatkov omeji kadar:

  1. oporeka točnosti podatkov, za obdobje, ki agenciji omogoča preveriti točnost podatkov;
  2. je obdelava nezakonita in namesto izbrisa osebnih podatkov zahteva omejitev uporabe;
  3. agencija osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  4. je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi agencije prevladajo nad njegovimi razlogi.

Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa EU ali Republike Slovenije. O navedenih obdelavah se predhodno obvesti posameznika na katerega se nanašajo osebni podatki.

O omejitvi obdelave osebnih podatkov se obvesti vse uporabnike, ki so jim bili osebni podatki razkriti, razen če je to nemogoče ali bi predstavljalo nesorazmeren napor.

26. člen

(pravica do ugovora)

Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim:

  1. kadar je obdelava potrebna zaradi zakonitih interesov za katere si prizadeva agencija ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, razen če agencija dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  2. kadar se osebni podatki obdelujejo v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Posameznika se na pravico do ugovora izrecno opozori najpozneje ob prvem komuniciranju z njim.

V primeru utemeljenega ugovora posameznika, je agencija dolžna prenehati obdelovati osebne podatke.

27. člen

(pravica do preklica privolitve)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Privolitev je enako enostavno preklicati kot dati.

28. člen

(pravica do vložitve pritožbe v zvezi z obdelavo osebnih podatkov)

Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima posameznik, na katerega se nanašajo osebni podatki, pravico vložiti pritožbo pri Informacijskem pooblaščencu, če meni, da obdelava osebnih podatkov v zvezi z njim krši Splošno uredbo o varstvu osebnih podatkov.

29. člen

(postopek uveljavljanja pravic)

Posameznik, na katerega se nanašajo osebni podatki lahko pravice iz tega poglavja uveljavlja ustno na zapisnik po predhodni najavi v času uradnih ur, v pisni obliki ali v elektronski obliki. Če je zahteva predložena z elektronskimi sredstvi, se informacije, v kolikor je to mogoče, zagotovijo z elektronskimi sredstvi, razen v primeru, če posameznik zahteva drugače.

Za potrebe zanesljive identifikacije lahko agencija v primeru uveljavljanja pravic v zvezi z osebnimi podatki zahteva dodatne podatke, ki so potrebni za potrditev identitete upravičenega posameznika, pri čemer opozori posameznika, da bo v nasprotnem primeru njegovo zahtevo zavrnilo (npr. podatek, ki ga poznata le agencija in posameznik, osebna potrditev vloge).

Skrbnik zbirke oz. drug pooblaščen javni uslužbenec agencije je po prejemu zahteve posameznika s katero uveljavlja svoje pravice v zvezi s svojimi osebnimi podatki dolžan odgovoriti brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema zahteve. Pred odločitvijo je dolžan skrbnik zbirke pridobiti mnenje pooblaščene osebe za varstvo osebnih podatkov. Rok za uresničevanje pravic se lahko podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Če agencija podaljša rok, mora o podaljšanju obvestiti posameznika v enem mesecu od prejema zahtevka skupaj z razlogi za zamudo.

Vse zagotovljene informacije ter vsa sporočila in ukrepi v zvezi z varstvom osebnih podatkov, se zagotovijo brezplačno, razen kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti, ker se ponavljajo. V tem primeru se zavrne ukrepanje v zvezi z zahtevo s pisnim obvestilom, obrazloži svojo odločitev in navede informacijo o pravnih sredstvih.

30. člen

(odločitev o zahtevi posameznika in pravno varstvo)

Kadar skrbnik zbirke v celoti ugodi zahtevi posameznika, ga s pisnim obvestilom seznani z rešitvijo in v zadevi napravi uradni zaznamek.

Kadar skrbnik zbirke zavrne zahtevo posameznika, mora pisno obvestilo vključevati obrazložitev razlogov za odločitev in informacijo o pravnih sredstvih.

Kadar je zahteva posameznika, na katerega se osebni podatki nanašajo, nepopolna ali nerazumljiva, mora agencija v roku 5 dni od prejema zahteve od posameznika zahtevati, da se pomanjkljivosti odpravijo v roku 15 dni. Če posameznik v tem roku pomanjkljivosti ne odpravi, agencija s pisnim obvestilom obvesti posameznika, da njegove zahteve ne bo obravnavala, obrazloži svojo odločitev in ga pouči o pravnih sredstvih.

Zoper odločitev iz drugega in tretjega odstavka tega člena, lahko posameznik pri agenciji v roku 15 dni od prejema pisnega obvestila vloži obrazloženo pritožbo o kateri bo odločil Informacijski pooblaščenec.

V. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV

31. člen

(roki hranjenja osebnih podatkov in zbirk)

Osebne podatke je dovoljeno hraniti le toliko časa, kolikor je to potrebno za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če zakon za posamezne obdelave določa rok hrambe.

Po izpolnitvi namena obdelave se osebni podatki izbrišejo, uničijo ali anonimizirajo razen, če zakon za posamezne vrste osebnih podatkov ne določa drugače.

Uničevanje, brisanje ali anonimizacija osebnih podatkov se mora izvajati tekoče in ažurno.

32. člen

(brisanje osebnih podatkov)

Dokumenti, ki se vodijo v papirni obliki (npr. listine, seznami, evidence, kartoteke) in vsebujejo osebne podatke, se uničijo tako, da postane osebni podatek nerazpoznaven in neobnovljiv. Javni uslužbenec lahko sam uniči dokumente v papirni obliki z uporabo rezalnika papirja.

Elektronski nosilci podatkov (npr. trdi diski, USB ključi, diskete) na katerih se nahajajo ali so se nahajali osebni podatki se uničijo na način, ki onemogoča delno ali celotno restavracijo brisanih osebnih podatkov.

Dokumente v papirni obliki, ki niso bili uničeni z uporabo rezalnika papirja in elektronski nosilci podatkov se uničijo v prostorih agencije ali zunaj prostorov agencije pod nadzorom pooblaščenega javnega uslužbenca agencije pri organizaciji, ki se ukvarja z uničenjem zaupne dokumentacije s katero se sklene pisna pogodba v skladu z 46. členom tega pravilnika.

Uničevanje in brisanje osebnih podatkov se opravi komisijsko. Direktor imenuje tričlansko komisijo, ki prisostvuje in protokolira vsak izbris in uničevanje nosilcev osebnih podatkov z zapisnikom.

Z enako vestnostjo in skrbnostjo se izbriše oziroma uniči tudi pomožno dokumentacijo ali računalniške produkte oziroma predloge, ki vsebujejo posamezne osebne podatke.

Pri prenosu nosilcev podatkov, ki vsebujejo osebne podatke, na mesto uničenja, je treba zagotoviti ustrezno varnost v času prenosa (npr. onemogočena razpoznavnost ali obnovitev osebnih podatkov).

Prepovedano je odmetavati odpadne nosilce, ki vsebujejo osebne podatke na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).

VI. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA ARRS

33. člen

(elektronska pošta in uporaba druge programske opreme na računalniku)

Elektronska pošta in računalnik se uporabljata v službene namene.

Ne glede na prejšnji odstavek se elektronska pošta in ostala programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Šteje se, da elektronska pošta s priponkami večjimi od 1 MB vplivno obremenjuje kapacitete in zmogljivosti računalniškega sistema agencije in zmanjšuje prepustnost sistema elektronske pošte. Vsebina elektronske pošte v zasebne namene ne sme biti z neprimerno ali žaljivo vsebino.

V primeru prenehanja delovnega razmerja je dolžan zaposleni v času odpovednega roka svojo zasebno pošto izbrisati in svojemu nadrejenemu predati vso pomembno elektronsko pošto, povezano z njegovim delom in obveznostmi, ki jih mora agencija še izpolniti. Če zaposleni tega ne stori in agenciji zaradi tega nastane škoda, se vzpostavi podlaga za odškodninsko odgovornost. Po 90 dneh od prenehanja delovnega razmerja se e-poštni račun ukine, kopije sporočil pa se izbrišejo.

Zaposleni je dolžan pred napovedano odsotnostjo urediti samodejno sporočilo s kontaktnimi podatki osebe, ki ga bo nadomeščala.

Vpogled v vsebino oz. nadzor elektronske pošte in ostale programske opreme zaposlenega je dovoljen na podlagi odredbe sodišča ali pisne privolitve zaposlenega, v kateri sta poleg sestavin iz 19. člena tega pravilnika opredeljena tudi upravičenec do vpogleda in časovno obdobje dovoljenega vpogleda.

Vpogled v vsebino oz. nadzor elektronske pošte in ostale programske opreme zaposlenega brez pisnega soglasja zaposlenega ali odredbe sodišča se lahko opravi na podlagi pisnega sklepa direktorja agencije le v izjemnih primerih (npr. nenadna odpoved delavca, smrt delavca, bolniška ali druga nepredvidena odsotnost, utemeljen sum kršitev določila 2. odstavka tega člena) in če namena ni mogoče doseči na milejši način (npr. nujno potrebno za pravočasno izvedbo nalog in do informacij ni bilo mogoče priti pravočasno na drug način). Vpogled opravi tri članska komisija, ki jo vsakokrat v pisnem sklepu imenuje direktor agencije. V njej mora biti en predstavnik zaposlenih, ki ni vodstveni delavec. O vpogledu mora komisija napisati zapisnik in nemudoma obvestiti zaposlenega v katerega elektronsko pošto se je pogledalo.

O namenih uporabe elektronske pošte in ostale programske opreme in možnosti nadzora morajo biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava tega pravilnika na interni spletni strani in obvestilo o njegovi objavi vsem zaposlenim po elektronski pošti.

Zasebne podatke lahko zaposleni hranijo v zasebni podatkovni mapi na lokalnem disku delovne postaje (D:\Zasebno\UporabIme).

34. člen

(internet)

Internet se uporablja v službene namene.

Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Internetne strani, ki se pregledujejo v zasebne namene, ne smejo biti z neprimerno ali žaljivo vsebino.

Direktor lahko s posebnim sklepom odredi blokado določenih spletnih strani.

Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema, na podlagi pisnega sklepa direktorja agencije.

O blokadi se obvesti vse zaposlene po elektronski pošti in z objavo na spletni strani agencije.

Če se pojavi utemeljen sum, da zaposleni ne spoštuje omejitev iz 2. odstavka tega člena se lahko na podlagi pisnega sklepa direktorja agencije opravi vpogled v podatke o obiskih spletnih strani zaposlenega brez njegovega pisnega soglasja le v izjemnih primerih (kot npr. reševanje uporabniških težav, reševanje varnostnih incidentov) in če namena ni mogoče doseči na milejši način. Vpogled se opravi na način določen v 6. odstavku prejšnjega člena tega pravilnika.

O namenih uporabe interneta ter možnosti nadzora iz tega člena morajo biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava tega pravilnika na interni spletni strani in obvestilo o njegovi objavi vsem zaposlenim po elektronski pošti.

VII. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

35. člen

(način varovanja prostorov)

Agencija je najemnik poslovnih prostorov v poslovnem objektu "Center Tivoli" na lokaciji Bleiweisova cesta 30, Ljubljana. Najemodajalec zagotavlja fizično varovanje objektov in prostorov na lokacijah na naslovu Bleiweisova cesta 30, Ljubljana.

Prostori, kjer se nahajajo nosilci varovanih osebnih in drugih varovanih podatkov, strojna in programska oprema ter strežniki (v nadaljevanju: varovani prostori) morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov (npr. zaklenjeni prostori, uporaba gesel, kodirani oziroma šifrirani podatki, itd.).

Dostop v prostore iz prejšnjega odstavka je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja vodje organizacijske enote ali direktorja.

Ključi varovanih prostorov se uporabljajo in hranijo tako, da je nepooblaščenim osebam onemogočen dostop do teh prostorov (npr. ključi se ne puščajo v ključavnici v vratih od zunanje strani).

Vsak zaposleni ima službeno kartico s katero vstopa v prostore agencije. V prostore, kjer se hranijo tajni podatki, v prostore s strojno in računalniško opremo in v prostore arhiva lahko vstopajo samo zaposleni, ki imajo pravico do vpogleda v tajne podatke ali so pooblaščeni za vstop v te prostore.

Vsak zaposleni je dolžan s službeno kartico ravnati z vso skrbnostjo in z zavedanjem, da je namenjena samo njegovi osebni uporabi. Morebitno pogrešitev ali odtujitev kartice mora takoj javiti v Sektor za pravne in skupne zadeve, ki kartico nemudoma prekliče.

36. člen

(nadzor varovanih prostorov)

Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema fizično ali programsko zaklenjena, pisalne mize pospravljene na način, da nepooblaščenim osebam ni omogočeno, da se seznanijo z osebnimi podatki, dostop do osebnih podatkov, hranjenih na disku računalnika pa omogočen le z geslom.

Zaposleni ne smejo puščati nosilcev osebnih podatkov na vidih mestih (npr. na mizah) v prisotnosti oseb, ki nimajo pravice vpogleda vanje ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam.

Nosilci osebnih podatkov, ki se nahajajo izven varovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni. Ključe hrani zaposleni, ki nadzoruje te nosilce osebnih podatkov.

Nosilcev, ki vsebujejo posebne vrste osebnih podatkov se ne sme hraniti izven varovanih prostorov

37. člen

(varovanje nosilcev osebnih podatkov)

Javni uslužbenec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti oziroma na drug način poskrbeti, da nosilci osebnih podatkov ne ostanejo nezavarovani.

V varovane prostore agencije, nepooblaščene osebe ne smejo vstopati brez spremstva ali prisotnosti javnih uslužbencev, ki pri svojem delu obdelujejo osebne podatke.

Vzdrževalci prostorov in čistilke se lahko gibljejo v varovanih in drugih poslovnih prostorih agencije v delovnem času oziroma izven delovnega časa in brez prisotnosti pooblaščenega javnega uslužbenca le, če so nosilci podatkov shranjeni na način, ki ga določa ta pravilnik za čas izven delovnega časa.

V prostorih, kjer imajo vstop osebe, ki niso zaposlene na agenciji, morajo biti nosilci osebnih podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da nepooblaščenim osebam ni omogočen vpogled vanje.

Nosilcev osebnih podatkov javni uslužbenci agencije ne smejo odnašati izven agencije brez izrecnega dovoljenja direktorja. Nosilce, ki vsebujejo posebne vrste osebnih podatkov, lahko zaposleni odnesejo izven prostorov agencije le izjemoma z dovoljenjem direktorja, če je to nujno potrebno za reševanje zadeve, ki vsebuje te posebne vrste osebnih podatkov. Direktor dovoli iznos nosilcev osebnih podatkov iz agencije posameznemu javnemu uslužbencu, z navedbo namena in razloga iznosa podatkov iz agencije.

V primeru iznosa prenosnih računalnikov izven prostorov agencije morajo biti ti ustrezno kriptirani, dostop do podatkov na sistemu pa je mogoč preko VPN dostopa. V primeru kraje delovne postaje je zaposleni dolžan nemudoma obvestiti Sektor za informatiko, da onemogoči dostop do VPN sistema.

VIII. VAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

38. člen

(vzdrževanje in popravilo računalniške opreme)

Vzdrževanje in popravilo strojne računalniške opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščenega javnega uslužbenca organizacijske enote za informatiko, izvajajo pa ga lahko samo za to pooblaščeni javni uslužbenci agencije ali pooblaščeni servisi in njihovi vzdrževalci.

39. člen

(dostop do računalniške programske opreme)

Dostop do računalniške programske opreme, s katero se hranijo ali obdelujejo osebni podatki, mora biti varovan na način, ki omogoča dostop samo določenim pooblaščenim javnim uslužbencem in delavcem, ki za agencijo servisirajo programsko opremo (npr. s sistemom gesel).

40. člen

(delo na računalniški programski opremi)

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve vodje organizacijske enote za informatiko, izvajajo pa jo lahko samo pooblaščeni javni uslužbenci ali pooblaščeni servis in organizacije oziroma njihovi delavci. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

41. člen

(varovanje sistemske in aplikativne programske opreme)

Za varovanje sistemske in aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.

Javni uslužbenec, pooblaščen za shranjevanje in obdelavo osebnih podatkov na računalniku, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.

Javni uslužbenec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti v času servisiranja računalnika in programske opreme ves čas prisoten in nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.

Za namen servisnega posega na daljavo se lahko pooblaščen javni uslužbenec organizacijske enote za informatiko le na zahtevo in potrditev zaposlenega priklopi na računalnik zaposlenega (t.i. remote desktop).

V primeru izkazane potrebe po popravilu računalnika, na čigar disku se nahajajo osebni podatki, izven agencije in brez kontrole pooblaščenega javnega uslužbenca agencije, se morajo podatki z diska računalnika izbrisati na način, ki zunanjemu izvajalcu onemogoča dostop do podatkov. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih agencije v prisotnosti pooblaščenega javnega uslužbenca agencije.

42. člen

(računalniški virusi)

Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, na katerih so shranjeni osebni podatki, je treba zaščititi z ustreznimi protivirusnimi programi in jih redno preverjati.

Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo organizacijske enote informatike oziroma pogodbenega partnerja, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu agencije.

Pred priključitvijo prenosnega računalnika oziroma drugih medijev, ki niso last agencije, na računalniško mrežo agencije, je le-te treba preveriti glede računalniških virusov.

Zaposleni ne smejo inštalirati programske opreme brez vednosti javnega uslužbenca, zadolženega za delovanje računalniškega informacijskega sistema.

Zaposleni ne smejo odnašati programske opreme iz prostorov agencije brez izrecne odobritve vodje organizacijske enote za informatiko.

43. člen

(gesla)

Pristop do osebnih podatkov preko aplikativne programske opreme se varuje s sistemom uporabniških gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni, spremenjeni ali drugače obdelani v zbirki ter kdo je to storil.

Vsako geslo s katerim se zagotavlja varstvo osebnih podatkov mora imeti vsaj 8 znakov, med njimi mora biti vsaj ena mala in ena velika črka, vsaj ena števka (od 0 - 9) ali poseben znak (npr. $ ali @).

Pooblaščeni javni uslužbenec določi režim dodeljevanja, hranjenja in spreminjanja gesel.

44. člen

(način hranjenja gesel)

Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje mreže osebnih računalnikov (supervisorska oziroma nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma v nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

45. člen

(računalniške kopije)

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

Računalniške kopije vsebin zbirk na magnetnih trakovih ali drugih medijih se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

IX. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

46. člen

(omejitve storitev zunanjih sodelavcev)

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov v imenu agencije ter je registrirana za opravljanje takšne dejavnosti (v nadaljevanju: obdelovalec), se sklene pisna pogodba v skladu z 28. členom Splošne uredbe o varstvu podatkov, ki mora med drugim vsebovati postopke in ukrepe za zagotovitev varnosti osebnih podatkov.

Obdelovalci obdelujejo osebne podatke v okviru naročnikovih pooblastil iz prejšnjega člena in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja uradno obvesti agencijo.

Obdelovalci, ki za agencijo opravljajo pogodbeno dogovorjene storitve izven prostorov agencije, morajo imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.

Postopke in ukrepe za zagotovitev varnosti osebnih podatkov in po potrebi druge sestavine pogodbe v skladu z 28. členom Splošne uredbe o varstvu podatkov mora vsebovati tudi pogodba s pravno ali fizično osebo za vzdrževanje obstoječe strojne in programske opreme ter izdelavo in namestitev nove strojne ali programske opreme.

X. UKREPANJE OB ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE

47. člen

(ravnanje z osebnimi podatki)

Zaposleni so dolžni preprečevati zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno ter na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju ali spreminjanju osebnih podatkov takoj obvestiti vodjo organizacijske enote in pooblaščeno osebo za varstvo osebnih podatkov, sami pa morajo z zakonitimi ukrepi takšno aktivnost preprečiti in vsako kršitev varnosti osebnih podatkov, vključno z dejstvi kršitve varnosti, njene učinke in sprejete popravne ukrepe pisno dokumentirati.

Vodja organizacijske enote v roku 48 ur po seznanitvi s kršitvijo varnosti osebnih podatkov preveri ali je do kršitve dejansko prišlo (npr. tako, da opravi razgovore), ali so bili izvedeni vsi potrebni ukrepi (npr. zavarovanje sledi, sprejem tehničnih in organizacijskih zaščitnih ukrepov, sprejem naknadnih ukrepov za zagotovitev, da se tveganje za pravice in svoboščine posameznikov verjetno ne bo več udejanjilo) in če niso bili poskrbi, da se kršitev varstva osebnih podatkov odpravi, naredi oceno ali so bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznika oziroma ali bo kršitev povzročila (veliko) tveganje za pravice in svoboščine posameznikov ter pripravi pisno poročilo o kršitvi varstva osebnih podatkov, ki ga izroči direktorju in pooblaščeni osebi za varstvo osebnih podatkov.

V primeru, da je prišlo do kršitve varstva osebnih podatkov zaradi težav na računalniškem omrežju, izvede ukrepe in opravi druge obveznosti iz prejšnjega odstavka vodja Sektorja za informatiko.

Pooblaščena oseba za varstvo osebnih podatkov je dolžna v primeru kadar je verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznika brez nepotrebnega odlašanja, po možnostih pa najpozneje v 72 urah po seznanitvi s kršitvijo varnosti osebnih podatkov, poslati obvestilo Informacijskemu pooblaščencu z opisom vrste kršitve varnosti osebnih podatkov, sporočilom o kontaktnih podatkih pooblaščene osebe za varstvo podatkov, opisom verjetnih posledic, opisom sprejetih oziroma nameravanih ukrepov za obravnavanje in ublažitev škodljivih učinkov kršitev in opisom razlogov zakaj obvestilo Informacijskemu pooblaščencu ni bilo podano v 72 urah.

Pooblaščena oseba za varstvo osebnih podatkov je dolžna brez nepotrebnega odlašanja posamezniku, na katerega se osebni podatki nanašajo, pri ugotovitvi kršitve varnosti osebnih podatkov poslati obvestilo le, kadar obstaja veliko tveganje za njegove pravice in svoboščine posameznikov in če agencija ni izvedla ustreznih tehničnih in organizacijskih zaščitnih ukrepov ali ni sprejela naknadnih ukrepov za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov verjetno ne bo več udejanjilo ali če bi to zahtevalo nesorazmeren napor. Obvestilo mora vsebovati sporočilo o vrsti kršitve, kontaktne podatke pooblaščene osebe za varstvo podatkov, opis verjetnih posledic in opis sprejetih oziroma nameravanih ukrepov za obravnavanje in ublažitev škodljivih učinkov kršitev.

48. člen

(zloraba uporabe osebnih podatkov)

Direktor mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko, ustrezno ukrepati.

Če obstaja pri vdoru v zbirko sum, da je ta storjen z namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora direktor poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je storilec javni uslužbenec agencije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z zakonsko določenimi nameni zbiranja ali nameni, določenimi v evidenci dejavnosti obdelave. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

XI. ODGOVORNOST ZA IZVAJANJE UKREPOV ZA ZAGOTAVLJANJE VARNOSTI OSEBNIH PODATKOV

49. člen

(odgovornost in nadzor)

Za izvajanje postopkov in ukrepov za zagotavljanje varnosti osebnih podatkov so odgovorni vsi zaposleni.

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom opravlja direktor, vodje posameznih sektorjev, pooblaščena oseba za varstvo osebnih podatkov in oseba zadolžena za delovanje računalniškega informacijskega sistema.

50. člen

(izjava o varovanju osebnih podatkov)

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zagotavljanje varnosti osebnih podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki mora zaposleni podpisati posebno izjavo (priloga 3), ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti.

Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika, zakona, ki ureja varstvo osebnih podatkov in Splošne uredbe o varstvu podatkov. Izjava mora vsebovati tudi pouk o posledicah kršitve.

51. člen

(kršitev določil pravilnika)

Kršitev določil tega pravilnika predstavlja kršitev obveznosti iz delovnega razmerja.

Odgovornost iz prejšnjega odstavka ne izključuje kazenske, odškodninske ali druge odgovornosti.

XII. POOBLAŠČENA OSEBA ZA VARSTVO OSEBNIH PODATKOV

52. člen

(pooblaščena oseba za varstvo osebnih podatkov)

Direktor agencije izmed zaposlenih na agenciji imenuje pooblaščeno osebo za varstvo osebnih podatkov in o tem obvesti Informacijskega pooblaščenca.

Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz petega odstavka tega člena.

Agencija je dolžna pooblaščeni osebi za varstvo osebnih podatkov predati vse potrebne informacije v zvezi z varstvom osebnih podatkov, zagotoviti, da je ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov ter zagotoviti sredstva potrebna za opravljanje nalog za varstvo osebnih podatkov in ohranjanje njenega strokovnega znanja.

Pooblaščena oseba za varstvo osebnih podatkov je neodvisna in svobodna pri izvajanju svojih nalog. O svojem delu poroča direktorju. Enak položaj ima do pogodbenega obdelovalca osebnih podatkov.

Pooblaščena oseba za varstvo podatkov opravlja vsaj naslednje naloge:

  1. obveščanje vseh zaposlenih in obdelovalca, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v zvezi z varstvom osebnih podatkov,
  2. spremljanje skladnosti s Splošno uredbo o varstvu podatkov, drugimi določbami prava EU ali slovenskega prava o varstvu podatkov in politikami agencije ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
  3. svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja,
  4. sodelovanje z Informacijskim pooblaščencem,
  5. delovanje kot kontaktna točka za Informacijskega pooblaščenca pri vprašanjih v zvezi z obdelavo, in, kjer je ustrezno, glede katere koli druge zadeve.

XIII. KONČNE DOLOČBE

53. člen

(uskladitev ukrepov in postopkov)

Vse organizacijske enote agencije morajo uskladiti ukrepe in postopke, določene s tem pravilnikom, v šestih mesecih po njegovi uveljavitvi.

54. člen

(seznanjenost zaposlenih)

Ta pravilnik se objavi na internem mrežnem pogonu in spletni strani agencije.

S tem je vsakomur omogočen vpogled v pravilnik, zato se šteje, da so z dnem objave pravilnika, z njim in njegovo vsebino, seznanjeni vsi javni uslužbenci agencije.

55. člen

(začetek veljavnosti pravilnika)

Ta pravilnik začne veljati naslednji dan po objavi na internem mrežnem pogonu in spletni strani agencije.

56. člen

(prenehanje uporabe)

Z dnem uveljavitve tega pravilnika, preneha veljati Pravilnik o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije, številka: 007-8/2008-1 z dne 30. 5. 2008 in nasl.


Številka: 007-9/2022-1
Datum: 27. 5. 2022

Prof. dr. Mitja Lainščak,
direktor


[1] Postopek šifriranja dokumenta: 1. desni klik na dokument, 2. 7-zip – izbere se opcijo »Dodaj v arhiv…«, 3. v na novo odprtem oknu se na desni strani vnese geslo in nato pritisne »V redu«. Nato se po elektronski pošti pošlje zašifriran dokument, geslo pa z navadno pošto ali preko telefona sporoči naslovniku.

[2] Na dan 1. 4. 2022 dostopno na: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

[3] Seznam tretjih držav iz 66. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 11/17).

[4] Na dan 1. 4. 2022: Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta.


Priloge:

  • Priloga 1: Obrazec - Izjava o privolitvi za obdelavo osebnih podatkov
  • Priloga 2: Obrazec - Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki
  • Priloga 3: Obrazec - Izjava o varstvu osebnih podatkov