Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20; ZVOP-1), 32. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in 28. člena Statuta Javne agencije za raziskovalno dejavnost Republike Slovenije z dne 22.07.2004 in nasl., izdaja direktor Javne agencije za raziskovalno dejavnost Republike Slovenije

Pravila o postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov na Javni agenciji za znanstvenoraziskovalno in inovacijsko dejavnost Republike Slovenije

I. SPLOŠNE DOLOČBE

1. člen

1. S temi pravili se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zagotavljanje varnosti osebnih podatkov v Javni agenciji za znanstvenoraziskovalno in inovacijsko dejavnost Republike Slovenije (v nadaljevanju: agencija ali ARIS) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
    
2. V zadevah, ki jih ne urejajo ta pravila, se neposredno uporabljajo določbe Splošne uredbe o varstvu podatkov in ZVOP-2.
    
3. Javni uslužbenci, obdelovalci in druge osebe, ki imajo pravno podlago oziroma so pooblaščeni za obdelavo osebnih podatkov, morajo biti seznanjeni z ZVOP-2, Splošno uredbo o varstvu podatkov, področno zakonodajo, ki ureja posamezno področje njihovega dela ter vsebino teh pravil.

2. člen

(pomen izrazov)

1. V teh pravilih uporabljeni izrazi imajo naslednji pomen:

1. Osebni podatek - pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljevanju: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
    
2. Zbirka - je vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
    
3. Skrbnik zbirke - je javni uslužbenec agencije, ki je odgovoren za vzpostavitev, vodenje, vzdrževanje in hranjenje zbirke ter za zakonito in varno obdelavo osebnih podatkov v tej zbirki. Skrbnik zbirke je praviloma odgovoren tudi za vodenje evidence dejavnosti obdelave;
    
4. Povezovanje zbirk podatkov - je avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo;
    
5. Obdelava osebnih podatkov - pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
    
6. Privolitev posameznika, na katerega se nanašajo osebni podatki - pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
    
7. Upravljavec - pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (npr. ARIS);
    
8. Obdelovalec - pomeni fizično ali pravno osebo, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (npr. organizatorji dogodkov, izvajalec videonadzora);
    
9. Uporabnik - pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne (razen javni organi ob posamični poizvedbi);
    
10. Tretja oseba - pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
     
11. Javni uslužbenec (ali zaposleni) - je posameznik, ki sklene delovno razmerje v ARIS;
     
12. Tretja država - je država, ki ni članica Evropske unije (v nadaljevanju: EU) ali del Evropskega gospodarskega prostora;
     
13. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
     
14. Psevdonimizacija - pomeni obdelavo osebnih podatkov na način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku. Psevdonimizirani podatki še vedno veljajo za osebne podatke;
     
15. Anonimizacija - je takšna sprememba oblike osebnih podatkov, da posameznika, na katerega se osebni podatki nanašajo, ni več mogoče določiti z uporabo vseh verjetnih in razumnih sredstev, za katera se pričakuje, da jih bo uporabil bodisi upravljavec bodisi tretja oseba. Pomembno je, da mora biti obdelava podatkov nepreklicna in da identifikacija posameznika, na katerega se osebni podatki nanašajo, ni več mogoča;
     
16. Kršitev varnosti osebnih podatkov - pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

2. Izrazi, katerih pomen v teh pravilih ni opredeljen, imajo pomen, kot je določen v Splošni uredbi o varstvu podatkov ali v ZVOP-2.

3. V pravilih uporabljeni izrazi, zapisani v moški slovnični obliki, se uporabljajo kot nevtralni za ženski in moški spol.

3. člen

(načela v zvezi z obdelavo osebnih podatkov)

Pri obdelavi osebnih podatkov je treba upoštevati naslednja temeljna načela:

1. načelo zakonitosti, poštenosti in preglednosti - osebni podatki morajo biti obdelani zakonito (obstoj pravnega temelja), pošteno (zagotavljanje informacij posamezniku) in na pregleden način (npr. vodenje evidence dejavnosti obdelave);
    
2. načelo omejitve namena - osebni podatki se lahko zbirajo zgolj za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene ne velja za nezdružljivo s prvotnimi nameni;
    
3. načelo najmanjšega obsega podatkov - dopustna je zgolj obdelava ustreznih, relevantnih in omejenih osebnih podatkov glede na namene, za katere se obdelujejo;
    
4. načelo točnosti - sprejeti je treba vse ukrepe s katerimi se zagotovi točnost in posodabljanje osebnih podatkov ter, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;
    
5. načelo omejitve hrambe - osebni podatki se hranijo v obliki, ki dopušča identifikacijo posameznikov le toliko časa, kolikor je potrebno za namene obdelave; osebni podatki se lahko hranijo za daljše obdobje, če bodo obdelani za namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki;
    
6. načelo celovitosti in zaupnosti - osebni podatki se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi;
    
7. načelo odgovornosti - agencija mora biti sposobna izkazati, da se osebni podatki obdelujejo skladno s predhodno navedenimi načeli.

4. člen

(zakonitost obdelave)

1. Obdelava je zakonita le in v kolikor je izpolnjen vsaj eden od naslednjih pogojev:
   1. če je posameznik, na katerega se nanašajo podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
   2. če je obdelava osebnih podatkov potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
   3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za agencijo;
   4. če je obdelava potrebna za zaščito življenjskih interesov posameznika (npr. obdelava zdravstvenih podatkov v primeru nesreč pri delu – iz torbice vzamemo zdravstveno kartico s podatki);
   5. če je obdelava potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti dodeljene agenciji;
   6. kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva agencija, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov. Navedena pravna podlaga se ne uporabi za obdelavo s strani agencije pri opravljanju njenih javnih (oblastnih) nalog. Pred obdelavo osebnih podatkov na podlagi zakonitih interesov se je potrebno posvetovati s pooblaščeno osebo za varstvo osebnih podatkov ter izvesti in dokumentirati t.i. test zakonitih interesov.
       
2. Obdelava osebnih podatkov v agenciji je v primerih iz 3. in 5. točke prvega odstavka tega člena pravil zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.
    
3. V agenciji se lahko v skladu s prvim odstavkom tega člena pravil obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
    
4. Privolitev posameznika (6. točka prvega odstavka 2. člena teh pravil) je lahko dana v ustni ali pisni obliki, v kateri se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Posameznika, ki je dal privolitev za obdelavo osebnih podatkov, je treba najkasneje ob podaji soglasja za obdelavo obvestiti, da lahko privolitev kadarkoli prekliče enako enostavno kot je dal privolitev. Za dokaz veljavnosti privolitve se lahko uporabi oz. ustrezno prilagodi obrazec iz Priloge 1 teh pravil.
    
5. Ne glede na drugi odstavek tega člena lahko agencija ob izvrševanju 5. točke prvega odstavka tega člena pravil izjemoma obdeluje tiste osebne podatke, ki so nujni za izvrševanje njenih zakonitih pristojnosti, nalog ali obveznosti, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.
    
6. V primeru, da bi se za obdelavo osebnih podatkov uporabila pravna podlaga iz 6. točke prvega odstavka tega člena (zakoniti (legitimni) interes agencije in/ali tretjih oseb), skrbnik zbirke ob sodelovanju s pooblaščeno osebo za varstvo osebnih podatkov izpolni obrazec iz Priloge 2 teh pravil.

5. člen

(ukrepi in postopki)

1. Agencija zagotavlja ustrezno varnost osebnih podatkov upoštevajoč najnovejši tehnološki razvoj in stroške izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

• psevdonimizacijo in šifriranjem osebnih podatkov;
• zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
• zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
• postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

2. Pri določanju ustrezne ravni varnosti iz prvega odstavka tega člena pravil se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
    
3. Agencija zagotovi, da katera koli fizična oseba, ki ukrepa pod njenim vodstvom (npr. zaposleni) ali obdelovalec, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil agencije, razen če to od nje zahteva pravo EU ali pravo države članice.
    
4. Agencija in njeni zaposleni so ob upoštevanju dejavnikov iz prvega odstavka tega člena pravil dolžni, tako v času določanja sredstev obdelave kot tudi v času same obdelave, vključevati in izvajati ustrezne tehnične in organizacijske ukrepe v skladu z določili teh pravil.
    

II. OBDELAVA OSEBNIH PODATKOV IN ZBIRKE

6. člen

(namen obdelave osebnih podatkov)

1. Osebni podatki se smejo zbirati in drugače obdelovati le za namene, za katere so bili zbrani.
    
2. Obdelava osebnih podatkov za druge namene kot za tiste, za katere so bili zbrani (v nadaljevanju: nadaljnja obdelava) na podlagi privolitve je dopustna le na podlagi nove privolitve posameznika, na katerega se nanašajo osebni podatki, če zakon ne določa drugače.
    
3. Nadaljnja obdelava, ki ne temelji na privolitvi posameznika, ali na pravu EU ali slovenskem pravu, je dopustna, če je predhodno izvedena presoja združljivosti obdelave za drug namen z namenom, za katerega so bili osebni podatki prvotno zbrani, pri čemer se med drugim upošteva:
   1. kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;
   2. okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in agencijo;
   3. naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški;
   4. morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;
   5. obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.
       
4. Ne glede na prvotni namen zbiranja lahko agencija osebne podatke (interno) nadalje obdeluje, z izjemo posredovanja osebnih podatkov, v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene ob uporabi ustreznih zaščitnih ukrepov za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (npr. anonimizacija, psevdonimizacija, upoštevanje načela najmanjšega obsega podatkov).
    
5. Za namen obdelave iz prejšnjega odstavka lahko agencija posreduje osebne podatke uporabniku osebnih podatkov v anonimizirani obliki, v psevdonimizirani ali drugi obliki pa le, če tako določa zakon ali je podana privolitev posameznika. Uporabnik mora osebne podatke po uporabi uničiti in obvestiti agencijo o tem kdaj in na kakšen način jih je uničil, razen če zakon ne določa drugače.
    
6. Javni uslužbenec, ki nadalje obdeluje osebne podatke, mora v skladu s tretjim odstavkom tega člena pravil pred nadaljnjo obdelavo pisno oceniti ali je nadaljnja obdelava glede na prejšnje odstavke dopustna in pridobiti mnenje pooblaščene osebe za varstvo podatkov. Pisna ocena in mnenje morajo biti shranjeni v pisni obliki.
    

7. člen

(obdelava osebnih podatkov za izvajanje določenih dejavnosti agencije)

1. Agencija lahko uporablja kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.
    
2. Agencija lahko za namene iz prejšnjega odstavka uporablja le naslednje osebne podatke: osebno ime, telefonsko številko, naslov elektronske pošte ali drugo komunikacijsko številko oziroma oznako, podatke o delodajalcu ali organizaciji ter podatke o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika, na katerega se nanašajo osebni podatki. Na podlagi privolitve posameznika lahko agencija za iste namene obdeluje tudi naslov stalnega ali začasnega prebivališča in druge osebne podatke, posebne vrste osebnih podatkov pa le izjemoma in če ima za to izrecno privolitev posameznika.
    
3. Za namene obveščanja javnosti sme agencija obdelovati, vključno z objavo, osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal.

8. člen

(posredovanje in drugi načini obdelave osebnih podatkov)

1. Za posredovanje, pridobivanje, evidentiranje in druge načine obdelave osebnih podatkov se uporabljajo določila teh pravil, Splošne uredbe o varstvu podatkov, ZVOP-2, Zakona o znanstvenoraziskovalni in inovacijski dejavnosti in drugih predpisov.
    
2. Javni uslužbenec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku ali organizacijski enoti, na katero se ta pošiljka nanaša.
    
3. Javni uslužbenec, ki obdeluje osebne podatke, sme z dovoljenjem direktorja posredovati osebne podatke samo na podlagi popolne pisne zahteve vlagatelja, ki vsebuje naslednje podatke:
   1. podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;
   2. pravno podlago za pridobitev zahtevanih osebnih podatkov;
   3.  namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
   4. predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;
   5. vrste osebnih podatkov, ki naj se mu posredujejo;
   6. obliko in način pridobitve zahtevanih osebnih podatkov;
   7. druge podatke, v kolikor jih določa drug zakon.
       
4. V primeru, da zahteva vlagatelja ne vsebuje podatkov iz tretjega odstavka tega člena pravil, javni uslužbenec le-tega najpozneje v 15 dneh pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov agencija ne bo posredovala. Agencija in vlagatelj zahteve se v roku iz prejšnjega stavka lahko dogovorita za njegovo podaljšanje. Če agencija ne ravna v skladu s tem odstavkom pravil, se šteje, da je zahteva zavrnjena.
    
5. Osebni podatki, ki se posredujejo v fizični obliki, morajo biti posredovani v najpozneje v 15 dneh od prejema popolne zahteve skladu z določbami predpisov, ki urejajo upravno poslovanje z dokumentarnim gradivom, oziroma v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina ovojnice. Ovojnica mora tudi zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
    
6. Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino (npr. prenos osebnih podatkov po elektronski pošti mora biti varovan z geslom za identifikacijo[1], priporočena pošiljka naslovniku).
    
7. Dokument, ki vsebuje osebne podatke, se posreduje v fotokopiji. V originalu se dokument, ki vsebuje osebne podatke posreduje le, če tako določa zakon ali drug predpis (npr. v primeru pisne odredbe sodišča). Posredovani originalni dokument mora biti v času odsotnosti nadomeščen s fizično (fotokopijo) ali elektronsko (skenirano) kopijo. Osebne podatke zaposlenih v agenciji je dovoljeno posredovati zaposlenemu, na katerega se osebni podatki nanašajo in drugim zaposlenim, če jih potrebujejo v okviru opravljanja svojih del in nalog.

9. člen

(posebna pravila za obdelavo posebnih vrst osebnih podatkov)

1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
    
2. Posebne vrste osebnih podatkov se lahko obdelujejo le v primerih, ki jih določa člen 9 Splošne uredbe o varstvu podatkov, predvsem pa, ter ob upoštevanju dodatnih zahtev iz navedenega člena, v naslednjih primerih:
   • izrecna privolitev posameznika;
   • obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva;
   • obdelava je potrebna za zaščito življenjskih interesov, kadar posameznik ni sposoben dati privolitve;
   • obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;
   • obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;
   • obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava EU ali slovenskega prava.
      
3. Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označeni in varovani tako, da se nepooblaščenim osebam prepreči dostop do njih. Posebne vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico. Posebne vrste osebnih podatkov je dovoljeno posredovati preko komunikacijskih omrežij le, če so varovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

10. člen

(obveščanje posameznika o obdelavi osebnih podatkov)

1. Javni uslužbenec, ki je pooblaščen za pridobivanje osebnih podatkov, mora ob pridobitvi osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, zagotoviti naslednje informacije, če posameznik z njimi še ni seznanjen:
   1. kontaktne podatke agencije;
   2. kontaktne podatke pooblaščene osebe za varstvo podatkov;
   3. namene, za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo;
   4. kadar obdelava temelji na 6. točki prvega odstavka 4. člena teh pravil, zakonite interese, za uveljavljanje katerih si prizadeva agencija ali tretja oseba;
   5. uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
   6. kadar je ustrezno, dejstvo, da namerava agencija prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj sklepa Evropske komisije o ustreznosti ali sklic na zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
   7. obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila za določitev tega obdobja;
   8. obstoj pravice, da se zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi, obstoj pravice, da se lahko privolitev kadar koli prekliče, obstoj pravice do vložitve pritožbe pri Informacijskemu pooblaščencu;
   9. ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
   10. če se osebni podatki niso pridobili neposredno od posameznika, na katerega se nanašajo, vrste zadevnih osebnih podatkov in od kje izvirajo osebni podatki.
        
2. Za izpolnitev obveznosti iz prejšnjega odstavka se šteje: vključitev povezave do informacij o varstvu podatkov, ki so dostopne na spletni strani agencije; vključitev informacij iz prvega odstavka tega člena pravil v obrazce, ki jih agencija običajno uporablja v razmerju do posameznikov (npr. v okviru ustreznega obvestila na koncu obrazca, z dodatnimi okenci pri uporabi elektronskih prijavnih obrazcev, kadar se oceni, da bi bil takšna seznanitev ustreznejša z vidika zagotavljanja informacij posameznikom); uradni zaznamek s podatki kot izhajajo iz prvega odstavka tega člena pravil.
    
3. Pred nadaljnjo obdelavo osebnih podatkov je treba posameznika, na katerega se osebni podatki nanašajo, na načine iz drugega odstavka tega člena pravil obvestiti o namenu nadaljnje obdelave osebnih podatkov in informacijah od 7. do 9. točke prvega odstavka tega člena pravil.

11. člen

(nadzor nad posredovanjem osebnih podatkov)

1. Vsako posredovanje osebnih podatkov se zaznamuje z navedbo naslednjih podatkov:
   • kateri osebni podatki so bili posredovani,
   • komu so bili osebni podatki posredovani,
   • čas posredovanja osebnih podatkov,
   • pravna podlaga, na kateri so bili posredovani osebni podatki in
   • za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če zakon za posredovanje posameznih vrst podatkov določa drugače.
      
2. Podatki iz prejšnjega odstavka so v pisni ali elektronski obliki kot del podatkov zadeve, o kateri se vodi postopek (npr. razvidno iz odločbe, dopisa) oziroma če to ni mogoče, se uradni zaznamek evidentira v zadevi ali neposredno v zbirko, ki ji pripada posredovani osebni podatek.
    
3. Uradni zaznamek iz prvega odstavka tega člena pravil naredi skrbnik zbirke ali drug pooblaščen javni uslužbenec, ki je osebne podatke posredoval uporabniku in ga podpiše.
    
4. Informacije iz prvega odstavka tega člena pravil se hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok. Določila tega člena pravil ne veljajo za osebne podatke, ki jih upravljavec zakonito objavi na svojih spletnih straneh ali na drug ustrezen način, in osebne podatke, za katere ZVOP-2 ali drug zakon določa, da so javni ali javno dostopni.

12. člen

(evidentiranje in arhiviranje dokumentov)

Za evidentiranje in arhiviranje zadev, dosjejev in dokumentov, ki vsebujejo osebne podatke se uporabljajo določbe predpisov, ki urejajo upravno poslovanje z dokumentarnim gradivom, zakon, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive in Načrt klasifikacijskih znakov agencije.

13. člen

(vzpostavitev zbirke)

1. Skrbnik zbirke ob vzpostavitvi zbirke izpolni evidenco dejavnosti obdelave v skladu s 16. členom teh pravil, ki jo po odobritvi vodje organizacijske enote in pregledu pooblaščene osebe za varstvo osebnih podatkov objavi na interni spletni strani agencije.
    
2. Skrbnik zbirke je odgovoren zlasti za:
   • za hrambo zbirke;
   • obdelavo osebnih podatkov le za namene, za katere so bili zbrani;
   • za zakonito obdelavo osebnih podatkov v skladu s 4. členom teh pravil;
   • pridobitev predhodnega mnenja pooblaščene osebe za varstvo osebnih podatkov v primeru nadaljnje obdelave osebnih podatkov, zagotovitev informacije posamezniku o tem drugem namenu in po potrebi za pridobitev privolitve posameznika za nadaljnjo obdelavo;
   • zbiranje najmanjšega možnega obsega osebnih podatkov, ki jih agencija potrebuje za uresničitev namena obdelave;
   • obdelovanje zahtevkov posameznika v povezavi z zbirko, za katero skrbi (IV. poglavje teh pravil);
   • ustrezno obravnavanje osebnih podatkov v zbirki po poteku roka hrambe;
   • učinkovito in skladno obravnavo kršitev varnosti osebnih podatkov (X. poglavje teh pravil);
   • letni pregled in posodabljanje opisov zbirke v evidenci dejavnosti obdelave;
   • pripravo ocene učinka v zvezi z varstvom osebnih podatkov, kadar jo je potrebno pripraviti ter njeno redno posodabljanje in dokumentiranje;
   • vzpostavitev in spremljanje ukrepov, opredeljenih v okviru ocene učinka v zvezi z varstvom osebnih podatkov, ali v skladu s priporočili pooblaščene osebe za varstvo osebnih podatkov ali Informacijskega pooblaščenca;
   • v primeru, da se v okviru zbirke izvaja pogodbena obdelava osebnih podatkov s strani zunanjih izvajalcev, obravnava obvestil zunanjih izvajalcev agencije (obdelovalcev) glede nameravane vključitve morebitnih podobdelovalcev ali spremembe lokacije obdelave osebnih podatkov, redno spremljanje zunanjih obdelovalcev ter ukrepanje v primeru kršitev varnosti osebnih podatkov;
   • zagotovitev ustreznega postopka prenosa osebnih podatkov iz zbirke v tretje države v skladu s temi pravili, podporo izvedbi postopkov pridobitve dovoljenja ali seznanitve Informacijskega pooblaščenca, kadar je izvedba zahtevana v skladu s temi pravili ali predpisi s področja varstva osebnih podatkov ter za izvedbo ustreznih zaščitnih ukrepov;
   • obveščanje in sodelovanje s pooblaščeno osebo za varstvo osebnih podatkov o kršitvah varnosti osebnih podatkov, morebitnih težavah ali zaznanih tveganjih pri obdelavi osebnih podatkov in drugih pomembnih vprašanjih v zvezi z osebnimi podatki in
   • za druge aktivnosti v skladu s temi pravili ter predpisi, ki urejajo varstvo osebnih podatkov.

14. člen

(zbirke)

1. V zbirki se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno pravno podlago v skladu s 4. členom teh pravil, po določbah Splošne uredbe o varstvu podatkov, ZVOP-2 ali drugega predpisa.
    
2. Zbirke, ki nastanejo na podlagi privolitve, brez podlage v zakonu po 3. točki prvega odstavka 4. člena teh pravil, se morajo voditi v ločeni zbirki.
    
3. Javni uslužbenec, ki pridobi osebne podatke na podlagi privolitve, je dolžan z namenom, da bo agencija zmožna dokazati, da je posameznik na katerega se nanašajo osebni podatki privolil v dejanje obdelave, vzpostaviti oziroma vnesti podatke v zbirko privolitev, iz katere izhaja, kdo in kdaj je privolil in za katere osebne podatke, kako je bila privolitev pridobljena, in katere informacije so bile zagotovljene posamezniku.
    
4. V primeru pridobitve privolitve posameznika javni uslužbenec s privolitvijo in podatki iz prejšnjega odstavka nemudoma seznani pooblaščenega zaposlenega, ki vodi in hrani seznam privolitev. Dokaze o danih privolitvah je treba hraniti 5 let po končani obdelavi.

15. člen

(evidenca dejavnosti obdelave)

1. Agencija vodi evidenco dejavnosti obdelave osebnih podatkov.
    
2. Evidenca dejavnosti obdelave, ki je v elektronski in pisni obliki, vsebuje vsaj naslednje informacije: 1. naziv zbirke; 2. naziv in kontaktne podatke agencije in, kadar obstajajo, skupnega upravljavca, predstavnika agencije in pooblaščene osebe za varstvo podatkov; 3. namene obdelave; 4. pravno podlago obdelave; 5. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov; 6. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah; 7. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije; 8. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov; 9. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.
    
3. Skrbnik zbirke za posamezne zbirke osebnih podatkov, ki jih vodi, vzpostavi evidenco dejavnosti obdelave in zagotavlja redno posodabljanje ter obveščanje pooblaščenega zaposlenega, ki je v skladu s petim odstavkom tega člena pravil odgovoren za hrambo vseh evidenc dejavnosti obdelave agencije in vodenje seznama vseh evidenc. Skrbnik zbirke vsebino evidence dejavnosti obdelave osebnih podatkov, kakor njene spremembe, preveri s pooblaščeno osebo za varstvo osebnih podatkov. Evidenca dejavnosti obdelave se vzpostavi z izpolnitvijo obrazca iz Priloge 3 teh pravil.
    
4. Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni z evidencami dejavnosti obdelave.
    
5. Pooblaščeni zaposleni je dolžan hraniti vse evidence obdelav osebnih podatkov v agenciji, ter omogočiti dostop do njih v primeru zahteve Informacijskega pooblaščenca. Pooblaščeni zaposleni vzpostavi in vodi seznam vseh evidenc, ki vsebuje naslednje podatke: naziv evidence, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko ter osebno ime in delovno mesto oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko.

16. člen

(ocena učinka v zvezi z varstvom osebnih podatkov)

1. Vodja notranje organizacijske enote je dolžan v primeru, kadar je možno, da bi lahko vrsta obdelave v zvezi z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročilo veliko tveganje za pravice in svoboščine posameznikov, zlasti v primerih iz drugega odstavka tega člena pravil, pred obdelavo pripraviti pisno oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, ki jo predloži direktorju v podpis. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.
    
2. Ocena učinka se zahteva zlasti v naslednjih primerih:
   • obsežno vrednotenje in profiliranje posameznikov;
   • avtomatizirano odločanje s pravnim ali podobnim učinkom;
   • sistematičen nadzor nad posameznikom brez njegovega zavedanja;
   • obdelava posebnih vrst osebnih podatkov;
   • množičnost obdelave osebnih podatkov;
   • primerjanje in kombiniranje različnih zbirk podatkov (npr. pridobljenih skozi različne aktivnosti ARIS) in analitika na osnovi masovnih podatkov;
   • nesorazmerje moči (npr. zaposlenih, otrok);
   • inovativna uporaba obstoječih in novih tehnologij;
   • omejitev dostopa do storitve/pogodbe;
   • neposredno tveganje za zdravje in varnost posameznikov;
   • v drugih primerih glede na prepoznano veliko tveganje za pravice in svoboščine posameznikov ali kadar se želi preveriti obstoj ali učinkovitost varnosti obdelave osebnih podatkov.
      
3. Ocena zajema: sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva agencija; oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.
    
4. Vodja notranje organizacijske enote oceno učinka izvede z izpolnitvijo obrazca iz Priloge 4 teh pravil, k izpolnjevanju pa vključi tudi zaposlene, ki bodo izvajali predvidena dejanja obdelave oz. razpolagajo z informacijami za izvedbo ocene učinka, in, kadar je ustrezno, zunanjega izvajalca, če bo v imenu in za račun agencije obdeloval osebne podatke v okviru predvidene obdelave osebnih podatkov.
    
5. Če je obdelava potrebna za izpolnitev zakonske obveznosti ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti agencije in je bila ocena učinka že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se ocene učinkov ne opravi razen, če zakon določa drugače ali v primeru, da ARIS osebne podatke obdeluje s sredstvi obdelave (npr. programsko opremo in orodji za zbiranje, hrambo ali drugimi dejanji obdelave osebnih podatkov), ki so pod njenim nadzorom ali v skupnem upravljanju z drugim(i) upravljavci.
    
6. Pooblaščena oseba za varstvo osebnih podatkov hrani končne ocene učinkov v zvezi z varstvom osebnih podatkov, pripravljene v skladu s tem členom pravil.
    
7. V kolikor je bila v zvezi z varstvom osebnih podatkov izvedena ocena učinkov, je skrbnik zbirke v zvezi z obdelavami, za katere je bila izvedena ocena učinkov, odgovoren:
   • da sam ali v sodelovanju z drugimi zaposlenimi ali zunanjim izvajalcem (obdelovalcem), vzpostavi ukrepe, določene z oceno učinkov iz prvega odstavka tega člena pravil;
   • da, kadar je to potrebno, vzpostavi ustrezne ukrepe tudi v razmerju do zunanjih izvajalcev (obdelovalcev);
   • za redno spremljanje učinkovitosti izvajanja ukrepov iz ocene učinkov;
   • za preveritev in ažuriranje ocene učinkov, kadar je to glede na okoliščine potrebno (npr. zaradi kršitve varnosti osebnih podatkov v zvezi z obdelavo osebnih podatkov, za katere je bila izvedena ocena učinkov, spremembe predpisov, ki vplivajo na oceno učinkov, drugih sprememb v zvezi z obdelavo osebnih podatkov ipd.) oz. najmanj na dve leti.

17. člen

(posvetovanje v zvezi z oceno učinka)

1. Pri izvedbi ocene učinka se je treba posvetovati s pooblaščeno osebo za varstvo osebnih podatkov in sicer zlasti ali je ocena učinkov v zvezi z varstvom podatkov potrebna, katera metodologija naj se uporabi pri izvajanju ocene učinka v zvezi z varstvom podatkov, ali naj oceno učinka v zvezi z varstvom osebnih podatkov izvede interno ali naj jo odda v zunanje izvajanje, katere zaščitne ukrepe naj se uporabi za zmanjševanje morebitnih tveganj za pravice in interese posameznikov, na katere se nanašajo osebni podatki, in ali je bila ocena učinka v zvezi z varstvom podatkov pravilno izvedena in ali so njene ugotovitve (ali naj se obdelava nadaljuje ali ne in kateri zaščitni ukrepi naj se uporabijo) v skladu s Splošno uredbo o varstvu podatkov. Če se vodja notranje organizacijske enote ne strinja s pridobljenim mnenjem pooblaščene osebe za varstvo podatkov, je dolžan v dokumentaciji ocene učinka posebej pisno utemeljiti, zakaj mnenja ni upošteval.
    
2. Informacijskega pooblaščenca se mora zaprositi za mnenje v skladu s členom 36 Splošne uredbe o varstvu podatkov, kadar iz ocene učinka izhaja, da bi obdelava povzročila veliko tveganje, če agencija ne bi sprejela ukrepov za ublažitev tveganja.

18. člen

(prenos osebnih podatkov v tretje države ali mednarodne organizacije)

1. Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se izvede le če:
   • je Evropska komisija s sklepom o ustreznosti odločila, da tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov ali
   • pogodba med agencijo in obdelovalcem osebnih podatkov vsebuje standardna določila o varstvu podatkov, ki jih je sprejela Evropska komisija ali Informacijski pooblaščenec in potrdila Evropska komisija.
      
2. Agencija lahko v primeru, kadar osebnih podatkov ni možno prenesti v tretje države v skladu s prvim odstavkom tega člena pravil oziroma niso bili sprejeti ustrezni zaščitni ukrepi iz člena 46 Splošne uredbe o varstvu podatkov, na podlagi dovoljenja Informacijskega pooblaščenca, vzpostavi in dokumentira ustrezne zaščitne ukrepe, ki zagotavljajo učinkovito varstvo osebnih podatkov in pomenijo ustrezno pravno podlago za prenos osebnih podatkov. Agencija ustrezne zaščitne ukrepe dokumentira v evidenci dejavnosti obdelav.
    
3. Kadar ne obstaja druga pravna podlaga za posredovanje osebnih podatkov v tretjo državo ali mednarodno organizacijo, se lahko prenos v tretjo državo ali mednarodno organizacijo izjemoma izvede, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva agencija in nad katerimi ne prevladajo človekove pravice ali temeljne svoboščine ali interesi posameznika, na katerega se nanašajo osebni podatki, ter pod pogojem, da je agencija ocenila vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidela ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Pooblaščena oseba za varstvo osebnih podatkov o takem prenosu naknadno najpozneje v roku treh delovnih dni obvesti Informacijskega pooblaščenca. Agencija posamezniku, na katerega se nanašajo osebni podatki, posreduje informacije iz 10. člena teh pravil ter bistvene informacije o izvedenem prenosu in opis nujnih zakonitih interesov.
    
4. Skrbnik zbirke ali pooblaščeni zaposleni v zvezi z izvedbo prenosa osebnih podatkov iz tega člena pravil posvetuje s pooblaščeno osebo za varstvo osebnih podatkov.
    

III. POSEBNE UREDITVE ZA ZBIRKE VODENE NA ARIS

19. člen

(privolitev javnih uslužbencev)

V skladu z določbami teh pravil mora agencija pridobiti pisno privolitev javnih uslužbencev za vzpostavitev in vodenje zbirke ali osebnega podatka, ki jo ali ga namerava agencija voditi, pa taka zbirka ali osebni podatek ni predpisana ali predpisan z zakonom, ali če obdelava osebnih podatkov ni potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

20. člen

(vsebina pisne privolitve)

Pisna privolitev javnega uslužbenca se pripravi, tako da se ustrezno vsebinsko prilagodi obrazec iz Priloge 1 teh pravil. Vsebino in ustreznost privolitve pred njihovo uporabo pregleda pooblaščena oseba za varstvo osebnih podatkov.

21. člen

(vodenje osebnih podatkov zaposlenih na agenciji)

1. Zbirke javnih uslužbencev se vzpostavijo ob sklenitvi delovnega razmerja z javnim uslužbencem in se ažurirajo ob vsaki spremembi, ki jo javi javni uslužbenec. Osebne podatke v zbirki javnih uslužbencev vzpostavi in ažurira javni uslužbenec, pristojen za kadrovske zadeve v agenciji.
    
2. Druge zbirke o javnih uslužbencih se vzpostavijo z nastopom okoliščin in dejstev, ki narekujejo vzpostavitev zbirke.

22. člen

(vpogled javnega uslužbenca v zbirko)

1. Javni uslužbenec lahko vpogleda v osebne podatke, vodene o njem in jih ima pravico prepisati ali kopirati. Agencija je dolžna omogočiti vpogled in prepis osebnih podatkov v roku 7 dni od prejema pisne zahteve.
    
2. Javni uslužbenec ima pravico pisno zahtevati, da mu agencija posreduje izpis osebnih podatkov iz zbirke, ki se nanaša nanj, kar pa ne vpliva na njegovo pravico do dostopa do podatkov v skladu s temi pravili. Izpis je treba zagotoviti v roku 30 dni od dneva prejema pisne zahteve. Stroške izpisa nosi agencija.

23. člen

(videonadzor poslovnih prostorov)

1. Videonadzor se na agenciji izvaja za nadzorovanje vhoda in izhoda v poslovni objekt Bleiweisova cesta 30, Ljubljana in vhoda in izhoda iz poslovnih prostorov agencije v obsegu, ki je nujno potreben zaradi varnosti ljudi, premoženja, osebnih, tajnih in drugih podatkov. Izvajanje videonadzora je v pristojnosti najemodajalca.
    
2. O izvajanju videonadzora je na vhodih v varovano območje in na vhodu v glavno stavbo izobešeno obvestilo o videonadzoru s katerim se naznani, da se izvaja videonadzor. Podatke o pooblaščeni osebi za izvajanje videonadzora in telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema se dobi na recepciji poslovnega objekta Bleiweisova cesta 30.
    
3. Videoposnetke spremlja na ekranu varnostnik - receptor na vhodu poslovnega objekta Bleiweisova cesta 30, Ljubljana.
    
4. Le v primeru incidenčnih dogodkov videoposnetke pregleduje odgovorna oseba agencije, zadolžena za splošno varnost na zahtevo direktorja ali od njega pooblaščene osebe. Vsak pregled posnetkov videonadzora mora biti mora biti utemeljen in evidentiran.
    
5. Video nadzorne kamere so v obsegu, ki je nujno potreben zaradi varnosti ljudi, premoženja, osebnih, tajnih in drugih podatkov na agenciji nameščene na naslednjih lokacijah:
   • kamere v pritličju glavnega vhoda v poslovni objekt Bleiweisova cesta 30, Ljubljana,
   • kamera na vhodu v poslovne prostor v 1. kletno etažo starega dela zgradbe,
   • kameri na obeh vhodih v poslovne prostore v 1. nadstropju osrednjega dela stavbe,
   • kamera na vhodu v poslovne prostore v 2. nadstropju stolpiča,
   • kamera na obeh vhodih v poslovne prostore v 3M nadstropju starega dela zgradbe in
   • kamera v pritličju, 3., 4. in 5. nadstropju zgradbe.
      
6. Video nadzorni sistem se nahaja v sobi poleg recepcije na glavnem vhodu poslovnega objekta Bleiweisova cesta 30, Ljubljana. Prostor je tehnično varovan in vanj ima dostop samo odgovorna oseba zadolžena za splošno varnost poslovnega objekta Bleiweisova cesta 30, Ljubljana, in po potrebi odgovorna oseba za splošno varnost agencije in direktor agencije.
    
7. Videoposnetki se hranijo le toliko časa, kolikor je to potrebno za namene obdelave, ampak največ eno leto po nastanku, in se obdelujejo le za namene za katere so bili posneti, razen če drug predpis ne določa drugače. Nato se videoposnetki izbrišejo.
    

IV. POSTOPKOVNA DOLOČILA IN PRAVICE POSAMEZNIKA, NA KATEREGA SE OSEBNI PODATKI NANAŠAJO

24. člen

(postopkovna določila glede uveljavljanja pravic posameznikov)

1. Posameznik, na katerega se nanašajo osebni podatki, lahko pravice iz 27. do 32. člena teh pravil uveljavlja ustno na zapisnik po predhodni najavi v času uradnih ur, v pisni obliki ali v elektronski obliki. Če je zahteva predložena z elektronskimi sredstvi, se informacije, v kolikor je to mogoče, zagotovijo z elektronskimi sredstvi, razen v primeru, če posameznik zahteva drugače.
    
2. Za potrebe zanesljive identifikacije lahko agencija v primeru uveljavljanja pravic v zvezi z osebnimi podatki zahteva dodatne podatke, ki so potrebni za potrditev identitete upravičenega posameznika, pri čemer opozori posameznika, da bo v nasprotnem primeru njegovo zahtevo zavrnilo (npr. podatek, ki ga poznata le agencija in posameznik, osebna potrditev vloge).
    
3. Skrbnik zbirke oz. drug pooblaščen javni uslužbenec je po prejemu zahteve posameznika, s katero uveljavlja svoje pravice v zvezi s svojimi osebnimi podatki, dolžan odgovoriti brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema zahteve. Rok za uresničevanje pravic se lahko podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Če agencija podaljša rok, mora o podaljšanju obvestiti posameznika v enem mesecu od prejema zahtevka skupaj z razlogi za zamudo. Kadar skrbnik zbirke v celoti ugodi zahtevi posameznika, ga s pisnim obvestilom seznani z rešitvijo in v zadevi napravi uradni zaznamek, in če je to predmet zahteve, tudi z osebnimi podatki, ki se nanašajo nanj, v roku meseca dni od prejema zahteve.
    
4. Kadar skrbnik zbirke ne ugodi zahtevi posameznika, mora pisno obvestilo vključevati obrazložitev razlogov za odločitev in informacijo o pravnih sredstvih.
    
5. Kadar je zahteva posameznika, na katerega se osebni podatki nanašajo, nepopolna ali nerazumljiva, mora agencija v roku 5 dni od prejema zahteve od posameznika zahtevati, da se pomanjkljivosti odpravijo v roku 15 dni. Če posameznik v tem roku pomanjkljivosti ne odpravi, agencija s pisnim obvestilom obvesti posameznika, da njegove zahteve ne bo obravnavala, obrazloži svojo odločitev in ga pouči o pravnih sredstvih.
    
6. Skrbnik zbirke oz. drug pooblaščen javni uslužbenec je v primeru iz četrtega in petega odstavka tega člena pravil dolžan izdati odločbo, ki poleg sestavin, določenih z zakonom, ki ureja splošni upravni postopek, vsebuje tudi sestavine, ki jih določa ZVOP-2. Odločitev mora vsebovati razloge, kadar je potrebno, tudi razloge očitne neutemeljenosti ali pretiranosti zahteve, in pravico do pritožbe pri Informacijskem pooblaščencu v roku 15 dni od vročitve odločbe v zadevi. 25. člen

25. člen

(zavarovanje osebnih podatkov, ki so predmet postopka)

Skrbnik zbirke oz. drug pooblaščen javni uslužbenec od prejema zahteve vlagatelja iz tega poglavja pravil ali zahtev posameznika po drugih predpisih ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav iz 49. člena teh pravil in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.

26. člen

(stroški zagotavljanja informacij)

Vse zagotovljene informacije ter vsa sporočila in ukrepi v zvezi z varstvom osebnih podatkov se zagotovijo brezplačno, razen kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljeni ali pretirani, zlasti ker se ponavljajo, lahko upravljavec kljub temu zahtevi ugodi, če je po vsebini utemeljena, in posamezniku zaračuna razumne stroške. Razumni stroški vključujejo samo materialne stroške posredovanja informacij, sporočil, odgovorov oziroma izvajanja zahtevanega ukrepanja. Če skrbnik zbirke oz. drug pooblaščeni uslužbenec ugotovi, da bodo nastali stroški v skladu z določbami tega člena pravil, posameznika o tem vnaprej obvesti.

27. člen

(pravica dostopa do podatkov)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

• namene obdelave;
• vrste osebnih podatkov;
• uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
• predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja (npr. do preklica, do dosege namena);
• informacija o obstoju pravice do popravka ali izbrisa osebnih podatkov ali omejitev obdelave, ali obstoj pravice do ugovora obdelavi;
• informacija o pravici do vložitve pritožbe pri Informacijskemu pooblaščencu;
• kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, tudi vse razpoložljive informacije v zvezi z njihovim virom;
• o ustreznih zaščitnih ukrepih v zvezi s prenosom osebnih podatkov v tretjo državo ali mednarodno organizacijo.

28. člen

(pravica do popravka in do izbrisa)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da se brez nepotrebnega odlašanja:
   • netočni osebni podatki v zvezi z njim popravijo ali ob upoštevanju namenov obdelave dopolnijo;
   • osebni podatki v zvezi z njim izbrišejo in sicer: kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani; kadar posameznik prekliče privolitev, ki je podlaga za obdelavo osebnih podatkov in ni druge pravne podlage za obdelavo; kadar je vložen ugovor obdelavi, ki je potrebna zaradi zakonitih interesov ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene agenciji, pa za njihovo obdelavo ne obstajajo nobeni prevladujoči zakoniti razlogi; kadar so bili osebni podatki obdelani nezakonito ali jih je treba izbrisati za izpolnitev pravne obveznosti agencije.
      
2. Predlogu posameznika za izbris se ne ugodi, če je obdelava potrebna za: uresničevanje pravice do svobode izražanja in obveščanja; izpolnjevanje pravne obveznosti obdelave na podlagi prava EU ali slovenskega prava, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena agenciji; namene arhiviranja v javnem interesu, za znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, kolikor bi pravica do izbrisa osebnih podatkov lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave; ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
    
3. O popravku, dopolnitvi ali izbrisu osebnih podatkov se obvesti vse uporabnike, ki so jim bili osebni podatki razkriti, razen če je to nemogoče ali bi predstavljalo nesorazmeren napor.

29. člen

(pravica do omejitve obdelave)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati, da se obdelava njegovih osebnih podatkov omeji, kadar:
   • oporeka točnosti podatkov, za obdobje, ki agenciji omogoča preveriti točnost podatkov;
   • je obdelava nezakonita in namesto izbrisa osebnih podatkov zahteva omejitev uporabe;
   • agencija osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
   • je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi agencije prevladajo nad njegovimi razlogi.
      
2. Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa EU ali Republike Slovenije. O navedenih obdelavah se predhodno obvesti posameznika na katerega se nanašajo osebni podatki.
    
3. O omejitvi obdelave osebnih podatkov se obvesti vse uporabnike, ki so jim bili osebni podatki razkriti, razen če je to nemogoče ali bi predstavljalo nesorazmeren napor.

30. člen

(pravica do ugovora)

1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim:
   • kadar je obdelava potrebna zaradi zakonitih interesov za katere si prizadeva agencija ali za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, razen če agencija dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
   • kadar se osebni podatki obdelujejo v znanstvenoraziskovalne ali zgodovinskoraziskovalne namene ali statistične namene, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.
      
2. Posameznika se na pravico do ugovora izrecno opozori najpozneje ob prvem komuniciranju z njim.
    
3. V primeru utemeljenega ugovora posameznika, je agencija dolžna prenehati obdelovati osebne podatke.

31. člen

(pravica do preklica privolitve)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Privolitev je enako enostavno preklicati kot dati.
    
2. V primeru preklica privolitve je potrebno zagotoviti izbris podatkov, ki se obdelujejo na podlagi privolitve, kadar za obdelavo ne obstaja nobena druga pravna podlaga.

32. člen

(pravica do vložitve pritožbe v zvezi z obdelavo osebnih podatkov)

Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima posameznik, na katerega se nanašajo osebni podatki, pravico vložiti pritožbo pri Informacijskem pooblaščencu, če meni, da obdelava osebnih podatkov v zvezi z njim krši Splošno uredbo o varstvu podatkov.
 

V. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV

33. člen

(roki hrambe osebnih podatkov in zbirk)

1. Osebne podatke je dovoljeno hraniti le toliko časa, kolikor je to potrebno za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če zakon za posamezne obdelave določa drugačen rok hrambe ali obstaja druga podlaga za obdelavo osebnih podatkov.
    
2. Po izpolnitvi namena obdelave se osebni podatki izbrišejo, uničijo ali anonimizirajo razen, če zakon za posamezne vrste osebnih podatkov ne določa drugače.
    
3. Uničevanje, brisanje ali anonimizacija osebnih podatkov se mora izvajati tekoče in ažurno.

34. člen

(brisanje osebnih podatkov)

1. Dokumenti, ki se vodijo v papirni obliki (npr. listine, seznami, evidence, kartoteke), in vsebujejo osebne podatke, se uničijo tako, da postane osebni podatek nerazpoznaven in neobnovljiv. Javni uslužbenec lahko sam uniči dokumente v papirni obliki z uporabo rezalnika papirja.
    
2. Elektronski nosilci podatkov (npr. trdi diski, USB ključi, diskete), na katerih se nahajajo ali so se nahajali osebni podatki, se uničijo na način, ki onemogoča delno ali celotno restavracijo brisanih osebnih podatkov.
    
3. Dokumente v papirni obliki, ki niso bili uničeni z uporabo rezalnika papirja, in elektronski nosilci podatkov se uničijo v prostorih agencije ali zunaj prostorov agencije pod nadzorom pooblaščenega javnega uslužbenca agencije pri organizaciji, ki se ukvarja z uničenjem zaupne dokumentacije, s katero se sklene pisna pogodba v skladu z 51. členom teh pravil.
    
4. Uničevanje in brisanje osebnih podatkov se opravi komisijsko. Direktor imenuje tričlansko komisijo, ki prisostvuje in protokolira vsak izbris in uničevanje nosilcev osebnih podatkov z zapisnikom.
    
5. Z enako vestnostjo in skrbnostjo se izbriše oziroma uniči tudi pomožno dokumentacijo ali računalniške produkte oziroma predloge, ki vsebujejo posamezne osebne podatke.
    
6. Pri prenosu nosilcev podatkov, ki vsebujejo osebne podatke, na mesto uničenja, je treba zagotoviti ustrezno varnost v času prenosa (npr. onemogočena razpoznavnost ali obnovitev osebnih podatkov).
    
7. Prepovedano je odmetavati odpadne nosilce, ki vsebujejo osebne podatke na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).

VI. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA ARIS

35. člen

(elektronska pošta in uporaba druge programske opreme na računalniku)

1. Elektronska pošta in računalnik se uporabljata v službene namene.
    
2. Ne glede na prejšnji odstavek se elektronska pošta in ostala programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Šteje se, da elektronska pošta s priponkami večjimi od 1 MB vplivno obremenjuje kapacitete in zmogljivosti računalniškega sistema agencije in zmanjšuje prepustnost sistema elektronske pošte. Vsebina elektronske pošte v zasebne namene ne sme biti z neprimerno ali žaljivo vsebino.
    
3. V primeru prenehanja delovnega razmerja je dolžan zaposleni v času odpovednega roka svojo zasebno pošto izbrisati in svojemu nadrejenemu predati vso pomembno elektronsko pošto, povezano z njegovim delom in obveznostmi, ki jih mora agencija še izpolniti. Če zaposleni tega ne stori in agenciji zaradi tega nastane škoda, se vzpostavi podlaga za odškodninsko odgovornost. Po 90 dneh od prenehanja delovnega razmerja se e-poštni račun ukine, kopije sporočil pa se izbrišejo.
    
4. Zaposleni je dolžan pred napovedano odsotnostjo urediti samodejno sporočilo s kontaktnimi podatki osebe, ki ga bo nadomeščala.
    
5. Vpogled v vsebino oz. nadzor elektronske pošte in ostale programske opreme zaposlenega je dovoljen na podlagi odredbe sodišča ali pisne privolitve zaposlenega, v kateri sta poleg sestavin iz 20. člena teh pravil opredeljena tudi upravičenec do vpogleda in časovno obdobje dovoljenega vpogleda.
    
6. Vpogled v vsebino oz. nadzor elektronske pošte in ostale programske opreme zaposlenega brez pisnega soglasja zaposlenega ali odredbe sodišča se lahko opravi na podlagi pisnega sklepa direktorja agencije le v izjemnih primerih (npr. nenadna odpoved delavca, smrt delavca, bolniška ali druga nepredvidena odsotnost, utemeljen sum kršitev določila drugega odstavka tega člena pravil) in če namena ni mogoče doseči na milejši način (npr. nujno potrebno za pravočasno izvedbo nalog in do informacij ni bilo mogoče priti pravočasno na drug način). Vpogled opravi tri članska komisija, ki jo vsakokrat v pisnem sklepu imenuje direktor agencije. V njej mora biti en predstavnik zaposlenih, ki ni vodstveni delavec. O vpogledu mora komisija napisati zapisnik in nemudoma obvestiti zaposlenega v katerega elektronsko pošto se je pogledalo.
    
7. O namenih uporabe elektronske pošte in ostale programske opreme in možnosti nadzora morajo biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava teh pravil na interni spletni strani in obvestilo o njegovi objavi vsem zaposlenim po elektronski pošti.
    
8. Zasebne podatke lahko zaposleni hranijo v zasebni podatkovni mapi na lokalnem disku delovne postaje (D:\Zasebno\UporabIme).

36. člen

(internet)

1. Internet se uporablja v službene namene.
    
2. Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Internetne strani, ki se pregledujejo v zasebne namene, ne smejo biti z neprimerno ali žaljivo vsebino.
    
3. Direktor lahko s posebnim sklepom odredi blokado določenih spletnih strani.
    
4. Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema, na podlagi pisnega sklepa direktorja agencije.
    
5. O blokadi se obvesti vse zaposlene po elektronski pošti in z objavo na spletni strani agencije.
    
6. Če se pojavi utemeljen sum, da zaposleni ne spoštuje omejitev iz drugega odstavka tega člena se lahko na podlagi pisnega sklepa direktorja agencije opravi vpogled v podatke o obiskih spletnih strani zaposlenega brez njegovega pisnega soglasja le v izjemnih primerih (kot npr. reševanje uporabniških težav, reševanje varnostnih incidentov) in če namena ni mogoče doseči na milejši način. Vpogled se opravi na način določen v šestem odstavku prejšnjega člena teh pravil.
    
7. O namenih uporabe interneta ter možnosti nadzora iz tega člena pravil morajo biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava teh pravil na interni spletni strani in obvestilo o njegovi objavi vsem zaposlenim po elektronski pošti.

VII. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

37. člen

(način varovanja prostorov)

1. Agencija je najemnik poslovnih prostorov v poslovnem objektu "Center Tivoli" na lokaciji Bleiweisova cesta 30, Ljubljana. Najemodajalec zagotavlja fizično varovanje objektov in prostorov na lokacijah na naslovu Bleiweisova cesta 30, Ljubljana.
    
2. Prostori, kjer se nahajajo nosilci varovanih osebnih in drugih varovanih podatkov, strojna in programska oprema ter strežniki (v nadaljevanju: varovani prostori) morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov (npr. zaklenjeni prostori, uporaba gesel, kodirani oziroma šifrirani podatki, itd.).
    
3. Dostop v prostore iz prejšnjega odstavka je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja vodje notranje organizacijske enote ali direktorja.
    
4. Ključi varovanih prostorov se uporabljajo in hranijo tako, da je nepooblaščenim osebam onemogočen dostop do teh prostorov (npr. ključi se ne puščajo v ključavnici v vratih od zunanje strani).
    
5. Vsak zaposleni ima službeno kartico s katero vstopa v prostore agencije. V prostore, kjer se hranijo tajni podatki, če jih agencija ima, v prostore s strojno in računalniško opremo in v prostore arhiva lahko vstopajo samo zaposleni, ki imajo pravico do vpogleda v tajne podatke ali so pooblaščeni za vstop v te prostore.
    
6. Vsak zaposleni je dolžan s službeno kartico ravnati z vso skrbnostjo in z zavedanjem, da je namenjena samo njegovi osebni uporabi. Morebitno pogrešitev ali odtujitev kartice mora takoj javiti v Sektor za splošne zadeve, ki kartico nemudoma prekliče.

38. člen

(nadzor varovanih prostorov)

1. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.
    
2. Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema fizično ali programsko zaklenjena, pisalne mize pospravljene na način, da nepooblaščenim osebam ni omogočeno, da se seznanijo z osebnimi podatki, dostop do osebnih podatkov, hranjenih na disku računalnika pa omogočen le z geslom.
    
3. Zaposleni ne smejo puščati nosilcev osebnih podatkov na vidih mestih (npr. na mizah) v prisotnosti oseb, ki nimajo pravice vpogleda vanje ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam.
    
4. Nosilci osebnih podatkov, ki se nahajajo izven varovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni. Ključe hrani zaposleni, ki nadzoruje te nosilce osebnih podatkov.
    
5. Nosilcev, ki vsebujejo posebne vrste osebnih podatkov se ne sme hraniti izven varovanih prostorov.

39. člen

(varovanje nosilcev osebnih podatkov)

1. Javni uslužbenec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti oziroma na drug način poskrbeti, da nosilci osebnih podatkov ne ostanejo nezavarovani.
    
2. V varovane prostore agencije, nepooblaščene osebe ne smejo vstopati brez spremstva ali prisotnosti javnih uslužbencev, ki pri svojem delu obdelujejo osebne podatke.
    
3. Vzdrževalci prostorov in čistilke se lahko gibljejo v varovanih in drugih poslovnih prostorih agencije v delovnem času oziroma izven delovnega časa in brez prisotnosti pooblaščenega javnega uslužbenca le, če so nosilci podatkov shranjeni na način, ki ga določajo ta pravila za čas izven delovnega časa.
    
4. V prostorih, kjer imajo vstop osebe, ki niso zaposlene na agenciji, morajo biti nosilci osebnih podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da nepooblaščenim osebam ni omogočen vpogled vanje.
    
5. Nosilcev osebnih podatkov javni uslužbenci agencije ne smejo odnašati izven agencije brez izrecnega dovoljenja direktorja. Nosilce, ki vsebujejo posebne vrste osebnih podatkov, lahko zaposleni odnesejo izven prostorov agencije le izjemoma z dovoljenjem direktorja, če je to nujno potrebno za reševanje zadeve, ki vsebuje te posebne vrste osebnih podatkov. Direktor dovoli iznos nosilcev osebnih podatkov iz agencije posameznemu javnemu uslužbencu, z navedbo namena in razloga iznosa podatkov iz agencije.
    
6. V primeru iznosa prenosnih računalnikov izven prostorov agencije morajo biti ti ustrezno kriptirani, dostop do podatkov na sistemu pa je mogoč preko VPN dostopa. V primeru kraje delovne postaje je zaposleni dolžan nemudoma obvestiti Sektor za informacijsko infrastrukturo in poslovno informatiko, da onemogoči dostop do VPN sistema.
    

VIII. VAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

40. člen

(vzdrževanje in popravilo računalniške opreme)

Vzdrževanje in popravilo strojne računalniške opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščenega javnega uslužbenca Sektorja za informacijsko infrastrukturo in poslovno informatiko, izvajajo pa ga lahko samo za to pooblaščeni javni uslužbenci agencije ali pooblaščeni servisi in njihovi vzdrževalci.

41. člen

(dostop do računalniške programske opreme)

Dostop do računalniške programske opreme, s katero se hranijo ali obdelujejo osebni podatki, mora biti varovan na način, ki omogoča dostop samo določenim pooblaščenim javnim uslužbencem, ki dostop potrebujejo za opravljanje svojih nalog in odgovornosti (načelo »need-to-know«), in delavcem, ki za agencijo servisirajo programsko opremo (npr. s sistemom gesel) za čas in v obsegu, ki sta opredeljena s pogodbo o zaposlitvi ali s pogodbo z zunanjim izvajalcem in/ali drugimi navodili agencije.

42. člen

(delo na računalniški programski opremi)

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve vodje Sektorja za informacijsko infrastrukturo in poslovno informatiko, izvajajo pa jo lahko samo pooblaščeni javni uslužbenci ali pooblaščeni servis in organizacije oziroma njihovi delavci. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

43. člen

(varovanje sistemske in aplikativne programske opreme)

1. Za varovanje sistemske in aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz teh pravil.
    
2. Javni uslužbenec, pooblaščen za shranjevanje in obdelavo osebnih podatkov na računalniku, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.
    
3. Javni uslužbenec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti v času servisiranja računalnika in programske opreme ves čas prisoten in nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.
    
4. Za namen servisnega posega na daljavo se lahko pooblaščen javni uslužbenec Sektorja za informacijsko infrastrukturo in poslovno informatiko le na zahtevo in potrditev zaposlenega priklopi na računalnik zaposlenega (t.i. remote desktop).
    
5. V primeru izkazane potrebe po popravilu računalnika, na čigar disku se nahajajo osebni podatki, izven agencije in brez kontrole pooblaščenega javnega uslužbenca, se morajo podatki z diska računalnika izbrisati na način, ki zunanjemu izvajalcu onemogoča dostop do podatkov. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih agencije v prisotnosti pooblaščenega javnega uslužbenca.

44. člen

(računalniški virusi)

1. Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, na katerih so shranjeni osebni podatki, je treba zaščititi z ustreznimi protivirusnimi programi in jih redno preverjati.
    
2. Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo Sektorja za informacijsko infrastrukturo in poslovno informatiko oziroma pogodbenega partnerja, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu agencije.
    
3. Pred priključitvijo prenosnega računalnika oziroma drugih medijev, ki niso last agencije, na računalniško mrežo agencije, je le-te treba preveriti glede računalniških virusov.
    
4. Zaposleni ne smejo nameščati programske opreme brez vednosti javnega uslužbenca, zadolženega za delovanje računalniškega informacijskega sistema.
    
5. Zaposleni ne smejo odnašati programske opreme iz prostorov agencije brez izrecne odobritve vodje Sektorja za informacijsko infrastrukturo in poslovno informatiko.

45. člen

(gesla)

1. Pristop do osebnih podatkov preko aplikativne programske opreme se varuje s sistemom uporabniških gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni, spremenjeni ali drugače obdelani v zbirki ter kdo je to storil.
    
2. Vsako geslo s katerim se zagotavlja varstvo osebnih podatkov mora imeti vsaj 8 znakov, med njimi mora biti vsaj ena mala in ena velika črka, vsaj ena števka (od 0 - 9) ali poseben znak (npr. $ ali @).
    
3. Pooblaščeni javni uslužbenec določi režim dodeljevanja, hranjenja in spreminjanja gesel.

46. člen

(način hranjenja gesel)

Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje mreže osebnih računalnikov (supervisorska oziroma nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma v nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

47. člen

(računalniške kopije)

1. Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
    
2. Računalniške kopije vsebin zbirk na magnetnih trakovih ali drugih medijih se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

48. člen

(vgrajeno in privzeto varstvo podatkov)

1. Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, agencija tako v času določanja sredstev obdelave (npr. v postopkih javnega naročanja) kot tudi v času same obdelave (npr. v procesu razvoja ter vzdrževanja programske opreme) izvaja ustrezne tehnične in organizacijske ukrepe, kot je: psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve predpisov, ki urejajo varstvo osebnih podatkov, in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.
    
2. Javni uslužbenci, odgovorni za obdelavo osebnih podatkov v agenciji, izvedejo ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovijo, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

49. člen

(dnevniki obdelave)

1. Dnevniki obdelave se vodijo v primeru, kadar je v zvezi z uporabo informacijskega sistema agencije z oceno učinka ugotovljeno tveganje, ki ga je mogoče upravljati z vodenjem dnevnika obdelave in v drugih primerih, ki jih določa zakon; in sicer o naslednjih dejanjih obdelave osebnih podatkov:
   • zbiranje;
   • spreminjanje;
   • vpogled;
   • razkritje, vključno s prenosi;
   • izbris;
   • druga dejanja obdelave, ki jih določa zakon.
      
2. Dnevnik obdelave mora za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi agencija ob upoštevanju ocene učinka.
    
3. Dnevnik obdelave se uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani Informacijskega pooblaščenca ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.
    
4. Pooblaščeni zaposleni Informacijskemu pooblaščencu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogoči dostop do dnevnika obdelave.
    
5. Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika z ZVOP-2 določene omejitve, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.

50. člen

(osveščanje o varstvu osebnih podatkov ter ukrepih zavarovanja podatkov)

V agenciji se za vse zaposlene zagotavlja redno osveščanje o vsebinah s področja varstva osebnih podatkov ter ukrepih zavarovanja podatkov, upoštevajoč naloge in odgovornosti zaposlenih v zvezi z obdelavo osebnih podatkov, izkušnje v zvezi z obravnavo kršitev varnosti osebnih podatkov v agenciji, potencialna tveganja na varstvo osebnih podatkov v agenciji, vključno z varovanjem računalniške opreme in informacijskih sistemov agencije.
 

IX. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

51. člen

(omejitve storitev zunanjih izvajalcev)

1. Skrbnik zbirke osebnih podatkov (praviloma tudi skrbnik krovne pogodbe z zunanjim izvajalcem) zagotovi, da se z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov v imenu agencije (v nadaljevanju: obdelovalec), sklene pisna pogodba o obdelavi osebnih podatkov, ki mora med drugim vsebovati postopke in ukrepe za zagotovitev varnosti osebnih podatkov in relevantne zahteve predpisov s področja varstva osebnih podatkov. Pogodbo o obdelavi osebnih podatkov pregleda pooblaščena oseba za varstvo osebnih podatkov.
    
2. Obrazec pogodbe o obdelavi je Priloga 5 teh pravil, ki se ga prilagodi glede na vrsto in obseg obdelovanih osebnih podatkov, sredstva obdelave in tveganja nameravane pogodbene obdelave.
    
3. Kadar za ureditev obdelave osebnih podatkov ni mogoče uporabiti obrazca iz Priloge 5 teh pravil, je treba izvesti pregled s strani zunanjega izvajalca predlagane pogodbe o obdelavi osebnih podatkov, predvsem njene skladnosti z zahtevanimi pogodbenimi vsebinami iz Splošne uredbe o varstvu podatkov in ZVOP-2 (npr. v primeru večjih globalnih ponudnikov; zunanjih izvajalcev, ki za vse naročnike na trgu uporabljajo svoje obrazce pogodbenih določil o obdelavi osebnih podatkov).

52. člen

(podobdelava osebnih podatkov in prenos podatkov v tretje države ali mednarodne organizacije)

V primeru, da obdelovalec namerava obdelavo osebnih podatkov zaupati drugemu izvajalcu (v nadaljevanju: podobdelovalec) ali namerava prenašati osebne podatkov agencije v tretje države ali mednarodne organizacije, je pred tem dolžan o tem seznaniti agencijo in pridobiti pisno soglasje agencije, v kolikor agencija za posamezne namene obdelave s pogodbo ni podala splošnega pisnega dovoljenja. Obdelovalec je dolžan s podobdelovalcem skleniti pogodbo o obdelavi osebnih podatkov in slednjega zavezati k spoštovanju pogodbenih določil, ki v razmerju do agencije veljajo zanj. Kadar podobdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja agenciji za izpolnjevanje obveznosti drugega obdelovalca. Soglasja iz tega odstavka pravil, v okviru katerih se izvaja pogodbena obdelava osebnih podatkov, pripravi skrbnik zbirke osebnih podatkov in podpiše direktor agencije, hranijo pa se skupaj s pogodbo o obdelavi osebnih podatkov. Pred podajo soglasja se je treba posvetovati s pooblaščeno osebo za varstvo osebnih podatkov.

53. člen

(dodatne obveznosti obdelovalca)

1. Obdelovalec je dolžan zagotavljati podporo agenciji v zvezi z zagotavljanjem skladnosti s temi pravili, sklenjeno pogodbo ter predpisi s področja varstva osebnih podatkov in podatkov ne smejo obdelovati ali drugače uporabljati za drug namen, razen če osebne podatke sme obdelovati na kateri drugi pravni podlagi iz 4. člena teh pravil.
    
2. Obdelovalec zagotovi, da so osebe, ki so pri njem pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.
    
3. Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja uradno obvesti agencijo, ji zagotavlja potrebno podporo in informacije z namenom ocene tveganj v zvezi s kršitvijo ter celovitosti obveščanja Informacijskega pooblaščenca.
    
4. Obdelovalec je ob prenehanju obdelave osebnih podatkov, ki so mu bili zaupani v obdelavo, ne glede na razlog prenehanja obdelave (npr. prenehanje obdelovalca, prenehanje pogodbe), dolžan agenciji nemudoma vrniti zaupane podatke, zagotoviti njihov izbris, uničenje ali njihovo anonimizacijo, razen če pravo EU ali ZVOP-2 predpisuje shranjevanje osebnih podatkov.
    
5. Postopke in ukrepe za zagotovitev varnosti osebnih podatkov in po potrebi druge sestavine pogodbe v skladu s členom 28 Splošne uredbe o varstvu podatkov mora vsebovati tudi pogodba s pravno ali fizično osebo za vzdrževanje obstoječe strojne in programske opreme ter izdelavo in namestitev nove strojne ali programske opreme.
    
6. Obdelovalec da agenciji na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena pravil ter določil Splošne uredbe o varstvu podatkov, ter agenciji ali drugemu revizorju, ki ga pooblasti agencija, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
    
7. Skrbnik zbirke osebnih podatkov je dolžan o podpisu pogodbe o obdelavi osebnih podatkov in o podpisu soglasij iz 52. člena teh pravil seznaniti pooblaščeno osebo za varstvo osebnih podatkov, ki vodi seznam vseh obdelovalcev osebnih podatkov, ki vsebuje: naziv ali firmo obdelovalca, predmet obdelave, trajanje obdelave in soglasja, v kolikor so podana v skladu s tem členom pravil.

54. člen

(skupno upravljanje)

1. Agencija lahko z enim ali več drugimi upravljavci skupaj določi namene in načine obdelave (v nadaljevanju: skupni upravljavci). Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s predpisi s področja varstva osebnih podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij v skladu s Splošno uredbo o varstvu podatkov, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom EU ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.
    
2. Dogovor iz prvega odstavka tega člena ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz tega člena pravil uresničuje svoje pravice v skladu s predpisi s področja varstva osebnih podatkov glede vsakega od upravljavcev in proti vsakemu od njih.
    
3. V kolikor katerikoli skupni upravljavec za posamezne namene deluje tudi kot obdelovalec osebnih podatkov, se v dogovoru iz prvega odstavka dodatno uredijo tudi vsebine iz člena 28 Splošne uredbe o varstvu podatkov.
    
4. Za pripravo, pregled, podajo soglasij, v kolikor se določijo s pogodbo o skupnem upravljanju, in podpisovanje pogodbe o skupnem upravljanju, se z vidika odgovornosti v agenciji smiselno uporabljajo določila 51. člena teh pravil.
    

X. UKREPANJE OB KRŠITVI VARNOSTI OSEBNIH PODATKOV

55. člen

(ravnanje z osebnimi podatki)

1. Zaposleni so dolžni preprečevati zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno ter na način in po postopkih, ki jih določajo ta pravila.
    
2. Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju ali spreminjanju osebnih podatkov takoj obvestiti vodjo notranje organizacijske enote in pooblaščeno osebo za varstvo osebnih podatkov, sami pa morajo z zakonitimi ukrepi takšno aktivnost preprečiti in vsako kršitev varnosti osebnih podatkov, vključno z dejstvi kršitve varnosti, njene učinke in sprejete popravne ukrepe pisno dokumentirati.

56. člen

(obravnava kršitve varnosti osebnih podatkov)

1. Vodja notranje organizacijske enote v roku 48 ur po seznanitvi s kršitvijo varnosti osebnih podatkov preveri ali je do kršitve dejansko prišlo (npr. tako, da opravi razgovore), ali so bili izvedeni vsi potrebni ukrepi (npr. zavarovanje sledi, sprejem tehničnih in organizacijskih zaščitnih ukrepov, sprejem naknadnih ukrepov za zagotovitev, da se tveganje za pravice in svoboščine posameznikov verjetno ne bo več udejanjilo) in če niso bili, poskrbi, da se kršitev varstva osebnih podatkov odpravi, ter s pomočjo Priloge 6 teh pravil naredi oceno ali so bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznika oziroma ali bi kršitev povzročila (veliko) tveganje za pravice in svoboščine posameznikov ter pripravi pisno poročilo o kršitvi varstva osebnih podatkov, ki ga izroči direktorju in pooblaščeni osebi za varstvo osebnih podatkov.
    
2. V primeru, da je prišlo do kršitve varstva osebnih podatkov zaradi težav na računalniškem omrežju, vodja Sektorja za informacijsko infrastrukturo in poslovno informatiko izvede ukrepe in opravi druge obveznosti iz prejšnjega odstavka.

57. člen

(obveščanje Informacijskega pooblaščenca in/ali posameznikov)

1. Pooblaščena oseba za varstvo osebnih podatkov je dolžna v primeru, kadar je na podlagi ocene kršitve iz 56. člena tega člena pravil verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznika, brez nepotrebnega odlašanja, po možnostih pa najpozneje v 72 urah po seznanitvi s kršitvijo varnosti osebnih podatkov, Informacijskega pooblaščenca (z izpolnitvijo priporočenega obrazca, ki je objavljen na njegovi spletni strani), seznaniti z opisom vrste kršitve varnosti osebnih podatkov, sporočilom o kontaktnih podatkih pooblaščene osebe za varstvo podatkov, opisom verjetnih posledic, opisom sprejetih oziroma nameravanih ukrepov za obravnavanje in ublažitev škodljivih učinkov kršitev in opisom razlogov zakaj obvestilo Informacijskemu pooblaščencu ni bilo podano v 72 urah.
    
2. Pooblaščena oseba za varstvo osebnih podatkov je dolžna brez nepotrebnega odlašanja posamezniku, na katerega se osebni podatki nanašajo, pri ugotovitvi kršitve varnosti osebnih podatkov poslati obvestilo le, kadar je bilo v skladu s 56. členom teh pravil ocenjeno, da je verjetno, da bi kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov. Obvestilo mora vsebovati sporočilo o vrsti kršitve, kontaktne podatke pooblaščene osebe za varstvo podatkov, opis verjetnih posledic in opis sprejetih oziroma nameravanih ukrepov za obravnavanje in ublažitev škodljivih učinkov kršitev.
    
3. Pooblaščena oseba za varstvo osebnih podatkov vodi zbirko vseh obravnav kršitev iz tega člena pravil.

58. člen

(ukrepanje v zvezi z zlorabo uporabe osebnih podatkov)

1. Direktor mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko, ustrezno ukrepati.
    
2. Če obstaja pri vdoru v zbirko sum, da je ta storjen z namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora direktor poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je storilec javni uslužbenec agencije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.
    
3. Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z zakonsko določenimi nameni zbiranja ali nameni, določenimi v evidenci dejavnosti obdelave. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.
    

XI. ODGOVORNOST ZA IZVAJANJE UKREPOV ZA ZAGOTAVLJANJE VARNOSTI OSEBNIH PODATKOV

59. člen

(odgovornost in nadzor)

1. Za izvajanje postopkov in ukrepov za zagotavljanje varnosti osebnih podatkov so odgovorni vsi zaposleni.
    
2. Nadzor nad izvajanjem postopkov in ukrepov, določenih s temi pravili opravlja direktor, vodje posameznih sektorjev, pooblaščena oseba za varstvo osebnih podatkov in oseba zadolžena za delovanje računalniškega informacijskega sistema.

60. člen

(izjava o varovanju osebnih podatkov)

1. Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zagotavljanje varnosti osebnih podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
    
2. Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti (Priloga 7 teh pravil).
    
3. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami teh pravil, zakona, ki ureja varstvo osebnih podatkov in Splošne uredbe o varstvu podatkov. Izjava mora vsebovati tudi pouk o posledicah kršitve.

61. člen

(kršitev določil pravil)

1. Kršitev določil teh pravil predstavlja kršitev obveznosti iz delovnega razmerja.
    
2. Odgovornost iz prejšnjega odstavka ne izključuje kazenske, odškodninske ali druge odgovornosti.
    

XII. POOBLAŠČENA OSEBA ZA VARSTVO OSEBNIH PODATKOV

62. člen

(pooblaščena oseba za varstvo osebnih podatkov)

1. Direktor agencije izmed zaposlenih na agenciji imenuje pooblaščeno osebo za varstvo osebnih podatkov in o tem obvesti Informacijskega pooblaščenca.
    
2. Pooblaščena oseba za varstvo osebnih podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz petega odstavka tega člena.
    
3. Agencija je dolžna pooblaščeni osebi za varstvo osebnih podatkov predati vse potrebne informacije v zvezi z varstvom osebnih podatkov, zagotoviti, da je ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov ter zagotoviti sredstva potrebna za opravljanje nalog za varstvo osebnih podatkov in ohranjanje njenega strokovnega znanja.
    
4. Pooblaščena oseba za varstvo osebnih podatkov je neodvisna in svobodna pri izvajanju svojih nalog. O svojem delu poroča direktorju. Enak položaj ima do pogodbenega obdelovalca osebnih podatkov.
    
5. Pooblaščena oseba za varstvo podatkov opravlja vsaj naslednje naloge:
   • obveščanje vseh zaposlenih in obdelovalcev, ki izvajajo obdelavo, ter svetovanje o njihovih obveznostih v zvezi z varstvom osebnih podatkov;
   • spremljanje skladnosti s Splošno uredbo o varstvu podatkov, drugimi določbami prava EU ali slovenskega prava o varstvu podatkov in politikami agencije ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
   • svetovanje pri pripravi in vključevanju informacij o varstvu osebnih podatkov za posameznike v obrazce, spletne informacije ali dokumente iz tega člena pravil;
   • pravni pregled krovne pogodbe in pogodbe o obdelavi osebnih podatkov ter njihovih sprememb ter svetovanje v zvezi z izdajo soglasij (npr. v primeru, da bi zunanji izvajalec osebne podatke agencije obdeloval z drugim izvajalcem ali jih namerava prenesti v tretje države);
   • svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja,
   • na podlagi informacij skrbnikov zbirk in zaposlenih, odgovornih za evidence dejavnosti obdelave, vodi seznam vseh evidenc dejavnosti obdelave, hrani vse evidence dejavnosti obdelave v agenciji, hrani končne verzije ocen učinka v zvezi z varstvom osebnih podatkov in seznam vseh pogodbenih obdelovalcev;
   • svetovanje v zvezi s kršitvami varnosti osebnih podatkov;
   • delovanje kot kontaktna točka za Informacijskega pooblaščenca pri vprašanjih v zvezi z obdelavo, in, kjer je ustrezno, glede katere koli druge zadeve.
      

XIII. KONČNE DOLOČBE

63. člen

(uskladitev ukrepov in postopkov)

Vse notranje organizacijske enote agencije morajo uskladiti ukrepe in postopke, določene s temi pravili, ter v rokih, ki jih določi direktor agencije.

64. člen

(seznanjenost zaposlenih)

1. Ta pravila se objavi na internem mrežnem pogonu in spletni strani agencije.
    
2. S tem je vsakomur omogočen vpogled v pravila, zato se šteje, da so z dnem njihove objave z njim in njegovo vsebino, seznanjeni vsi zaposleni.

65. člen

(začetek veljavnosti pravil)

Ta pravila začnejo veljati naslednji dan po objavi na internem mrežnem pogonu in spletni strani agencije.

66. člen

(prenehanje uporabe)

Z dnem uveljavitve teh pravil preneha veljati Pravilnik o postopkih in ukrepih za zagotavljanje varnosti osebnih podatkov na Javni agenciji za znanstvenoraziskovalno in inovacijsko dejavnost Republike Slovenije, številka: 007-9/2022-1 z dne 27. 5. 2022.

Številka: 007-18/2025
Datum: 3. 11. 2025

Tjaša Dobnik,
direktorica
 

** Priloge objavljenih pravil niso objavljene, saj so namenjene interni uporabi