Podatki o splošnem aktu in njegove spremembe:
- Številka: 007-8/2008-1, z dne 30. 5. 2008,
- Številka: 007-8/2008-3, z dne 30. 7. 2008,
- Številka: 007-8/2008-5, z dne 11. 4. 2013,
- Številka: 007-8/2008-7, z dne 20. 1. 2014,
- Številka: 007-8/2008-8, z dne 17. 8. 2016.
Neuradni čistopis z dne 19.8.2016.
Podatki o tej verziji čistopisa: upoštevana zadnja sprememba akta številka: 007-8/2008-8,
z dne 17. 8. 2016.
Pravilnik o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije
VSEBINA:
- SPLOŠNE DOLOČBE
- VAROVANJE PROSTOROV IN RAČUNALNIŠKE
OPREME
- ZAVAROVANJE PROGRAMSKE
RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
- STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE
OSEBE
- RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH
PODATKOV
- BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV
OSEBNIH PODATKOV
- UKREPANJE OB ZLORABI OSEBNIH PODATKOV
ALI VDORU V ZBIRKE OSEBNIH PODATKOV
- ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA
OSEBNIH PODATKOV
- POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV
VODENIH NA ARRS
- UPORABA INFORMACIJSKIH TEHNOLOGIJ NA
AGENCIJI
- PREHODNE IN KONČNE DOLOČBE
Na podlagi 25. člena Zakona o varstvu osebnih podatkov (Uradni
list RS, št. 94/07-UPB1) in 28. člena Statuta Javne agencije za raziskovalno dejavnost
Republike Slovenije z dne 22.07.2004 in nasl., izdaja direktor Javne agencije za
raziskovalno dejavnost Republike Slovenije
Pravilni o zavarovanju osebnih podatkov na Javni
agenciji za raziskovalno dejavnost Republike Slovenije
I. SPLOŠNE DOLOČBE
1. člen
(namen)
S tem pravilnikom se določajo organizacijski, tehnični in logistično-tehnični
postopki in ukrepi za zavarovanje osebnih podatkov v Javni agenciji za raziskovalno
dejavnost Republike Slovenije (v nadaljevanju: agencija) z namenom, da se prepreči
slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo
kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Zakona,
ki ureja varstvo osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo
osebne podatke, morajo biti seznanjeni z Zakonom, ki ureja varstvo osebnih podatkov,
s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino
tega pravilnika.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1),
- Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne
glede na obliko, v kateri je izražen,
- Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša
osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno
identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega
ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko,
kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča
velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa,
- Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje
vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo
ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran
ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov
je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost
posameznika,
- Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj,
ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki
so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi
v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje,
prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom,
sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje,
blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali
avtomatizirana (sredstva obdelave),
- Upravljavec osebnih podatkov je agencija, ki sama ali skupaj z drugimi subjekti
določa namene, sredstva in način obdelave osebnih podatkov,
- Osebna privolitev posameznika - je prostovoljna izjava posameznika, da se
lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi
informacij, ki mu jih mora zagotoviti upravljavec po zakonu, ki ureja varstvo
osebnih podatkov; osebna privolitev posameznika je lahko pisna, ustna ali druga
ustrezna privolitev posameznika,
- Pogodbeni obdelovalec - je fizična ali pravna oseba, ki obdeluje osebne
podatke v imenu in na račun upravljavca osebnih podatkov,
- Pooblaščeni javni uslužbenec - je javni uslužbenec, ki je odgovoren za vzpostavitev,
vodenje, vzdrževanje in hranjenje zbirke osebnih podatkov (skrbnik zbirke osebnih
podatkov),
- Občutljivi osebni podatki - so podatki o rasnem, narodnem ali narodnostnem
poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu,
zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske
evidence ali evidence, ki se vodi na podlagi zakona, ki ureja prekrške ter biometrične
značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno
od prej navedenih okoliščin,
- Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba
javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki,
- Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti
podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnimi,
optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno
gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
- Tretja država - je država, ki ni članica Evropske unije ali del Evropskega
gospodarskega prostora,
- Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje
vsaj en podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje
podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen
na funkcionalni ali geografski podlagi; strukturiran je niz podatkov, ki je
organiziran na takšen način, da določi ali omogoči določljivost posameznika,
- Katalog zbirke osebnih podatkov - je opis zbirke osebnih podatkov.
3. člen
(katalog zbirk)
Opis zbirk osebnih podatkov, katerih upravljavec je agencija, se vodi v katalogu
zbirk osebnih podatkov, ki se vodi v skladu z določbami 26. člena ZVOP-1. Podatki
iz 1., 2., 4., 5., 6., 9., 10., 12. in 13. točke katalogov zbirk osebnih podatkov
se posredujejo državnemu organu, pristojnemu za vodenje Registra zbirk osebnih podatkov.
Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje
15 dni pred vzpostavitvijo zbirke osebnih podatkov, v istem roku pa se podatki iz
kataloga posredujejo tudi pristojnemu državnemu organu. Katalog zbirk osebnih podatkov
se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki, spremembe
pa se v roku 8 dni posredujejo tudi pristojnemu državnemu organu.
Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk
osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti
tudi vsakomur, ki to zahteva.
4. člen
(osebni podatki)
Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na
lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi.
V smislu določbe prvega odstavka tega člena štejejo za osebne podatke o fizični
osebi zlasti:
- identifikacijski podatki o posamezniku,
- podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,
- podatki, ki se nanašajo na družinska razmerja,
- podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,
- podatki o zaposlitvi,
- podatki o izobrazbi, o pridobljenih nazivih in znanjih,
- podatki o biometričnih značilnostih,
- slikovni in (glasovni) podatki videonadzora,
- podatki o zdravstvenem stanju posameznika,
- podatki o aktivnostih v prostem času,
- podatki o ideoloških in verskih prepričanjih,
- podatki o socialnem in ekonomskem stanju posameznika,
- podatki o uporabi komunikacijskih sredstev,
- podatki o posamezniku na področju notranjih zadev,
- podatki o navadah posameznikov.
5. člen
(ukrepi in postopki)
Agencija zagotavlja ustrezno zavarovanje osebnih podatkov.
Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične
postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali
namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno
obdelavo teh podatkov tako, da se: - varujejo prostori in dostop do prostorov, kjer
se hranijo osebni podatki, - varuje sistemska in aplikativna programska oprema,
s katero se obdelujejo osebni podatki, - zagotavlja varnost posredovanja in prenosa
osebnih podatkov, - onemogoča nepooblaščenim osebam dostop do naprav, na katerih
se obdelujejo osebni podatki in do njihovih zbirk, - zagotavlja učinkovit način
blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov, - omogoča naknadno
ugotavljanje časa vnosa posameznih podatkov v zbirko podatkov.
6. člen
(občutljivi podatki)
Posebno vestno in skrbno morata biti izvajana obdelovanje in zavarovanje občutljivih
osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem
poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu,
zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence
ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške in biometrične značilnosti.
Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani
tako, da se nepooblaščenim osebam prepreči dostop do njih.
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
7. člen
(način varovanja prostorov)
Agencija je najemnik poslovnih prostorov v poslovnem objektu "Center Tivoli"
na lokaciji Tivolska cesta 30, Ljubljana. Najemodajalec zagotavlja fizično varovanje
objektov in prostorov na lokacijah na naslovu Tivolska cesta 30, Ljubljana.
Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov - vsak dokument,
na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec
podatka - in strojna ter programska oprema (v nadaljevanju: varovani prostori) morajo
biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki onemogočajo
nepooblaščenim osebam dostop do podatkov.
Dostop v prostore iz drugega odstavka tega člena je mogoč in dopusten le v delovnem
času, izven delovnega časa pa le na podlagi dovoljenja pooblaščenega vodje delovnega
področja (v nadaljevanju: vodja organizacijske enote).
Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom.
Ključi se ne puščajo v ključavnici v vratih od zunanje strani.
8. člen
(nadzor varovanih prostorov)
Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati
ob odsotnosti delavcev, ki jih nadzorujejo.
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov
zaklenjene, računalniki in druga strojna oprema programsko zaklenjeni, dostop do
osebnih podatkov, hranjenih na disku računalnika pa omogočen le z geslom.
Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb,
ki nimajo pravice vpogleda vanje.
Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki,
skupni prostori) morajo biti stalno zaklenjeni.
Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.
9. člen
(varovanje nosilcev osebnih podatkov)
V prostore, kjer so shranjeni nosilci osebnih podatkov, nepooblaščene osebe ne
smejo vstopati brez spremstva ali prisotnosti javnih uslužbencev, ki pri svojem
delu uporabljajo ali obdelujejo osebne podatke. Javni uslužbenec, ki dela v varovanih
prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti
prostor.
Javni uslužbenec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli
obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih
mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim
osebam oziroma nepooblaščenim javnim uslužbencem.
V prostorih, kjer imajo vstop osebe, ki niso zaposlene na agenciji, morajo biti
nosilci osebnih podatkov in računalniški prikazovalniki nameščeni v času obdelave
ali dela na njih tako, da nepooblaščenim osebam ni omogočen vpogled vanje.
Nosilcev osebnih podatkov javni uslužbenci agencije ne smejo odnašati izven agencije
brez izrecnega dovoljenja direktorja.
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih
agencije.
Direktor lahko dovoli iznos nosilcev osebnih podatkov iz agencije posameznemu
javnemu uslužbencu, z navedbo namena in razloga iznosa podatkov iz agencije.
10. člen
(vzdrževanje in popravilo računalniške opreme)
Vzdrževanje in popravilo strojne računalniške opreme, s katero se obdelujejo
osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščenega javnega
uslužbenca organizacijske enote za informatiko, izvajajo pa ga lahko samo za to
pooblaščeni javni uslužbenci agencije ali pooblaščeni servisi in njihovi vzdrževalci.
11. člen
(gibanje v poslovnih prostorih)
Vzdrževalci prostorov in druge opreme, poslovni partnerji in drugi obiskovalci
se smejo gibati v prostorih, kjer se hranijo ali obdelujejo osebni podatki le ob
prisotnosti javnega uslužbenca agencije.
12. člen
(gibanje v varovanih prostorih)
Vzdrževalci prostorov in čistilke se lahko gibljejo v varovanih prostorih izven
delovnega časa in brez prisotnosti pooblaščenega javnega uslužbenca le, če so nosilci
podatkov shranjeni na način, ki ga določa ta pravilnik za čas izven delovnega časa.
III. ZAVAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO
Z RAČUNALNIŠKO OPREMO
13. člen
(dostop do računalniške programske opreme)
Dostop do računalniške programske opreme, s katero se hranijo ali obdelujejo
osebni podatki, mora biti varovan na način, ki omogoča dostop samo določenim pooblaščenim
javnim uslužbencem in delavcem, ki za agencijo servisirajo programsko opremo.
14. člen
(delo na računalniški programski opremi)
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske
opreme je dovoljeno samo na podlagi odobritve vodje organizacijske enote za informatiko,
izvajajo pa ga lahko samo pooblaščeni javni uslužbenci ali pooblaščeni servis in
organizacije oziroma njihovi delavci.
Zunanji izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske
opreme ustrezno dokumentirati.
15. člen
(shranjevanje in varovanje aplikativne programske opreme)
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila
kot za ostale podatke iz tega pravilnika.
Javni uslužbenec, pooblaščen za shranjevanje in obdelavo osebnih podatkov na
računalniku, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali
dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju
osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.
Javni uslužbenec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku,
mora biti v času servisiranja računalnika in programske opreme ves čas prisoten
in nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.
V primeru izkazane potrebe po popravilu računalnika, na čigar disku se nahajajo
osebni podatki, izven agencije in brez kontrole pooblaščenega javnega uslužbenca
agencije, se morajo podatki z diska računalnika izbrisati na tak način, ki zunanjemu
izvajalcu onemogoča dostop do podatkov. Če tak izbris ni mogoč, se mora popravilo
opraviti v poslovnih prostorih agencije v prisotnosti pooblaščenega javnega uslužbenca
agencije.
16. člen
(računalniški virusi)
Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, na katerih so
shranjeni osebni podatki, je treba zaščititi z ustreznimi protivirusnimi programi
in jih redno preverjati.
Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo organizacijske
enote informatike oziroma pogodbenega partnerja, obenem pa se ugotovi vzrok pojava
virusa v računalniškem informacijskem sistemu agencije.
Pred priključitvijo prenosnega računalnika, ki ni last agencije, na računalniško
mrežo agencije, je potrebno računalnik preveriti glede računalniških virusov.
Zaposleni ne smejo inštalirati programske opreme brez vednosti javnega uslužbenca,
zadolženega za delovanje računalniškega informacijskega sistema.
Zaposleni ne smejo odnašati programske opreme iz prostorov agencije brez izrecne
odobritve vodje organizacijske enote za informatiko.
17. člen
(gesla)
Pristop do osebnih podatkov preko aplikativne programske opreme se varuje s sistemom
uporabniških gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.
Sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili
posamezni osebni podatki vneseni ali spremenjeni v zbirki podatkov ter kdo je to
storil.
Pooblaščeni javni uslužbenec določi režim dodeljevanja, hranjenja in spreminjanja
gesel.
18. člen
(način hranjenja gesel)
Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje mreže
osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske
pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah
in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih
okoliščinah oziroma v nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic
se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
19. člen
(računalniške kopije)
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih
situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih
postaj, če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih,
ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam,
v okviru predpisanih klimatskih pogojev ter zaklenjena.
Računalniške kopije vsebin zbirk osebnih podatkov na magnetnih trakovih ali drugih
medijih se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana
proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev
ter zaklenjena.
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
20. člen
(omejitve storitev zunanjih sodelavcev)
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi
z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je
registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene
pisna pogodba, predvidena v zakonu, ki ureja varstvo osebnih podatkov. V pogodbi
morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih
podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo
strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko
opremo.
Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov
samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače
uporabljati za noben drug namen.
Pooblaščena pravna ali fizična oseba, ki za agencijo opravlja dogovorjene storitve
izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih
podatkov, kakor ga predvideva ta pravilnik.
V. RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV
21. člen
(zbirke osebnih podatkov)
Agencija vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi
zakona in osebne podatke, ki jih vodi v okviru zakonsko določenih zbirk, na podlagi
pogodbenega razmerja ali na podlagi soglasja osebe, na katero se podatki nanašajo.
Vrste zbirk osebnih podatkov, ki jih agencija vodi so določene z internim seznamom
katalogov zbirk osebnih podatkov, ki je priloga tega pravilnika.
Agencija po prenehanju vodenja posamezne zbirke osebnih podatkov sporoči Državnemu
nadzornemu organu, najkasneje v roku 8 dni po prenehanju vodenja posamezne zbirke
osebnih podatkov, katero zbirko osebnih podatkov je prenehala voditi in kaj je storila
z osebnimi podatki iz te zbirke (ali jih je izbrisala, uničila, blokirala, anonimizirala
ali predala drugemu upravljavcu).
22. člen
(vzpostavitev zbirke osebnih podatkov)
Posamezno zbirko osebnih podatkov v posamezni organizacijski enoti agencije vzpostavi
pooblaščena oseba za določeno zbirko osebnih podatkov, ki jo določi direktor agencije.
23. člen
(način posredovanja osebnih podatkov)
Javni uslužbenec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti
poštno pošiljko z osebnimi podatki direktno posamezniku ali organizacijski enoti,
na katero se ta pošiljka nanaša.
Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku v ovojnici,
ki mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni
svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav
tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino
ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti
podpisu v dostavni knjigi ali z vročilnico.
Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za
identifikacijo.
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi
in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo
prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
24. člen
(obdelava občutljivih osebnih podatkov)
Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih
omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim
podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
25. člen
(vpogled v zbirko osebnih podatkov)
Javni uslužbenec oziroma oseba, o kateri se vodijo osebni podatki oziroma pooblaščenec
javnega uslužbenca ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki
osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke,
vodene o njem oziroma o zastopancu in jih ima pravico prepisati ali kopirati. Agencija
je dolžna omogočiti vpogled in prepis osebnih podatkov v roku 7 dni od prejema pisne
zahteve.
Oseba iz prvega odstavka tega člena ima pravico pisno zahtevati, da ji agencija
posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo.
Izpis je potrebno zagotoviti v roku 30 dni od dneva prejema pisne zahteve. Stroške
izpisa nosi agencija.
26. člen
(posredovanje osebnih podatkov)
Za posredovanje in evidentiranje osebnih podatkov, z izjemo podatkov, ki se posredujejo
v skladu s 26. členom Zakona o raziskovalni in razvojni dejavnosti (Ur.l. RS, št.
22/06- UPB 1 in 61/06-Zdru-1), se uporabljajo določila tega člena.
Javni uslužbenci agencije, ki zbirajo ali obdelujejo osebne podatke, smejo z
dovoljenjem direktorja (podpis direktorja) posredovati podatke samo tistim uporabnikom,
ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo
posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo,
v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev
osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev
posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere
mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na
kakšni podlagi (22. člen ZVOP-1).
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe
sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
Dejstva o posredovanju osebnih podatkov iz zbirke osebnih podatkov, vodene v
agenciji, se morajo v roku 3 dni od dneva posredovanja, sporočiti osebi, o kateri
so bili posredovani podatki.
Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora javni uslužbenec,
ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili
v določenem obdobju posredovani podatki, ki so vsebovani v zbirki osebnih podatkov
agencije in se nanašajo nanjo.
VI. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV
27. člen
(roki hranjenja osebnih podatkov)
V zbirki osebnih podatkov je dovoljeno hraniti osebne podatke posameznika le
toliko časa, kolikor je potrebno za dosego namena, za katerega se podatki zbirajo
in vodijo.
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali
anonimizirajo, razen če zakon ali drug akt ne določa drugače.
Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni
iz 7. točke posameznega kataloga zbirke osebnih podatkov.
28. člen
(brisanje osebnih podatkov)
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja,
da je nemogoča restavracija vseh ali dela brisanih podatkov.
Osebni podatki, vsebovani na listinah, seznamih, v kartotekah, evidencah in registrih
se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo na način, ki onemogoča
čitanje vseh ali dela uničenih podatkov (požgejo, razrežejo) v prostorih agencije
ali pod nadzorom pooblaščenega javnega uslužbenca agencije pri organizaciji, ki
se ukvarja z uničenjem zaupne dokumentacije.
Uničevanje in brisanje osebnih podatkov se opravi komisijsko. Direktor imenuje
tričlansko komisijo, ki prisostvuje in protokolira vsak izbris in uničevanje nosilcev
osebnih podatkov z zapisnikom.
Z enako vestnostjo in skrbnostjo je potrebno brisati in uničevati tudi pomožno
dokumentacijo ali računalniške produkte oziroma predloge, ki vsebujejo posamezne
osebne podatke.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti
ustrezno zavarovanje tudi v času prenosa.
Uničevanje osebnih podatkov na nosilcih iz prejšnjega odstavka se mora izvajati
tekoče in ažurno.
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše
za smeti
VII. UKREPANJE OB ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV
29. člen
(ravnanje z osebnimi podatki)
Zaposleni so dolžni preprečevati zlorabe osebnih podatkov in morajo z osebnimi
podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno ter na
način in po postopkih, ki jih določa ta pravilnik.
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim
uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju
ali poškodovanju takoj obvestiti pooblaščeno osebo in direktorja, sami pa poskušajo
takšno aktivnost preprečiti.
30. člen
(odgovornost in nadzor)
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni
vsi zaposleni.
31. člen
(zloraba uporabe osebnih podatkov)
Direktor mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno
vdrl v zbirko osebnih podatkov, ustrezno ukrepati.
Če obstaja pri vdoru v zbirko osebnih podatkov sum, da je ta storjen z naklepom
in z namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni za
katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora direktor
poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno
odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz
krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je storilec
javni uslužbenec agencije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom
pregona.
Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki
niso v skladu z zakonsko določenimi nameni zbiranja ali nameni, določenimi v katalogu
zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov
v nedovoljene namene.
VIII. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV
32. člen
(izjava o varovanju osebnih podatkov)
Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe
za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi
seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem
delovnega razmerja.
Pred nastopom dela na delovno mesto, kjer se zbirajo, urejajo, obdelujejo, spreminjajo,
shranjujejo, uporabljajo ali na kakršenkoli drug način seznanja z osebnimi podatki,
mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov
kot poklicne skrivnosti.
Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami
tega pravilnika ter določbami zakona, ki ureja varstvo osebnih podatkov, izjava
pa mora vsebovati tudi pouk o posledicah kršitve.
O zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov
agencije, oseb, ki niso javni uslužbenci agencije, se obvesti organe, pooblaščene
za pregon.
33. člen
(lažja kršitev delovnih dolžnosti)
Javni uslužbenec agencije stori lažjo kršitev delovne dolžnosti, če:
- opusti vestno in skrbno nadzorovanje varovanih prostorov (prvi odst. 9.
člena),
- opusti ravnanje za preprečitev vpogleda v ali na nosilce osebnih podatkov
(tretji odst. 9. člena),
- ne uniči kopije osebnih podatkov v primerih iz drugega odstavka 15. člena,
- ni ves čas servisiranja računalnika in programske opreme prisoten (tretji
odst. 15. člena).
- ne izvaja preventive v zvezi z računalniškimi virusi (prvi odstavek 17.
člena),
- ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o
ravnanju z osebnimi podatki (četrti odst. 19. člena),
- ne obvesti direktorja agencije ali pooblaščenega javnega uslužbenca v primeru
zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov (drugi odst. 29.
člena).
34. člen
(hujša kršitev delovnih dolžnosti)
Javni uslužbenec agencije stori hujšo kršitev delovne dolžnosti, če:
- opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in
tako dopusti možnost vpogleda vanje nepooblaščenim osebam (drugi odstavek 9.
člena),
- brez izrecnega dovoljenja odnaša iz prostorov agencije nosilce osebnih podatkov
(četrti odstavek 9. člena),
- popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko
opremo brez odobritve vodje organizacijske enote za informatiko (prvi odstavek
14. člena),
- inštalira ali odnese programsko opremo iz prostorov agencije brez izrecnega
dovoljenja vodje organizacijske enote za informatiko (četrti in peti odstavek
16. člena),
- seznani drugo osebo s svojim uporabniškim geslom za avtorizacijo in identifikacijo
uporabnikov programov in podatkov (prvi odstavek 17. člena),
- ne izdeluje redno kopije vsebine osebnih podatkov ( drugi odstavek 19. člena),
- ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zavarovanih
zaklenjenih omarah (tretji odstavek 19. člena),
- posreduje osebne podatke nepooblaščenim uporabnikom ali posreduje osebne
podatke pooblaščenim uporabnikom brez dovoljenja direktorja (drugi odstavek
26. člena),
- ne vpiše v knjigo evidenc o ravnanju z osebnimi podatki dejstva o posredovanju
osebnih podatkov zunanjim uporabnikom (tretji odstavek 9. člena),
IX. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH NA AGENCIJI
35. člen
(soglasje zaposlenih)
Pisno soglasje zaposlenih javnih uslužbencev agencije mora agencija pridobiti
za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo ali
ga namerava agencija voditi, pa taka zbirka ali osebni podatek ni predpisana ali
predpisan z zakonom.
36. člen
(vsebina pisnega soglasja)
Pisno soglasje iz predhodnega člena mora vsebovati:
- jasno opredeljeno voljo za izdajo soglasja,
- navedbo osebnih podatkov, ki se zbirajo,
- natančno opredeljen namen zbiranja osebnih podatkov,
- zagotovilo, da se bodo osebni podatki uporabljali le za namen, za katerega
so zbrani,
- čas hranjenja osebnih podatkov,
- seznanitev z možnostjo preklica soglasja,
- datum podpisa izjave in podpis osebe.
37. člen
(vodenje osebnih podatkov zaposlenih na agenciji)
Zbirke osebnih podatkov javnih uslužbencev agencije se vzpostavijo ob sklenitvi
delovnega razmerja z javnim uslužbencem oziroma ažurirajo ob vsaki spremembi, ki
jo javi javni uslužbenec. Osebne podatke v zbirki osebnih podatkov javnih uslužbencev
vzpostavi oziroma ažurira javni uslužbenec, pristojen za kadrovske zadeve v agenciji.
Druge zbirke osebnih podatkov o javnih uslužbencih agencije se vzpostavijo z
nastopom okoliščin in dejstev, ki narekujejo vzpostavitev zbirke.
38. člen
(video nadzor poslovnih prostorov)
Video nadzor se na agenciji izvaja za nadzorovanje vhoda in izhoda v poslovni
objekt Tivolska cesta 30, Ljubljana in vhoda in izhoda iz poslovnih prostorov agencije.
O izvajanju video nadzora je na vhodih v varovano območje in na vhodu v glavno
stavbo izobešeno obvestilo o video nadzoru s katerim se naznani, da se izvaja video
nadzor. Podatke o pooblaščeni osebi za izvajanje video nadzora se dobi na recepciji
poslovnega objekta Tivolska cesta 30.
Videoposnetke spremlja na ekranu varnostnik - receptor na vhodu poslovnega objekta
Tivolska cesta 30, Ljubljana.
V primeru incidenčnih dogodkov videoposnetke pregleduje odgovorna oseba agencije,
zadolžena za splošno varnost.
Video nadzorne kamere so na agenciji nameščene na naslednjih lokacijah:
- kamere v pritličju glavnega vhoda v poslovni objekt Tivolska cesta 30, Ljubljana,
- kamera na vhodu v poslovne prostor v 1. kletno etažo starega dela zgradbe,
- kameri na obeh vhodih v poslovne prostore v 1. nadstropju osrednjega dela
stavbe,
- kamera na vhodu v poslovne prostore v 2. nadstropju stolpiča,
- kamera na obeh vhodih v poslovne prostore v 3M nadstropju starega dela zgradbe.
Videonadzorni sistem se nahaja v sobi poleg recepcije na glavnem vhodu poslovnega
objekta Tivolska cesta 30, Ljubljana. Prostor je tehnično varovan in vanj ima dostop
samo odgovorna oseba zadolžena za splošno varnost poslovnega objekta Tivolska cesta
30, Ljubljana, in po potrebi odgovorna oseba za splošno varnost agencije in direktor
agencije.
39. člen
(hramba zbirk osebnih podatkov in roki hranjenja)
Za hrambo zbirk osebnih podatkov so odgovorni javni uslužbenci, ki so pooblaščeni
za vodenje posamezne zbirke.
Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov
s katalogom zbirke osebnih podatkov.
Katalogi zbirk osebnih podatkov združeni v interni seznam katalogov zbirk osebnih
podatkov so priloga tega pravilnika.
X. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA AGENCIJI
40. člen
(elektronska pošta in uporaba druge programske opreme na računalniku)
Elektronska pošta in računalnik se uporabljata v službene namene.
Ne glede na prejšnji odstavek se elektronska pošta in ostala programska oprema
na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne
namene. Šteje se, da elektronska pošta s priponkami večjimi od 1 MB vplivno obremenjuje
kapacitete in zmogljivosti računalniškega sistema agencije in zmanjšuje prepustnost
sistema elektronske pošte. Vsebina elektronske pošte v zasebne namene ne sme biti
z neprimerno ali žaljivo vsebino.
Vpogled v vsebino elektronske pošte zaposlenega je dovoljen na podlagi pisnega
dovoljenja zaposlenega, v katerem je opredeljen upravičenec do vpogleda, namen vpogleda
in časovno obdobje dovoljenja vpogleda.
Vpogled brez pisnega soglasja zaposlenega se lahko opravi na podlagi pisnega
sklepa direktorja agencije le v izjemnih primerih (kot npr. nenadna odpoved delavca,
smrt delavca, bolniška ali druga nepredvidena odsotnost), če je to nujno potrebno
za pravočasno izvedbo nalog delovnega procesa. V tem primeru vpogled opravi tri
članska komisija, ki jo vsakokrat v pisnem sklepu imenuje direktor agencije. V njej
mora biti en predstavnik zaposlenih, ki ni vodstveni delavec. O vpogledu mora komisija
napisati zapisnik
O namenu uporabe elektronske pošte in ostale programske opreme iz prvega in drugega
odstavka tega člena ter možnosti nadzora iz četrtega odstavka tega člena morajo
biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava na spletni
strani agencije in obvestilo vsem zaposlenim po elektronski pošti.
Zasebne podatke lahko zaposleni hranijo v zasebni podatkovni mapi na lokalnem
disku delovne postaje (D:\Zasebno\UporabIme).
41. člen
(internet)
Internet se uporablja v službene namene.
Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in
razumnih mejah tudi v zasebne namene. Internetne strani, ki se pregledujejo v zasebne
namene, ne smejo biti z neprimerno ali žaljivo vsebino.
Direktor lahko s posebnim sklepom odredi blokado določenih spletnih strani.
Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje
računalniškega informacijskega sistema, na podlagi pisnega sklepa direktorja agencije.
O blokadi se obvesti vse zaposlene po elektronski pošti in z objavo na spletni
strani agencije.
XI. PREHODNE IN KONČNE DOLOČBE
42. člen
(uskladitev ukrepov in postopkov)
Vse organizacijske enote agencije morajo uskladiti ukrepe in postopke, določene
s tem navodilom, v treh mesecih po njegovi uveljavitvi.
V primeru potrebe po vzpostavitvi nove zbirke osebnih podatkov je vodja organizacijske
enote dolžan predlagati vodji organizacijske enote splošnih zadev ustrezno dopolnitev
tega pravilnika ( ustrezna dopolnitev prilog).
43. člen
(seznanjenost zaposlenih)
Ta pravilnik se objavi na spletni strani agencije.
S tem je vsakomur omogočen vpogled v pravilnik, zato se šteje, da so z dnem objave
pravilnika, z njim seznanjeni vsi zaposleni javni uslužbenci agencije.
44. člen
(začetek veljavnosti pravilnika)
Ta pravilnik začne veljati naslednji dan po objavi na spletni strani agencije.
45. člen
(prenehanje uporabe)
Z dnem veljavnosti tega pravilnika, se preneha uporabljati Pravilnik o zavarovanju
osebnih podatkov Ministrstva za šolstvo, znanost in šport z dne 21.10.2004.
Priloga: Katalog zbirk osebnih podatkov združenih v interni seznam katalogov
zbirk osebnih podatkov
- Katalog evidence zaposlenih javnih uslužbencev:
- Katalog evidence o stroških dela javnih uslužbencev:
- Katalog evidence o izrabi delovnega časa javnih uslužbencev:
- Katalog evidence o usposabljanju za varno delo in varstvo pred požarom ter
preizkusih praktičnega znanja
- Katalog evidence o avtorskih in podjemnih pogodbah:
- Katalog evidence zdravstvenih pregledov:
- Katalog evidence izobraževanja in usposabljanja javnih uslužbencev
- Katalog evidence o izvajalcih raziskovalne in razvojne dejavnosti
- Register zasebnih raziskovalcev:
- Katalog evidence prejemnikov sredstev iz državnega proračuna
- Katalog evidence o programih in projektih na področju raziskovalne in razvojne
dejavnosti
- Vsi katalogi skupaj:
Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov
na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-3,
z dne 30.7.2008 vsebuje naslednjo končno določbo:
"6. člen
Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji
dan po objavi na spletni strani agencije."
Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov
na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-5,
z dne 11. 4. 2013 vsebuje naslednjo končno določbo:
"6. člen
Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji
dan po objavi na interni spletni strani agencije.".
Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov
na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-7,
z dne 20. 1. 2014 vsebuje naslednjo končno določbo:
"4. člen
Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji
dan po objavi na interni spletni strani agencije.".
Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju
osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije
št. 007-8/2008-8, z dne 17. 8. 2016 vsebuje naslednjo končno določbo:
"2. člen
Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji
dan po objavi na interni spletni strani agencije.".
|