Agencija

Interni akti

      

Podatki o splošnem aktu in njegove spremembe:

  • Številka: 007-8/2008-1, z dne 30. 5. 2008,
  • Številka: 007-8/2008-3, z dne 30. 7. 2008,
  • Številka: 007-8/2008-5, z dne 11. 4. 2013,
  • Številka: 007-8/2008-7, z dne 20. 1. 2014,
  • Številka: 007-8/2008-8, z dne 17. 8. 2016.

Neuradni čistopis z dne 19.8.2016.

Podatki o tej verziji čistopisa: upoštevana zadnja sprememba akta številka: 007-8/2008-8, z dne 17. 8. 2016.

Pravilnik o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije

 
VSEBINA:

  1. SPLOŠNE DOLOČBE
  2. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
  3. ZAVAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
  4. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
  5. RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV
  6. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV
  7. UKREPANJE OB ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV
  8. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV
  9. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH NA ARRS
  10. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA AGENCIJI
  11. PREHODNE IN KONČNE DOLOČBE

 

Na podlagi 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1) in 28. člena Statuta Javne agencije za raziskovalno dejavnost Republike Slovenije z dne 22.07.2004 in nasl., izdaja direktor Javne agencije za raziskovalno dejavnost Republike Slovenije

Pravilni o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije

I. SPLOŠNE DOLOČBE

1. člen

(namen)

S tem pravilnikom se določajo organizacijski, tehnični in logistično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v Javni agenciji za raziskovalno dejavnost Republike Slovenije (v nadaljevanju: agencija) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Zakona, ki ureja varstvo osebnih podatkov.

Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom, ki ureja varstvo osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.

2. člen

(pomen izrazov)

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  1. ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1),
  2. Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen,
  3. Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa,
  4. Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika,
  5. Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave),
  6. Upravljavec osebnih podatkov je agencija, ki sama ali skupaj z drugimi subjekti določa namene, sredstva in način obdelave osebnih podatkov,
  7. Osebna privolitev posameznika - je prostovoljna izjava posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po zakonu, ki ureja varstvo osebnih podatkov; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika,
  8. Pogodbeni obdelovalec - je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov,
  9. Pooblaščeni javni uslužbenec - je javni uslužbenec, ki je odgovoren za vzpostavitev, vodenje, vzdrževanje in hranjenje zbirke osebnih podatkov (skrbnik zbirke osebnih podatkov),
  10. Občutljivi osebni podatki - so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidence, ki se vodi na podlagi zakona, ki ureja prekrške ter biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin,
  11. Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki,
  12. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
  13. Tretja država - je država, ki ni članica Evropske unije ali del Evropskega gospodarskega prostora,
  14. Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika,
  15. Katalog zbirke osebnih podatkov - je opis zbirke osebnih podatkov.

3. člen

(katalog zbirk)

Opis zbirk osebnih podatkov, katerih upravljavec je agencija, se vodi v katalogu zbirk osebnih podatkov, ki se vodi v skladu z določbami 26. člena ZVOP-1. Podatki iz 1., 2., 4., 5., 6., 9., 10., 12. in 13. točke katalogov zbirk osebnih podatkov se posredujejo državnemu organu, pristojnemu za vodenje Registra zbirk osebnih podatkov. Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu državnemu organu. Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki, spremembe pa se v roku 8 dni posredujejo tudi pristojnemu državnemu organu.

Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.

4. člen

(osebni podatki)

Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi.

V smislu določbe prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:

  • identifikacijski podatki o posamezniku,
  • podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,
  • podatki, ki se nanašajo na družinska razmerja,
  • podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,
  • podatki o zaposlitvi,
  • podatki o izobrazbi, o pridobljenih nazivih in znanjih,
  • podatki o biometričnih značilnostih,
  • slikovni in (glasovni) podatki videonadzora,
  • podatki o zdravstvenem stanju posameznika,
  • podatki o aktivnostih v prostem času,
  • podatki o ideoloških in verskih prepričanjih,
  • podatki o socialnem in ekonomskem stanju posameznika,
  • podatki o uporabi komunikacijskih sredstev,
  • podatki o posamezniku na področju notranjih zadev,
  • podatki o navadah posameznikov.

5. člen

(ukrepi in postopki)

Agencija zagotavlja ustrezno zavarovanje osebnih podatkov.

Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov tako, da se: - varujejo prostori in dostop do prostorov, kjer se hranijo osebni podatki, - varuje sistemska in aplikativna programska oprema, s katero se obdelujejo osebni podatki, - zagotavlja varnost posredovanja in prenosa osebnih podatkov, - onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk, - zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov, - omogoča naknadno ugotavljanje časa vnosa posameznih podatkov v zbirko podatkov.

6. člen

(občutljivi podatki)

Posebno vestno in skrbno morata biti izvajana obdelovanje in zavarovanje občutljivih osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške in biometrične značilnosti.

Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam prepreči dostop do njih.

 

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

7. člen

(način varovanja prostorov)

Agencija je najemnik poslovnih prostorov v poslovnem objektu "Center Tivoli" na lokaciji Tivolska cesta 30, Ljubljana. Najemodajalec zagotavlja fizično varovanje objektov in prostorov na lokacijah na naslovu Tivolska cesta 30, Ljubljana.

Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov - vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka - in strojna ter programska oprema (v nadaljevanju: varovani prostori) morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz drugega odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja pooblaščenega vodje delovnega področja (v nadaljevanju: vodja organizacijske enote).

Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

8. člen

(nadzor varovanih prostorov)

Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema programsko zaklenjeni, dostop do osebnih podatkov, hranjenih na disku računalnika pa omogočen le z geslom.

Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.

Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.

Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.

9. člen

(varovanje nosilcev osebnih podatkov)

V prostore, kjer so shranjeni nosilci osebnih podatkov, nepooblaščene osebe ne smejo vstopati brez spremstva ali prisotnosti javnih uslužbencev, ki pri svojem delu uporabljajo ali obdelujejo osebne podatke. Javni uslužbenec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti prostor.

Javni uslužbenec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma nepooblaščenim javnim uslužbencem.

V prostorih, kjer imajo vstop osebe, ki niso zaposlene na agenciji, morajo biti nosilci osebnih podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da nepooblaščenim osebam ni omogočen vpogled vanje.

Nosilcev osebnih podatkov javni uslužbenci agencije ne smejo odnašati izven agencije brez izrecnega dovoljenja direktorja.

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih agencije.

Direktor lahko dovoli iznos nosilcev osebnih podatkov iz agencije posameznemu javnemu uslužbencu, z navedbo namena in razloga iznosa podatkov iz agencije.

10. člen

(vzdrževanje in popravilo računalniške opreme)

Vzdrževanje in popravilo strojne računalniške opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščenega javnega uslužbenca organizacijske enote za informatiko, izvajajo pa ga lahko samo za to pooblaščeni javni uslužbenci agencije ali pooblaščeni servisi in njihovi vzdrževalci.

11. člen

(gibanje v poslovnih prostorih)

Vzdrževalci prostorov in druge opreme, poslovni partnerji in drugi obiskovalci se smejo gibati v prostorih, kjer se hranijo ali obdelujejo osebni podatki le ob prisotnosti javnega uslužbenca agencije.

12. člen

(gibanje v varovanih prostorih)

Vzdrževalci prostorov in čistilke se lahko gibljejo v varovanih prostorih izven delovnega časa in brez prisotnosti pooblaščenega javnega uslužbenca le, če so nosilci podatkov shranjeni na način, ki ga določa ta pravilnik za čas izven delovnega časa.

III. ZAVAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

13. člen

(dostop do računalniške programske opreme)

Dostop do računalniške programske opreme, s katero se hranijo ali obdelujejo osebni podatki, mora biti varovan na način, ki omogoča dostop samo določenim pooblaščenim javnim uslužbencem in delavcem, ki za agencijo servisirajo programsko opremo.

14. člen

(delo na računalniški programski opremi)

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve vodje organizacijske enote za informatiko, izvajajo pa ga lahko samo pooblaščeni javni uslužbenci ali pooblaščeni servis in organizacije oziroma njihovi delavci.

Zunanji izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

15. člen

(shranjevanje in varovanje aplikativne programske opreme)

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.

Javni uslužbenec, pooblaščen za shranjevanje in obdelavo osebnih podatkov na računalniku, mora skrbeti, da v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopijo uniči.

Javni uslužbenec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti v času servisiranja računalnika in programske opreme ves čas prisoten in nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.

V primeru izkazane potrebe po popravilu računalnika, na čigar disku se nahajajo osebni podatki, izven agencije in brez kontrole pooblaščenega javnega uslužbenca agencije, se morajo podatki z diska računalnika izbrisati na tak način, ki zunanjemu izvajalcu onemogoča dostop do podatkov. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih agencije v prisotnosti pooblaščenega javnega uslužbenca agencije.

16. člen

(računalniški virusi)

Vsebino diskov mrežnega strežnika in lokalnih delovnih postaj, na katerih so shranjeni osebni podatki, je treba zaščititi z ustreznimi protivirusnimi programi in jih redno preverjati.

Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo organizacijske enote informatike oziroma pogodbenega partnerja, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu agencije.

Pred priključitvijo prenosnega računalnika, ki ni last agencije, na računalniško mrežo agencije, je potrebno računalnik preveriti glede računalniških virusov.

Zaposleni ne smejo inštalirati programske opreme brez vednosti javnega uslužbenca, zadolženega za delovanje računalniškega informacijskega sistema.

Zaposleni ne smejo odnašati programske opreme iz prostorov agencije brez izrecne odobritve vodje organizacijske enote za informatiko.

17. člen

(gesla)

Pristop do osebnih podatkov preko aplikativne programske opreme se varuje s sistemom uporabniških gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni ali spremenjeni v zbirki podatkov ter kdo je to storil.

Pooblaščeni javni uslužbenec določi režim dodeljevanja, hranjenja in spreminjanja gesel.

18. člen

(način hranjenja gesel)

Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma v nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

19. člen

(računalniške kopije)

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

Računalniške kopije vsebin zbirk osebnih podatkov na magnetnih trakovih ali drugih medijih se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.

IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

20. člen

(omejitve storitev zunanjih sodelavcev)

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba, predvidena v zakonu, ki ureja varstvo osebnih podatkov. V pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.

Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

Pooblaščena pravna ali fizična oseba, ki za agencijo opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.

V. RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV

21. člen

(zbirke osebnih podatkov)

Agencija vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona in osebne podatke, ki jih vodi v okviru zakonsko določenih zbirk, na podlagi pogodbenega razmerja ali na podlagi soglasja osebe, na katero se podatki nanašajo.

Vrste zbirk osebnih podatkov, ki jih agencija vodi so določene z internim seznamom katalogov zbirk osebnih podatkov, ki je priloga tega pravilnika.

Agencija po prenehanju vodenja posamezne zbirke osebnih podatkov sporoči Državnemu nadzornemu organu, najkasneje v roku 8 dni po prenehanju vodenja posamezne zbirke osebnih podatkov, katero zbirko osebnih podatkov je prenehala voditi in kaj je storila z osebnimi podatki iz te zbirke (ali jih je izbrisala, uničila, blokirala, anonimizirala ali predala drugemu upravljavcu).

22. člen

(vzpostavitev zbirke osebnih podatkov)

Posamezno zbirko osebnih podatkov v posamezni organizacijski enoti agencije vzpostavi pooblaščena oseba za določeno zbirko osebnih podatkov, ki jo določi direktor agencije.

23. člen

(način posredovanja osebnih podatkov)

Javni uslužbenec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku ali organizacijski enoti, na katero se ta pošiljka nanaša.

Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku v ovojnici, ki mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.

Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

24. člen

(obdelava občutljivih osebnih podatkov)

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.

Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

25. člen

(vpogled v zbirko osebnih podatkov)

Javni uslužbenec oziroma oseba, o kateri se vodijo osebni podatki oziroma pooblaščenec javnega uslužbenca ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njem oziroma o zastopancu in jih ima pravico prepisati ali kopirati. Agencija je dolžna omogočiti vpogled in prepis osebnih podatkov v roku 7 dni od prejema pisne zahteve.

Oseba iz prvega odstavka tega člena ima pravico pisno zahtevati, da ji agencija posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanjo. Izpis je potrebno zagotoviti v roku 30 dni od dneva prejema pisne zahteve. Stroške izpisa nosi agencija.

26. člen

(posredovanje osebnih podatkov)

Za posredovanje in evidentiranje osebnih podatkov, z izjemo podatkov, ki se posredujejo v skladu s 26. členom Zakona o raziskovalni in razvojni dejavnosti (Ur.l. RS, št. 22/06- UPB 1 in 61/06-Zdru-1), se uporabljajo določila tega člena.

Javni uslužbenci agencije, ki zbirajo ali obdelujejo osebne podatke, smejo z dovoljenjem direktorja (podpis direktorja) posredovati podatke samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.

Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen ZVOP-1).

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

Dejstva o posredovanju osebnih podatkov iz zbirke osebnih podatkov, vodene v agenciji, se morajo v roku 3 dni od dneva posredovanja, sporočiti osebi, o kateri so bili posredovani podatki.

Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora javni uslužbenec, ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki osebnih podatkov agencije in se nanašajo nanjo.

VI. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV

27. člen

(roki hranjenja osebnih podatkov)

V zbirki osebnih podatkov je dovoljeno hraniti osebne podatke posameznika le toliko časa, kolikor je potrebno za dosego namena, za katerega se podatki zbirajo in vodijo.

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz 7. točke posameznega kataloga zbirke osebnih podatkov.

28. člen

(brisanje osebnih podatkov)

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Osebni podatki, vsebovani na listinah, seznamih, v kartotekah, evidencah in registrih se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov (požgejo, razrežejo) v prostorih agencije ali pod nadzorom pooblaščenega javnega uslužbenca agencije pri organizaciji, ki se ukvarja z uničenjem zaupne dokumentacije.

Uničevanje in brisanje osebnih podatkov se opravi komisijsko. Direktor imenuje tričlansko komisijo, ki prisostvuje in protokolira vsak izbris in uničevanje nosilcev osebnih podatkov z zapisnikom.

Z enako vestnostjo in skrbnostjo je potrebno brisati in uničevati tudi pomožno dokumentacijo ali računalniške produkte oziroma predloge, ki vsebujejo posamezne osebne podatke.

Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.

Uničevanje osebnih podatkov na nosilcih iz prejšnjega odstavka se mora izvajati tekoče in ažurno.

Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti

VII. UKREPANJE OB ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV

29. člen

(ravnanje z osebnimi podatki)

Zaposleni so dolžni preprečevati zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno ter na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo in direktorja, sami pa poskušajo takšno aktivnost preprečiti.

30. člen

(odgovornost in nadzor)

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni vsi zaposleni.

31. člen

(zloraba uporabe osebnih podatkov)

Direktor mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.

Če obstaja pri vdoru v zbirko osebnih podatkov sum, da je ta storjen z naklepom in z namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora direktor poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je storilec javni uslužbenec agencije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z zakonsko določenimi nameni zbiranja ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

VIII. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV

32. člen

(izjava o varovanju osebnih podatkov)

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Pred nastopom dela na delovno mesto, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, uporabljajo ali na kakršenkoli drug način seznanja z osebnimi podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti.

Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami zakona, ki ureja varstvo osebnih podatkov, izjava pa mora vsebovati tudi pouk o posledicah kršitve.

O zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov agencije, oseb, ki niso javni uslužbenci agencije, se obvesti organe, pooblaščene za pregon.

33. člen

(lažja kršitev delovnih dolžnosti)

Javni uslužbenec agencije stori lažjo kršitev delovne dolžnosti, če:

  • opusti vestno in skrbno nadzorovanje varovanih prostorov (prvi odst. 9. člena),
  • opusti ravnanje za preprečitev vpogleda v ali na nosilce osebnih podatkov (tretji odst. 9. člena),
  • ne uniči kopije osebnih podatkov v primerih iz drugega odstavka 15. člena,
  • ni ves čas servisiranja računalnika in programske opreme prisoten (tretji odst. 15. člena).
  • ne izvaja preventive v zvezi z računalniškimi virusi (prvi odstavek 17. člena),
  • ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o ravnanju z osebnimi podatki (četrti odst. 19. člena),
  • ne obvesti direktorja agencije ali pooblaščenega javnega uslužbenca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov (drugi odst. 29. člena).

34. člen

(hujša kršitev delovnih dolžnosti)

Javni uslužbenec agencije stori hujšo kršitev delovne dolžnosti, če:

  • opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam (drugi odstavek 9. člena),
  • brez izrecnega dovoljenja odnaša iz prostorov agencije nosilce osebnih podatkov (četrti odstavek 9. člena),
  • popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo brez odobritve vodje organizacijske enote za informatiko (prvi odstavek 14. člena),
  • inštalira ali odnese programsko opremo iz prostorov agencije brez izrecnega dovoljenja vodje organizacijske enote za informatiko (četrti in peti odstavek 16. člena),
  • seznani drugo osebo s svojim uporabniškim geslom za avtorizacijo in identifikacijo uporabnikov programov in podatkov (prvi odstavek 17. člena),
  • ne izdeluje redno kopije vsebine osebnih podatkov ( drugi odstavek 19. člena),
  • ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih omarah (tretji odstavek 19. člena),
  • posreduje osebne podatke nepooblaščenim uporabnikom ali posreduje osebne podatke pooblaščenim uporabnikom brez dovoljenja direktorja (drugi odstavek 26. člena),
  • ne vpiše v knjigo evidenc o ravnanju z osebnimi podatki dejstva o posredovanju osebnih podatkov zunanjim uporabnikom (tretji odstavek 9. člena),

 

IX. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH NA AGENCIJI

35. člen

(soglasje zaposlenih)

Pisno soglasje zaposlenih javnih uslužbencev agencije mora agencija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo ali ga namerava agencija voditi, pa taka zbirka ali osebni podatek ni predpisana ali predpisan z zakonom.

36. člen

(vsebina pisnega soglasja)

Pisno soglasje iz predhodnega člena mora vsebovati:

  • jasno opredeljeno voljo za izdajo soglasja,
  • navedbo osebnih podatkov, ki se zbirajo,
  • natančno opredeljen namen zbiranja osebnih podatkov,
  • zagotovilo, da se bodo osebni podatki uporabljali le za namen, za katerega so zbrani,
  • čas hranjenja osebnih podatkov,
  • seznanitev z možnostjo preklica soglasja,
  • datum podpisa izjave in podpis osebe.

37. člen

(vodenje osebnih podatkov zaposlenih na agenciji)

Zbirke osebnih podatkov javnih uslužbencev agencije se vzpostavijo ob sklenitvi delovnega razmerja z javnim uslužbencem oziroma ažurirajo ob vsaki spremembi, ki jo javi javni uslužbenec. Osebne podatke v zbirki osebnih podatkov javnih uslužbencev vzpostavi oziroma ažurira javni uslužbenec, pristojen za kadrovske zadeve v agenciji.

Druge zbirke osebnih podatkov o javnih uslužbencih agencije se vzpostavijo z nastopom okoliščin in dejstev, ki narekujejo vzpostavitev zbirke.

38. člen

(video nadzor poslovnih prostorov)

Video nadzor se na agenciji izvaja za nadzorovanje vhoda in izhoda v poslovni objekt Tivolska cesta 30, Ljubljana in vhoda in izhoda iz poslovnih prostorov agencije.

O izvajanju video nadzora je na vhodih v varovano območje in na vhodu v glavno stavbo izobešeno obvestilo o video nadzoru s katerim se naznani, da se izvaja video nadzor. Podatke o pooblaščeni osebi za izvajanje video nadzora se dobi na recepciji poslovnega objekta Tivolska cesta 30.

Videoposnetke spremlja na ekranu varnostnik - receptor na vhodu poslovnega objekta Tivolska cesta 30, Ljubljana.

V primeru incidenčnih dogodkov videoposnetke pregleduje odgovorna oseba agencije, zadolžena za splošno varnost.

Video nadzorne kamere so na agenciji nameščene na naslednjih lokacijah:

  • kamere v pritličju glavnega vhoda v poslovni objekt Tivolska cesta 30, Ljubljana,
  • kamera na vhodu v poslovne prostor v 1. kletno etažo starega dela zgradbe,
  • kameri na obeh vhodih v poslovne prostore v 1. nadstropju osrednjega dela stavbe,
  • kamera na vhodu v poslovne prostore v 2. nadstropju stolpiča,
  • kamera na obeh vhodih v poslovne prostore v 3M nadstropju starega dela zgradbe.

Videonadzorni sistem se nahaja v sobi poleg recepcije na glavnem vhodu poslovnega objekta Tivolska cesta 30, Ljubljana. Prostor je tehnično varovan in vanj ima dostop samo odgovorna oseba zadolžena za splošno varnost poslovnega objekta Tivolska cesta 30, Ljubljana, in po potrebi odgovorna oseba za splošno varnost agencije in direktor agencije.

39. člen

(hramba zbirk osebnih podatkov in roki hranjenja)

Za hrambo zbirk osebnih podatkov so odgovorni javni uslužbenci, ki so pooblaščeni za vodenje posamezne zbirke.

Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov.

Katalogi zbirk osebnih podatkov združeni v interni seznam katalogov zbirk osebnih podatkov so priloga tega pravilnika.

 

X. UPORABA INFORMACIJSKIH TEHNOLOGIJ NA AGENCIJI

40. člen

(elektronska pošta in uporaba druge programske opreme na računalniku)

Elektronska pošta in računalnik se uporabljata v službene namene.

Ne glede na prejšnji odstavek se elektronska pošta in ostala programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Šteje se, da elektronska pošta s priponkami večjimi od 1 MB vplivno obremenjuje kapacitete in zmogljivosti računalniškega sistema agencije in zmanjšuje prepustnost sistema elektronske pošte. Vsebina elektronske pošte v zasebne namene ne sme biti z neprimerno ali žaljivo vsebino.

Vpogled v vsebino elektronske pošte zaposlenega je dovoljen na podlagi pisnega dovoljenja zaposlenega, v katerem je opredeljen upravičenec do vpogleda, namen vpogleda in časovno obdobje dovoljenja vpogleda.

Vpogled brez pisnega soglasja zaposlenega se lahko opravi na podlagi pisnega sklepa direktorja agencije le v izjemnih primerih (kot npr. nenadna odpoved delavca, smrt delavca, bolniška ali druga nepredvidena odsotnost), če je to nujno potrebno za pravočasno izvedbo nalog delovnega procesa. V tem primeru vpogled opravi tri članska komisija, ki jo vsakokrat v pisnem sklepu imenuje direktor agencije. V njej mora biti en predstavnik zaposlenih, ki ni vodstveni delavec. O vpogledu mora komisija napisati zapisnik

O namenu uporabe elektronske pošte in ostale programske opreme iz prvega in drugega odstavka tega člena ter možnosti nadzora iz četrtega odstavka tega člena morajo biti zaposleni pisno obveščeni. Kot zadostno obvestilo se šteje objava na spletni strani agencije in obvestilo vsem zaposlenim po elektronski pošti.

Zasebne podatke lahko zaposleni hranijo v zasebni podatkovni mapi na lokalnem disku delovne postaje (D:\Zasebno\UporabIme).

41. člen

(internet)

Internet se uporablja v službene namene.

Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Internetne strani, ki se pregledujejo v zasebne namene, ne smejo biti z neprimerno ali žaljivo vsebino.

Direktor lahko s posebnim sklepom odredi blokado določenih spletnih strani.

Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema, na podlagi pisnega sklepa direktorja agencije.

O blokadi se obvesti vse zaposlene po elektronski pošti in z objavo na spletni strani agencije.

 

XI. PREHODNE IN KONČNE DOLOČBE

42. člen

(uskladitev ukrepov in postopkov)

Vse organizacijske enote agencije morajo uskladiti ukrepe in postopke, določene s tem navodilom, v treh mesecih po njegovi uveljavitvi.

V primeru potrebe po vzpostavitvi nove zbirke osebnih podatkov je vodja organizacijske enote dolžan predlagati vodji organizacijske enote splošnih zadev ustrezno dopolnitev tega pravilnika ( ustrezna dopolnitev prilog).

43. člen

(seznanjenost zaposlenih)

Ta pravilnik se objavi na spletni strani agencije.

S tem je vsakomur omogočen vpogled v pravilnik, zato se šteje, da so z dnem objave pravilnika, z njim seznanjeni vsi zaposleni javni uslužbenci agencije.

44. člen

(začetek veljavnosti pravilnika)

Ta pravilnik začne veljati naslednji dan po objavi na spletni strani agencije.

45. člen

(prenehanje uporabe)

Z dnem veljavnosti tega pravilnika, se preneha uporabljati Pravilnik o zavarovanju osebnih podatkov Ministrstva za šolstvo, znanost in šport z dne 21.10.2004.

 

Priloga: Katalog zbirk osebnih podatkov združenih v interni seznam katalogov zbirk osebnih podatkov

  1. Katalog evidence zaposlenih javnih uslužbencev:
  2. Katalog evidence o stroških dela javnih uslužbencev:
  3. Katalog evidence o izrabi delovnega časa javnih uslužbencev:
  4. Katalog evidence o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja
  5. Katalog evidence o avtorskih in podjemnih pogodbah:
  6. Katalog evidence zdravstvenih pregledov:
  7. Katalog evidence izobraževanja in usposabljanja javnih uslužbencev
  8. Katalog evidence o izvajalcih raziskovalne in razvojne dejavnosti
  9. Register zasebnih raziskovalcev:
  10. Katalog evidence prejemnikov sredstev iz državnega proračuna
  11. Katalog evidence o programih in projektih na področju raziskovalne in razvojne dejavnosti
  12. Vsi katalogi skupaj:

 


Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-3, z dne 30.7.2008 vsebuje naslednjo končno določbo:

"6. člen

Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji dan po objavi na spletni strani agencije."


Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-5, z dne 11. 4. 2013 vsebuje naslednjo končno določbo:

"6. člen

Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji dan po objavi na interni spletni strani agencije.".


Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-7, z dne 20. 1. 2014 vsebuje naslednjo končno določbo:

"4. člen

Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji dan po objavi na interni spletni strani agencije.".


Pravilnik o spremembah in dopolnitvah Pravilnika o zavarovanju osebnih podatkov na Javni agenciji za raziskovalno dejavnost Republike Slovenije št. 007-8/2008-8, z dne 17. 8. 2016 vsebuje naslednjo končno določbo:

"2. člen

Ta pravilnik je sprejet z dnem podpisa direktorja in začne veljati naslednji dan po objavi na interni spletni strani agencije.".