|
Na podlagi 16. člena
Statuta Občine Gornji Grad (Uradno glasilo Zgornjesavinjskih občin, št.
3/99 in 6/02) in na podlagi 24. in 25. člena
Zakona o varstvu osebnih podatkov ( Uradni list RS, 86/04 in 113/05)
izdaja župan Občine Gornji Grad |
|
|
PRAVILNIK |
|
|
o zavarovanju osebnih podatkov |
|
|
I. SPLOŠNE DOLOČBE |
|
|
1. člen |
|
|
S tem pravilnikom se
določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi
za zavarovanje osebnih podatkov v Občini Gornji Grad z namenom, da se
prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo
spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba
ali posredovanje osebnih podatkov. |
|
|
Zaposleni in zunanji
sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke,
morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno
zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino
tega pravilnika. |
|
|
2. člen |
|
|
V tem pravilniku
uporabljeni izrazi imajo naslednji pomen: |
|
|
1. ZVOP-1 - Zakon o
varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05);
|
|
|
2. Osebni podatek - je
katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v
kateri je izražen; |
|
|
3. Posameznik - je
določena ali določljiva fizična oseba, na katero se nanaša osebni
podatek; fizična oseba je določljiva, če se lahko neposredno ali
posredno identificira, predvsem s sklicevanjem na identifikacijsko
številko ali na enega ali več dejavnikov, ki so značilni za njegovo
fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno
identiteto, pri čemer način identifikacije ne povzroča velikih stroškov
ali ne zahteva veliko časa; |
|
|
4. Zbirka osebnih
podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni
podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali
združevanje podatkov, ne glede na to, ali je niz centraliziran,
decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen
način, da določi ali omogoči določljivost posameznika; |
|
|
5. Obdelava osebnih
podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v
zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri
ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v
zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje,
shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled,
uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na
razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje,
izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana
(sredstva obdelave); |
|
|
6. Upravljavec osebnih
podatkov - je fizična ali pravna oseba ali druga oseba javnega ali
zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in
sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki
določa tudi namene in sredstva obdelave; |
|
|
7. Občutljivi osebni
podatki - so podatki o rasnem narodnem ali narodnostnem poreklu,
političnem, verskem filozofskem prepričanju, članstvu v sindikatu,
zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz
kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
|
|
|
8. Uporabnik osebnih
podatkov - je fizična ali pravna oseba ali druga oseba javnega ali
zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
|
|
|
9. Nosilec podatkov -
so vse vrste sredstev, na katerih so zapisani ali posneti podatki
(listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni,
optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno
gradivo, mikrofilmi, naprave za prenos podatkov, ipd.); |
|
|
3. člen |
|
|
Vsi dokumenti morajo
biti obravnavani v skladu z Uredbo o upravnem poslovanju (Uradni list
RS, št. 20/05), Pravilnikom o izvrševanju uredbe o upravnem poslovanju
(Ur. l. RS, št. 75/05) in Navodilom za določanje rokov hranjenja
dokumentarnega gradiva organov javne uprave (Ur. l. RS št. 81/05).
|
|
|
4. člen |
|
|
Opis zbirk osebnih
podatkov, katerih upravljavec je Občinska uprava Občine Gornji Grad , se
vodi v katalogu zbirk osebnih podatkov (opisu zbirk osebnih podatkov),
ki se vodi v skladu z določbami 26. člena ZVOP-1. Podatki iz 1., 2., 4.,
5., 6., 9., 10., 12. in 13. točke katalogov zbirk osebnih podatkov se
posredujejo državnemu organu, pristojnemu za vodenje Registra zbirk
osebnih podatkov. Katalog zbirke osebnih podatkov se za vsako zbirko
osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke
osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo
tudi pristojnemu državnemu organu. Katalog zbirk osebnih podatkov se
dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki,
spremembe pa se v roku 8 dni posredujejo tudi pristojnemu državnemu
organu. |
|
|
Zaposleni, ki
obdelujejo osebne podatke, morejo biti seznanjeni s katalogom zbirk
osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je
potrebno omogočiti tudi vsakomur, ki to zahteva. |
|
|
Pooblaščenec Občine
Gornji Grad je dolžna voditi ažuren seznam, iz katerega je za vsako
zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za
posamezno zbirko osebnih podatkov ter katere osebe lahko zaradi narave
svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno
zbirko osebnih podatkov. V seznam se vpisujejo sledeči podatki: naziv
zbirke osebnih podatkov, osebno ime in delovno mesto osebe, ki je
odgovorna za zbirko osebnih podatkov ter osebno ime in delovno mesto
oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke,
ki se nanašajo na zbirko osebnih podatkov. |
|
|
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME |
|
|
5. člen |
|
|
Prostori, v katerih se
nahajajo nosilci osebnih podatkov, strojna in programska oprema
(varovani prostori), morajo biti varovani z organizacijskimi ter
fizičnimi ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam
dostop do podatkov. |
|
|
Dostop je mogoč le v
rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja
vodje organizacijske enote. |
|
|
Ključi varovanih
prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se
ne puščajo v ključavnici v vratih od zunanje strani. |
|
|
Varovani prostori ne
smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti
delavcev, ki jih nadzorujejo. |
|
|
Izven delovnega časa
morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene,
računalniki in druga strojna oprema izklopljeni in fizično ali
programsko zaklenjeni. |
|
|
Zaposleni ne smejo
puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo
pravice vpogleda vanje. |
|
|
Nosilci osebnih
podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni
prostori) morajo biti stalno zaklenjeni. |
|
|
Občutljivi osebni
podatki se ne smejo hraniti izven varovanih prostorov. |
|
|
6. člen |
|
|
V prostorih, ki so
namenjeni poslovanju s strankami, morajo biti nosilci podatkov in
računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda
vanje. |
|
|
7. člen |
|
|
Vzdrževanje in
popravila strojne računalniške in druge opreme je dovoljeno samo z
vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni
servisi in vzdrževalci, ki imajo z Občino Gornji Grad sklenjeno ustrezno
pogodbo. |
|
|
8. člen |
|
|
Vzdrževalci prostorov,
strojne in programske opreme, obiskovalci in poslovni partnerji se smejo
gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe.
Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega
časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen
vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih
omarah in pisalnih mizah, računalniki in druga strojna oprema so
izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
|
|
|
III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME
TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO |
|
|
9. člen |
|
|
Dostop do programske
opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej
določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s
pogodbo opravljajo dogovorjene storitve. |
|
|
10. člen |
|
|
Popravljanje,
spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme
je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga
lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo
z Občino Gornji Grad sklenjeno ustrezno pogodbo. Izvajalci morajo
spremembe in dopolnitve sistemske in aplikativne programske opreme
ustrezno dokumentirati. |
|
|
11. člen |
|
|
Za shranjevanje in
varovanje aplikativne programske opreme veljajo enaka določila, kot za
ostale podatke iz tega pravilnika. |
|
|
12. člen |
|
|
Vsebina diskov mrežnega
strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki,
se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu
računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne
strokovne službe, obenem pa se ugotovi vzrok pojava virusa v
računalniškem informacijskem sistemu HKOM. |
|
|
Vsi podatki in
programska oprema, ki so namenjeni uporabi v računalniškem
informacijskem sistemu, in prispejo v Občino Gornji Grad na medijih za
prenos računalniških podatkov ali preko telekomunikacijskih kanalov,
morajo biti pred uporabo preverjeni glede prisotnosti računalniških
virusov. |
|
|
13. člen |
|
|
Zaposleni ne smejo
inštalirati programske opreme brez vednosti osebe, zadolžene za
delovanje računalniškega informacijskega sistema. Prav tako ne smejo
odnašati programske opreme iz občinske zgradbe brez odobritve direktorja
občinske uprave in vednosti osebe, zadolžene za delovanje računalniškega
informacijskega sistema. |
|
|
14. člen |
|
|
Pristop do podatkov
preko aplikativne programske opreme se varuje s sistemom gesel za
avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem
gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so
bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali
drugače obdelovani ter kdo je to storil.. |
|
|
Pooblaščena oseba
določi režim dodeljevanja, hranjenja in spreminjanja gesel. |
|
|
15. člen |
|
|
Vsa gesla in postopki,
ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov
(supervisorska oz. nadzorna gesla), administriranje elektronske pošte in
administriranje aplikativnih programov se hranijo v zapečatenih
ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se
jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka
uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni
uporabi se določi nova vsebina gesel. |
|
|
16. člen |
|
|
Za potrebe
restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih
situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika
in lokalnih postaj,če se podatki tam nahajajo. |
|
|
Te kopije se hranijo v
zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti
poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih
pogojev ter zaklenjena. |
|
|
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
|
|
|
17. člen |
|
|
Z vsako zunanjo pravno
ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem,
obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je
registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec),
se sklene pisna pogodba, predvidena v drugem odstavku 11. člena ZVOP-1.
V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za
zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno
velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo
ter izdelujejo in instalirajo novo strojno ali programsko opremo.
|
|
|
Zunanje pravne ali
fizične osebe smejo opravljati samo storitve obdelave osebnih podatkov
samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati
ali drugače uporabljati za noben drug namen. |
|
|
Pooblaščena pravna ali
fizična oseba, ki za Občino Gornji Grad opravlja dogovorjene storitve
izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja
osebnih podatkov, kakor ga predvideva ta pravilnik. |
|
|
V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV |
|
|
18. člen |
|
|
Delavec, ki je zadolžen
za sprejem in evidenco pošte, mora izročiti poštno pošiljko osebnimi
podatki direktno posamezniku, ali službi, na katero je ta pošiljka
naslovljena. |
|
|
Delavec, ki je zadolžen
za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke
in pošiljke, ki na drug način prispejo v občinsko upravo - prinesejo jih
stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega
člena. |
|
|
Delavec, ki je zadolžen
za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so
naslovljene na drug organ ali organizacijo in so pomotoma dostavljena
ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb
na ovojnici izhaja, da se nanašajo na natečaj ali razpis. |
|
|
Delavec, ki je zadolžen
za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na
delavca, na katerih je na ovojnici navedeno, da se vročijo osebno
naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime
delavca brez označbe njegovega uradnega položaja in šele nato naslov
občine. |
|
|
19. člen |
|
|
Osebne podatke je
dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi
sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim
preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno
seznanjanje z njihovo vsebino. |
|
|
OBČUTLJIVI OSEBNI
PODATKI se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v
dostavni knjigi ali z vročilnico. |
|
|
Osebni podatki se
pošiljajo priporočeno. |
|
|
Ovojnica, v kateri se
posredujejo osebni podatki, mora biti izdelana na takšen način, da
ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi
ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica
zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče
opraviti brez vidne sledi odpiranja ovojnice. |
|
|
20. člen |
|
|
Obdelava občutljivih
osebnih podatkov mora biti posebej označena in zavarovana. |
|
|
Podatki iz prejšnjega
odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če
so posebej zavarovani s kriptografskimi metodami in elektronskim
podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim
prenosom. |
|
|
21. člen |
|
|
Osebni podatki se
posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko
podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na
katerega se podatki nanašajo. |
|
|
Za vsako posredovanje
osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora
biti jasno navedena določba zakona, ki uporabnika pooblašča za
pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna
zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
|
|
|
Vsako posredovanje
osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti
razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na
kakšni podlagi (22. člen ZVOP-1). |
|
|
V primeru pridobivanja
in posredovanja osebnih podatkov med organi javne uprave, je potrebno
upoštevati tudi določbe Uredbe o pridobivanju in posredovnju podatkov
med organi javne uprave za potrebe upravnih postopkov (Uradni list RS,
št. 38/02 in 129/03). |
|
|
Nikoli se ne
posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča.
Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
|
|
|
22. člen |
|
|
Pregledovanje in
prepisovanje (kopiranje) upravnih spisov in dajanje obvestil o poteku
postopka se opravlja v skladu z določbami 82. člena Zakona o splošnem
upravnem postopku ter Uredbi o upravnem poslovanju. |
|
|
Pregledovanje in
prepisovanje upravnih spisov je ob prisotnosti uradne osebe dovoljeno le
strankam v postopku in osebam, ki v svoji pisni vlogi verjetno izkažejo,
da imajo od tega pravno korist. Pred pregledom oziroma prepisovanjem
upravnega spisa je potrebno preveriti identiteto stranke oziroma
upravičenca in sicer tako, da se vpogleda njegovo osebno izkaznico,
potni list ali vozniško dovoljenje. |
|
|
Pri vsakem
pregledovanju oziroma prepisovanju podatkov iz upravnega spisa se naredi
uradni zaznamek, ki se vloži v spis. Iz uradnega zaznamka, ki ga mora
podpisati tudi upravičenec, mora biti razvidna številka spisa, datum in
ura pregleda, osebno ime upravičenca, njegov naslov, številka in vrsta
dokumenta, iz katerega je ugotovljena identiteta ter namen, zaredi
katerega je bil opravljen pregled oziroma prepis. V primeru, da vsebuje
upravni spis tudi osebne podatke je potrebno upravičenca opozoriti na
dolžnost varovanja takšnih podatkov, kar mora biti razvidno tudi iz
uradnega zaznamka. |
|
|
VI. BRISANJE PODATKOV |
|
|
23. člen |
|
|
Po preteku roka
hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali
anonimizirajo, razen če zakon ali drug akt ne določa drugače.
|
|
|
24. člen |
|
|
Za brisanje podatkov iz
računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča
restavracija vseh ali dela brisanih podatkov. |
|
|
Podatki na klasičnih
medijih (listine, kartoteke, register, seznam, ...) se uničijo na način,
ki onemogoča čitanje vseh ali dela uničenih podatkov. |
|
|
Na enak način se
uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice,
poskusne oziroma neuspešne izpise ipd.). |
|
|
Prepovedano je
odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
|
|
|
Pri prenosu nosilcev
osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno
zavarovanje tudi v času prenosa. |
|
|
Prenos nosilcev
podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov
nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen
zapisnik. |
|
|
VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA |
|
|
25. člen |
|
|
Zaposleni so dolžni o
aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem
zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju,
spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali
predstojnika, sami pa poskušajo takšno aktivnost preprečiti.
|
|
|
VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
|
|
|
26. člen |
|
|
Za izvajanje postopkov
in ukrepov za zavarovanje osebnih podatkov so odgovorne pooblaščene
osebe, ki jih imenuje župan. |
|
|
Nadzor nad izvajanjem
postopkov in ukrepov, določenih s tem pravilnikom, opravlja direktor
občinske uprave . |
|
|
27. člen |
|
|
Vsak, ki obdeluje
osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za
zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma
bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja
podatkov ne preneha s prenehanjem delovnega razmerja. |
|
|
Pred nastopom dela na
delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni
podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov.
|
|
|
Iz podpisane izjave
mora biti razvidno, da je podpisnik seznanjen z določbami tega
pravilnika ter določbami ZVOP-1, izjava pa mora vsebovati tudi pouk o
posledicah kršitve. |
|
|
28. člen |
|
|
Za kršitev določil iz
prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na
temelju pogodbenih obveznosti. |
|
|
IX. KONČNE DOLOČBE: |
|
|
29. člen |
|
|
Ta pravilnik prične
veljati naslednji dan po podpisu. |
|
|
Številka: 007-8/2007
|
|
|
Gornji Grad: 21.05.2007
|
|
|
ŽUPAN |
|
|
Stanko OGRADI |
|