|
Na podlagi 24. in 25. člena
Zakona o varstvu osebnih
podatkov (Uradni list RS, št. 86/2004, 113/05) ter 13. člena Akta o
ustanovitvi javnega podjetja INFRA, izvajanje investicijske dejavnosti
d.o.o. z dne 11.4.2005 (prečiščeno besedilo) direktorica javnega
podjetja INFRA d.o.o., Ana Gračner, izdaja naslednji |
|
|
PRAVILNIK O VARSTVU OSEBNIH PODATKOV |
|
|
I. SPLOŠNE DOLOČBE |
|
|
1. člen |
|
|
S tem pravilnikom se določajo ukrepi in postopki za
zavarovanje osebnih podatkov, katerih upravljavec je javno podjetje
INFRA d.o.o. (v nadaljevanju: INFRA), odgovorne osebe za določene zbirke
osebnih podatkov in osebe, ki lahko zaradi narave njihovega dela
obdelujejo določene osebne podatke. |
|
|
2. člen |
|
|
V tem pravilniku uporabljeni izrazi imajo naslednji pomen: |
|
|
1. Osebni podatek je podatek, ki se nanaša na posameznika,
ne glede na obliko, v kateri je izražen. |
|
|
2. Posameznik je določena ali določljiva fizična oseba, na
katero se nanaša osebni podatek. |
|
|
3. Zbirka osebnih podatkov je vsak strukturiran niz
podatkov, ki vsebuje vsaj en osebni podatek. |
|
|
4. Obdelava osebnih podatkov pomeni kakršnokoli delovanje
ali niz delovanj, ki se izvaja z osebnimi podatki, bodisi pri ročni ali
avtomatizirani obdelavi. |
|
|
5. Dokumenti so vsi napisani, narisani, natisnjeni,
razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno,
optično, oziroma kako drugače zapisani varovani osebni podatki. |
|
|
6. Pooblaščene osebe so osebe, ki so odgovorne za zbirke
osebnih podatkov oziroma, ki lahko zaradi narave njihovega dela
obdelujejo določene osebne podatke. |
|
|
7. Anonimiziranje pomeni takšno spremembo oblike osebnega
podatka, ki onemogoča identifikacijo posameznika oziroma je ta povezana
z velikimi napori, stroški ali porabo časa. |
|
|
8. Kriptografska metoda pomeni način zavarovanja osebnih
podatkov pri njihovem prenosu po nezaščitenih komunikacijskih sredstvih. |
|
|
9. Zloraba osebnega podatka pomeni razkritje oziroma
posredovanje osebnega podatka v nasprotju z 12. členom tega pravilnika. |
|
|
II. ZAVAROVANJE
OSEBNIH PODATKOV |
|
|
3. člen |
|
|
Za zavarovanje osebnih podatkov se v INFRI izvajajo
organizacijski, tehnični in logično-tehnični postopki in ukrepi, s
katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno
nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter
nepooblaščena obdelava, tako da se: |
|
|
- varujejo prostori, oprema in sistemsko programska
oprema, vključno z vhodno-izhodnimi enotami; |
|
|
- varuje aplikativna programska oprema, s katero se
obdelujejo osebni podatki; |
|
|
- preprečuje nepooblaščen dostop do osebnih podatkov pri
njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih
in omrežjih; |
|
|
- zagotavlja učinkovit način blokiranja, uničenja, izbrisa
ali anonimiziranja osebnih podatkov; |
|
|
- izvajajo vsi ostali postopki in ukrepi, ki preprečujejo
zlorabo osebnih podatkov (vodenje evidenc, s katerimi se zagotavlja
sledljivost osebnih podatkov...). |
|
|
Splošni varnostni ukrepi |
|
|
4. člen |
|
|
Zaradi varovanja osebnih podatkov so pooblaščene osebe v
INFRI dolžne izvajati splošne varnostne ukrepe, tako da: |
|
|
- zaklepajo pisalne mize, omare in drugo opremo, v katerih
hranijo osebne podatke, kadar niso prisotne na delovnem mestu; |
|
|
- dokumentov z osebnimi podatki ne puščajo na mizah v
prisotnosti oseb, ki niso pooblaščene za obdelavo osebnih podatkov
oziroma oseb, ki niso zaposlene v INFRI; |
|
|
- oseb, ki niso pooblaščene za obdelavo osebnih podatkov
oziroma oseb, ki niso zaposlene v INFRI, ne seznanjajo z vsebino
dokumentov, ki vsebujejo osebne podatke; |
|
|
- o aktivnosti, ki je usmerjena v odkrivanje ali
nepooblaščeno uničenje osebnih podatkov, kakor tudi o nepravilni,
zlonamerni ali nepooblaščeni uporabi, prilaščanju, odstopanju,
prikrivanju, spreminjanju ali poškodovanju osebnih podatkov iz zbirk
podatkov INFRE, takoj obvestijo neposredno nadrejenega in direktorja,
same pa poskušajo tako aktivnost preprečiti; |
|
|
- po končani izdelavi dokumentov z osebnimi podatki
uničijo pomožno gradivo (npr. matrice, izračune in grafikone, skice,
poskusne oziroma neuspešne spise ipd.), ki so ga uporabile, oziroma, ki
je nastalo pri izdelavi dokumenta; |
|
|
- se ravnajo po drugih aktih INFRE, ki jih zavezujejo,
kako naj v konkretnih primerih ravnajo z dokumenti, ki vsebujejo osebne
podatke. |
|
|
1. Varovanje strojne
in programske opreme |
|
|
5. člen |
|
|
Opremo, kije v INFRI sistematizirana za informacijsko in
telekomunikacijsko obravnavanje, hrambo in prenos osebnih podatkov (v
nadaljnjem besedilu strojna in programska oprema), smejo uporabljati le
pooblaščene osebe, in sicer le za izpolnjevanje obveznosti po pogodbi o
zaposlitvi. |
|
|
6. člen |
|
|
Dostop do strojne in programske opreme mora biti varovan s
sistemom identifikacije uporabnika (sistem gesel za avtorizacijo in
identifikacijo uporabnika), ki preprečuje dostop tretjim osebam. |
|
|
7. člen |
|
|
Poleg pooblaščenih oseb imajo dostop do strojne in
programske opreme tudi delavci INFRE, ki opremo vzdržujejo, in pogodbeno
vezani zunanji vzdrževalci. |
|
|
Osebe iz prejšnjega odstavka inštalirajo ali vzdržujejo
strojno opremo v INFRI na poziv in v prisotnosti pooblaščene osebe. |
|
|
2. Prenos osebnih
podatkov |
|
|
8. člen |
|
|
Osebne podatke je v INFRI dovoljeno prenašati preko
pooblaščene osebe (priloga 1 pravilnika), po komunikacijskih kanalih ali
fizično na računalniških medijih. |
|
|
Osebni podatki se prenašajo na način, ki preprečuje
nepooblaščen dostop ali uničenje osebnih podatkov ter neupravičeno
seznanjanje z njihovo vsebino. |
|
|
9. člen |
|
|
Po nezaščitenih komunikacijskih sredstvih (internet) je
komuniciranje z dokumenti, ki vsebujejo osebne podatke, dovoljeno ob
uporabi kriptografske metode, sam dokument pa mora biti podpisan z
varnim elektronskim podpisom. |
|
|
10. člen |
|
|
Osebni podatki, ki se posredujejo znotraj INFRE, morajo
biti varovani v zaprti in neprosojni ovojnici. |
|
|
3. Posredovanje
osebnih podatkov |
|
|
11. člen |
|
|
Pooblaščena oseba sme osebne podatke posredovati samo
tistim osebam, ki izkažejo upravičeni interes, ki daje pravico do
vpogleda. Za upravičeni interes po tem pravilniku se šteje naslednje: |
|
|
• zakonska osnova, |
|
|
• pisna dovolitev posameznika, na katerega se ti podatki
nanašajo in |
|
|
• interes družbe (zlasti varnost in zdravje pri delu,
izobraževanje...). |
|
|
12. člen |
|
|
Vsako posredovanje osebnih podatkov pooblaščena oseba
zabeleži v Evidenci posredovanih podatkov (priloga št. 2 tega
pravilnika), iz katere je razvidno komu se posredujejo osebni podatki,
za kakšen namen in kdaj so bili osebni podatki posredovani. |
|
|
13. člen |
|
|
Posredovani osebni podatki se lahko uporabijo samo za
namen, za katerega so bili posredovani. Kakršnakoli druga uporaba se
šteje za nepooblaščen dostop do osebnih podatkov. |
|
|
4. Hramba in brisanje
osebnih podatkov |
|
|
14. člen |
|
|
Dokumenti z osebnimi podatki se shranjujejo le toliko
časa, dokler je to potrebno za dosego namena, zaradi katerega so se
podatki zbirali in nadalje obdelovali. |
|
|
15. člen |
|
|
Po izpolnitvi namena obdelave se osebni podatki zbrišejo,
uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki
ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo,
oziroma če drug zakon ali splošni akt INFRE za posamezne kategorije
osebnih podatkov ne določa drugače. |
|
|
16. člen |
|
|
Osebni podatki na klasičnih (npr. kartoteke) ali
računalniških (npr. disketa, disk) medijih se uničijo na način, ki
onemogoča branje vseh ali dela uničenih osebnih podatkov. |
|
|
Osebni podatki na klasičnih dokumentih se v INFRI uničijo
z uničevalnikom dokumentov. |
|
|
Osebni podatki na računalniških medijih se zbrišejo,
uničijo, blokirajo ali anonimizirajo, tako da se: |
|
|
- neuporabni oziroma osebni računalniki za odprodajo,
formatirajo; |
|
|
- CD in DVD mediji na varen način uničijo (zlomijo - pri
tem je potrebno uporabljati zaščitna varovalna sredstva); |
|
|
- diskete na varen način uničijo (zlomijo - pri tem je
potrebno uporabljati zaščitna varovalna sredstva). |
|
|
III. POOBLAŠČENE OSEBE |
|
|
17. člen |
|
|
V INFRI lahko obdelujejo osebne podatke le osebe, ki so
odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi
narave njihovega dela obdelujejo določene osebne podatke. |
|
|
Seznam oseb iz prejšnjega odstavka je priloga št. 1 tega
pravilnika. |
|
|
18. člen |
|
|
Vsaka zloraba osebnega podatka s strani pooblaščene osebe
se šteje kot kršitev pogodbenih in drugih obveznosti iz delovnega
razmerja, za katero se uvede disciplinski postopek v skladu z veljavno
zakonodajo. |
|
|
IV. KONČNI DOLOČBI |
|
|
19. člen |
|
|
Spremembe pravilnika se sprejemajo na enak način kot sam
pravilnik. |
|
|
20. člen |
|
|
Pravilnik začne veljati naslednji dan po objavi na
oglasnih deskah družbe, uporabljati pa se prične z dnem, ko stopi v
veljavo. |
|
|
Sevnica, 10.11. 2006 |
|
|
Direktorica: |
|
|
Ana Gračner, univ.dipl.prav. |
|
|
|
|
|
Priloga |
|
|
|
|
|
|
|