|
Na podlagi 24. in 25. člena
Zakona o varstvu osebnih podatkov
(Uradni list RS, št. 94/07 s spremembami, v nadaljevanju: ZVOP-1) ter
24., 25. in 32. člena
Uredbe (EU) 2016/679
Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu
posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih
podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna
uredba o varstvu podatkov) je Občinski svet Občine Šalovci na 3. dopisni
seji, dne 4. marca 2020 sprejel |
|
|
|
PRAVILNIK |
|
O
POSTOPKIH IN UKREPIH ZA ZAVAROVANJE |
|
OSEBNIH
PODATKOV |
|
|
|
I.
Splošne določbe |
|
|
|
1. člen |
|
S tem
Pravilnikom o postopkih in ukrepih za zavarovanje osebnih podatkov (v
nadaljevanju: Pravilnik) se določajo tehnični, organizacijski ter
kadrovski postopki in ukrepi za zavarovanje osebnih podatkov s katerimi
upravlja Občina Šalovci (v nadaljevanju: upravljavec), z namenom, da se
izpolnijo zakonske zahteve glede varovanja osebnih podatkov in zaščitijo
pravice posameznikov, na katere se osebni podatki nanašajo. |
|
Ti
ukrepi predstavljajo skupek zavezujočih pravil, priporočil in načel iz
prakse, internih postopkov, organizacijskih struktur ter varnosti
informacijske tehnologije. |
|
|
|
2. člen |
|
Namen
tega Pravilnika je zagotoviti zaupnost, celovitost, dostopnost in
točnost osebnih podatkov, v interesu posameznikov, na katere se osebnih
podatki nanašajo, in sicer v vsaki fazi obdelave osebnih podatkov. Vsi
delavci se morajo zavedati tveganj, ki so povezana s tehničnimi in
informacijskimi sistemi ter komunikacijsko tehnologijo, ter morajo zato
izvajati obdelavo osebnih podatkov z zahtevano skrbnostjo. |
|
Ukrepi,
opisani v tem Pravilniku, so oblikovani ob upoštevanju najnovejšega
tehnološkega razvoja in stroškov, izvajanja ter narave, obsega,
okoliščin in namenov obdelave kot tudi tveganj za pravice in svoboščine
posameznikov ter zagotavljajo ustrezno varnost podatkov glede na
morebitna tveganja, ki jih pomeni obdelava podatkov, zlasti v primeru
nenamernega ali nezakonitega uničenja, izgube, spremembe,
nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so
poslani, shranjeni ali kako drugače obdelani. |
|
|
|
3. člen |
|
Upravljavec se ravna po priznanih pravilih za varnost informacij.
|
|
Pravilnik izhaja iz predpostavke, da absolutne varnosti ni in da je
zagotavljanje informacijske varnosti živo stanje, ki od upravljavca
zahteva stalno izboljševanje in prilagajanje varnosti na spreminjajoče
se pogoje. Ukrepi predstavljajo kompromis med tehničnimi zmožnostmi in
zmožnostjo realizacije, ki je v danem primeru pogojena s kadrovskimi in
ekonomskimi vidiki upravljavca. |
|
|
|
4. člen |
|
Upravljavec pri obdelavi osebnih podatkov upošteva splošna načela v
zvezi z obdelavo osebnih podatkov. |
|
Upravljavec obdeluje le tiste osebne podatke, za katere ima ustrezno
zakonsko podlago na podlagi določb ZVOP-1 in Splošne uredbe o varstvu
podatkov. |
|
Osebni
podatki se smejo zbirati samo za določene in zakonite namene ter se ne
smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s
temi nameni, razen če relevantna zakonodaja to omogoča. |
|
Pri
obdelavi osebnih podatkov upravljavec zagotavlja, da so osebni podatki: |
|
·
obdelani
zakonito, pošteno in na pregleden način v zvezi s posameznikom, na
katerega se nanašajo osebni podatki, |
|
·
zbrani
za določene, izrecne in zakonite namene ter da se ne obdelujejo dalje na
način, ki ni združljiv s temi nameni, |
|
·
ustrezni, relevantni in omejeni glede na namene, za katere se
obdelujejo, |
|
·
točni in
- kadar je to potrebno - posodobljeni, |
|
·
hranjeni
v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo
osebni podatki, toliko časa, kolikor je to potrebno za dosego namenov,
za katere se obdelujejo, razen če posamezen zakon ne določa drugače, |
|
·
obdelujejo na način, ki zagotavlja njihovo celovitost in zaupnost,
|
|
·
z
ustreznimi tehničnimi ali organizacijskimi ukrepi ustrezno varovani pred
nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo,
uničenjem, ali poškodbo. |
|
|
|
5. člen |
|
Ta
Pravilnik velja za vse delavce pri upravljavcu, ne glede na to, ali so v
delovnem razmerju pri upravljavcu (v nadaljevanju delavci). Pravilnik je
namenjen zlasti tistim delavcem, ki so posredno ali neposredno udeleženi
pri obdelavi osebnih podatkov, ter pri zagotavljanju varnosti
informacijske tehnologije. |
|
|
|
6. člen |
|
Izrazi,
ki se uporabljajo v tem Pravilniku, imajo pomene, kot izhajajo iz
veljavnega ZVOP-1 ter Splošne uredbe o varstvu podatkov. |
|
|
|
II.
Seznam evidenc dejavnosti obdelave osebnih podatkov |
|
|
|
7. člen |
|
Upravljavec za namen identifikacije in popisa vseh vrst osebnih
podatkov, katere obdeluje, vodi Seznam evidenc dejavnosti obdelave
osebnih podatkov (v nadaljevanju: Seznam evidenc), v katerem so zapisane
vse zbirke osebnih podatkov, ki jih obdeluje, in katerega namen je
omogočiti popoln pregled nad tokom osebnih podatkov. Seznam evidenc
predstavlja podlago sprejemu tehničnih, organizacijskih in kadrovskih
ukrepov za zavarovanje osebnih podatkov, kot so opisani v tem
Pravilniku. |
|
Seznam
evidenc se vodi na način, da je za vsako evidenco dejavnosti obdelave
osebnih podatkov razvidno: |
|
·
katere
vrste osebnih podatkov se obdelujejo, |
|
·
na
katere kategorije posameznikov se nanašajo osebnih podatki, |
|
·
kaj je
namen obdelave osebnih podatkov, |
|
·
na
kakšni pravni podlagi se osebni podatki obdelujejo, |
|
·
kakšen
je predviden rok hrambe oz. izbrisa podatkov, |
|
·
morebitne osebe oz. uporabnike, katerim so osebnih podatki lahko
razkriti, |
|
·
ali se
podatki iznašajo v tretjo državo in/ali mednarodno organizacijo,
|
|
·
s
katerimi tehničnimi, organizacijskimi in kadrovskimi ukrepi se
zagotavlja varstvo osebnih podatkov. |
|
Upravljavec skrbi za točnost in ažurnost Seznama evidenc. Upravljavec
nadzornemu organu na njegovo zahtevo omogoči dostop do Seznama evidenc. |
|
Delavci,
ki pri izvajanju del in nalog za upravljavca obdelujejo osebne podatke,
morajo biti seznanjeni s Seznamom evidenc, vpogled vanj pa je potrebno
omogočiti tudi vsakomur, ki to zahteva in ima za vpogled zakoniti
interes (npr. posameznik, na katerega se
nanašajo osebnih podatki,
nadzorni organ, policija na podlagi zakonskih pooblastil). |
|
|
|
8. člen |
|
Ob
upoštevanju narave, obsega, okoliščin in namena obdelave, ki velja za
upravljavca in ki je razviden iz Seznama evidenc, upravljavec
zaključuje, da obdelava podatkov ne predstavlja velikega tveganja za
pravice in svoboščine posameznikov, zato priprava predhodne ocene učinka
v zvezi z obdelavo podatkov ni potrebna. V kolikor bo potrebna se izvede
kot dodatek k pravilniku. |
|
Upravljavec se zaveže ponovno opraviti pregled tveganj in oceniti, ali
je v zvezi z obdelavo potrebna priprava ocene učinka vedno, ko se
spremeni tveganje, ki ga predstavljajo dejanja obdelave, ko obdeluje
nove osebne podatke, pred uporabo novih tehnologij ali ko se spremenijo
narava, obseg, okoliščine in nameni obdelave osebnih podatkov. |
|
|
|
III. Kadrovski ukrepi |
|
|
|
9. člen |
|
Naloge
in pristojnosti glede obdelave osebnih podatkov, ki so si med seboj v
konfliktu, so dodeljene različnim osebam ali oddelkom, z namenom, da se
v najkrajšem možnem času prepoznajo nepooblaščene ali nenamerne
spremembe podatkov. |
|
Vloge in
naloge so določene skladno z notranjo organiziranostjo upravljavca, pri
čemer je za določanje namenov obdelave osebnih podatkov, pristojnost za
določitev sredstev informacijske tehnologije ali operativne procese,
varnost podatkov in zagotovitev tehničnih, kadrovskih in organizacijskih
ukrepov v prvi vrsti odgovoren župan upravljavca. |
|
Dostop
do osebnih podatkov je opredeljen v Seznamu evidenc. |
|
Za
pravilno izvajanje tega Pravilnika je dokončno pristojen in odgovoren
župan upravljavca. |
|
|
|
10. člen |
|
Upravljavec v zvezi z pooblaščeno osebo za varstvo podatkov ravna po 37.
členu Splošne uredbe o varstvu podatkov. |
|
V
kolikor bo imenoval pooblaščeno osebo za varstvo podatkov, jo imenuje s
Sklepom o imenovanju pooblaščene osebe za varstvo podatkov. |
|
|
|
11. člen |
|
Vsak, ki
obdeluje osebne podatke znotraj upravljavca, je dolžan te podatke
obdelovati zgolj z dovoljenjem upravljavca in znotraj njegovih navodil,
izvajati s tem pravilnikom predpisane postopke in ukrepe za zavarovanje
osebnih podatkov ter varovati osebne podatke, za katere je zvedel oz.
bil z njimi seznanjen pri opravljanju svojega dela. |
|
Obveza
varovanja podatkov ne preneha s prenehanjem delovnega razmerja. |
|
Vsak, ki
pri svojem delu obdeluje osebne podatke, mora biti seznanjen z
zakonodajo s področja varstva osebnih podatkov in z vsebino tega
Pravilnika. Upravljavec bo v ta namen poskrbel, da bodo taki delavci
podpisali posebno Izjavo o varstvu osebnih podatkov, iz katere bo
razvidno, da so seznanjeni z določbami tega Pravilnika in zakonodajo s
področja varstva osebnih podatkov. |
|
Upravljavec bo skladno z načelom odgovornosti delavcem, ki rokujejo z
osebnimi podatki, po potrebi zagotavljal ustrezna izobraževanja oz.
treninge s področja varovanja osebnih podatkov. |
|
Za
kršitev določil iz tega člena so delavci disciplinsko, odškodninsko in
kazensko odgovorni. Kršitev določil tega Pravilnika se šteje za hujšo
kršitev pravic in obveznosti iz delovnega razmerja, kar predstavlja
podlago za redno odpoved pogodbe o zaposlitvi iz krivdnih razlogov ali
izredno odpoved v primeru hujših kršitev. |
|
|
|
IV.
Fizična varnost |
|
|
|
12. člen |
|
Osebni
podatki in informacijski sistemi morajo biti ustrezno zaščiteni pred
tatvino, poškodovanjem in negativnimi učinki iz okolja. |
|
Prostori, kjer se nahajajo osebnih podatki, njihove kopije in
informacijski sistemi, morajo biti ognjevarni (gasilni aparati, požarni
senzor), zavarovani proti izlitjem vode, poplavami in elektromagnetnimi
motnjami, v okviru predpisanih klimatskih pogojev. |
|
Vsi
informacijski sistemi, ki so kritični za upravljavca, se morajo nahajati
v varnem okolju. Vsi prostori, v katerih se nahajajo nosilci osebnih
podatkov ter strojna in programska oprema, morajo biti fizično varovani
(npr. zaklenjeni, pospravljeni v predal ali omaro na zaklep ali geslo
ipd.), tako da je nepooblaščenim osebam dostop do podatkov preprečen. |
|
Taki
varovani prostori oz. stavba kot celota, kjer se shranjujejo osebni
podatki, so mehansko ali tehnično varovani. |
|
|
|
13. člen |
|
Osebni
podatki se ne smejo hraniti izven varovanih prostorov. |
|
Varovani
prostori ne smejo ostajajo nenadzorovani, oz. se zaklepajo ob odsotnosti
delavcev, ki jih nadzorujejo. Izven delovnega časa se varovani prostori
zaklepajo, ključi se morajo hraniti v skladu s hišnim redom. Ključi se
ne puščajo v ključavnici v vratih. |
|
|
|
14. člen |
|
Izven
delovnega časa morajo biti omare in pisalne mize z nosilci osebnih
podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in
fizično ali programsko zaklenjeni. |
|
Delavci
v svoji odsotnosti z delovnega mesta upoštevajo t. i. politiko čiste
mize in politiko čistega ekrana. Nosilcev osebnih podatkov ne puščajo na
mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje, računalniške
ekrane pa fizično ali programsko zaklepajo. |
|
Nosilci
osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki,
skupni prostori) morajo biti stalno zaklenjeni. |
|
|
|
15. člen |
|
V
prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci
podatkov in računalniški prikazovalniki nameščeni tako, da stranke vanje
nimajo vpogleda. |
|
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in
poslovni partnerji se smejo gibati v zavarovanih prostorih samo z
vednostjo odgovornega delavca upravljavca. |
|
|
|
V.
Varovanje integritete in zaupnosti podatkov ob sprejemu in prenosu |
|
|
|
16. člen |
|
Delavec,
ki je zadolžen za sprejem in evidenco pošte: |
|
1) mora
izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali
službi, na katero je pošiljka naslovljena, |
|
2)
odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način
prispejo k upravljavcu, razen pošiljk iz tretje in četrte točke tega
člena, |
|
3) ne
odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo
in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni
podatki, |
|
4) ne
sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici
navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je
najprej navedeno osebno ime delavca brez označbe njegovega uradnega
položaja in šele nato naslov upravljavca. |
|
|
|
17. člen |
|
Osebni
podatki se pošiljajo s priporočeno pošto ali osebno preko kurirja. |
|
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na
način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri
osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako
mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno
vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice. |
|
|
|
18. člen |
|
Osebne
podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi
in drugimi sredstvi le ob izvajanju ustreznih postopkov in ukrepov, ki
nepooblaščenim preprečujejo prilaščanje, uničenje podatkov ali poseganje
v njihovo celovitost, ter neupravičeno seznanjanje z njihovo vsebino. |
|
V
primeru elektronskega pošiljanja sporočil z osebnimi podatki upravljavec
zagotavlja tehnične postopke, ki onemogočijo prestrezanje, kopiranje,
spreminjanje, preusmerjanje ali uničenje prenesenih informacij. |
|
|
|
19. člen |
|
Obdelava
posebnih vrst osebnih podatkov mora biti posebej označena in zavarovana. |
|
Posebne
vrste osebnih podatkov se pošiljajo naslovnikom v zaprtih ovojnicah
proti podpisu v dostavni knjigi ali z vročilnico. |
|
Podatki
iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih
omrežij samo, če so posebej zavarovani s kriptografskimi metodami in
elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med
njihovim prenosom. |
|
|
|
VI.
Zagotavljanje zaupnosti, celovitosti in odpornosti sistemov in storitev
za obdelavo podatkov |
|
|
|
20. člen |
|
Dostop
do visoko občutljivih informacij upravljavec ureja z različnimi
tehničnimi sredstvi in določanjem varnostnih con ter omejevanjem
dostopa. |
|
Uporabniki in informacijske storitve in sistemi se v omrežjih ločijo.
Prav tako se ločijo razvojna, testna in obratovalna okolja. |
|
Zagotavlja se kontrola dostopa, ki omogoča, da lahko dostop do funkcij,
programov in podatkov informacijskega sistema prejmejo le upravičene
osebe. |
|
|
|
21. člen |
|
Dostop
do programske opreme je urejen s t. i. politiko dostopnih pravic. Dostop
je dovoljen samo za to vnaprej določenim delavcem ali zunanjim
ponudnikom storitev. |
|
Dostop
do informacijskih sistemov je omejen na pravice, ki so potrebne za
izvajanje določene naloge (npr. pravice do branja, spreminjanja,
administratorski dostop). Pri podelitvah pravic dostopa upravljavec
sledi načelo »need-to-know«, kar pomeni, da uporabniki ne smejo prejeti
več pravic, kot bi bile potrebne za izvajanje njihovih nalog ali za
dostop do podatkov. |
|
Vsakemu
uporabniku se dodeliti jasno (osebno)
uporabniško ime (ID oznaka uporabnika). To velja tudi za privilegirane
pravice do dostopa (npr. za administratorje). |
|
Za
preprečitev morebitnega napada ali varnostnega tveganja se beležijo vsi
kritični, zlasti pa neuspeli poskusi dostopa. |
|
Zunanji
dostopi, ki so namenjeni vzdrževanju, se aktivirajo le za čas trajanja
vzdrževanja po predhodno izvedenem formalnem in dokumentiranem zahtevku.
Po prenehanju vzdrževalnih del se ti podeljeni dostopi za vzdrževanje
deaktivirajo oz. onemogočijo. |
|
Če
določen delavec zamenja delovno mesto, se pravice dostopa ponovno
preverja in po potrebi prilagodi. Tudi sicer se morajo pravice do
dostopa redno preverjati in ažurirati. |
|
Če
delavec preneha opravljati delo za upravljavca, se mora najpozneje ob
koncu zadnjega delovnega dne odvzeti vsa izdana dovoljenja za dostop.
Enako velja za vse zunanje ponudnike storitev. |
|
|
|
22. člen |
|
Strojna
oprema in sistemska programska oprema, vključno z vhodno-izhodnimi
enotami, mora biti zaščitena na način, da se zavaruje integriteta in
zaupnosti podatkov. |
|
Vsi
osebni računalniki, na katerih je možen dostop do osebnih podatkov, so
varovani z uporabniškim imenom in geslom. |
|
Programska oprema inštalirana na računalniku, ki omogoča dostop do
osebnih podatkov, je varovana z uporabniškim imenom in geslom.
|
|
Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja
gesel. |
|
|
|
23. člen |
|
Vsa
gesla in postopki, ki se uporabljajo za vstop in administriranje mreže
osebnih računalnikov (nadzorna gesla), administriranje elektronske pošte
in administriranje aplikativnih programov se hranijo v zapečatenih
ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se
jih samo v izrednih okoliščinah oz. ob nujnih primerih. |
|
Vsaka
uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni
uporabi se določi nova vsebina gesel. |
|
|
|
24. člen |
|
Vzdrževanje, popravljanje, spreminjanje in dopolnjevanje sistemske in
aplikativne programske opreme je dovoljeno samo na podlagi odobritve s
strani župana oz. z njegove strani pooblaščenega delavca (skrbnika),
izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in
posamezniki, ki imajo z upravljavcem sklenjeno ustrezno pogodbo.
Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne
programske opreme ustrezno dokumentirati. |
|
Zaposleni ne smejo namestiti programske opreme brez vednosti osebe,
zadolžene za delovanje računalniškega informacijskega sistema. Prav tako
ne smejo odnašati programske opreme iz poslovnih prostorov brez
odobritve vodje organizacijske enote in vednosti osebe, zadolžene za
delovanje računalniškega informacijskega sistema. |
|
|
|
25. člen |
|
Vsebina
diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo
osebni podatki, se sprotno preverja za prisotnost računalniških virusov.
|
|
Vse
delovne postaje in prenosni računalniki in druga oprema morajo biti
opremljeni z aktivirano in posodobljeno protivirusno zaščito. Vsi
računalniki na delovnem mestu morajo biti opremljeni s kombinacijo
lokalnega požarnega zidu in lokalnega sistema za zaznavanje in
preprečevanje vdorov. Vsi prenosni računalniki in druga oprema morajo
biti opremljeni z lokalnim požarnim zidom. |
|
Ob
pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne
strokovne službe, obenem pa se ugotovi vzrok pojava virusa v
računalniškem informacijskem sistemu. |
|
Vsi
osebni podatki in programska oprema, ki so namenjeni uporabi v
računalniškem informacijskem sistemu in prispejo k upravljavcu na
medijih za prenos računalniških podatkov ali preko telekomunikacijskih
kanalov, morajo biti pred uporabo preverjeni glede prisotnosti
računalniških virusov. |
|
|
|
26. člen |
|
Če
uporabnik ali administrator zapusti delovno mesto ali ne izvaja nobenih
vnosov, se mora v določenem časovnem razponu samodejno vključiti zapora
zaslona, zaščitena z geslom. |
|
Na
sistemih, kjer je to tehnično možno, poteka avtomatska odjava
uporabnika, če ni bilo izvedenih vnosov znotraj opredeljenega časovnega
razpona. |
|
Pri
prenosnih računalnikih se uporablja ustrezno šifriranje trdih diskov.
Prav tako se preko kontrole priključka lahko omeji ali onemogoča uporaba
zunanjih naprav na odjemalcih. |
|
Poslovne
informacije se načeloma ne shranjujejo lokalno na računalnikih na
delovnem mestu ali prenosnih računalnikih dlje, kot je treba, in se
shranjujejo na centralno upravljane sisteme, ki so predvideni za ta
namen. |
|
|
|
27. člen |
|
Pred
nedovoljenimi dostopi in manipulacijami morajo biti zaščitene tudi
pisarniške naprave za komunikacijo kot so tiskalniki, kopirni stroji,
faks naprave ipd. |
|
Upravljavec mora prav tako sprejeti ustrezne informacijske varnostne
ukrepe, v primeru oddaljenega dostopa. |
|
|
|
VII. Zagotavljanje dostopnosti oz. razpoložljivosti podatkov v
primeru fizičnega ali tehničnega incidenta |
|
|
|
28. člen |
|
Vsaka
operacija s podatki se beleži v sistemskih dnevniških datotekah.
Beleženje mora izvesti administrator v skladu z zahtevami in možnostmi
operacijskih sistemov in aplikacij. |
|
Revizijska sled mora zagotavljati možnost ugotovitve, kdaj so bili
posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali
drugače obdelovani oz. spremenjeni ter kdo je to storil. Vsi dogodki se
morajo opremiti s časovnim žigom. |
|
|
|
29. člen |
|
Osebni
podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z
ustrezno zakonsko podlago ali s pisno zahtevo oz. privolitvijo
posameznika, na katerega se podatki nanašajo. |
|
Za vsako
posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v
kateri mora biti jasno navedena določba zakonske podlage, ki uporabnika
pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi
priložena pisna zahteva oz. privolitev posameznika, na katerega se
podatki nanašajo. |
|
Vsako
posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz
katere mora biti razvidno, kateri osebni podatki so bili posredovani,
kam oz. komu, kdaj in na kakšni podlagi. Evidenca sledljivosti
posredovanj podatkov se vodi po kronološkem vrstnem redu. |
|
Nikoli
se ne posredujejo originali dokumentov, razen v primeru pisne odredbe
sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s
kopijo. |
|
|
|
30. člen |
|
Za
potrebe restavriranja računalniškega sistema ob okvarah in ob drugih
izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega
strežnika in lokalnih postaj, če se podatki tam nahajajo (tj. izdelava
varnostnih kopij podatkov). |
|
Za
podatke, za katere velja visoka zahteva po razpoložljivosti, se mora
varnostna kopija vzpostaviti redno, tako da se lahko v primeru izpada
ene ali več komponent ponovno vzpostavi pripravljenost za obratovanje
celotnega sistema. |
|
|
|
31. člen |
|
Ob
izpadu sistema mora biti zagotovljeno, da se ne izgubijo nobene kritične
informacije. |
|
Mediji
za varnostno shranjevanje se morajo hraniti na krajih, ki izpolnjujejo
zahteve zaupnosti, integritete in razpoložljivosti zadevnih informacij.
To vključuje tudi zadostno prostorsko ločevanje med mediji za varnostno
shranjevanje in varnostnim virom (npr. skladiščenje v drugih prostorih). |
|
Zagotoviti se mora, da ima administracijsko osebje v nujnem primeru
dostop do varnostnih medijev. |
|
Določiti
se morajo roki za shranjevanje in roki za izbris varnostnih kopij. |
|
|
|
32. člen |
|
Informacije se arhivirajo v skladu z zakonskimi, pogodbenimi in
poslovnimi zahtevami. |
|
Določiti
se mora trajanje shranjevanja za bistvene poslovne informacije in
arhivske kopije. |
|
Arhivski
podatki se morajo skladiščiti ali shranjevati na krajih, ki izpolnjujejo
zahteve razpoložljivosti, integritete in zaupnosti. |
|
|
|
VIII.
Redno testiranje, ocenjevanje in vrednotenje ukrepov |
|
|
|
33. člen |
|
Upravljavec se zaveže, da bo redno testiral, ocenjeval in vrednotil
učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje
varnosti obdelave. |
|
Upravljavec bo v ta namen vsaj enkrat letno preveril zakonitost obdelave
osebnih podatkov. Za namen oprave notranje kontrole bo upravljavec
pregledal dnevnike v zvezi z delovanji obdelav osebnih podatkov
(dnevniške datoteke) in se posvetoval z ustreznimi strokovnjaki za
informacijsko varnost. |
|
|
|
IX. Rok
hrambe in brisanje podatkov |
|
|
|
34. člen |
|
Upravljavec zagotavlja, da je obdobje hrambe osebnih podatkov omejeno na
najkrajše mogoče obdobje. V ta namen upravljavec v Seznam evidenc
predpiše roke za izbris osebnih podatkov. |
|
Po
preteku roka hranjenja se osebni podatki zbrišejo oz. trajno uničijo ali
anonimizirajo, razen če zakon ali drug akt določa drugače. |
|
|
|
35. člen |
|
Za
brisanje podatkov iz računalniških medijev se uporabi takšna metoda
brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
Brisanje mora biti popolno in nepovratno. Poleg nosilca takih podatkov
je potrebno uničiti tudi podatke v mapi »Izbrisano« ali »Koš« oz. drugi
ustrezni mapi/direktoriju, tako da vsebine ni več moč obnoviti. |
|
Podatki
na klasičnih medijih (listine, kartoteke, register, seznam ipd.) se
uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov.
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in
grafikone, skice, poskusne oz. neuspešne izpise ipd.). |
|
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v
koše za smeti. |
|
Pri
prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno
zagotoviti ustrezno zavarovanje tudi v času prenosa. |
|
|
|
X.
Storitve, ki jih opravljajo zunanje pravne ali fizične osebe |
|
|
|
36. člen |
|
Upravljavec lahko posamezna dejanja obdelave podatkov zaupa tudi zunanji
pravni ali fizični osebi (v nadaljevanju: obdelovalec), ki zagotavlja
zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih
ukrepov za varstvo osebnih podatkov. Obdelovalec, ki opravlja
dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako
strog način varovanja osebnih podatkov, kakor ga predvideva ta
Pravilnik. |
|
V takem
primeru bo upravljavec z obdelovalcem sklenil ustrezne pisne dogovore o
pogodbeni obdelavi osebnih podatkov, v katerih bo določil pravice in
obveznosti obeh strank. V takšnem dogovoru morajo biti obvezno
predpisani pogoji in ukrepi za zagotovitev varstva osebnih podatkov in
njihovega zavarovanja ter obveznosti obdelovalca napram upravljavcu.
Omenjeno velja tudi za obdelovalce, ki vzdržujejo strojno in programsko
opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.
|
|
Obdelovalec lahko na podlagi takega dogovora v imenu in za račun
upravljavca opravlja samo dogovorjena opravila v zvezi z obdelavo
osebnih podatkov upravljavca. Obdelovalec podatkov ne sme obdelovati ali
drugače uporabljati za noben drug namen. |
|
|
|
XI.
Poročanje v primeru varnostnega incidenta |
|
|
|
37. člen |
|
Upravljavec zagotavlja dosleden in učinkovit sistem za ravnanje z
varnostnimi incidenti, vključno z dokumentiranjem in obveščanjem o
varnostnih dogodkih. |
|
V ta
namen upravljavec zagotovi informacijski sistem, ki je sposoben izvajati
nadzor za prepoznavanje dogodkov (npr. požarni zid, zaznavanje vdorov,
sistem nadzora). Informacijski sistemi nadalje omogočajo dokumentiranje
vseh varnostno relevantnih ali sistemsko kritičnih dogodkov. Za
spremljanje teh beleženj je odgovorna pooblaščena oseba (skrbnik)
informacijskega sistema, ki mora v primeru varnostno pomembnih
incidentov poročati vodstvu upravljavca. |
|
Vsi
delavci so dolžni o aktivnostih, ki so povezane z odkrivanjem ali
nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni
uporabi, prilaščanju, nedostopnosti, spreminjanju ali poškodovanju
podatkov, takoj obvestiti vodstvo upravljavca, sami pa poskušajo takšno
aktivnost preprečiti. |
|
Upravljavec v evidenco varnostnih incidentov beleži vsako kršitev
varstva osebnih podatkov, iz katere morajo biti razvidna dejstva v zvezi
s kršitvijo varstva osebnih podatkov, učinki take kršitve in sprejeti
popravni ukrepi. |
|
V
evidenco varnostnih incidentov se po kronološkem vrstnem redu vpisujejo
vsi varnostni incidenti, ne glede na stopnjo in vrsto tveganja za
pravice in svoboščine
posameznikov. Upravljavec
zlasti beleži kršitve zaupnosti podatkov (npr. nepooblaščeno razkritje
podatkov), kršitve v zvezi z možnostjo dostopa do podatkov in kršitve
integritete podatkov (npr. nepooblaščena sprememba podatkov). |
|
|
|
38. člen |
|
Če je
verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene
pravice in svoboščine posameznikov, mora upravljavec nemudoma,
najkasneje pa v roku 72 ur po seznanitvi s kršitvijo, o njej uradno
obvestiti pristojni nadzorni organ, skladno s 33. členom Splošne uredbe
o varstvu podatkov. |
|
Kadar je
verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje
za pravice in svoboščine posameznikom, mora upravljavec skladno z
določbo 34. člena Splošne uredbe o varstvu podatkov brez nepotrebnega
odlašanja obvestiti tudi posameznike, na katere se nanašajo osebni
podatki, da je prišlo do kršitve varstva osebnih podatkov. |
|
|
|
XII. Končne določbe |
|
|
|
39. člen |
|
Vse
spremembe in dopolnitve tega Pravilnika se sprejmejo na enak način kot
Pravilnik in v pisni obliki. |
|
|
|
40. člen |
|
Pravilnik začne veljati na dan objave. |
|
Pravilnik se objavi na pri upravljavcu običajen način, tako da se z
njegovo vsebino lahko seznanijo vsi delavci pri upravljavcu. |
|
|
|
41. člen |
|
Ta
Pravilnik je na razpolago in vpogled vsem delavcem v občinski upravi
upravljavca v času delovnika. Delavcem je omogočeno, da se brez nadzora
seznanijo z vsebino tega Pravilnika. |
|
|
|
Številka: 071-1/2020-1 |
|
Datum:
4. 3. 2020 |
|
|
|
|
Občina Šalovci |
|
|
Iztok Fartek, župan |
|
|
|
|
|
|
A
személyes adatok védelméről szóló törvény 24. és 25. cikke alapján (a
Szlo. Közt. Hiv. Közlönye, 94/07 sz. a módosításokkal, a továbbiakban:
ZVOP-1), valamint a 2016/679 számú, az Európai Parlament és a Tanács
által 2016. április 27-én kiadott, a személyes adatok feldolgozása során
az egyének védelméről és az ilyen adatok szabad áramlásáról, valamint a
95/46 / EK irányelv hatályon kívül helyezéséről szóló (EU) rendelet 24.,
25. és 32. cikke alapján (a továbbiakban: Általános adatvédelmi
rendelkezés) a Šalovci község tanácsa a 3. levelező ülésén, 2020.
március 4.-én elfogadta a |
|
|
|
A
SZEMÉLYES ADATOK VÉDELMÉVEL KAPCSOLATOS ELJÁRÁSOKRÓL ÉS INTÉZKEDÉSEKRŐL
SZÓLÓ |
|
SZABÁLYZATOT |
|
|
|
I.
Általános rendelkezések |
|
|
|
1. cikk |
|
Jelen
személyes adatok védelmével kapcsolatos eljárásról és intézkedésekről
szóló szabályzattal (a továbbiakban: Szabályzat) meghatározásra kerülnek
a Šalovci község (a továbbiakban: adatkezelő) által kezelt személyes
adatok védelmével kapcsolatos technikai, szervezeti és kádereljárások és
intézkedések, méghozzá abból a célból, hogy eleget tegyenek a személyes
adatok védelmével kapcsolatos törvény előírásoknak és védjék az egyének
személyes adatait, azok érdekeit. |
|
Ezen
intézkedések gyakorlati elvekkel, belső előírásokkal, szervezeti
struktúrákkal, illetve biztonsági informatikai technológiával
kapcsolatos kötelező érvényű szabályok, ajánlások és elvek csoportját
alkotják. |
|
|
|
2. cikk |
|
Jelen
Szabályzat célja a személyes adatok bizalmasságának, teljességének és
pontosságának biztosítása, az egyének érdekeinek szem előtt tartásával,
mégpedig a személyes adatok feldolgozásának minden fázisában. Minden
dolgozónak tisztában kell lennie a technikai és informatikai rendszerek,
illetve a kommunikációs technológia jelentette kockázatokkal, illetve
éppen ezért a személyes adatok feldolgozásának a megkövetelt
alapossággal kell történnie. |
|
A jelen
Szabályzatban leírt intézkedések megformálása a legújabb technikai
fejlődés és a feldolgozás költségei, természete, terjedelme, körülményei
és célja, illetve a személyek jogaival és szabadságjogaival kapcsolatos
kockázatok figyelembevételével történt, biztosítva a személyes adatok
kezelése, az adatfeldolgozás jelentette esetleges kockázatokat
elhárítását, különösen a nem szándékos vagy törvénytelen
megsemmisítéssel, elvesztéssel, módosítással, a megküldött, elmentett
vagy más módon feldolgozott személyes adatok illetéktelen feltárásával
vagy az azokhoz való hozzáféréssel
kapcsolatosan.
|
|
|
|
3. cikk |
|
Az
adatkezelő az adatok biztonságának elismert szabályai szerint jár el.
|
|
A
szabályzat abból a feltevésből indul ki, hogy abszolút biztonság nem
létezik és az információk biztonságának szavatolása folyamatos feladat,
ami az adatkezelő részéről az állandóan változó feltételeknek való
megfelelésre való folyamatos alkalmazkodást, fejlődést jelent. Az
intézkedések kompromisszumot jelentenek a technikai lehetőségek és a
megvalósítás lehetősége között, amit az az adatkezelő személyzeti és
gazdasági lehetőségei határoznak meg az adott pillanatban meg. |
|
|
|
4. cikk |
|
Az
adatkezelő a személyes adatok feldolgozásánál tiszteletben tartja az
adatfeldolgozással kapcsolatos alapelveket. |
|
Az
adatkezelő csak azon adatokat dolgozza fel, amelyekkel kapcsolatosan a
ZVOP-1 és Az adatvédelemről szóló általános rendelkezés alapján
megfelelő törvényes lehetőségei vannak. |
|
A
személyes adatok gyűjtésére csak a meghatározott és törvényes célokra
van lehetőség, illetve a továbbiakban nem kezelhetőek olyan módon, hogy
a feldolgozás ne legyen az említett célokkal összhangban, kivéve, ha a
törvény ezt lehetővé teszi. |
|
A
személyes adatok feldolgozásánál az adatkezelő biztosítja, hogy a
személyes adatok: |
|
·
feldolgozása törvényesen, tisztességesen és áttekinthető módon történik,
azzal az egyénnel kapcsolatosan, akire a személyes adatok vonatkoznak, |
|
·
azok
gyűjtése a meghatározott, kifejezett és törvényes célok érdekében,
illetve a továbbiakban sem történik azok felhasználása olyan célokra,
melyek nem összeegyeztethetőek a fent említettekkel, |
|
·
megfelelőek, relevánsak és a feldolgozás céljaira korlátozódnak, |
|
·
pontosak
és - amikor ez szükséges - frissítettek, |
|
·
tárolásuk olyan formában történik, ami lehetővé teszi egyének
azonosítását, amelyekre a személyes adatok vonatkoznak, mégpedig annyi
ideig, ameddig azokra szükség van az adott célok eléréséhez, kivéve, ha
a törvény másként rendelkezik, |
|
·
a
feldolgozás olyan módon történik, hogy biztosítva legyen azok teljessége
és bizalmassága, |
|
·
a
megfelelő technikai vagy szervezeti intézkedésekkel megfelelő védelem
biztosításával a meg nem engedett vagy törvénytelen feldolgozással
szemben, illetve a nem szándékos elvesztés, megsemmisülés vagy károsodás
ellen. |
|
|
|
5. cikk |
|
Jelen
Szabályzat az adatkezelő minden dolgozójára vonatkozik, tekintet nélkül
arra, hogy munkaviszonyban állnak-e az adatkezelőnél (a továbbiakban
dolgozók). A Szabályzat elsősorban azon dolgozókra vonatkozik, akik
közvetlenül vagy közvetve részt vesznek a személyes adatok
feldolgozásában, illetve az információs technológia biztonságának
szavatolásában. |
|
|
|
6. cikk |
|
A jelen
Szabályzatban használt kifejezések jelentései az érvényben lévő
ZVOP-1-ből, illetve Az általános adatvédelmi rendelkezésből származnak.
|
|
|
|
II. A
személyes adatok feldolgozására vonatkozó tevékenységek nyilvántartása
|
|
|
|
7. cikk |
|
Adatkezelő az azonosítás és a minden típusú személyes adatokkal
kapcsolatos minden típusú összeírása céljaira a személyes adatok
feldolgozására vonatkozó tevékenységek nyilvántartásának listáját vezeti
(a továbbiakban: A nyilvántartások listája), melyben szerepel a
személyes adatok minden gyűjteménye, melyeket feldolgoz, és amelyek
célja a személyes adatok feldolgozása folyamatának teljes áttekintése.
A nyilvántartások listája alapot jelent a személyes adatok védelmét
célzó technikai, szervezeti és káderintézkedések elfogadásánál, ahogyan
az a jelen Szabályzatban szerepel. |
|
A
nyilvántartások listájának vezetése olyan módon történik, hogy a
személyes adatok feldolgozásával kapcsolatos tevékenység minden
nyilvántartásából kiderül, hogy: |
|
·
milyen
típusú személyes adatok feldolgozása történik, |
|
·
milyen
típusú egyénre vonatkoznak a személyes adatok, |
|
·
mi a
személyes adatok feldolgozásának célja, |
|
·
milyen
jogalapja van a személyes adatok feldolgozásának, |
|
·
az
adatok tárolásának, illetve törlésének előrelátható időtartama, ideje |
|
·
a
személyek, illetve felhasználók nevei, akiknek esetlegesen feltárják a
személyes adatokat, |
|
·
a
személyes adatokat küldik-e harmadik országba és/vagy nemzetközi
szervezet számára, |
|
·
milyen
technikai, szervezeti és káderintézkedésekkel szavatolják a személyes
adatok biztonságát. |
|
Az
adatkezelő gondoskodik a nyilvántartások listájának pontosságáról és
naprakész mivoltáról. Az adatkezelő a felügyeleti szerv számára annak
követelése esetén hozzáférést biztosít a nyilvántartások listájához. |
|
A
dolgozók számára, akik az adatkezelő számára végzett munka és
feladatvégzés folyamán személyes adatokat dolgoznak fel, meg kell
mutatni a nyilvántartások listáját, illetve az ahhoz való hozzáférést
lehetővé kell tenni mindenki számára, akinek ehhez törvényes érdeke (pl.
az egyén, akinek a személyes adatairól szó van, a felügyeleti szerv,
törvényes meghatalmazás esetén a rendőrség) fűződik. |
|
|
|
8. cikk |
|
Az
adatkezelőre vonatkozó, a nyilvántartások listájából következő
adatfeldolgozás természete, kiterjedése, körülményei és céljai
tiszteletben tartása mellett adatkezelő megállapítja, hogy az adatok
feldolgozása nem jelent nagy kockázatot az egyén jogaira és
szabadságjogaira nézve, ezért az adatfeldolgozással kapcsolatos hatások
előzetes értékelésre nincs szükség. Amennyiben szükségessé válik, a
szabályzat mellékleteként kerül arra sor. |
|
Adatkezelő kötelezettséget vállal a kockázatok újbóli vizsgálatára és
annak értékelésére, hogy az adatfeldolgozással kapcsolatosan szükség
van-e a hatások értékelésére minden esetben, amikor a feldolgozás
jelentette kockázat módosul, amikor új személyes adatokat dolgoznak fel,
új technológiák alkalmazásakor vagy amikor megváltozik a személyes
adatok feldolgozásának természete, kiterjedése, körülményei és céljai. |
|
|
|
III. Káderintézkedések |
|
|
|
9. cikk |
|
A
személyes adatok feldolgozásával kapcsolatos feladatok és illetékesség
esetében jelentkező összeférhetetlenség esetén különböző személyek vagy
részlegek megbízására kerül sor abból a célból, hogy a lehető
leghamarabb felfedezzék az illetéktelen vagy akaratlan adatmódosítást.
|
|
A
szerepek és feladatok meghatározása az adatkezelő belső
szervezettségével összhangban történik, s a személyes adatok
feldolgozásáért, az információs technológia vagy az operatív folyamatok
meghatározásával kapcsolatos illetékességért, az adatok biztonságáért és
a technikai, személyi és szervezeti intézkedésekért elsősorban az
adatkezelő polgármestere felelős. |
|
A
személyes adatokhoz való hozzáférést a nyilvántartások listája határozza
meg. |
|
Jelen
Szabályzat szabályos alkalmazásával kapcsolatosan a végső illetékesség
és a felelősség az adatkezelő polgármesterét terheli. |
|
|
|
10. cikk |
|
Az
adatkezelő a személyes meghatalmazott személlyel kapcsolatosan az adatok
biztonsága érdekében az adatvédelmi általános rendelet 37. cikke szerint
jár el. |
|
Amennyiben a meghatalmazott személyt nevez ki az adatok védelmére, ezt A
személyes adatok védelmére kinevezett személy kinevezéséről szóló
határozat szerint teszi. |
|
|
|
11. cikk |
|
Mindenki, aki az adatkezelőnél dolgozik a személyes adatok
feldolgozásán, ezt csak az adatkezelő engedélyével teheti, a belső
utasítások betartásával, kivitelezve a jelen szabályzat által előírt
eljárásokat és intézkedéseket, melyek a személyes adatok védelmével
kapcsolatosak, illetve óvnia kell a személyes adatokat, melyekről
tudomást szerzett, illetve amikről tájékoztatták munkája során.
|
|
Az
adatok védelmének kötelezettsége a munkaviszony végével nem szűnik meg. |
|
Mindenkinek, aki munkája során személyes adatokat dolgoz fel,
tájékoztatást kell adni a személyes adatok védelmének törvényi
szabályozásáról és jelen Szabályzat tartalmáról. Az adatkezelő ezért
gondoskodni fog arról, hogy az ilyen munkát végző dolgozók speciális A
személyes adatok védelméről szóló nyilatkozatot írjanak alá, amiből
világosan látszik, hogy tájékoztatást kaptak a személyes adatok
védelméről szóló jelen Szabályzatról. |
|
Adatkezelő a felelős eljárás elvének megfelelően a személyes adatokkal
kapcsolatos feladatokat ellátó dolgozóknak szükség szerint a személyes
adatok védelmével kapcsolatos megfelelő képzéseket, illetve tréningeket
fog szervezni. |
|
A jelen
cikkelyben szereplők megsértése esetén a dolgozók fegyelmi, kártérítési
és büntetőjogi felelősséggel tartoznak. Jelen Szabályzat
rendelkezéseinek megsértése a munkaszerződés jogai és kötelezettségei
súlyosabb megsértésének számít, ami alapján a munkaszerződés rendes úton
felbontható vagy súlyosabb megsértése esetén rendkívüli felbontására is
lehetőség van. |
|
|
|
IV.
Fizikai biztonság |
|
|
|
12. cikk |
|
A
személyes adatoknak és az információs rendszereknek megfelelő védelemmel
kell rendelkezniük lopás, károsodás és negatív környezeti hatások ellen. |
|
A
helyiségek, ahol a személyes adatokat, másolatokat és információs
rendszereket tárolják, tűzbiztosnak kell lenniük (oltóberendezéssel,
tűzérzékelővel), biztosnak kell lenniük a vízkifolyás, árvízkár és
elektromágneses meghibásodások ellen, az előírt klimatikus feltételek
tartásával. |
|
Minden
kritikus információs rendszernek biztonságos helyen kell lennie. Minden
helyiség, ahol személyes adatok hordozói, illetve gépek és
programfelszerelés található, fizikai védelemmel kell rendelkezniük (pl.
be kell zárni, kulccsal, illetve kóddal zárható asztalfiókba,
szekrényfiókba kell rakni, stb.) olyan módon, hogy ahhoz illetéktelen
személyek ne férhessenek hozzá. |
|
Az ilyen
védett helyiségek, illetve teljes épületek, ahol a személyes adatokat
tárolják, mechanikai és technikai védelemmel rendelkeznek. |
|
|
|
13. cikk |
|
A
személyes adatokat nem szabad biztosított helyiségeken kívül tárolni. |
|
A
biztosított helyiségek nem maradhatnak felügyelet nélkül, illetve az
azokat felügyelő dolgozók távolléte esetén bezárandóak. Munkaidőn kívül
a védett helyiségek bezárandóak, kulcsaikat a házirendnek megfelelően
kell őrizni. A kulcsokat nem szabad a zárakban hagyni. |
|
|
|
14. cikk |
|
Munkaidőn kívül a személyes adatokat tartalmazó fiókokat és szekrényeket
bezárva kell tartani, a számítógépeket és más gépeket ki kell kapcsolni
és fizikai vagy programozott lezárással kell rendelkezniük. |
|
A
dolgozók munkahelyükről való távollétük idején tiszteletben tartják az
ún. tiszta asztal és tiszta képernyő politikáját. A személyes adatok
hordozóit nem hagyják az asztalokon olyan személyek jelenlétében,
akiknek nincs joguk azok megtekintéséhez , a számítógépek képernyőit
fizikai vagy programozott lezárással látják el. |
|
A
személyes adatok hordozóinak, melyek a biztosított helyiségeken kívül
találhatóak (folyosók, közös helyiségek), állandóan lezárt állapotban
kell lenniük. |
|
|
|
15. cikk |
|
A
helyiségekben, melyek az ügyfelekkel való kapcsolattartást szolgálják,
az adtok hordozóinak és a számítógépek kijelzőinek úgy kell
elhelyezkedniük, hogy az azokon megjelenített adatokat az ügyfelek ne
láthassák. |
|
A
helyiség, gépek és programfelszerelés karbantartói, a látogatók és
üzleti partnerek csak az adatkezelő felelős dolgozója tudtával
mozoghatnak a védett helyiségekben. |
|
|
|
V. Az
adatok integritásának és bizalmasságának védelme azok átvételekor és
átadásakor |
|
|
|
16. cikk |
|
A postai
nyilvántartás átvételével és átadásával megbízott dolgozó: |
|
1)
köteles közvetlenül a címzett személynek vagy szervnek átadni a
személyes adatokat tartalmazó postai küldeményt, |
|
2)
felnyitja és átnézi az összes olyan postai küldeményt, ami más módon jut
el az adatkezelőhöz, kivéve a jelen cikkely harmadik és negyedik
pontjában szereplő küldeményeket, |
|
3) nem
nyitja fel azon postai küldeményeket, melyek címzettje más szerv vagy
intézmény és tévedésből került hozzá, illetve az olyan küldeményeket
sem, melyek személyes adatokat tartalmazó megjelölést kaptak, |
|
4) nem
nyithat fel olyan küldeményeket, melyek címzettje egy dolgozó, melyeken
az szerepel, hogy személyesen a címzettnek kell átadni, illetve olyan
küldeményeket sem, melyeken első helyen a dolgozó neve szerepel,
hivatalos pozíciója megnevezése nélkül, s csak azt követően az
adatkezelő neve. |
|
|
|
17. cikk |
|
A
személyes adatokat ajánlva kell postázni vagy személyesen, futár útján. |
|
A
személyes adatok megküldésére szolgáló borítéknak olyan kialakításúnak
kell lennie, hogy megakadályozza azt, hogy normális világítás mellett
vagy közönséges lámpával való megvilágítás esetén láthatóvá váljon annak
tartalma. A borítéknak biztosítania kell azt is, hogy annak felbontása
és tartalmának megtekintése látható nyomok nélkül ne legyen lehetséges. |
|
|
|
18. cikk |
|
Személyes adatok információs, telekommunikációs és egyéb eszközökkel
való közvetítése csak akkor megengedett, ha megtették a megfelelő
intézkedéseket az illetéktelen személyek hozzáférése, az eltulajdonítás,
az adatok megsemmisülése, az azok egységének megbontása, illetve az
azokba való illetéktelen betekintés megakadályozására. |
|
Amennyiben személyes adatot tartalmazó e-mail üzenet küldésére kerülne
sor, az adatkezelő biztosítja technikai eljárásokat, melyek
megakadályozzák a lehallgatást, másolást, módosítást, átirányítást és az
információk károsítását. |
|
|
|
19. cikk |
|
A
személyes típusú adatok feldolgozása külön jelölést és biztosítást kíván
meg. |
|
A
személyes típusú adatok speciális változatait a címzetteknek zárt
borítékban kell megküldeni, átadásuk a küldési könyv, illetve a
kézbesítési ív aláírása ellenében történik. |
|
Az előző
bekezdésben szereplő adatok továbbíthatóak telekommunikációs
hálózatokban, ám csak úgy, ha speciális kriptográfiai módszerekkel és
elektronikus aláírással látták azokat el, mégpedig olyan módon, hogy az
adatok a küldés folyamán nem olvashatóak. |
|
|
|
VI. Az
adatfeldolgozásra szolgáló rendszerek és szolgáltatások bizalmasságának,
épségének és ellenálló képességének biztosítása. |
|
|
|
20. cikk |
|
A
rendkívül érzékeny információkhoz való hozzáférést adatkezelő különféle
technikai eszközökkel és a biztonsági zónák, valamint a hozzáférés
korlátozásával biztosítja. |
|
A
felhasználók, az információs szolgáltatások és rendszerek a hálózatokban
elkülönülnek. A fejlesztési, tesztelési és működtetési környezetek is
elkülönülnek. |
|
Biztosított a hozzáférés ellenőrzése, ami biztosítja, hogy a
funkciókhoz, programokhoz és az információs rendszer adataihoz csak
illetékes személyek férhessenek hozzá. |
|
|
|
21. cikk |
|
A
programfelszereléshez való hozzáférést az ún. hozzáférési politika
szabályozza. A hozzáférés csak az erre előre meghatározott dolgozók vagy
külső szolgáltatók számára engedélyezett. |
|
Az
információs rendszerekhez való hozzáférés a meghatározott feladatok (pl.
olvasási, módosítási, adminisztrátori hozzáférési jog) ellátására
korlátozódik. A hozzáférési jogok kiosztásánál az adatkezelő a
»need-to-know« elvet követi, ami azt jelenti, hogy a felhasználók nem
juthatnak több joghoz, mint ami a feladataik végzéséhez vagy az
adatokhoz való hozzáféréshez szükséges. |
|
Minden
felhasználónak világos (személyes) felhasználónév jut (a felhasználó ID
azonosítója). Ez vonatkozik a privilegizált hozzáférésre is (pl.
adminisztrátorok). |
|
Az
esetleges támadás vagy biztonsági kockázat elkerülésére minden kritikus,
s különösen a sikertelen belépések lejegyzése történik meg. |
|
A külső
hozzáférések, melyek a karbantartást szolgálják, csak a karbantartás
idejére aktiválhatóak, előre meghatározott formális és dokumentált
kérelem szerint. A karbantartási munkálatok végeztével ezen megosztott
karbantartási hozzáférések deaktíválandóak, illetve meg kell akadályozni
a belépési lehetőséget. |
|
Amennyiben az adott dolgozó munkahelyet vált, belépési jogosultságát
ismét ellenőrizni, s szükség szerint módosítani kell. A hozzáférési
jogokat egyébként is rendszeresen ellenőrizni kell. |
|
Amennyiben a dolgozó már nem végez munkát az adatközlő számára,
legkésőbb az utolsó munkanapján bevonandó minden hozzáférési
jogosultsága. Ugyanez érvényes minden külső munkatárs esetében. |
|
|
|
22. cikk |
|
A gépek
és a rendszerfelszerelés, beleértve a bejárati-kijárati mechanizmusokat,
védelemmel ellátandó úgy, hogy az adatok bizalmassága és integritása
védelmet élvezzen. |
|
Minden
személyi számítógép, melyen lehetséges a személyes adatokhoz való
hozzáférés, felhasználónévvel és jelszóval védett. |
|
A
számítógépre telepített programfelszerelés, mely biztosítja a személyes
adatokhoz való hozzáférést, felhasználónévvel és jelszóval védett.
|
|
A
meghatalmazott személy határozza meg a jelszavak kiosztásának és
tárolásának feltételeit. |
|
|
|
23. cikk |
|
Minden
jelszó és a személyi számítógépekhez való hozzáféréssel kapcsolatos
eljárás (felügyeleti jelszavak), az elektromos postafiókokkal
kapcsolatos adminisztráció és az applikatív programok adminisztrálása
lepecsételt borítékokban lévő adatokkal történik, melyeket védenek az
illetéktelen kezekbe kerüléstől. Felhasználásuk csak rendkívüli
esetekben, illetve akkor történik, ha erre feltétlenül szükség van.
|
|
A
lepecsételt borítékok tartalmának minden felhasználása dokumentálandó.
Minden ilyen felhasználás esetén új jelszavakat kell meghatározni. |
|
|
|
24. cikk |
|
A
rendszer- és applikatív programfelszerelés karbantartása, javítása,
módosítása és kiegészítése csak a polgármester, illetve az által
meghatalmazott dolgozó (meghatalmazott) jóváhagyásával lehetséges,
kivitelezését pedig csak meghatalmazott szervizek és szervezetek,
illetve olyan személyek végezhetik, akiknek megfelelő szerződésük van az
adatkezelővel. A kivitelezőknek a rendszer- és applikatív
programfelszerelés módosításait és kiegészítéseit megfelelően
dokumentálniuk kell. |
|
A
dolgozóknak nem szabad telepíteniük programokat az informatikai rendszer
működtetésével megbízott személy tudta nélkül. Nem szabad programokat
kivinniük a hivatalos helyiségekből a szervezetei egység vezetőjének
jóváhagyása nélkül és az informatikai rendszer működtetéséért felelős
személy tudta nélkül sem. |
|
|
|
25. cikk |
|
A
hálózati szerverlemezek és a személyes adatok tárolására szolgáló helyi
munkaállomások tartalmát folyamatosan ellenőrzik a számítógépes vírusok
kiszűrése érdekében. |
|
Minden
munkaállomást, laptopot és egyéb felszerelést fel kell szerelni aktivált
és frissített vírusvédelemmel. Minden munkahelyi számítógépet fel kell
szerelni egy helyi tűzfal és egy helyi behatolás-felderítő és -megelőző
rendszer kombinációjával. Minden laptopot és egyéb felszerelést helyi
tűzfallal kell felszerelni. |
|
Számítógépes vírus észlelése esetén azt azonnal el kell távolítani és
egy megfelelő szakmai szolgálat segítségével azonosítani kell a
számítógépes információs rendszerben való megjelenésének okát.
|
|
Minden
olyan személyes adatot és szoftvert, melyet a számítógépes információs
rendszerben való felhasználásra szántak, s mely a számítógépes
adatátviteli adathordozón vagy telekommunikációs csatornákon keresztül
eljut az adatkezelőhöz, használat előtt ellenőrizni kell a számítógépes
vírusok kiszűrésének biztosítására. |
|
|
|
26. cikk |
|
Amennyiben a felhasználó vagy a rendszergazda elhagyja a munkahelyét,
vagy nem végez bejegyzéseket, a jelszóval védett képernyőzárakat egy
meghatározott időtartamon belül automatikusan aktiválni kell.
|
|
Olyan
rendszerek esetében, ahol ez technikailag lehetséges, a felhasználó
automatikus kilépése történik, amennyiben a megadott időtartamon belül
nem történik bejegyzés. |
|
A
notebookok esetében megfelelő merevlemez-titkosítást használnak. A
kapcsolatvezérlés révén korlátozható vagy megakadályozható a külső
eszközök használata az ügyfeleknél. |
|
Az
üzleti információkat az alapelv szerint nem kell a szükségesnél hosszabb
ideig helyben tárolni a
munkahelyi számítógépeken
vagy laptopokon, hiszen azokat az erre a célra tervezett központilag
kezelt rendszerekben tárolják. |
|
|
|
27. cikk |
|
Az
irodai kommunikációs eszközöket, például nyomtatókat, fénymásolókat,
faxokat stb. szintén védeni kell az illetéktelen hozzáférés és a
manipuláció ellen. |
|
Az
üzemeltetőnek távoli hozzáférés esetén is meg kell tennie a megfelelő
információbiztonsági intézkedéseket. |
|
|
|
VII. Hozzáférés vagy az adatok rendelkezésre állásának biztosítása
fizikai vagy műszaki incidens esetén |
|
|
|
28. cikk |
|
Minden
adatokkal kapcsolatos művelet bejegyzésre kerül a rendszernaplófájlokba.
A naplózást az adminisztrátornak kell elvégeznie az operációs rendszerek
és alkalmazások követelményeinek és képességeinek megfelelően.
|
|
Az
ellenőrzési nyomvonalnak lehetőséget kell adnia annak meghatározására,
hogy az egyes személyes adatokat mikor vitték be az adatbázisba, mikor
használták őket fel, vagy dolgozták fel más módon, illetve módosították
és ki tette ezt. Minden eseményt időbélyeggel kell ellátni. |
|
|
|
29. cikk |
|
Személyes adatok átadása csak olyan felhasználóknak történhet, akik
bizonyítják, hogy ehhez megfelelő jogalappal vagy az érintett személy
írásos hozzájárulásával rendelkeznek. |
|
A
személyes adatok minden egyes átadásakor a kedvezményezettnek írásbeli
kérelmet kell benyújtania, melyben világosan meg kell határozni a
jogalapot, mely feljogosítja a felhasználót a személyes adatok
átadására, vagy ehhez írásbeli kérelmet vagy az érintett hozzájárulását
kell csatolni. |
|
A
személyes adatok minden átadása bekerül az átadási nyilvántartásba,
melyből világosan látszania kell, hogy mely személyes adatok átadására
került sor, illetve hová és kinek, mikor, milyen alapon történt ez meg.
Az adatok követhetőségi nyilvántartása kronológiai sorrendben történik. |
|
Sosem
közvetíthetőek a dokumentumok eredeti példányai, kivéve, ha ezt bíróság
írásban rendeli el. Az eredeti dokumentumot annak máshová küldésének
idejére másolattal kell helyettesíteni. |
|
|
|
30. cikk |
|
Meghibásodás és más kivételes helyzetben a számítógépes rendszer
helyreállításához a hálózati szerver tartalmának rendes másolását kell
biztosítani, amennyiben az adatok ott találhatóak (azaz az adatok
biztonsági másolása). |
|
A
rendelkezésre állás szempontjából kiemelten fontos adatokról
rendszeresen biztonsági másolatot kell készíteni, hogy egy vagy több
összetevő meghibásodása esetén a teljes rendszer könnyen újra
működőképessé tehető legyen. |
|
|
|
31. cikk |
|
A
rendszer kiesése esetén gondoskodni kell arról, hogy rendkívül fontos
adatok ne veszhessenek el. |
|
A
biztonsági mentéshez szükséges közvetítőket olyan helyen kell tárolni,
ami megfelel az adott információk titoktartási, integritási és
hozzáférhetőségi követelményeinek. Ez magában foglalja a kielégítő helyi
elkülönítést a biztonsági mentés közvetítője és a biztonsági forrás
között (pl. más helyiségekben való tárolás). |
|
Biztosítani kell azt, hogy az adminisztrációs személyzet feltétlen
szükségesség esetén a biztonsági közvetítőkhöz való hozzáféréssel
rendelkezzen. |
|
Meg kell
határozni az elmentés határidejeit és a biztonsági másolatok törlésének
határidejeit is. |
|
|
|
32. cikk |
|
Az
információkat a jogi, szerződéses és üzleti követelményeknek megfelelően
archiválják. |
|
Meg kell
határozni az alapvető üzleti információk és az archív másolatok tárolási
időtartamát is. |
|
Az
archivált adatokat olyan helyeken kell tárolni és elmenteni, ahol
megfelelnek a hozzáférhetőség, integritás és titoktartás feltételeinek. |
|
|
|
VIII.
Az intézkedések rendszeres tesztelése, osztályozása és értékelése |
|
|
|
33. cikk |
|
Az
adatkezelő kötelezettséget vállal arra, hogy a feldolgozás biztonsága
érdekében rendszeresen teszteli, osztályozza és értékeli a technikai és
szervezeti intézkedések hatékonyságát. |
|
Az
adatkezelő erre a célra legalább évente egyszer ellenőrzi a személyes
adatok feldolgozásának törvényességét. A belső ellenőrzéshez az
adatközlő megvizsgálja a személyes adatok (naplófájlok) feldolgozásának
naplóit, és konzultál a megfelelő informatikai biztonsági szakértőkkel. |
|
|
|
IX. Az
adatok mentésének és törlésének határideje |
|
|
|
34. cikk |
|
Az
adatkezelő biztosítja, hogy a személyes adatok mentésének időtartama a
lehető legrövidebb időszakra korlátozódjon. Erre a célra adatkezelő a
nyilvántartási listában a személyes adatok törlésével kapcsolatos
határidőket szab meg. |
|
A
megőrzési határidő leteltével a személyes adatokat törlik, illetve
tartósan megsemmisítik vagy névtelenné teszik, kivéve, ha törvény vagy
más rendelkezés másként határoz. |
|
|
|
35. cikk |
|
Az
informatikai közvetítőkről való adattörlés céljából olyan törlési
módszer alkalmazandó, mely lehetetlenné teszi a törölt adatok teljes
vagy részleges visszaállítását. A törlésnek teljesnek és véglegesnek
kell lennie. Az adathordozó mellett az ilyen jellegű információkat a
"törölt" mappából vagy a "lomtárból", illetve más megfelelő
mappából/direktóriumból is törölni kell, mégpedig olyan módon, hogy a
tartalom ne lehessen visszaállítható. |
|
A
hagyományos közvetítőkön (okiratok, nyilvántartások, lajstromok, listák,
stb.) szereplő adatok megsemmisítése olyan módon történik, ami
lehetetlenné teszi a megsemmisített adatok egészének vagy egy részének
helyreállítását. Azonos módon kell megsemmisíteni a segédanyagokat (pl.
nyomóminták, számítások és táblázatok, vázlatok, próba vagy
meghibásodott nyomatok stb.). |
|
Tilos a
személyes adatokat tartalmazó feleslegessé vált adatközvetítők szemétbe
dobása. |
|
A
személyes adatok hordozóinak megsemmisítési helyükre való szállításánál
ügyelni kell arra, hogy azokat a szállítás idején is biztosítsák.
|
|
|
|
X. A
külső jogi és természetes személyek által végzett szolgáltatások |
|
|
|
36. cikk |
|
Az
adatkezelő a feldolgozás bizonyos feladatait külső jogi és természetes
személyekre (a továbbiakban: adatfeldolgozó) is bízhatja, aki a
technikai és szervezeti intézkedésekkel kapcsolatos megfelelő
biztosítások mellett működik. Adatfeldolgozónak, aki a megbeszélt
szolgáltatásokat az adatközlő helyiségein kívül végzi, a személyes
adatok legalább olyan szigorú védelméről kell gondoskodnia, mint ahogyan
azt a Szabályzat meghatározza. |
|
Ilyen
esetben az adatkezelő az adatfeldolgozóval megfelelő írásos
megállapodásokat köt a személyes adatok feldolgozásáról, mellyel
meghatározzák mindkét fél jogait és kötelezettségeit. Ilyen megállapodás
esetén mindenképpen elő kell írni a személyes adatok biztonságát és azok
biztosítását garantáló feltételeket és intézkedéseket, és az
adatfeldolgozó adatkezelővel szembeni kötelezettségeit. Mindez
vonatkozik azokra a megbízottakra is, akik karbantartják a gép vagy
programfelszerelést és telepítik az új berendezéseket vagy programokat.
|
|
Adatfeldolgozó az említett megállapodás alapján adatkezelő nevében és
annak számlájára csak olyan a személyes adatok feldolgozásával
kapcsolatos feladatokat végezhet, amikben megállapodtak. Az
adatfeldolgozó adatokat nem használhat fel vagy alkalmazhat bármilyen
más célra. |
|
|
|
XI.
Biztonsági incidens esetén való jelentés |
|
|
|
37. cikk |
|
Adatkezelő következetes és hatékony rendszert biztosít a biztonsági
incidensek kezelésére, ideértve a biztonsági események dokumentálását és
jelentését. |
|
Erre a
célra az adatkezelő információs rendszert biztosít, mely képes az
események felismerésének ellenőrzésére (pl. tűzfal, behatolások
észlelése, megfigyelő rendszer). Az információs rendszerek lehetővé
teszik az összes biztonsági szempontból releváns vagy a rendszer számára
kritikus esemény dokumentálását. Ezen naplók felügyelete az információs
rendszer felhatalmazott személye (adminisztrátora) felelőssége, aki
biztonsági események esetén jelentést tesz az adatkezelő vezetésének. |
|
Minden
munkavállaló köteles haladéktalanul értesíteni az adatkezelő vezetését
minden olyan tevékenységről, mely a bizalmas információk felderítésével
vagy jogosulatlan megsemmisítésével, a rosszindulatú vagy jogosulatlan
felhasználással, az információk lefoglalásával, elérhetetlenségével,
megváltoztatásával vagy megsemmisítésével kapcsolatos, maguk pedig
megpróbálják megakadályozni az ilyen tevékenységeket. |
|
Az
adatkezelő a biztonsági incidensek nyilvántartásában rögzíti a személyes
adatok védelmének minden megsértését, s itt fel kell tüntetnie a
személyes adatok védelmének megsértésével kapcsolatos tényeket , a
jogsértés következményeit is és a helyrehozatalt szolgáló intézkedéseket
kell foganatosítania. |
|
Az
összes biztonsági eseményt időrendi sorrendben kell rögzíteni,
függetlenül az egyének jogait és szabadságait érintő kockázat mértékétől
és típusától. Az adatkezelő kiemelten kezeli, rögzíti a titoktartás (pl.
az adatok jogosulatlan közlése), az adatokhoz való hozzáférés és az
adatok integritásának (pl. az adatok jogosulatlan megváltoztatása)
megsértését. |
|
|
|
38. cikk |
|
Amennyiben a személyes adatok védelmének megsértése valószínűsíthetően
veszélyezteti az egyének jogait és szabadságjogait, úgy az adatkezelő Az
általános adatvédelmi rendelet 33. cikkével összhangban haladéktalanul,
legkésőbb 72 órán belül értesíti erről az illetékes felügyeleti
hatóságot. |
|
Amennyiben a személyes adatok védelmének megsértése nagy valószínűséggel
veszélyezteti az egyének jogait és szabadságjogait, úgy az adatkezelőnek
Az általános adatvédelmi rendelet 34. cikkének rendelkezéseivel
összhangban késedelem nélkül, azonnal értesítenie kell az érintetteket a
személyes adatok védelme sérülésének bekövetkeztéről. |
|
|
|
XII. Záró rendelkezések |
|
|
|
39. cikk |
|
Jelen
Szabályzat minden módosítása és kiegészítése írásos formában, azonos
módon történik, ahogyan a Szabályzat elfogadása történt. |
|
|
|
40. cikk |
|
A
Szabályzat a megjelenése napján lép életbe. |
|
A
Szabályzat megjelentetése az adatközlőnél szokásos módon történik, olyan
módon, hogy annak tartalmával az adatközlő minden dolgozója
megismerkedhessen. |
|
|
|
41. cikk |
|
Jelen
Szabályzat hozzáférhető és megtekinthető minden dolgozó számára az
adatkezelő községi szervénél, munkaidőben. A dolgozók számára
biztosítják, hogy felügyelet nélkül megismerhessék jelen Szabályzat
tartalmát. |
|
|
|
Szám:
071-1/2020-1 |
|
Šalovci, 2020. március 4. |
|
|
|
|
Šalovci község |
|
|
Polgármestere Iztok Fartek |
|