Pravilnik o varstvu osebnih podatkov
Katalog informacij javnega značaja javnega podjetja Infra d.o.o.
Datum sprejema: 10.11.2006
New Page 1
 

Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/2004, 113/05) ter 13. člena Akta o ustanovitvi javnega podjetja INFRA, izvajanje investicijske dejavnosti d.o.o. z dne 11.4.2005 (prečiščeno besedilo) direktorica javnega podjetja INFRA d.o.o., Ana Gračner, izdaja naslednji

  
 

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

  
 

I. SPLOŠNE DOLOČBE

  
 

1. člen

  
 

S tem pravilnikom se določajo ukrepi in postopki za zavarovanje osebnih podatkov, katerih upravljavec je javno podjetje INFRA d.o.o. (v nadaljevanju: INFRA), odgovorne osebe za določene zbirke osebnih podatkov in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

  
 

2. člen

  
 

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  
 

1. Osebni podatek je podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

  
 

2. Posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek.

  
 

3. Zbirka osebnih podatkov je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek.

  
 

4. Obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja z osebnimi podatki, bodisi pri ročni ali avtomatizirani obdelavi.

  
 

5. Dokumenti so vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično, oziroma kako drugače zapisani varovani osebni podatki.

  
 

6. Pooblaščene osebe so osebe, ki so odgovorne za zbirke osebnih podatkov oziroma, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

  
 

7. Anonimiziranje pomeni takšno spremembo oblike osebnega podatka, ki onemogoča identifikacijo posameznika oziroma je ta povezana z velikimi napori, stroški ali porabo časa.

  
 

8. Kriptografska metoda pomeni način zavarovanja osebnih podatkov pri njihovem prenosu po nezaščitenih komunikacijskih sredstvih.

  
 

9. Zloraba osebnega podatka pomeni razkritje oziroma posredovanje osebnega podatka v nasprotju z 12. členom tega pravilnika.

  
 

II. ZAVAROVANJE OSEBNIH PODATKOV

  
 

3. člen

  
 

Za zavarovanje osebnih podatkov se v INFRI izvajajo organizacijski, tehnični in logično-tehnični postopki in ukrepi, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava, tako da se:

  
 

- varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;

  
 

- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;

  
 

- preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;

  
 

- zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;

  
 

- izvajajo vsi ostali postopki in ukrepi, ki preprečujejo zlorabo osebnih podatkov (vodenje evidenc, s katerimi se zagotavlja sledljivost osebnih podatkov...).

  
 

Splošni varnostni ukrepi

  
 

4. člen

  
 

Zaradi varovanja osebnih podatkov so pooblaščene osebe v INFRI dolžne izvajati splošne varnostne ukrepe, tako da:

  
 

- zaklepajo pisalne mize, omare in drugo opremo, v katerih hranijo osebne podatke, kadar niso prisotne na delovnem mestu;

  
 

- dokumentov z osebnimi podatki ne puščajo na mizah v prisotnosti oseb, ki niso pooblaščene za obdelavo osebnih podatkov oziroma oseb, ki niso zaposlene v INFRI;

  
 

- oseb, ki niso pooblaščene za obdelavo osebnih podatkov oziroma oseb, ki niso zaposlene v INFRI, ne seznanjajo z vsebino dokumentov, ki vsebujejo osebne podatke;

  
 

- o aktivnosti, ki je usmerjena v odkrivanje ali nepooblaščeno uničenje osebnih podatkov, kakor tudi o nepravilni, zlonamerni ali nepooblaščeni uporabi, prilaščanju, odstopanju, prikrivanju, spreminjanju ali poškodovanju osebnih podatkov iz zbirk podatkov INFRE, takoj obvestijo neposredno nadrejenega in direktorja, same pa poskušajo tako aktivnost preprečiti;

  
 

- po končani izdelavi dokumentov z osebnimi podatki uničijo pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne spise ipd.), ki so ga uporabile, oziroma, ki je nastalo pri izdelavi dokumenta;

  
 

- se ravnajo po drugih aktih INFRE, ki jih zavezujejo, kako naj v konkretnih primerih ravnajo z dokumenti, ki vsebujejo osebne podatke.

  
 

1. Varovanje strojne in programske opreme

  
 

5. člen

  
 

Opremo, kije v INFRI sistematizirana za informacijsko in telekomunikacijsko obravnavanje, hrambo in prenos osebnih podatkov (v nadaljnjem besedilu strojna in programska oprema), smejo uporabljati le pooblaščene osebe, in sicer le za izpolnjevanje obveznosti po pogodbi o zaposlitvi.

  
 

6. člen

  
 

Dostop do strojne in programske opreme mora biti varovan s sistemom identifikacije uporabnika (sistem gesel za avtorizacijo in identifikacijo uporabnika), ki preprečuje dostop tretjim osebam.

  
 

7. člen

  
 

Poleg pooblaščenih oseb imajo dostop do strojne in programske opreme tudi delavci INFRE, ki opremo vzdržujejo, in pogodbeno vezani zunanji vzdrževalci.

  
 

Osebe iz prejšnjega odstavka inštalirajo ali vzdržujejo strojno opremo v INFRI na poziv in v prisotnosti pooblaščene osebe.

  
 

2. Prenos osebnih podatkov

  
 

8. člen

  
 

Osebne podatke je v INFRI dovoljeno prenašati preko pooblaščene osebe (priloga 1 pravilnika), po komunikacijskih kanalih ali fizično na računalniških medijih.

  
 

Osebni podatki se prenašajo na način, ki preprečuje nepooblaščen dostop ali uničenje osebnih podatkov ter neupravičeno seznanjanje z njihovo vsebino.

  
 

9. člen

  
 

Po nezaščitenih komunikacijskih sredstvih (internet) je komuniciranje z dokumenti, ki vsebujejo osebne podatke, dovoljeno ob uporabi kriptografske metode, sam dokument pa mora biti podpisan z varnim elektronskim podpisom.

  
 

10. člen

  
 

Osebni podatki, ki se posredujejo znotraj INFRE, morajo biti varovani v zaprti in neprosojni ovojnici.

  
 

3. Posredovanje osebnih podatkov

  
 

11. člen

  
 

Pooblaščena oseba sme osebne podatke posredovati samo tistim osebam, ki izkažejo upravičeni interes, ki daje pravico do vpogleda. Za upravičeni interes po tem pravilniku se šteje naslednje:

  
 

zakonska osnova,

  
 

pisna dovolitev posameznika, na katerega se ti podatki nanašajo in

  
 

interes družbe (zlasti varnost in zdravje pri delu, izobraževanje...).

  
 

12. člen

  
 

Vsako posredovanje osebnih podatkov pooblaščena oseba zabeleži v Evidenci posredovanih podatkov (priloga št. 2 tega pravilnika), iz katere je razvidno komu se posredujejo osebni podatki, za kakšen namen in kdaj so bili osebni podatki posredovani.

  
 

13. člen

  
 

Posredovani osebni podatki se lahko uporabijo samo za namen, za katerega so bili posredovani. Kakršnakoli druga uporaba se šteje za nepooblaščen dostop do osebnih podatkov.

  
 

4. Hramba in brisanje osebnih podatkov

  
 

14. člen

  
 

Dokumenti z osebnimi podatki se shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se podatki zbirali in nadalje obdelovali.

  
 

15. člen

  
 

Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če drug zakon ali splošni akt INFRE za posamezne kategorije osebnih podatkov ne določa drugače.

  
 

16. člen

  
 

Osebni podatki na klasičnih (npr. kartoteke) ali računalniških (npr. disketa, disk) medijih se uničijo na način, ki onemogoča branje vseh ali dela uničenih osebnih podatkov.

  
 

Osebni podatki na klasičnih dokumentih se v INFRI uničijo z uničevalnikom dokumentov.

  
 

Osebni podatki na računalniških medijih se zbrišejo, uničijo, blokirajo ali anonimizirajo, tako da se:

  
 

- neuporabni oziroma osebni računalniki za odprodajo, formatirajo;

  
 

- CD in DVD mediji na varen način uničijo (zlomijo - pri tem je potrebno uporabljati zaščitna varovalna sredstva);

  
 

- diskete na varen način uničijo (zlomijo - pri tem je potrebno uporabljati zaščitna varovalna sredstva).

  
 

III. POOBLAŠČENE OSEBE

  
 

17. člen

  
 

V INFRI lahko obdelujejo osebne podatke le osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

  
 

Seznam oseb iz prejšnjega odstavka je priloga št. 1 tega pravilnika.

  
 

18. člen

  
 

Vsaka zloraba osebnega podatka s strani pooblaščene osebe se šteje kot kršitev pogodbenih in drugih obveznosti iz delovnega razmerja, za katero se uvede disciplinski postopek v skladu z veljavno zakonodajo.

  
 

IV. KONČNI DOLOČBI

  
 

19. člen

  
 

Spremembe pravilnika se sprejemajo na enak način kot sam pravilnik.

  
 

20. člen

  
 

Pravilnik začne veljati naslednji dan po objavi na oglasnih deskah družbe, uporabljati pa se prične z dnem, ko stopi v veljavo.

  
 

Sevnica, 10.11.2006

  
 

Direktorica:

  
 

Ana Gračner, univ.dipl.prav.