Varstvo osebnih podatkov
KAJ JE GDPR?
S 25.5.2018 je v veljavo stopila GDPR uredba, ki jo je izdala Evropska unija. GDPR je kratica za angleški izraz General Data Protection Regulation oziroma za Splošno uredbo EU o varstvu osebnih podatkov, v kateri so določena nova pravila glede varstva osebnih podatkov.
ZAKAJ SPREMEMBE?
Zaradi množične uporabe interneta in zaradi povečanja uporabnikov spleta, se je povečal tudi obseg zbiranja, hrambe in obdelave naših osebnih podatkov in posledično je prihajalo do vse več zlorab, kopiranja osebnih podatkov in hranjenja brez utemeljenega razloga. Uredba je bila sprejeta z namenom, da bi se varnost uporabnikov interneta povečala.
KAJ POMENI IZRAZ OSEBNI PODATEK?
Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen (ime, priimek, telefonska številka, e-mail naslov, IP naslov itd). V Uredbi pa najdemo tudi izraz občutljivi osebni podatki, ki pa se nanašajo predvsem na versko usmerjenje, zdravstveno stanje, politična prepričanja, spolno usmerjenost itd.
KAJ TO POMENI ZA POSAMEZNIKA
Kaj sploh so cilji GDPR? Ta Uredba nam na nek način vrača moč nad upravljanjem z našimi osebnimi podatki in daje moč, da nadziramo kako se bodo uporabljali in v kakšne namene. GDPR nam daje nekaj novih pravic, nekaj starih pa je nadgradilo in dopolnilo. GDPR uvaja pravico, da ima posameznik moč zahtevati izbris osebnih podatkov, v določenih okoliščinah in pravico do obveščenosti, ki zagotavlja, da ima posameznik pravico biti obveščen v kakšne namene se njegovi osebni podatki uporabljajo.
ZAKAJ ŠTUDENTSKI SERVIS ZBIRA MOJE OSEBNE PODATKE?
Študentski servis potrebuje tvoje osebne podatke iz več razlogov:- Ime in priimek, rojstni datum in kraj rojstva potrebujemo za tvojo identifikacijo kot identifikator, ki te bo ločil od vseh drugih vpisanih v našo evidenco
- Naslov prebivališča potrebujemo v primeru, da ti moramo poslati kakšno pošto (po navadi izpisek ob koncu obračunskega leta, ki je pomemben za obračun dohodnine)
- Davčno številko in EMŠO prav tako uporabljamo kot identifikator, saj se mnogokrat zgodi, da ima več oseb isto ime in isti priimek, zato je ta dodatni podatek zelo pomemben, da ne pride do nevšečnosti, ki bi jih povzročila zamenjava. Obe številki se uporabljata tudi za posredovanje tvojih podatkov pristojnim službam (FURS, ZZZS, ZPIZ...).
- Podatek ali si študent ali dijak potrebujemo zato, da te razvrstimo v ustrezno evidenco, skladno z navodili pristojnega ministrstva. Na podlagi tega podatka ti tudi posredujemo delo, podatek pa pa mora biti skladen z dokazilom o tvojem statusu (po navadi potrdilo o vpisu).
- Vpisno številko (številko indeksa) in datum prvega vpisa na fakulteto sta pomembna z vidika študentske dohodninske olajšave
- Telefonska številka služi kot varnostni identifikator, ko se vpisuješ v spletno aplikacijo
- Elektronski naslov potrebujemo za to, da se preko njega včlaniš v našo spletno aplikacijo in dostopaš do svoje članske strani
- TRR potrebujemo zato, da ti lahko nakažemo zaslužek. Ker pa lahko nakažemo zaslužek le na tvoj TRR nam moraš posredovati fotokopijo tvoje bančne kartice
Besedilo uredbe: https://eur-lex.europa.eu/legal-content/SL/TXT/?uri=CELEX%3A32016R0679
Vloga za popravek osebnih podatkov
Zahteva za seznanitev z osebnimi podatki
Vloga za omejitev obdelave osebnih podatkov
Vloga za izbris osebnih podatkov
Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, 86/04, 113/05 in 67/07) in Uredbe (EU) 2016/679 Evropskega parlamenta (GDPR) izdaja ŠTUDENTSKI, posredovanje dela in ostale poslovne storitve d.o.o. (v nadaljevanju ŠTUDENTSKI d.o.o.)
PRAVILNIK
o varovanju osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v družbi ŠTUDENTSKI d.o.o. z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega Pravilnika.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05 in 67/07);
Uredba - 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov
Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator…
Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje,
anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);Upravljavec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
Občutljivi osebni podatki - so podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
''omejitev obdelave'' pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti
„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj
3. člen
(1) Opis zbirk osebnih podatkov, katerih upravljavec je ŠTUDENTSKI d.o.o. se vodi v katalogu zbirk osebnih podatkov (opisu zbirk osebnih podatkov), ki se vodi v skladu z določbami 26. člena ZVOP-1. Podatki iz 1., 2., 4., 5., 6., 9., 10., 12. in 13. točke katalogov zbirk osebnih podatkov se posredujejo državnemu organu, pristojnemu za vodenje Registra zbirk osebnih podatkov. Katalog zbirke osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo
zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu državnemu organu. Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki.(2) Zaposleni, ki obdelujejo osebne podatke, morejo biti seznanjeni s katalogom zbirk osebnih podatkov, vpogled v katalog zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva.
(3) ŠTUDENTSKI d.o.o. je dolžan voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.
4.člen
V skladu z določbo prvega odstavka 19. člena Pravilnika o pogojih za opravljanje dejavnosti agencij za zaposlovanje določa, da so obvezni podatki izdani na napotnici sledeči:
- sedež, davčna številka in naziv ali ime agencije z navedbo podružnice oziroma organizacijske enote, kjer se izdaja napotnica,
- zaporedna številka napotnice,
- naziv, sedež in davčna številka delodajalca,
- ime, priimek, rojstni datum, EMŠO in davčna številka dijaka ali študenta,
- naziv izobraževalne organizacije,
- vrsta dela, ki ga bo opravljal dijak ali študent,
- časovna veljavnost napotnice,
- obdobje opravljanja dela, podatke o opravljenem delu in znesek izplačil,
- rok plačila,
- rok nakazila,
- datum in kraj izdaje napotnice,
- opozorilo delodajalcu, da mora ob začetku dela napotnico potrditi in dijaku ali študentu izročiti en izvod napotnice
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
5. člen
(1) Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
(2) Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja vodje organizacijske enote.
(3) Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.
(4) Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.
(5) Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.
(6) Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
(7) Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.
(8) Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.
6. člen
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
7. člen
(1) Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z ŠTUDENTSKI d.o.o. sklenjeno ustrezno pogodbo.
8. člen
(2) Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko
zaklenjeni).III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
9. člen
Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.
10. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z ŠTUDENTSKI d.o.o. sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
11. člen
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.
12. člen
(1) Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne strokovne službe pogodbenika, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.
(2) Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo ŠTUDENTSKI d.o.o. na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
13. člen
Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme brez odobritve vodje organizacijske enote in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.
14. člen
(1) Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.
(2) Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel, ki je Pravilniku priložen kot priloga.
15. člen
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
16. člen
(1) Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo.
(2) Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
17. člen
(1) Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba, predvidena v drugem odstavku 11. člena ZVOP-1. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo
strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.(2) Zunanje pravne ali fizične osebe smejo opravljati samo storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
(3) Pooblaščena pravna ali fizična oseba, ki za družbo ŠTUDENTSKI d.o.o. opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
18. člen
V skladu s 6. členom Uredbe (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov, je obdelava zakonita le v primeru, da je izpolnjen eden od taksativno naštetih pogojev in sicer:
- v primeru, da posameznik privoli v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov,
- obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
- obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.
19. člen
V skladu s 7. členom Uredbe (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov, morajo biti za veljavno privolitev za obdelavo osebnih podatkov izpolnjeni naslednji pogoji:
1. kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov,
2. če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku,
3. posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.
4. Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.
20. člen
(1) Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.
(2) Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo ŠTUDENTSKI d.o.o. - prinesejo jih stranke ali kurirji.
(3) Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
(4) Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov družbe ŠTUDENTSKI d.o.o..
21. člen
(1) Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
(2) Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.
(3) Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
22. člen
(1) Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
(2) Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
23. člen
(1) Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Posameznik mora izrecno podati privolitev za obdelavo in posredovanje svojih osebnih podatkov.
(2) Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
(3) Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.
(4) Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
VI. POPRAVEK, IZBRIS, OMEJITEV
24.člen
(1) Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi nepravilne osebne podatke v zvezi z njim.
(2) Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave. Popravek lahko zahteva preko vložitve obrazca za spremembo netočnih podatkov ali preko spletne aplikacije ''članske strani''.
25.člen
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da upravljalec brez nepotrebnega odlašanja izbriše osebne podatke, za katere ne obstaja pravica za zbiranje na podlagi zakona, Pravilnika o pogojih za opravljanje dejavnosti agencij za zaposlovanje in veljavne koncesijske pogodbe za posredovanje začasnih in občasnih del dijakom in študentom.
- Osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani,
- posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev,
- posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu z 21.členom Uredbe, za njihovo obdelavo pa ne obstajajo zakoniti razlogi.
26.člen
(1) Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18 Uredbe, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor.
(2) Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
27. člen
(1) Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
(2) Roki, po katerih se osebni podatkov izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov.
28. člen
(1) Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
(2) Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov.
(3) Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
(4) Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
(5) Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.
VII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV TER VARNOST OBDELAVE OSEBNIH PODATKOV
30. člen
Osebne podatke je potrebno ustrezno zavarovati in ob sumu nepooblaščenega dostopa ustrezno ravnati. Potrebno je izvajanje ustreznih tehničnih in organizacijskih ukrepov, s katerimi se bo zagotovila ustrezna raven varnosti glede na tveganje, vključno z naslednjimi ukrepi, ki jih navaja Uredba:
(a) psevdonimizacijo in šifriranjem osebnih podatkov;
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo,
(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta,
(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
31. člen
(1) Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni vodje organizacijskih enot in pooblaščene osebe, ki jih imenuje direktor družbe ŠTUDENTSKI d.o.o. Gregor Planteu in zaposleni delavec Rok Steiner.
(2) Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja direktor družbe ŠTUDENTSKI d.o.o. Gregor Planteu
32. člen
(1) Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.
(2) Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov. Fizična oseba, ki ima dostop do osebnih podatkov, slednjih ne sme obdelovati brez navodil upravljalca oziroma odgovornega vodje organizacijskih enot ali pooblaščene osebe imenovane s strani direktorja.
(3) Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami ZVOP-1, izjava pa mora vsebovati tudi pouk o posledicah kršitve.
33. člen
Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti.
VIII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
34. člen
Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali predstojnika, sami pa poskušajo takšno aktivnost preprečiti.
35. člen
(1) V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ. Kadar uradno obvestilo ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.
(2) Uradno obvestilo naj vsebuje vsaj:
(a) opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
(b) sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
(c) opis verjetnih posledic kršitve varstva osebnih podatkov;
(d) opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.
IX. KONČNE DOLOČBE:
36. člen
Ta pravilnik prične veljati 25.5.2018
V Celju, dne 25.5.2018