Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: GDPR) in Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), izdaja direktorica družbe Shadows of Africa d.o.o., Kamniška ulica 20B, 2000 Maribor, matična številka: 8864497000 (v nadaljevanju: družba), naslednji
PRAVILNIK
o postopkih in ukrepih za zavarovanje osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v družbi Shadows of Africa d.o.o., z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Družba se zavezuje, da bo osebne podatke obdelovala pošteno in zakonito, da bo zagotavljala točnost, popolnost in ažurnost zbranih osebnih podatkov ter da bo zagotavljala minimizacijo in hranila osebne podatke v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za namene, za katere se podatki zbirajo ali obdelujejo.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni in morajo ravnati v skladu z ZVOP-2 ter Uredbo GDPR ter z vsebino tega pravilnika.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- osebni podatek je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
- posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
- zbirka osebnih podatkov je vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
- obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
- upravljavec osebnih podatkov je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
- uporabnik osebnih podatkov je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
- občutljivi osebni podatki so podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;
- evidenca dejavnosti obdelave je popis zbirk osebnih podatkov, ki jih obdeluje družba;
- nosilec podatkov so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnimi, optičnimi ali drugimi računalniškimi in pomnilniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
- obdelovalec osebnih podatkov je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
II. OBDELAVA OSEBNIH PODATKOV
3. člen
Popis zbirk osebnih podatkov, katerih upravljavec je družba, se vodi v evidenci dejavnosti obdelave skladu z določbami 30. člena Splošne uredbe o varstvu podatkov - GDPR. Evidenca dejavnosti obdelave se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki.
V evidenco dejavnosti obdelave se vpisujejo naslednji podatki: naziv ali ime in kontaktne podatke upravljavca ter pooblaščene osebe za varstvo podatkov; namene obdelave; opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov; kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki; kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo; predvideni roki za izbris različnih vrst podatkov; splošni opis tehničnih in organizacijskih varnostnih ukrepov.
V evidenci dejavnosti obdelave, ki se občasno in na dokumentiran način pregleduje ter po potrebi posodablja, je podrobneje opisan tudi način hrambe in varstva posameznih zbirk osebnih podatkov.
Zaposleni, ki obdelujejo osebne podatke, morajo biti seznanjeni z evidenco dejavnosti obdelave, vpogled v slednjo pa je potrebno omogočiti tudi vsakomur, ki to zahteva in za to izkaže pravni interes.
4. člen
V zbirki osebnih podatkov se lahko obdelujejo le tisti osebni podatki, ki imajo ustrezno pravno podlago.
Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače.
Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih.
5. člen
Osebni podatki se na zahtevo uporabnika posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Posredovanje osebnih podatkov iz prejšnjega odstavka lahko uporabnik zahteva pisno ali ustno. Ob vložitvi pisne zahteve mora uporabnik jasno navesti določbo zakona, ki ga pooblašča za pridobitev osebnih podatkov, ali pa mora k zahtevi priložiti pisno zahtevo oziroma privolitev posameznika, na katerega se podatki nanašajo. Če uporabnik ne zahteva posredovanja osebnih podatkov ustno, sme odgovorna oseba ali pooblačeni obdelovalec v primeru dvoma o obstoju pisne zahteve oziroma privolitve posameznika, na katerega se podatki nanašajo, od uporabnika zahtevati, naj jih predloži.
Posredovanje občutljivih osebnih podatkov iz prvega odstavka tega določila lahko uporabnik zahteva le pisno.
Osebni podatki se po uradni dolžnosti posredujejo samo tistim uporabnikom, ki za to izkažejo ustrezno zakonsko podlago.
Osebni podatki, ki se posredujejo uporabniku v fizični obliki, morajo biti posredovani v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina ovojnice.
Ovojnica mora tudi zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečuje prilaščanje ali uničevanje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljive osebne podatke je dovoljeno posredovati preko komunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
Če se posreduje originalni dokument, ki vsebuje osebne podatke, mora biti v času odsotnosti nadomeščen s fizično (fotokopijo) ali elektronsko (skenirano) kopijo.
Vsi ostali postopki v zvezi s posredovanjem podatkov se obravnavajo v skladu z veljavnimi predpisi.
6. člen
Vsako posredovanje osebnih podatkov iz prejšnjega člena se zaznamuje z navedbo naslednjih podatkov:
- - kateri osebni podatki so bili posredovani,
- - osebno ime/firma/ime in naslov/sedež oseb, ki so ji bili posredovani osebni podatki,
- - datum in ura posredovanja osebnih podatkov ter
- - podlaga, na kateri so bili posredovani osebni podatki.
Zaznamek iz prejšnjega odstavka, ki se v pisni ali elektronski obliki evidentira v zbirko osebnih podatkov, ki ji pripada posredovani osebni podatek, se vpiše v posebno rubriko »Evidence posredovanj osebnih podatkov«. Zaznamek je dolžna narediti odgovorna oseba ali pooblaščeni obdelovalec, ki je osebne podatke posredoval uporabniku.
III. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
7. člen
Zagotavljanje varnosti osebnih podatkov obsega organizacijske, tehnične in logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki v skladu s Splošno uredbo o varstvu podatkov - GDPR in nacionalno zakonodajo s področja varstva osebnih podatkov, s katerimi se:
- - varujejo prostori, oprema in sistemska programska oprema,
- - varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
- - preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih,
- - zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov,
- - omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ki ga predpisuje zakon ali v katerem je mogoče zakonsko varstvo pravice posameznika zaradi nedopustne obdelave osebnih podatkov.
8. člen
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), so varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja direktorja družbe ali od njega pooblaščene osebe.
Dostop v poslovne prostore družbe je mogoč skozi glavni vhod v poslovno stavbo. Dostop neposredno v poslovne prostore družbe je mogoč v rednem delovnem času tudi za potencialne stranke, sicer se vhod zaklepa in vstop v prostore ni mogoč.
V varovanih prostorih morajo biti ob zaključku delovnega časa oziroma po končanem delu izven delovnega časa omare in pisalne mize z nosilci podatkov, ki vsebujejo osebne podatke, zaklenjene, računalniki in druga strojna oprema pa izklopljeni in fizično ali programsko zaklenjeni (z gesli).
Pisarne morajo biti stalno pod nadzorom zaposlenih, ki v njih opravljajo svoje delovne obveznosti. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.
Omare, mize in drugo pohištvo z nosilci podatkov, ki vsebujejo osebne podatke, ki se nahajajo izven varovanih prostorov (hodniki, skupni prostori), mora biti stalno zaklenjeno.
Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.
9. člen
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.
10. člen
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih družbe. Nosilcev osebnih podatkov delavci praviloma ne smejo odnašati izven prostorov družbe brez dovoljenja direktorja oziroma z njegove strani pooblaščene osebe.
Če je zaradi potreb delovnega procesa v družbi neizogibno potrebno, da zaposleni podatke na računalnikih ali drugih nosilcih podatkov zaradi opravljanja nalog iz delovnega razmerja iznašajo tudi izven prostorov družbe, morajo zaposleni pri tem spoštovati vsa načela in pravila varstva podatkov, da se podatki ustrezno varujejo in da ne pride do izgube ali obdelave s strani nepooblaščene osebe.
Zaposleni, ki iznaša podatke, s tem del odgovornosti za ustrezno ravnanje prevzema nase, saj zbirke ne sme izgubiti, pozabiti ali na drug način ogroziti varnosti podatkov, zato mora z njimi ravnati odgovorno in predvsem paziti, da podatkov ne izgubi, da se ne odtujijo, da jih ne pozabi izven delovnega okolja in da ne pride do vpogleda v podatke s strani nepooblaščenih oseb.
11. člen
Vzdrževanje in popravilo strojne računalniške in druge opreme je dovoljeno samo z vednostjo direktorja ali z vednostjo s strani direktorja pooblaščene osebe, izvajajo pa ga lahko samo usposobljeni servisi in vzdrževalci, ki imajo z družbo sklenjeno ustrezno pogodbo o servisiranju in vzdrževanju računalniške oziroma strojne opreme.
12. člen
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci, poslovni partnerji in druge osebe se smejo gibati v zavarovanih prostorih samo z vednostjo direktorja ali s strani direktorja pooblaščene osebe.
IV. VAROVANJE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
13. člen
Dostop do programske opreme je varovan tako, da dovoljuje dostop samo za to v naprej določenim pooblaščenim osebam, ki v skladu s pogodbo opravljajo dogovorjene naloge, pri katerih je potrebna obdelava določenih osebnih podatkov.
14. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja ali od njega pooblaščene osebe, izvajajo pa ga lahko za to usposobljeni servisi in organizacije ter posamezniki, ki imajo z družbo sklenjeno ustrezno pisno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
15. člen
Delavci, pooblaščeni za obdelavo osebnih podatkov na računalniku, morajo skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske oziroma aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji le-ta uniči, enako tudi drugi za lažje delo pripravljeni delovni pripomočki (npr. Excel tabele z uvoženimi osebni podatki iz zbirke).
16. člen
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.
17. člen
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi s pomočjo ustrezne strokovne službe, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v družbo na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
18. člen
Zaposleni ne smejo namestiti programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema oziroma brez vednosti direktorja družbe. Prav tako ne smejo odnašati programske opreme iz družbe brez odobritve direktorja ali vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.
19. člen
Zaposleni, ki uporabljajo prenosne računalnike, tablice, mobilne telefone in druge tehnične naprave doma, na službeni poti ali na sestankih, so dolžni z njimi ravnati kot dobri gospodarji. Pri tem morajo zagotoviti, da so podatki na njih varovani skladno s tem pravilnikom. Elektronskih naprav ni dovoljeno puščati kjerkoli, temveč je vsak delavec dolžan poskrbeti, da so računalniki v vsakem primeru ustrezno zavarovani.
20. člen
Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.
Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.
21. člen
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže in osebnih računalnikov (supervisorska oz. nadzorna gesla), se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira.
Če se vsebina zapečatenih ovojnic uporabi ter se kuverta odpre, se geslo ali gesla, ki so vsebovana v zapečateni ovojnici, nemudoma spremenijo, uničena kuverta pa se nadomesti z novo kuverto, v kateri se nahaja novo geslo oziroma nova gesla, ter se zapečati.
22. člen
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se redno izdelujejo kopije zbirk osebnih podatkov. Kopije vsebin na računalnikih se izdelujejo samodejno s sistemsko rešitvijo, ki jo vzpostavi pooblaščeno podjetje.
Če se kopije hranijo na kompaktnih diskih ali drugih medijih, mora pristojna oseba poskrbeti, da se hranijo v varovanih prostorih v zaklenjenih omarah.
V. VARSTVO OSEBNIH PODATKOV ZAPOSLENIH
23. člen
Delavec v družbi, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo (prinesejo jih zaposleni, drugi ali kurirji), razen pošiljk iz drugega in tretjega odstavka tega člena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpre pošiljke, ki je naslovljena na drugega pošiljatelja in je pomotoma dostavljena družbi.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpreti pošiljke, naslovljene osebno na zaposlenega, na kateri je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega, brez označbe njegovega uradnega položaja, in šele nato naslov družbe.
24. člen
Elektronska pošta, računalnik, tablice, mobilni telefon in druge elektronske naprave, ki jih delavcu za potrebe opravljanja dela dodeli delodajalec, se s strani zaposlenih uporabljajo v službene namene. V omejenem obsegu in razumnih mejah se lahko elektronska pošta in računalnik uporabljata tudi v zasebne namene delavcev, pri čemer so se uporabniki na strani družbe dolžni v smislu skrbi za ugled družbe izogibati pošiljanju elektronskih sporočil z neprimerno in žaljivo vsebino.
V računalnik (delovno postajo), drugo tehnično sredstvo (npr. mobilni telefon), dano v uporabo s strani družbe, ali v elektronsko pošto delavca, ki je angažiran bodisi na podlagi pogodbe o zaposlitvi bodisi na drugem pogodbenem temelju (v nadaljevanju: uporabnik opreme), sme družba poseči le v izjemnih primerih, opredeljenih v tem pravilniku, in sicer v primeru nepričakovane, nenadne in dalj časa trajajoče ali trajne odsotnosti uporabnika opreme, na primer v primeru odpovedi delovnega razmerja s strani zaposlenega brez odpovednega roka, v primeru odpovedi delovnega razmerja iz krivdnih razlogov zaradi neopravičene odsotnosti, v primeru, da zaradi svojega zdravstvenega stanja uporabnik ni sposoben izraziti svoje volje, pa takšno stanje traja dlje časa ali se upravičeno domneva, da bo trajalo dlje časa, smrti uporabnika in podobnih izredni primerih, kadar:
- - je to nujno potrebno za izpolnitev zakonskih obveznosti družbe;
- - je to nujno in neogibno potrebno za izpolnitev pogodbenih obveznosti družbe, katerih neizpolnitev ali izpolnitev z zamudo bi za družbo pomenila izgubo ugleda ali nastanek premoženjske škode.
Uporabnika opreme se pred posegom v njegov računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto pozove k prostovoljni predložitvi gesel in/ali potrebnih dokumentov ter se mu za izpolnitev zahteve postavi primeren rok. Tako v primeru prostovoljnega posredovanja dostopnih gesel kot v primeru, da se uporabnik na poziv družbe ne odzove ali ga zavrne, se vstop v računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto opravi s strani tričlanske komisije, ki jo vsakokrat imenuje direktor, delavcu/uporabniku pa se omogoči, da dejanju osebno prisostvuje, tako da se ga obvesti o kraju in času dejanja, razen če to iz objektivnih razlogov ni mogoče ali če zaposleni s svojim ravnanjem očitno onemogoča dostop do podatkov.
O vsakem vstopu v računalnik, drugo tehnično sredstvo oziroma elektronsko pošto po tem členu se vodi dokumentacija, ki vsebuje najmanj:
- - obrazložen razlog za dopustnost vstopa,
- - zapisnik o vstopu v računalnik ali elektronsko pošto z morebitnimi pripombami delavca, če je ta navzoč,
- - navedbo prisotnih oseb,
- - seznam oziroma izpis pridobljenih podatkov.
Pri postopanju po tem členu se osebni podatki obdelujejo izključno za namene po tem členu, pri čemer se mora vedno spoštovati načelo najmanjšega obsega podatkov, kar pomeni, da se obdelujejo zgolj tisti podatki, ki so nujno potrebni za dosego namena, za katerega se obdelujejo.
Šteje se, da je o namenu uporabe elektronske pošte in ostale programske opreme, ki jo uporabniku za namene opravljanja dela nudi družba, ter o možnostih nadzora po določbah tega pravilnika uporabnik predhodno obveščen, ko mu družba izroči izvod tega pravilnika ali mu ga pošlje na e-naslov, ki ga delavcu/uporabniku zagotavlja delodajalec, ali ga za namen komunikacije z družbo posreduje uporabnik sam. Kot primerno obvestilo šteje tudi objava tega pravilnika na oglasni deski ali internem strežniku družbe.
25. člen
Ob prenehanju delovnega razmerja je delavec družbe dolžan vrniti službeni računalnik, službeni mobilni telefon oziroma drugo tehnično sredstvo, ki ga je uporabljal v službene namene, pri čemer mora pred vrnitvijo delavec sam poskrbeti, da so s službenih naprav izbrisane vse njegove zasebne vsebine, službene pa ohranjene v celoti.
Delavec lahko za namene opravljanja dela poleg službene opreme in naprav v lasti družbe uporablja svoje zasebne računalnike in/ali mobilne telefone in druge tehnične naprave, če takšno uporabo odobri direktor ali od njega pooblaščena oseba. V primeru prenehanja delovnega razmerja je delavec dolžan z zasebnih računalnikov in/ali mobilnih telefonov ali drugih naprav (tudi USB ključev ipd.), ki jih je v soglasju z delodajalcem uporabljal za službene namene, izbrisati vse osebne podatke, ki so bili preneseni s službenega omrežja, in vse datoteke, ki jih je zaposleni uporabljal v službene namene, ne glede na to, ali vsebujejo osebne podatke.
VI. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
26. člen
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba skladno z ZVOP-2 ter Splošno uredbo o varstvu podatkov - GDPR. V takšni pogodbi morajo biti določene pravice in obveznosti izvajalca, zlasti pa tudi pravne posledice, če izvajalec krši določilo o varstvu osebnih podatkov - na primer odškodnina ali pravica družbe, da lahko odstopi od pogodbe. V pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja.
Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.
Pogodba mora prepovedovati obdelavo podatkov za izvajalčeve lastne namene ali za namene tretjih strank. To prav tako velja za prenos podatkov od izvajalca k podizvajalcem.
Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in navodil, samo za namene naročila in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
Pooblaščena pravna ali fizična oseba, ki za družbo opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
Družba mora izbrati izvajalca, ki lahko zagotovi upoštevanje tehničnih in organizacijskih varnostnih ukrepov, ki so potrebni za zagotovitev, da bodo podatki obdelani v skladu s tem pravilnikom.
VII. BRISANJE PODATKOV
27. člen
Osebni podatki se lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali.
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug predpis za posamezne vrste osebnih podatkov ne določa drugače.
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, registri, seznami itd.) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov (npr. z rezalnikom papirja). Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti na način, da je mogoča nepooblaščena obdelava podatkov.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov.
VIII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
28. člen
Delavci družbe so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik. Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo ali direktorja, sami pa so dolžni poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti.
Družba mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati. Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu s predhodno določenimi nameni zbiranja.
IX. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
29. člen
Za izvajanje postopkov in ukrepov za varstvo osebnih podatkov so odgovorni vsi zaposleni v družbi in tudi zunanji izvajalci, ki imajo z družbo podpisan dogovor o sodelovanju.
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni direktor, pooblaščene osebe, ki jih imenuje direktor, ter osebe, ki imajo dostop do osebnih podatkov skladno s tem pravilnikom.
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja direktor.
Pred nastopom dela delavca na delovnem mestu, na katerem se obdelujejo osebni podatki, mora delavec podpisati pisno izjavo, s katero se zaveže k varstvu osebnih podatkov ves čas trajanja delovnega razmerja, pri čemer se delavca opozori, da obveznost varovanja osebnih podatkov ne preneha s prenehanjem delovnega razmerja in da bo kršitev te obveznosti šteta tudi kot kršitev njegovih zavez iz pogodbe o zaposlitvi.
X. KONČNE DOLOČBE
30. člen
Za vprašanja, ki jih ta pravilnik ne ureja, se neposredno uporabljajo določbe Splošne uredbe o varstvu osebnih podatkov – GDPR in veljavne nacionalne zakonodaje s področja varstva osebnih podatkov.
Ta pravilnik začne veljati naslednji dan po objavi na internem strežniku družbe.
Shadows of Africa d.o.o. direktorica Nataša Fras