Družba J.D.S. d.o.o., Bernardinska reber 3b 6320 Portorož, matična številka: 6612342000, (v nadaljevanju: »upravljavec«) na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 s spremembami, v nadaljevanju: »ZVOP-1«) ter zlasti 24., 25. in 32. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: »Splošna uredba o varstvu podatkov«)

 

sprejema naslednji

 

 

Pravilnik o zavarovanju osebnih podatkov

 

 

 

I.            Uvodno glede obdelave osebnih podatkov

 

1.   člen

 

Upravljavec je  podjetje J.D.S. d.o.o., ki se ukvarja z dejavnostmi turistične agencije. Glavna gospodarska dejavnost upravljavca je rezervacija in druge s potovanji povezane dejavnosti, pri čemer obdelava osebnih podatkov upravljavca predstavlja zgolj postransko dejavnost delodajalca.

 

 

Pri izvajanju navedenih dejavnosti upravljavec obdeluje naslednje osebne podatke: rojstni podatki, email naslovi, poštni naslovi, davčne številke. Upravljavec ne obdeluje posebnih vrst osebnih podatkov (t.i. občutljive osebne podatke), niti ne obdeluje osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

 

Osebne podatke upravljavec obdeluje na podlagi pogodbnega razmerja, privolitve posameznikov, drugo in sicer za naslednje namene: podpis poslovnih pogodb,pogodbe o zaposlitvi, organizacijo potovanj, zavarovanje izletnikov.

 

2.   člen

 

Za namen identifikacije in popisa vseh vrst osebnih podatkov, katere obdeluje upravljavec, se vodi Seznam evidenc dejavnosti obdelave osebnih podatkov (v nadaljevanju: »Seznam evidenc«), katerega namen je omogočiti popoln pregled nad tokom osebnih podatkov. Seznam evidenc je obenem podlaga za sprejem tehničnih, organizacijskih in kadrovskih ukrepov za zavarovanje osebnih podatkov, kot so opisani v tem Pravilniku.

 

Seznam evidenc se vodi na način, da je za vsako evidenco dejavnosti obdelave osebnih podatkov razvidno: (i) na kakšni pravni podlagi se podatki obdelujejo, (ii) kaj je namen obdelave osebnih podatkov, (iii) na katere kategorije posameznikov se nanašajo osebnih podatki, (iv) katere vrste osebnih podatkov se obdelujejo, (v) morebitne osebe oziroma uporabnike, katerim so osebnih podatki lahko razkriti, (vi) ali se podatki iznašajo v tretjo državo in/ali mednarodno organizacijo, (v) kakšen je predviden rok hrambe oziroma izbrisa podatkov ter (vi) s katerimi tehničnimi, organizacijskimi in kadrovskimi ukrepi se zagotavlja varstvo osebnih podatkov.

 

Upravljavec skrbi za točnost in ažurnost Seznama evidenc. Upravljavec bo nadzornemu organu na njegovo zahtevo omogočil dostop do Seznama evidenc.

 

Delavci, ki pri izvajanju del in nalog za upravljavca obdelujejo osebne podatke, morajo biti seznanjeni s Seznamom evidenc, vpogled vanj pa je potrebno omogočiti tudi vsakomur, ki to zahteva in ima za vpogled zakonit interes (npr. posameznik, na katerega se nanašajo osebnih podatki, nadzorni organ, policija na podlagi zakonskih pooblastil).

 

3.   člen

 

 

Ob upoštevanju opisane narave, obsega, okoliščin in namena obdelave, kot je razviden iz 2. člena tega Pravilnika in Seznama evidenc, upravljavec zaključuje, da obdelava podatkov ne predstavlja velikega tveganja za pravice in svoboščine posameznikov, zato priprava predhodne ocene učinka v zvezi z obdelavo podatkov ni potrebna.

 

Pred vsako novo obdelavo osebnih podatkov, zlasti pa pred uporabo novih tehnologij ter pred vsako spremembo narave, obsega, okoliščin in namenov obdelave, ter vedno, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave, se upravljavec zaveže ponovno opraviti pregled tveganj in oceniti, ali je v zvezi z obdelavo potrebno pripraviti oceno učinka.

 

 

II.         Splošne določbe

 

4.   člen

 

S tem Pravilnikom o zavarovanju osebnih podatkov (v nadaljevanju: »Pravilnik«) se določajo tehnični, organizacijski in kadrovski postopki in ukrepi za zavarovanje osebnih podatkov upravljavca, z namenom, da se izpolnijo zakonske zahteve glede varovanja osebnih podatkov in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

 

Ti ukrepi sestojijo iz zavezujočih pravil, priporočil oziroma načel iz prakse, internih postopkov, organizacijskih struktur in varnosti informacijske tehnologije.

 

5.   člen

 

Namen tega Pravilnika je zagotoviti zaupnost, celovitost, dostopnost in točnost osebnih podatkov, v interesu posameznikov, na katere se osebnih podatki nanašajo, in sicer v vsaki fazi obdelave osebnih podatkov. Vsi zaposleni se morajo zavedati tveganj, ki so povezana s tehničnimi in informacijskimi sistemi ter komunikacijsko tehnologijo, ter morajo zato izvajati obdelavo osebnih podatkov z zahtevano skrbnostjo.

 

Ukrepi, opisani v tem Pravilniku, so oblikovani ob upoštevanju najnovejšega tehnološkega razvoja in stroškov, izvajanja ter narave, obsega, okoliščin in namenov obdelave kot tudi tveganj za pravice in svoboščine posameznikov ter zagotavljajo ustrezno varnost podatkov glede na morebitna tveganja, ki jih pomeni obdelava podatkov, zlasti v primeru nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

6.   člen

 

Upravljavec se ravna po priznanih pravilih za varnost informacij. Pri tem ta Pravilnik izhaja iz predpostavke, da absolute varnostni ni in da zagotavljanje informacijske varnosti ni neko statično stanje, temveč da se mora varnost stalno izboljševati in prilagajati na spreminjajoče se pogoje. Ukrepi so torej nek kompromis med tem, kar je tehnično možno in realizacijo, ki je v konkretnem primeru sploh možna glede na kadrovske in ekonomske vidike upravljavca.

 

 

7.   člen

 

Upravljavec pri obdelavi osebnih podatkov upošteva splošna načela v zvezi z obdelavo osebnih podatkov.

 

Upravljavec obdeluje le tiste osebne podatke, za katere ima ustrezno zakonsko podlago na podlagi določb ZVOP-1 in Splošne uredbe o varstvu podatkov.

 

Osebni podatki se smejo zbirati samo za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, razen če relevantna zakonodaja ne določa drugače.

 

Pri obdelavi osebnih podatkov upravljavec zagotavlja, da so osebni podatki:

-       obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

-       zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo dalje na način, ki ni združljiv s temi nameni;

-       ustrezni, relevantni in omejeni glede na namene, za katere se obdelujejo;

-       točni in kadar je to potrebno posodobljeni;

-       hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za namene, za katere se obdelujejo, razen če posamezen zakon ne določa česa drugega;

-       obdelujejo na način, ki zagotavlja njihovo celovitost in zaupnost, zlasti pa, da so z ustreznimi tehničnimi ali organizacijskimi ukrepi ustrezno varovani pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem, ali poškodbo.

 

8.   člen

 

Ta Pravilnik velja za vse delavce pri upravljavcu, ne glede na to, ali so v delovnem razmerju pri upravljavcu J.D.S.d.o.o. (v nadaljevanju »delavci«). Pravilnik je namenjen zlasti tistim delavcem, ki so neposredno ali posredno udeleženi pri obdelavi osebnih podatkov, ter pri zagotavljanju varnosti informacijske tehnologije.

 

9.   člen

 

V tem Pravilniku uporabljeni izrazi imajo pomene kot to izhaja iz veljavnega ZVOP-1 ter Splošne uredbe o varstvu podatkov.

 

 

III.       Kadrovski ukrepi

 

10.               člen

 

Naloge in pristojnosti glede obdelave osebnih podatkov, ki so si med seboj v konfliktu, so dodeljene različnim osebam ali oddelkom; vse z namenom, da se v najkrajšem možnem času prepoznajo nepooblaščene ali nenamerne spremembe podatkov.

 

Velja naslednje ločevanje vlog in nalog:

-       namene obdelave osebnih podatkov določa direktor družbe;

-       pristojnost za določitev sredstev informacijske tehnologije ali operativne procese je dodeljena direktorju družbe;

-       za varnost podatkov in za zagotovitev tehničnih, kadrovskih in organizacijskih ukrepov je zadolžen direktor družbe;

-       dostop do osebnih podatkov imajo naslednje osebe : direktor Salvestrini Fabio….

 

Za pravilno izvajanje tega Pravilnika je dokončno pristojen in odgovoren direktor upravljavca.

 

11.               člen

 

 

Ker obdelava osebnih podatkov pri upravljavcu ne zajema rednega in sistematičnega obsežnega spremljanja posameznikov in ker upravljavec ne obdeluje posebnih vrst osebnih podatkov in/ali podatkov v zvezi s kazenskimi obsodbami in prekrški, upravljavec ne bo imenoval posebne pooblaščene osebe za varstvo podatkov.

 

12.               člen

 

Vsi delavci, ki ukrepajo pod vodstvom upravljavca in imajo dostop do osebnih podatkov, teh podatkov ne smejo obdelovati brez ali izven navodil upravljavca. Vsi delavci, ki pri svojem delu obdelujejo osebne podatke, so dolžni izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere so zvedeli oziroma bili z njimi seznanjen pri opravljanju svojega dela.

 

Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

 

Vsi delavci, ki pri svojem delu obdelujejo osebne podatke, morajo biti seznanjeni z zakonodajo s področja varstva osebnih podatkov ter z vsebino tega Pravilnika. Upravljavec bo v ta namen poskrbel, da bodo taki delavci podpisali posebno Izjavo o varstvu osebnih podatkov, iz katere bo razvidno, da so seznanjeni z določbami tega Pravilnika in zakonodajo s področja varstva osebnih podatkov.

 

Za kršitev določil iz tega člena so delavci disciplinsko, odškodninsko in kazensko odgovorni. Kršitev določil tega Pravilnika se šteje za hujšo kršitev pravic in obveznosti iz delovnega razmerja, zaradi česar se takim delavcem lahko pogodba o zaposlitvi redno odpove iz krivdnih razlogov ali izredno odpove v primeru hujših kršitev.

 

 

IV.Fizična in okoljska varnost

 

13.                člen

 

Osebni podatki in informacijski sistemi morajo biti ustrezno zaščiteni pred tatvino, poškodovanjem in negativnimi učinki iz okolja.

 

Vsi informacijski sistemi, ki so kritični za upravljavca, se morajo postaviti v varno okolje. To pomeni, da so vsi prostori, v katerih se nahajajo nosilci osebnih podatkov ter strojna in programska oprema, fizično varovani (npr. zaklenjeni, pospravljeni v sef idr.), tako da se nepooblaščenim osebam prepreči dostop do podatkov.

 

 

14.                člen

 

 

Varovani prostori ne smejo ostajajo nenadzorovani, oziroma se zaklepajo ob odsotnosti delavcev, ki jih nadzorujejo. Izven delovnega časa se varovani prostori zaklepajo. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

 

15.                člen

 

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.

 

Delavci ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje (t.i. politika čiste mize).

 

V odsotnosti z delovnega mesta morajo zaposleni ekran računalnika izklopiti ali kako drugače fizično ali programsko zakleniti (t.i. politika čistega ekrana).

 

 

16.                člen

 

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

 

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo odgovornega delavca upravljavca.

 

 

V.   Varovanje integritete in zaupnosti podatkov ob sprejemu in prenosu

 

17.                člen

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo k upravljavcu, razen pošiljk iz tretjega in četrtega odstavka tega člena.

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki.

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov upravljavca.

 

18.                člen

 

Osebni podatki se pošiljajo s priporočeno pošto ali osebno.

 

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

 

19.                člen

 

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju ustreznih postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

 

V primeru elektronskega pošiljanja sporočil z osebnimi podatki upravljavec zagotavlja tehnične postopke, ki onemogočijo prestrezanje, kopiranje, spreminjanje, preusmerjanje ali uničenje prenesenih informacij. Ti postopki so npr.: uporabniško ime in geslo, PDF format.

 

20.                člen

 

Obdelava posebnih vrst osebnih podatkov mora biti posebej označena in zavarovana.

 

Posebne vrste osebnih podatkov (t.i. občutljivi osebni podatki) se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.

 

Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

 

 

VI.Zagotavljanje zaupnosti, celovitosti in odpornosti sistemov in storitev za obdelavo podatkov

 

 

21.                člen

 

Dostop do programske opreme je varovan tako, da dovoljuje dostop samo za to v naprej določenim delavcem ali zunanjim ponudnikom storitev (t.i. politika dostopnih pravic).

 

Dostop do informacijskih sistemov je omejen na pravice, ki so potrebne za izvajanje določene naloge (npr. pravice do branja, spreminjanja, administratorski dostop). Pri podelitvah pravic dostopa upravljavec sledi načelo »need-to-know«, kar pomeni, da uporabniki ne smejo prejeti več pravic, kot bi bile potrebne za izvajanje njihovih nalog ali za dostop do podatkov.

 

Vsakemu uporabniku se dodeliti jasno (osebno) uporabniško ime (ID oznaka uporabnika). To velja tudi za privilegirane pravice do dostopa (npr. za administratorje).

 

Za preprečitev morebitnega napada ali varnostnega tveganja se beležijo vsi kritični, zlasti pa neuspeli poskusi dostopa.

 

Zunanji dostopi, ki so namenjeni vzdrževanju, se aktivirajo le za čas trajanja vzdrževanja po predhodno izvedenem formalnem in dokumentiranem zahtevku. Po prenehanju vzdrževalnih del tako dostopi za vzdrževanje deaktivirajo.

 

Če delavec preneha opravljati delo za upravljavca, se mora najpozneje ob koncu zadnjega delovnega dne odvzeti vsa izdana dovoljenja za dostop. Enako velja za vse zunanje ponudnike storitev.

 

22.               člen

 

Strojna oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami, mora biti zaščitena na način, da se zavaruje integriteta in zaupnosti podatkov.

 

Vsi osebni računalniki, na katerih je možen dostop do osebnih podatkov, so varovani z uporabniškim imenom in geslom.

 

Programska oprema inštalirana na računalniku, ki omogoča dostop do osebnih podatkov, je varovana z uporabniškim imenom in geslom različnim od uporabniškega imena in gesla računalnika.

 

Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.

 

 

23.                člen

 

Vzdrževanje, popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve direktorja družbe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z upravljavcem sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

 

Zaposleni ne smejo namestiti programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz poslovnih prostorov brez odobritve vodje organizacijske enote in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

 

24.                člen

 

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov.

 

Vse delovne postaje in prenosni računalniki in druga oprema morajo biti opremljeni z aktualno antivirusno zaščito. Vsi računalniki na delovnem mestu morajo biti opremljeni s kombinacijo iz lokalnega požarnega zidu in lokalnega sistema za zaznavanje in preprečevanje vdorov. Vsi prenosni računalniki in druga oprema morajo biti opremljeni z lokalnim požarnim zidom.

 

Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne strokovne službe, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.

 

 

25.                člen

 

Če uporabnik ali administrator zapusti delovno mesto ali ne izvaja nobenih vnosov, se mora v določenem časovnem razponu samodejno vključiti zapora zaslona, zaščitena z geslom.

 

Na sistemih, kjer je to tehnično možno, poteka avtomatska odjava uporabnika, če ni bilo izvedenih vnosov znotraj opredeljenega časovnega razpona.

 

Poslovne informacije se načeloma ne shranjujejo lokalno na računalnikih na delovnem mestu ali prenosnih računalnikih dlje, kot je treba, in se shranjujejo na centralno upravljane sisteme, ki so predvideni za ta namen.

 

 

 

 

VII.      Zagotavljanje dostopnosti oz. razpoložljivosti podatkov v primeru fizičnega ali tehničnega incidenta

 

 

 

26.               člen

 

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.

 

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakonska podlaga, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.

 

Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, kam oziroma komu, kdaj in na kakšni podlagi. Evidenca sledljivosti posredovanj podatkov se vodi po kronološkem vrstnem redu.

 

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

 

27.                člen

 

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo (tj. izdelava varnostnih kopij podatkov).

 

 

28.               člen

 

Ob izpadu sistema mora biti zagotovljeno, da se ne izgubijo nobene kritične informacije.

 

Mediji za varnostno shranjevanje se morajo hraniti na krajih, ki izpolnjujejo zahteve zaupnosti, integritete in razpoložljivosti zadevnih informacij. Zagotoviti se mora, da ima administracijsko osebje v nujnem primeru dostop do varnostnih medijev.

 

 

29.                člen

 

Informacije se arhivirajo v skladu z zakonskimi, pogodbenimi in poslovnimi zahtevami.

 

Arhivski podatki se morajo skladiščiti ali shranjevati na krajih, ki izpolnjujejo zahteve razpoložljivosti, integritete in zaupnosti.

 

 

VIII.   Redno testiranje, ocenjevanje in vrednotenje ukrepov

 

 

30.                člen

 

Upravljavec se zaveže, da bo redno testiral, ocenjeval in vrednotil učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

 

Upravljavec bo v ta namen vsaj enkrat letno preveril zakonitost obdelave osebnih podatkov. Za namen oprave notranje kontrole bo upravljavec pregledal dnevnike v zvezi z delovanji obdelav osebnih podatkov (t.i. dnevniške datoteke oz. loge) in se posvetoval z ustreznimi strokovnjaki za informacijsko varnost.

 

 

IX.Rok hrambe in brisanje podatkov

 

31.                člen

 

Upravljavec zagotavlja, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. V ta namen upravljavec v Seznamu evidenc predpiše roke za izbris osebnih podatkov.

 

Po preteku roka hranjenja se osebni podatki zbrišejo oziroma trajno uničijo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

 

32.                člen

 

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. Brisanje mora biti popolno in nepovratno. Poleg nosilca takih podatkov je torej potrebno uničiti tudi podatke v mapi »Izbrisano« ali »Koš« oziroma drugi ustrezni mapi / direktoriju, tako da vsebine ni več moč obnoviti.

 

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča branje vseh ali dela uničenih podatkov.

 

Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.

 

 

X.   Storitve, ki jih opravljajo zunanje pravne ali fizične osebe

 

33.               člen

 

Upravljavec lahko posamezna dejanja obdelave podatkov zaupa tudi zunanji pravni ali fizični osebi (v nadaljevanju: »obdelovalec«), ki zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov za varstvo osebnih podatkov. Obdelovalec, ki opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta Pravilnik.

 

V takem primeru bo upravljavec z obdelovalcem sklenil ustrezne pisne dogovore o pogodbeni obdelavi osebnih podatkov, v katerih bo določil pravice in obveznosti obeh strank. V takšnem dogovoru morajo biti obvezno predpisani pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja ter obveznosti obdelovalca napram upravljavcu. Omenjeno velja tudi za obdelovalce, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.

 

Obdelovalec lahko na podlagi takega dogovora v imenu in za račun upravljavca opravlja samo dogovorjena opravila v zvezi z obdelavo osebnih podatkov upravljavca. Obdelovalec podatkov ne sme obdelovati ali drugače uporabljati za noben drug namen.

 

 

XI.Poročanje v primeru varnostnega incidenta

 

34.                člen

 

Upravljavec zagotavlja dosleden in učinkovit sistem za ravnanje z varnostnimi incidenti, vključno z dokumentiranjem in obveščanjem o varnostnih dogodkih.

 

V ta namen upravljavec zagotovi informacijski sistem, ki je sposoben izvajati nadzor za prepoznavanje dogodkov (npr. požarni zid, zaznavanje vdorov, sistem nadzora). Informacijski sistemi nadalje omogočajo dokumentiranje vseh varnostno relevantnih ali sistemsko kritičnih dogodkov. Za spremljanje teh beleženj je odgovoren direktor družbe.

 

Vsi delavci so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, nedostopnosti, spreminjanju ali poškodovanju podatkov, takoj obvestiti direktorja družbe, sami pa poskušajo takšno aktivnost preprečiti.

 

Upravljavec v evidenco varnostnih incidentov beleži vsako kršitev varstva osebnih podatkov, iz katere morajo biti razvidna dejstva v zvezi s kršitvijo varstva osebnih podatkov, učinki take kršitve in sprejeti popravni ukrepi.

 

V evidenco varnostnih incidentov se po kronološkem vrstnem redu vpisujejo vsi varnostni incidenti, ne glede na stopnjo in vrsto tveganja za pravice in svoboščine posameznikov. Upravljavec zlasti beleži kršitve zaupnosti podatkov (npr. nepooblaščeno razkritje podatkov), kršitve v zvezi z možnostjo dostopa do podatkov in kršitve integritete podatkov (npr. nepooblaščena sprememba podatkov).

 

35.                člen

 

Če je verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov, mora upravljavec nemudoma, najkasneje pa v roku 72 ur po seznanitvi s kršitvijo, o njej uradno obvestiti pristojni nadzorni organ, skladno s 33. členom Splošne uredbe o varstvu podatkov.

 

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikom, mora upravljavec skladno z določbo 34. člena Splošne uredbe o varstvu podatkov brez nepotrebnega odlašanja obvestiti tudi posameznike, na katere se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

 

 

XII.      Končne določbe

 

36.               člen

 

Vse spremembe in dopolnitve tega Pravilnika se sprejmejo na enak način kot Pravilnik in v pisni obliki.

Pravilnik začne veljati takoj  potem, ko ga direktor upravljavca sprejme in objavi.

Pravilnik se objavi na pri upravljavcu običajen način, in sicer  tako da se z njegovo vsebino lahko seznanijo vsi delavci pri upravljavcu.

Ta Pravilnik je na razpolago in vpogled vsem delavcem v pisarni družbe  v času delovnika. Delavcem je omogočeno, da se brez nadzora seznanijo z vsebino tega Pravilnika.

 

V/Na Portorož, dne 22.5.2018

 

J.D.S. d.o.o.

Fabio salvestrini, direktor

 

Top