Na podlagi določb Uredbe (EU) 2016/679 Evropskega Parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 24. in 25. člena Zakona o varstvu osebnih podatkov ( Uradni list RS, Uradni list RS, št. 94/07– uradno prečiščeno besedilo; ZVOP-1) izdaja GIMNAZIJA LEDINA, RESLJEVA CESTA 12, 1000 LJUBLJANA, ki jo zastopa ravnatelj Roman Vogrinc

 

 

 

PRAVILNIK

o obdelavi osebnih podatkov vključno z zagotavljanjem varnosti

osebnih podatkov in politiko varstva osebnih podatkov zaposlenih

 

 

 SPLOŠNE DOLOČBE

 

  1.  člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v Gimnaziji Ledina z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo, kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

 

Zaposleni in zunanji sodelavci Gimnazije Ledina, ki pri svojem delu obdelujejo in uporabljajo osebne in zaupne podatke, morajo pri svojem delu spoštovati predpise s področja varstva osebnih podatkov.

 

  1. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

 

  1. Osebni podatek- je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
  2. Posameznik- je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
  3. Zbirka osebnih podatkov- je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
  4. Strukturiran niz podatkov– je vsak niz podatkov, ki je organiziran na tak način, da določi ali omogoči določljivost posameznika.
  5. Obdelava osebnih podatkov- pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
  6. Upravljavec osebnih podatkov- je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
  7. Posebne vrste osebni podatki- so podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;
  8. Uporabnik osebnih podatkov- je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
  9. Nosilec podatkov- so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
  10. Obdelovalec – je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

 

  1. člen

 

Opis zbirk osebnih podatkov, katerih upravljavec je Gimnazija Ledina, se vodi v evidenci dejavnosti obdelav skladu z določbami 30. člena Splošne uredbe.

 

V evidenco dejavnosti obdelav se vpisujejo naslednji podatki: naziv zbirke osebnih podatkov, vrste osebnih podatkov v zbirki, vir osebnih podatkov, pravni temelj za obdelavo osebnih podatkov, osebno ime in delovno mesto osebe, ki je odgovorna za določeno zbirko osebnih podatkov ter nazivi delovnih mest oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, rok hrambe, druge uporabnike osebnih podatkov (morebitne pogodbene obdelovalce, zunanje sodelavce), ukrepe za zavarovanje osebnih podatkov.

 

VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

 

  1. člen

Zagotavljanje varnosti  osebnih podatkov obsega organizacijske, tehnične in logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki v skladu s Splošno uredbo, Zakonom o varstvu osebnih podatkov (ZVOP-1) in nacionalnim predpisom, sprejetim za izvedbo Splošne uredbe, s katerimi se:

  • varujejo prostori, oprema in sistemska programska oprema,
  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki
  • zagotavlja varnost posredovanja in prenosa osebnih podatkov
  • onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk.

 

  1. člen

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema, sodijo v kategorijo varovanih prostorov in so varovani z fizičnimi (zaklepanje) in/ali tehničnimi ukrepi (alarm, videonadzor), ki zmanjžujejo tveganje za vstop nepooblaščenih oseb in njihov dostop do podatkov. Pri upravljavcu so to prostori ravnatelja, tajništva, prostori svetovalne službe in knjižnice. Ti prostori so varovani s fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov in za katere velja naslednji režim:

 

  1. Dostop v te prostore je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja ravnatelja ali od nje pooblaščene osebe;
  2. Dostop osebam, ki niso zaposlene v varovanih prostorih, je dovoljen le ob prisotnosti zaposlenih v teh prostorih.
  3. Delavci, zaposleni v teh prostorih, morajo prostor vestno in skrbno nadzorovati in ob vsaki odsotnosti zakleniti.
  4. Nosilcev osebnih podatkov ne smejo izpostavljati nevarnosti nenadzorovanega vpogleda ali iznosa.
  5. Osebni podatki se hranijo le v delovnih prostorih.
  6. Računalniki, na katerih se nahajajo osebni podatki, morajo biti v času vsake odsotnosti delavca, zadolženega za delo z osebnimi podatki, fizično ali programsko zaklenjeni.
  7. Nosilci osebnih podatkov, hranjeni izven delovnih prostorov oziroma izven varovanih prostorov (hodnik, skupni prostori, aktivni in pasivni arhiv itd.), morajo biti stalno zaklenjeni v ognjevarni zaščitni omari.
  8. Delavec, ki pri svojem delu obdeluje osebne podatke, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalni mizi ali jih drugače izpostavljati vpogledu vanje nepooblaščenim osebam oziroma zaposlenim.
  9. V prostorih, v katere imajo vstop stranke oziroma osebe, ki v Gimnaziji Ledina niso zaposlene, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da je strankam onemogočen vpogled vanje.

 

Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

 

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.

 

Posebne vrste osebni podatki se ne smejo hraniti izven varovanih prostorov.

 

  1. člen

Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih Gimnazije Ledina. Nosilcev osebnih podatkov delavci ne smejo odnašati izven podjetja brez izrecnega dovoljenja ravnatelja oziroma z njegove strani pooblaščene osebe.

 

  1. člen

Posredovanje osebnih podatkov pooblaščenim zunanjim institucijam in drugim, ki izkažejo pravno podlago za pridobitev osebnih podatkov (enega od pravnih temeljev iz 6/I člena Splošne uredbe), dovoli ravnatelj Gimnazije Ledina ali od njega pooblaščena oseba.

 

  1. člen

Vzdrževanje in popravilo strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščenih oseb upravljavca, izvajajo pa ga lahko samo za to usposobljeni servisi in vzdrževalci, ki imajo z Gimnazijo Ledina sklenjeno pogodbo o servisiranju in vzdrževanju računalniške oziroma strojne opreme.

 

  1. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci, poslovni partnerji in druge osebe, se smejo gibati v varovanih prostorih samo ob prisotnosti osebe, zaposlene v podjetju. Delavci, kot so čistilke in tehnično-vzdrževalni delavci, se smejo izven delovnega časa v prostorih šole zadrževati le z dovoljenjem ravnatelja ali od nje pooblaščene osebe.

 

 

VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

 

  1. člen

Dostop do programske opreme mora biti varovan na način, ki omogoča dostop samo določenim za to v naprej pooblaščenim delavcem ali zaposlenim, ki v skladu s pogodbo opravljajo naloge, pri katerih je potrebna obdelava določenih osebnih podatkov.

 

  1. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve ravnatelja ali od njega pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni oziroma za to usposobljeni servisi in organizacije in posamezniki, ki imajo z Gimnazijo Ledina sklenjeno ustrezno pogodbo. Izvajalci morajo narejene spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

 

  1. člen

Delavci, pooblaščeni za obdelavo in ravnanje z osebnimi podatki na računalniku, morajo skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske oziroma aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči, enako tudi drugi za lažje delo pripravljeni delovni pripomočki (kot so excel tabele z uvoženimi osebni podatki iz zbirke ipd).

 

  1. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se redno preverja glede na možno prisotnost računalniških virusov. Ob pojavu računalniškega virusa se ga odpravi s pomočjo ustreznih strokovnjakov in se ugotovi vzrok pojava virusa.

 

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu in prispejo v Gimnazijo Ledina na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

 

  1. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz prostorov šole brez odobritve s strani ravnatelja ali z njegove strani pooblaščene osebe.

 

  1. člen

Dostop do podatkov preko aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.

 

Ravnatelj oziroma z njegove strani pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel.

 

  1. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se redno izdelujejo kopije vsebin zbirk osebnih podatkov.

 

Takšne kopije zbirk osebnih podatkov na disketah, kompaktnih diskih ali drugih medijih se hranijo v zavarovanih, zaklenjenih, ognjevarnih omarah, ki so zaščitene pred poplavami in elektromagnetnimi motnjami.

 

 POLITIKA VARSTVA OSEBNIH PODATKOV ZAPOSLENIH

 

  1. člen

Delavec oziroma zaposleni v Gimnaziji Ledina, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v Gimnazijo Ledina (prinesejo jih zaposleni, drugi ali kurirji), razen pošiljk iz drugega in tretjega odstavka tega člena.

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpre pošiljke, ki je naslovljena na drug organ ali organizacijo in je pomotoma dostavljena v Gimnazijo Ledina.

 

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpreti pošiljke, naslovljene osebno na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega, brez označbe njegovega uradnega položaja, in šele nato naslov Gimnazije Ledina.  

 

  1. člen

Elektronska pošta, računalnik (prenosni in stacionarni), tablice, mobilni telefon in druge elektronske naprave, ki jih delavcu za potrebe opravljanja dela dodeli delodajalec, se s strani zaposlenih uporabljajo v službene namene. V omejenem obsegu in razumnih mejah se lahko elektronska pošta in računalnik uporabljata tudi v zasebne namene delavcev, pri čemer so se uporabniki na strani Gimnazije Ledina dolžni v smislu skrbi za ugled šole izogibati pošiljanju elektronskih sporočil z neprimerno in žaljivo vsebino.

 

V računalnik (delovno postajo), drugo tehnično sredstvo (na primer mobilni telefon), dano v uporabo s strani Gimnazije Ledina., ali v elektronsko pošto delavca, ki je angažiran bodisi na podlagi pogodbe o zaposlitvi bodisi na drugem pogodbenem temelju (v nadaljevanju: uporabnik opreme), sme Gimnazija Ledina poseči le v izjemnih primerih, opredeljenih v tem Pravilniku, in sicer v primeru nepričakovane, nenadne in dalj časa trajajoče ali trajne odsotnosti uporabnika opreme, na primer v primeru odpovedi delovnega razmerja s strani zaposlenega brez odpovednega roka, v primeru odpovedi delovnega razmerja iz krivdnih razlogov zaradi neopravičene odsotnosti, v primeru, da zaradi svojega zdravstvenega stanja uporabnik ni sposoben izraziti svoje volje, pa takšno stanje traja dlje časa ali se upravičeno domneva, da bo trajalo dlje časa, smrt uporabnika in podobni izredni primeri, kadar:

  • je to nujno potrebno za izpolnitev zakonskih obveznosti Gimnazije Ledina;
  • je to nujno in neogibno potrebno za izpolnitev pogodbenih obveznosti Gimnazije Ledina, katerih neizpolnitev ali izpolnitev z zamudo bi za šolo pomenila izgubo ugleda ali nastanek premoženjske škode.

 

Uporabnika opreme se pred posegom v njegov računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto pozove k prostovoljni predložitvi gesel in/ali potrebnih dokumentov ter se mu za izpolnitev zahteve postavi primeren rok. Tako v primeru prostovoljnega posredovanja dostopnih gesel, kot tudi v primeru, da se uporabnik na poziv Gimnazije Ledina ne odzove ali ga zavrne, se vstop v računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto opravi s strani osebe, ki jo vsakokrat imenuje ravnatelj Gimnazije Ledina, delavcu/uporabniku pa se omogoči, da dejanju osebno prisostvuje, tako da se ga obvesti o kraju in času dejanja, razen če to iz objektivnih razlogov ni mogoče ali če zaposleni s svojim ravnanjem očitno onemogoča vstop.

 

O vsakem vstopu v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto po tem členu se vodi dokumentacija, ki vsebuje najmanj:

  • obrazložen razlog za dopustnost vstopa,
  • zapisnik o vstopu v računalnik ali elektronsko pošto z morebitnimi pripombami delavca, če je ta navzoč,
  • navedbo prisotnih oseb,
  • seznam oziroma izpis pridobljenih podatkov.

 

Šteje se, da je o namenu uporabe elektronske pošte in ostale programske opreme, ki jo uporabniku za namene opravljanja dela nudi Gimnazija Ledina, ter o možnostih nadzora po določbah tega člena tega Pravilnika uporabnik predhodno obveščen, ko mu Gimnazija Ledina izroči izvod tega Pravilnika ali mu ga pošlje na e-naslov, ki ga delavcu/uporabniku da Gimnazija Ledina, ali ga za namen komunikacije z Gimnazijo Ledina posreduje uporabnik sam. Kot primerno obvestilo šteje tudi objava tega Pravilnika na spletni strani Gimnazije Ledina.

 

  1. člen

Vpogled v telefonske prometne podatke mobilnih naročniških številk v lasti Gimnazije Ledina in uporabi posameznega uporabnika, lahko od operaterjev telekomunikacijskih storitev zahteva le ravnatelj Gimnazije Ledina ali od nje pooblaščena oseba in le v primeru spora med uporabnikom in Gimnazijo Ledina o višini stroškov porabe za sporno mobilno naročniško številko za določeno obračunsko obdobje, pri čemer to stori skladno z določili Zakona o elektronskih komunikacijah in nikakor ne sme preverjati identitete oziroma lastništva klicanih ali klicočih številk, razen kadar bi to zaradi ugotavljanja, ali so bili klici opravljeni v službene namene, zahteval delavec/uporabnik sam.

 

Gimnazija Ledina mobilnim napravam v njegovi lasti in uporabi posameznega uporabnika ne sme slediti in v ta namen v svoje mobilne naprave ne sme namestiti naprave oziroma aplikacije za sledenje uporabniku.

 

  1. člen

Ob prenehanju delavnega razmerja je delavec Gimnazije Ledina dolžan vrniti službeni računalnik, drugo tehnično sredstvo in/ali službeni mobilni telefon, ki ga je uporabljal v službene namene, pri čemer mora pred vrnitvijo delavec sam poskrbeti, da so s službenih računalniških, tehničnih in mobilnih naprav očiščene oziroma izbrisane vse njegove zasebne vsebine, službene pa ohranjene v celoti.

 

  1. člen

Delavec lahko za namene opravljanja dela poleg službene opreme in naprav v lasti Gimnazije Ledina uporablja svoje zasebne računalnike in/ali mobilne telefone in druge tehnične naprave, če takšno uporabo odobri ravnatelj ali od njega pooblaščena oseba.

 

V primeru prenehanja delovnega razmerja je delavec dolžan s zasebnih računalnikov in/ali mobilnih telefonov ali drugih naprav (tudi USB ključev ipd.), ki jih je v soglasju z delodajalcem uporabljal za službene namene, izbrisati vse osebne podatke, ki so bili preneseni s službenega omrežja, in vse datoteke, ki jih je zaposleni uporabljal v službene namene, ne glede na to, ali vsebujejo osebne podatke.

 

  1. člen

Odločitev o uvedbi videonadzora sprejme ravnatelj Gimnazije Ledina. V odločitvi, ki je lahko v obliki sklepa ali zaznamka, ravnatelj opredeli namen videonadzora in opredeli prostore, v katerih se izvaja videonadzor ter namestitev obvestil v skladu z zakonom, ki ureja varstvo osebnih podatkov.

 

Obvestilo vsebuje informacije o tem:

  • da se izvaja videonadzor,
  • naziv osebe javnega ali zasebnega sektorja, ki ga izvaja,
  • telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema.

 

Obvestilo mora biti nameščeno na mestih, ki posamezniku omogočajo, da se seznani z izvajanjem videonadzora najkasneje, ko se ta nad njim začne izvajati – torej najkasneje ob vstopu v videonadzorovani prostor.

Ravnatelj Gimnazije Ledina ali z njene strani pooblaščena oseba za delovanje videonadzornega sistema lahko v upravičenih primerih, kadar je prizadeta dobrina, ki jo ŠC Ljubljana varuje z videonadzornim sistemom, vpogleda v posnetke videonadzornega sistema (zlasti ugotovljena materialna škoda, poškodba ljudi, sum nepooblaščenega vstopa v prostore, ki so videonadzorovani, oziroma v prostorih, do katerih dostopa skozi prostore, ki so videonadzorovani, itd.).

 

Vpogleda se lahko le v posnetke, ki so nastali v časovnem obdobju, za katerega se utemeljeno predvideva, da se je takrat zgodil izredni dogodek iz prejšnjega odstavka, ter v posnetke, ki so nastali v časovnem obdobju neposredno pred in neposredno po izrednem dogodku.

 

Videonadzorni posnetki se hranijo najdlje 3 tedne, potem se izbrišejo.

 

  1. člen

Za namene dokumentiranja aktivnosti in obveščanja javnosti o delu Gimnazije Ledina v lastni organizaciji ali so-organizaciji, kot so prireditve, tekmovanja, izobraževanja in podobno, delno ali v celoti snema oziroma fotografira.

 

Obvestilo o tem, da bo dogodek sneman oziroma fotografiran, se zapiše na vabilo oziroma na obvestilo o dogodku. Navede se tudi namen snemanja oziroma fotografiranja. Na ta način se šteje, da so udeleženci oziroma obiskovalci obveščeni o snemanju oziroma fotografiranju javnega dogodka.

 

Kadar je to bolj primerno (ob dogodkih z manjšim številom udeleženih, dogodkih, ki niso odprti za javnost, udeleženci pa utemeljeno pričakujejo večjo stopnjo zasebnosti), se snemanje oziroma fotografiranje ustno napove in udeležencem pusti možnost, da izrazijo svojo voljo glede zajema njihove podobe s kamero.

 

STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

 

  1. člen

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, shranjevanjem, posredovanjem ali drugačno obdelavo osebnih podatkov za Gimnazijo Ledinoin je registrirana za opravljanje takšne dejavnosti (obdelovalec), se sklene pisna pogodba, predvidena v 28. členu Splošne uredbe oziroma v drugem odstavku 11. člena ZVOP-1. V takšni pogodbi morajo biti določeni tudi pogoji in ukrepi za zagotovitev varnosti osebnih podatkov, zagotavljanje njihove celovitosti in avtentičnosti ves čas obdelave. Obdelovalci so tudi zunanji sodelavci, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo, klikor imajo pri svojem delu dostop do osebnih podatkov.

 

Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru pooblastil Gimnazije Ledinain osebnih podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

 

Pooblaščena pravna ali fizična oseba, ki za Gimnazijo Ledinaopravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način zagotavljanja varnosti osebnih podatkov, kakor ga določa ta Pravilnik.

 

POSREDOVANJE OSEBNIH PODATKOV

 

  1. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

 

Posebne vrste osebni podatki se pošiljajo naslovnikom s posebej skrbnimi, dodatnimi ukrepi za zagotavljanje varnosti (v zaprtih kuvertah, priporočeno, da je pošiljanje sledljivo, po elektronski poti pa zavarovano na način, da je med pošiljanjem kriptirano ali zavarovano z geslom).

 

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

 

BRISANJE PODATKOV

 

  1. člen

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

 

Osebni podatki, ki so del pogodb, se izbrišejo iz zbirke podatkov po izteku absolutnih zastaralnih rokov, ki so določeni v zvezi s posamezno obveznostjo ali upravičenjem. 

 

Osebni podatki, ki se obdelujejo na podlagi privolitve, se izbrišejo najkasneje 15. dan po prejemu preklica.

 

  1. člen

Za brisanje podatkov z nosilcev podatkov se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

 

Podatki na klasičnih medijih (listine, kartoteke, register, seznam, itd.) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov.

 

Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).

 

Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.

 

Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno varnost osebnih podatkov tudi v času prenosa/prevoza.

 

UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

 

  1. člen

Vsi zaposleni so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati odgovorno, vestno in skrbno.

 

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem, nepooblaščenim dostopom ali uničenjem podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo, sami pa poskušajo takšno aktivnost preprečiti.

 

  1. člen

Podjetje mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.

 

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo, ali nameni določenimi v podpisanih dogovorih med prodajalcem in naročnikom.

 

  1. člen

Za obveščanje Informacijskega poblaščenca o kršitvah varstva osebnih podatkov po 33. členu Splošne uredbe je odgovoren ravnatelj.

 

 

ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

 

  1. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni vsi zaposleni v šolskem centru, kot tudi zunanji izvajalci, ki imajo s podjetjem podpisan dogovor o sodelovanju.

 

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja ravnatelj Gimnazije Ledinaali od njega pooblaščena oseba.

 

  1. člen

Pred nastopom dela delavca na delovnem mestu, na katerem se obdelujejo osebni podatki, mora delavec podpisati pisno izjavo, s katero se oblično zaveže k varovanju osebnih podatkov ves čas trajanja delovnega razmerja, pri čemer se delavca opozori, da obveznost varovanja osebnih podatkov ne preneha s prenehanjem delovnega razmerja in da bo kršitev te obveznosti šteta tudi kot kršitev njegovih zavez iz pogodbe o zaposlitvi.

 

 

 KONČNE DOLOČBE:

 

  1. člen

 

Ta pravilnik začne veljati z dne: 26. junija 2018.

 

 

 

 

Ljubljana, 22. junija 2018