Pravilnik o varovanju osebnih podatkov
Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov – ZVOP-1 (Uradni list RS, 94/2007 – UPB1) ter na podlagi 18. člena Statuta Fundacije Študentski tolar, Ustanove ŠOU v Ljubljani, na svoji 5. redni seji, dne 12. 11. 2013, Uprava Fundacije Študentski tolar, Ustanove ŠOU v Ljubljani, sprejema Pravilnik o varovanju osebnih podatkov.
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v Fundaciji Študentski tolar, ustanovi ŠOU v Ljubljani (v nadaljevanju Fundacija) z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelavo, uporabo ali posredovanje osebnih podatkov.
2. člen
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.
Kot zunanje sodelavce se štejejo vsi posamezniki, ki v Fundaciji opravljajo kakršnakoli dela pri katerih se seznanjajo z osebnimi podatki (študentsko delo, delo po podjemnih pogodbah, avtorsko delo).
V nadaljevanju pravilnika se za delavce ter zunanje sodelavce uporablja skupni izraz: Sodelavec.
3. člen
Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se:
- varujejo prostori, aparaturna in sistemska programska oprema;
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
- zagotavlja varnost posredovanja in prenosa osebnih podatkov;
- onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk;
- omogoča naknadno ugotavljanje kdaj so bili posamezni podatki uporabljeni in vneseni v zbirko podatkov in kdo je to storil, in sicer za obdobje, za katero se posamezni podatki shranjujejo.
4. člen
V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Zakona o varstvu osebnih podatkov (ZVOP-1).
5. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – UPB1);
2. Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
3. Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
4. Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
5. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
6. Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.;
7. občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.
8. Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
9. Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno z magnetnim, optičnim ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.).
10. Posredovanje osebnih podatkov – je posredovanje ali razkritje osebnih podatkov.
11. Osebna privolitev posameznika – je prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem zakonu; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznik.
12. Pooblaščeni sodelavec – je delavec ali zunanji sodelavec Fundacije, ki ima dostop do osebnih podatkov, jih obdeluje ter skladno z zakonodajo ter tem pravilnikom posreduje tretjim osebah (manipulacija z osebnimi podatki). Za pooblaščene sodelavce se po tem pravilniku štejejo tiste osebe, ki jih uprava imenuje za člane komisije za ocenjevanje prošenj za finančno pomoč ter člani komisije za pritožbe. Poleg navedenih sodelavcev so pooblaščeni sodelavci tudi tisti, ki jih zastopnik Fundacije pisno pooblasti za manipulacijo z osebnimi podatki ter sam zastopnik Fundacije.
Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi. V smislu določbe 1. odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:
II. OBDELAVA OSEBNIH PODATKOV
6. člen
Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.
Obdelava in varovanje občutljivih osebnih podatkov, med katere sodijo podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc in biometrične značilnosti, mora biti izvajana posebno vestno in skrbno.
7. člen
Občutljivi osebni podatki morajo biti varovani tako, da se nepooblaščenim osebam prepreči dostop do njih, razen če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe.
Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.
III. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
8. člen
Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov - vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka - in strojna ter programska oprema (v nadaljevanju besedila: varovani prostori) morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.
Dostop v prostore iz 1. odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja zastopnika Fundacije.
Ključe za dostop v prostore Fundacije, kjer so shranjeni osebni podatki ima predsednik uprave Fundacije (t.j. zastopnik Fundacije). Sodelavci dobijo ključ do prostorov neposredno pri predsedniku uprave Fundacije pred pričetkom vsakokratnega dela ter ga vrnejo po opravljenem delu (prevzem in vračilo ključev poteka za vsak dan posebej.
Nosilci osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oziroma izven varovanih prostorov (hodniki, skupni prostori ipd.), morajo biti stalno zaklenjeni v ognjevarni in protivlomno zaščiteni omari.
9. člen
Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni v zaklenjenih zaščitenih omarah v delovnih prostorih.
Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika pa kodiran.
10. člen
V varovane prostore (tajništvo, računovodstvo, kadrovska služba, arhivi ipd.) osebe, ki niso Sodelavci Fundacije, ne smejo vstopati brez spremstva ali prisotnosti zaposlenega delavca. Sodelavec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti prostor.
Sodelavec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem.
V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso Sodelavci Fundacije, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da strankam ni omogočen vpogled vanje.
11. člen
Nosilcev osebnih podatkov delavci Fundacije ne smejo odnašati izven prostorov Fundacije brez izrecnega dovoljenja zastopnika Fundacije.
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih Fundacije.
Zastopnik Fundacije lahko dovoli iznos nosilcev osebnih podatkov iz poslovnih prostorov, ko predhodno sodelavec vpiše namen in razlog za iznos podatkov v knjigo evidenc o manipulaciji z osebnimi podatki.
Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli zastopnik Fundacije.
Posredovanje osebnih podatkov iz predhodnega odstavka tega člena se vpiše v knjigo evidenc o manipulaciji z osebnimi podatki.
Iz knjige evidenc o manipulaciji z osebnimi podatki mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen ZVOP-1).
12. člen
Vzdrževanje in popravilo strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo zastopnika Fundacije, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s Fundacijo sklenjeno pogodbo o servisiranju računalniške oziroma strojne opreme.
13. člen
Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih le ob prisotnosti delavca Fundacije.
14. člen
Zaposleni tehnično-vzdrževalni delavci in čistilke se lahko gibljejo v varovanih prostorih samo v prisotnosti sodelavca ali zastopnika Fundacije.
IV. ZAVAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO15. člen
Dostop do računalniške programske opreme mora biti varovan, na način, ki omogoča dostop samo določenim sodelavcem, ki za Fundacijo po pogodbi opravljajo servisiranje računalniške in programske opreme.
16. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve zastopnika Fundacije, izvajajo pa ga lahko samo pooblaščeni servis in organizacije oziroma njihovi delavci, ki imajo s Fundacije sklenjeno ustrezno pogodbo.
Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
17. člen
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.
Pooblaščeni sodelavec, ,mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči.
Pooblaščeni sodelavec, mora biti v času servisiranja računalnika in programske opreme ves čas prisoten in mora nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.V primeru izkazane potrebe po popravilu računalnika, na čigar disku se nahajajo osebni podatki, izven Fundacije in brez kontrole pooblaščenega delavca skupine, se morajo podatki z diska računalnika izbrisati na način, ki onemogoča restavracijo. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih skupine v prisotnosti pooblaščenega delavca.
18. člen
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se redno preverja glede na prisotnost računalniških virusov.
Ob pojavu računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da se ugotovi vzrok pojava virusa.
Vsi podatki in programska oprema, ki so namenjeni uporabi na računalnikih in v računalniškem informacijskem sistemu Fundacije in prispejo v Fundacije na medijih za prenos računalniških podatkov ali prek telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
19. člen
Sodelavci ne smejo brez izrecnega dovoljenja zastopnika Fundacije inštalirati programske opreme.
Sodelavci ne smejo odnašati programske opreme iz prostorov skupine brez izrecnega dovoljenja zastopnika Fundacije.
20. člen
Pristop do podatkov prek aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.
Zastopnik Fundacije določi režim dodeljevanja, hranjenja in spreminjanja gesel.
21. člen
Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema po okvarah ali izgubi podatkov iz drugih razlogov mora Sodelavec, ki vodi zbirke osebnih podatkov, redno izdelovati kopije vsebine osebnih podatkov, ki jih vodi.
Vse izdelane kopije vsebin zbirk osebnih podatkov se morajo vpisati v knjigo evidenc o manipulaciji z osebnimi podatki.
Računalniške kopije vsebin zbirk osebnih podatkov na disketah ali drugih medijih se hranijo v zavarovanih zaklenjenih omarah.
V. MANIPULACIJA Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV22. člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico.
Osebni podatki se pošiljajo priporočeno.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
Prenašanje osebnih podatkov prek telekomunikacijskih sredstev, elektronske pošte ali drugih računalniških medijev izven prostorov skupine mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje prilaščanje, uničenje ali nedovoljeno seznanjanje z njihovo vsebino.
Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.
23. člen
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
24. člen
Vsebina zbirke ali zbirk podatkov, ki se prenašajo po komunikacijskih kanalih, po elektronski pošti ali fizično na računalniških medijih izven prostorov Fundacije, se mora med prenosom napraviti nečitljiva z ustreznimi standardnimi kriptografskimi metodami.
25. člen
Fundacija vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi na podlagi zakona in osebne podatke, ki jih vodi v okviru zakonsko določenih zbirk na podlagi soglasja osebe, na katero se podatki nanašajo.
Pooblaščeni sodelavec, mora biti seznanjen s posamezno zbirko osebnih podatkov in njihovo uporabo.
Fundacija je dolžna voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.
V seznam se vpisujejo sledeči podatki:
(1) naziv zbirke osebnih podatkov,
(2) osebno ime in funkcija osebe, ki je odgovorna za zbirko osebnih podatkov ter
(3) osebna imena in funkcije oseb (pooblaščene osebe), ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko osebnih podatkov.
V kolikor Fundacija seznama iz prejšnjega odstavka ne vodi, se razume, da je za vse zbirke osebnih podatkov odgovoren zastopnik Fundacije, pooblaščene osebe za obdelavo osebnih podatkov pa so pooblaščeni sodelavci, ki so definirani v 12. točki 5. člena tega pravilnika.
Poleg navedenih so pooblaščene osebe za obdelavo podatkov tudi osebe iz računovodstva fundacije, vendar zgolj za podatke, ki jih potrebujejo za nakazilo ter obračun dane pomoči. Kateri s ti podatki, ki jih lahko obdeluje računovodstvo, določi zastopnik fundacije s sklepom.
26. člen
Oseba o kateri se vodijo osebni podatki oziroma pooblaščenec te osebe ali zakoniti zastopnik osebe o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njej oziroma o zastopancu in jih ima pravico prepisati. Vpogled in prepis osebnih podatkov mora biti osebi omogočen v roku 15-ih dni od dneva, ko je bila dostavljena pisna zahteva na Fundacije.
Osebe iz 1. odstavka tega člena imajo pravico zahtevati, da jim Fundacija posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanj. Izpis je potrebno osebi zagotoviti v roku 30-ih dni od dneva prejema pisne zahteve. Stroške izpisa nosi Fundacija.
27. člen
Osebni podatki, vodeni v zbirki osebnih podatkov Fundacije, se lahko posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in uporabo pooblaščeni z zakonom ali na podlagi pisne zahteve ali privolitve osebe, na katero se osebni podatki nanašajo.
Dejstva o posredovanih osebnih podatkih iz zbirke osebnih podatkov, vodene v Fundaciji, se morajo v roku 3 dni od dneva posredovanja, sporočiti osebi o kateri so bili posredovani osebni podatki.
Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi Fundacija, drugim upravičencem se vpiše v knjigo evidenc o manipulaciji z osebnimi podatki. Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora sodelavec, ki je osebne podatke posredoval, izročiti osebi seznam subjektov katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki podatkov Fundacije in se nanašajo nanj.
VI. BRISANJE PODATKOV
28. člen
Osebni podatki se lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali.
29. člen
Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.
Osebni podatki, vsebovani na klasičnih nosilcih (listina, kartoteka, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo (razrežejo) v prostorih Fundacije pod nadzorom v ta namen imenovane komisije, ki o uničenju sestavi tudi ustrezen zapisnik. Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise).
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
Brisanje osebnih podatkov na računalniških medijih se opravi na način, po postopku in metodi, ki onemogoča restavriranje brisanih podatkov.
VII.UKREPANJE OB SUMU NEPOOBLAŠČENEGA VSTOPA
30. člen
Sodelavci Fundacije so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.
Sodelavec, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti zastopnika Fundacije in pooblaščenega delavca, ki vodi in ureja zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero se je vdrlo.
31. člen
Zastopnik Fundacije mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.
Če obstaja sum pri vdoru v zbirko osebnih podatkov, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora zastopnik Fundacije poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je ta delavec ali zunanji sodelavec Fundacije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.
Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.
VIII.ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV32. člen
Pred nastopom dela sodelavca Fundacije, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora Sodelavec podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti in ki ga opozarja na posledice kršitve zaveze. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami ZVOP-1, izjava pa mora vsebovati tudi pouk o posledicah kršitve.
Izjava je lahko vključena tudi v pogodbi o zaposlitvi ali v drugi pogodbi civilnega prava.
Obveza varovanja osebnih podatkov, s katerimi se sodelavec seznani pri svojem delu v Fundaciji traja tudi po prenehanju dela v Fundaciji.
33. člen
Sodelavec stori lažjo kršitev svoji obveznosti:
- če opusti vestno in skrbno nadzorovanje varovanih prostorov;
- če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov;
- če ne uniči kopije osebnih podatkov v primerih iz 2. odst. 17. člena;
- če ni ves čas servisiranja računalnika in programske opreme prisoten (3. odst. 17. člena);
- če ne izvaja preventive v zvezi z računalniškimi virusi;
- če ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o manipulaciji z osebnimi podatki;
- in če ne obvesti zastopnika Fundacije ali pooblaščenega delavca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov.
34. člen
Sodelavec stori hujšo kršitev svojih obveznosti:
- če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, nepooblaščenim sodelavcem ali drugim nepooblaščenim osebam,
- če opusti skrb in nadzor nad nosilci osebnih podatkov v času prisotnosti na Fundaciji in tako dopusti možnost vpogleda vanje nepooblaščenim osebam;
- če brez izrecnega dovoljenja odnaša iz prostorov Fundacije nosilce osebnih podatkov;
- če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja zastopnika Fundacije,
- če ne vpiše v knjigo evidenc o manipulaciji z osebnimi podatki dejstva o posredovanju osebnih podatkov eksternim institucijam (5. odst. 11. člena),
- če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo,
- če inštalira ali odnese programsko opremo iz prostorov skupine brez izrecnega dovoljenja zastopnika Fundacije,
- če ne izdeluje redno kopije vsebine osebnih podatkov in
- če ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih omarah.
35. člen
O zlorabi ali sumu o zlorabi osebnih podatkov, vodenih v zbirkah osebnih podatkov Fundacije, oseb, ki niso delavci Fundacije, se obvesti organe, pooblaščene za pregon.
IX.POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH V FUNDACIJE
1. Zbirke osebnih podatkov za katere je potrebno pisno soglasje
36. člen
Pisno soglasje delavcev mora Fundacija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo ali ga namerava Fundacija voditi, pa taka zbirka ali osebni podatek ni predpisana oziroma predpisan z zakonom.
37. člen
Pisno soglasje iz predhodnega člena mora vsebovati:
- jasno opredeljeno voljo za izdajo soglasja,
- navedbo podatkov, ki se zbirajo,
- natančno opredeljen namen zbiranja podatkov,
- zagotovilo, da se bodo podatki uporabljali le za namen za katerega so zbrani,
- čas shranjevanja podatkov,
- seznanitev z možnostjo preklica soglasja,
- datum podpisa izjave in podpis osebe.
2. Hramba in roki hrambe zbirk osebnih podatkov
38. člen
Za hrambo zbirk osebnih podatkov so odgovorni pooblaščeni sodelavci Fundacije.
39. člen
Zbirke osebnih podatkov vodene v Fundaciji se hranijo v zaklenjeni omari v pisarni Fundacije.
40. člen
Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov.
Katalogi zbirk osebnih podatkov združeni v Interni seznam katalogov zbirk osebnih podatkov so priloga tega pravilnika.
X. PREHODNE IN KONČNE DOLOČBE
41. člen
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja zastopnik Fundacije.
42. člen
Ta pravilnik sprejme uprava Fundacije.
Spremembe in dopolnitve tega pravilnika sprejme uprava Fundacije po postopku in na način kot velja za sprejem pravilnika.
43. člen
Z določbami tega pravilnika morajo biti seznanjeni vsi sodelavci Fundacije.
Ta pravilnik prejmejo sodelavci v čigar delovne obveznosti sodi zbiranje, urejanje, obdelava, spreminjanje, shranjevanje, posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.
44. člen
Sodelavci, ki opravljajo delo, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz 32. člena tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.
45. člen
Ta pravilnik začne veljati osmi dan po dnevu sprejema.
Predsednik Uprave
Fundacije Študentski tolar
Damjan Vinko
Ljubljana, 12. 11. 2013