PRAVILNIK O VARSTVU OSEBNIH PODATKOV

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

uvodne določbe

1. Člen – namen in pravna narava pravilnika

S tem pravilnikom se opredeljujejo tehnični in organizacijski ukrepi, s katerimi podjetje Do Avta d.o.o. (v nadaljnjem tudi: podjetje) varuje osebne podatke.

Ukrepi se izvajajo z namenom, da:

  • so osebni podatki obdelani skladno z zakonom, pošteno in pregledno, v zvezi s posameznikom, na katerega se osebni podatki nanašajo (načela zakonitosti, pravičnosti in preglednosti),
  • so osebni podatki zbrani v jasno določene namene ki so nedvoumni in zakoniti, podatki pa se ne obdelujejo, shranjujejo ali pošiljajo na način, ki ni v skladu s temi nameni (načelo omejitve namena),
  • se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja tako za količino zbranih osebnih podatkov, obseg obdelave, obdobje hrambe in dostopnost le teh (načela najmanjšega obsega podatkov in omejitve shranjevanja),
  • se zaščitijo pravice in svoboščine oseb, na katere se nanašajo osebni podatki
  • so osebni podatki točni in pravilno posodobljeni (načelo točnosti),
  • se zagotovi varnost osebnih podatkov, kar vključuje zaščito pred nedovoljeno in/ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti),
  • lahko podjetje dokaže skladnost z zakonodajo na področju varstva osebnih podatkov

Ta pravilnik predstavlja splošni predpis v okviru zakonodaje, ki ureja delovna razmerja, in opredeljuje dolžnosti, ki jih morajo zaposleni razumeti in spoštovati v skladu s svojimi pogodbenimi in drugimi obveznostmi.

Ta pravilnik velja tudi za osebe, ki izvajajo delo za podjetje na podlagi različnih vrst pogodb, ki niso povezane s formalnimi zaposlitvami, vključno z dijaki in študenti.

Osebe, ki so navedene v tretjem in četrtem odstavku tega člena, in druge osebe, ki zaradi značilnosti svojega dela obdelujejo specifične osebne podatke, morajo biti pred začetkom obdelave osebnih podatkov obveščene o določbah, ki jih vsebuje veljavni Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1). Uredbe (EU) o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, ter razveljavitvi Direktive 95/46/ES (v nadaljevanju tudi: GDPR), in določbe tega pravilnika zavezujejo k zagotavljanju zaupnosti pri obdelavi osebnih podatkov. Katerakoli od oseb, navedenih v 3. in 4. odstavku tega člena in katerikoli od pooblaščenih/pogodbenih obdelovalcev, je dolžna ob kakršnemkoli dvomu glede pomena navedenih predpisov ali določb tega pravilnika poiskati strokovno razlago oziroma pomoč pri lastniku podjetja Mateju Lavriču (v nadaljevanju tudi: vodja prodaje) ali Romanu Lavriču (v nadaljevanju tudi: direktor).

V primerih, ki niso obravnavani v tem pravilniku, se neposredno uporabljata Zakon o varstvu osebnih podatkov (ZVOP-1) in Splošna uredba o varstvu podatkov (GDPR).

2. Člen – opredelitev pojmov

V tem pravilniku so pojmi, kot so “osebni podatek,” “posebne vrste osebnih podatkov,” “zbirka,” “obdelava,” “posameznik,” “upravljavec,” “obdelovalec,” “uporabnik,” “tretja oseba” in “privolitev posameznika, na katerega se nanašajo osebni podatki“, opredeljeni na enak način kot v

Splošni uredbi o varstvu podatkov (GDPR), razen če so v nadaljevanju ali na določenih mestih tega pravilnika drugače določeni.

Izraz “nosilec podatkov” obsega različna sredstva, na katerih so osebni podatki zabeleženi ali shranjeni, kot so listine, akti, gradiva, spisi, računalniška oprema, fotokopije, zvočno in slikovno gradivo ter podobno.

Izraz “zaposleni” zajema posameznike, ki imajo s tem podjetjem sklenjeno pogodbo o zaposlitvi, osebe, ki opravljajo delo v okviru tega podjetja kot dijaki ali študenti, osebe, ki delajo za to podjetje na podlagi pogodbe med podjetjem in njihovim delodajalcem, ki posreduje delovno silo drugim delodajalcem, in osebe, ki izvajajo delo za to podjetje na podlagi civilnopravnih pogodb.

Varnostni incident” je dogodek, ki vključuje kršitev varnosti, ki lahko povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so bili poslani, shranjeni ali kako drugače obdelani.

3. Člen – evidenca dejavnosti obdelave osebnih podatkov

Podjetje ne vzdržuje dokumentacije o obdelavi osebnih podatkov zaradi pomanjkanja zahtev iz 5. odstavka 30. člena GDPR.

4. Člen – obdelava osebnih podatkov, varnost in obveščanje posameznikov

Pri izvajanju varnostnih ukrepov in postopkov upoštevamo naravo osebnih podatkov ter raven tveganja, ki jo predstavlja vsaka posamezna obdelava.

V podjetju, ali za potrebe podjetja s pomočjo obdelovalcev, je dovoljena obdelava osebnih podatkov samo, če obstaja ustrezna zakonska osnova v skladu z določbami GDPR ali drugo veljavno zakonodajo o varstvu osebnih podatkov. Če takšna pravna osnova ni na voljo, je treba prenehati aktivno obdelovati osebne podatke, onemogočiti dostop do njih ter o tej odsotnosti pravne osnove obvestiti direktorja podjetja, ki bo določil nadaljnje ukrepe v zvezi s temi podatki.

Zbiranje osebnih podatkov je dovoljeno le za konkretne in zakonite namene, in ti podatki ne smejo biti nadalje obdelovani na način, ki ni v skladu s temi nameni, razen če zakon določa drugače. V primeru, ko podjetje načrtuje nadaljnjo obdelavo osebnih podatkov za namen, ki se razlikuje od prvotnega namena zbiranja, je potrebno preveriti, ali je novi namen združljiv s prvotnim in o tem pripraviti pisno poročilo.
Direktor podjetja določi ukrepe za zagotavljanje varnosti konkretnih zbirk osebnih podatkov, kot so psevdonimizacija, šifriranje, omejitev hrambe in dostopa, omejitev obdelave, omejitev namenov in podobno, ter način njihove izvedbe.

Podjetje ne obdeluje ali hrani posebnih vrst osebnih podatkov.

V skladu z določbami 12., 13. in 14. člena GDPR mora posameznik biti ustrezno obveščen o pridobivanju in obdelavi osebnih podatkov. Za izvajanje teh obvestil je odgovoren zaposleni na delovnem mestu “vodja prodaje.”

Vodja prodaje je dolžan za vsako posamezno zbirko osebnih podatkov določiti in voditi pisni seznam pooblaščenih obdelovalcev, ki imajo zaradi svojega dela ali funkcije v podjetju dostop do določenih osebnih podatkov. Te sezname mora vodja prodaje posredovati direktorju podjetja.

Pred obdelavo osebnih podatkov morajo pooblaščeni obdelovalci podpisati posebno izjavo, imenovano “Izjava o varstvu osebnih podatkov,” s čimer se zavežejo k spoštovanju določb ZVOP-1, GDPR in tega pravilnika.

5. Člen – zagotavljanje in uresničevanje pravic posameznikov

Posameznik ima pravico zahtevati od podjetja potrditev, ali so njegovi osebni podatki v obdelavi, ter če to drži, ima tudi pravico zahtevati dostop do svojih osebnih podatkov (vpogled) in prejem informacij v skladu s 1. odstavkom 15. člena GDPR.

Če je obdelava osebnih podatkov temeljila na privolitvi za enega ali več določenih namenov, ima posameznik v skladu z določbami GDPR pravico, da to privolitev kadar koli prekliče, pri čemer tak preklic ne vpliva na zakonitost obdelave podatkov, ki je bila izvedena na podlagi privolitve pred njenim preklicem.

Posameznik ima tudi pravico zahtevati od podjetja, da brez nepotrebnega odlašanja popravi netočne ali dopolni nepopolne osebne podatke v zvezi z njim.

Posameznik ima pravico zahtevati, da podjetje takoj izbriše njegove osebne podatke, če se izpolnjuje eden od naslednjih pogojev:

  • Osebni podatki niso več potrebni za namene, za katere so bili prvotno zbrani ali kako drugače obdelani.
  • Posameznik prekliče privolitev, na podlagi katere poteka obdelava, in ne obstaja druga pravna podlaga za nadaljnjo obdelavo.
  • Posameznik ugovarja obdelavi v skladu z določbami GDPR (člen 21), pri čemer ni prevladujočih zakonitih razlogov za nadaljnjo obdelavo.
  • Osebni podatki so bili obdelani nezakonito.
  • Izbris je potreben za izpolnitev zakonskih obveznosti ali pravne obveznosti.
  • Osebni podatki so bili zbrani od mladoletnega posameznika v zvezi s ponudbo storitev informacijske družbe
Prejšnji odstavek tega člena se ne uporablja, če je obdelava osebnih podatkov nujna za uresničevanje, izvajanje ali obrambo pravnih zahtevkov.

Posameznik ima pravico zahtevati omejitev obdelave s strani podjetja, če velja eden od naslednjih primerov:

  • Posameznik izpodbija točnost osebnih podatkov in zahteva omejitev obdelave za obdobje, ki omogoča podjetju preverjanje točnosti teh podatkov.
  • Obdelava osebnih podatkov je nezakonita, vendar posameznik nasprotuje izbrisu teh podatkov in namesto tega zahteva omejitev njihove uporabe.
  • Podjetje osebnih podatkov ne potrebuje več za svoje obdelovalne namene, vendar jih posameznik potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
  • Posameznik je vložil ugovor glede obdelave, in sicer do preverbe, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

Posameznik ima pravico zahtevati, da mu podjetje zagotovi svoje osebne podatke v obliki, ki je organizirana, uporabna za širok spekter uporabe in primerna za avtomatsko branje ter ima pravico, da te podatke brez oviranja s strani podjetja prenese k drugemu upravljavcu, če:

  • Njihova obdelava temelji na privolitvi
  • Se obdelava izvaja z avtomatiziranimi sredstvi
Ko se osebni podatki uporabljajo za neposredno trženje, lahko posameznik, na katerega se ti podatki nanašajo, kadar koli nasprotuje obdelavi svojih osebnih podatkov za tovrstno trženje, vključno z ustvarjanjem profilov, če je povezano z neposrednim trženjem. Ko posameznik nasprotuje obdelavi za namene neposrednega trženja, se osebni podatki ne smejo več uporabljati za te namene.

Direktor podjetja je odgovoren za zagotavljanje, da so posamezniki pravilno obveščeni o svojih pravicah v skladu z zahtevami GDPR. Poleg tega je odgovoren za vzpostavitev enotne kontaktne točke, kamor se lahko posamezniki obrnejo, ko želijo uveljavljati svoje pravice.

Za izvajanje pravic posameznikov in komunikacijo z njimi je odgovoren vodja prodaje.

6. Člen – ocena učinka v zvezi z varstvom podatkov

Vodja prodaje ali katera druga oseba, ki to zazna, mora obvestiti direktorja o možnosti, da načrtovana obdelava osebnih podatkov, še posebej ob uporabi nove tehnologije, ob upoštevanju narave, obsega, okoliščin in namena obdelave osebnih podatkov, predstavlja visoko tveganje za pravice in svoboščine posameznikov.

V tem primeru direktor odloča, ali je potrebna ocena vpliva na varstvo osebnih podatkov pred izvedbo načrtovanih obdelovalnih postopkov. Vodja prodaje, ki je Matej Lavrič, je odgovoren za samo izvedbo ocene vpliva. Vsi zaposleni, ki imajo potrebne podatke in ocene na voljo, so dolžni sodelovati pri tem procesu.

Ocena vpliva se izvede v pisni obliki in zajema najmanj:

  • Detaljen opis načrtovanih obdelovalnih postopkov in namenov obdelave, ter ko je primerno, zakonite interese, ki jim podjetje sledi.
  • Presojo potrebnosti in sorazmernosti obdelovalnih postopkov v odnosu do njihovih namenov.
  • Ocenjevanje tveganj za pravice in svoboščine posameznikov, katerih osebni podatki so vpleteni.
  • Določitev ukrepov za obvladovanje tveganj, vključno z zaščitnimi ukrepi, varnostnimi ukrepi ter mehanizmi za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti z GDPR. Pri tem se upoštevajo pravice in zakoniti interesi posameznikov, katerih osebni podatki so vpleteni, kot tudi drugih vpletenih oseb
V primeru, da vodja prodaje ali druga oseba, odgovorna za izdelavo ocene vpliva, ugotovi, da bi načrtovana obdelava predstavljala pomembno tveganje, če podjetje ne bi sprejelo ukrepov za zmanjšanje tega tveganja, je dolžna obvestiti direktorja podjetja. Direktor nato presodi, ali je potrebno posvetovanje z nadzornim organom.

opredelitev zbirk osebnih podatkov

7. Člen – zbirke osebnih podatkov

V podjetju se osebni podatki obdelujejo v elektronski obliki in so organizirani v naslednjih zbirkah:

  • Kadrovska evidenca,
  • Evidence o strankah, ki uporabljajo storitve in poslovni partnerji

Poleg tega se osebni podatki v kadrovski evidenci podjetja obdelujejo tudi v fizični obliki in se hranijo v personalnih mapah.

8. Člen – kadrovska evidenca

Zbirke osebnih podatkov zaposlenih se vzpostavijo ob začetku delovnega ali pogodbenega razmerja in se redno posodabljajo ob vsaki spremembi, ki jo sporoči zaposleni.
Kadrovska evidenca vsebuje osebne podatke zaposlenih, kot je opisano v članku 2 tega pravilnika. Podjetje zbere le obvezne osebne podatke, ki jih zahtevajo predpisi za posamezno pravno področje, na primer zakonodaja o delovnih razmerjih, predpisi o socialni varnosti, davčna zakonodaja, itd. Podjetje ne uporablja osebnih podatkov zaposlenih za noben drug namen in jih ne deli z nobenim drugim uporabnikom ali tretjo osebo, razen če ta izkaže zakonit interes. Prav tako se osebnih podatkov zaposlenih ne prenaša v tujino.
Elektronska kadrovska evidenca se shranjuje izključno v računalniku vodje prodaje, ki je zavarovan z vsemi tehničnimi varnostnimi ukrepi, navedenimi v tem pravilniku. Personalne mape, ki vsebujejo kadrovsko evidenco, pa se hranijo v zaklenjeni protipožarni omari ob vodji prodaje, ki ima edini dostop do te omare.
Dostop do osebnih podatkov v kadrovski evidenci je omejen na direktorja in vodjo prodaje.

Vsi zaposleni v podjetju ob sklenitvi pogodbe, ki je podlaga za njihovo zaposlitev, podpišejo posebno izjavo o seznanitvi z vsemi dejstvi in pravicami, ki izhajajo iz Zakona o varstvu osebnih podatkov (ZVOP-1), Splošne uredbe o varstvu podatkov (GDPR) in tega pravilnika.

Osebni podatki, ki se obdelujejo v kadrovski evidenci, se hranijo med trajanjem pogodbe s posamezniki, na katere se ti podatki nanašajo, ter še določeno obdobje po prenehanju pogodbe, če to zahteva zakonodaja. Po izteku tega roka se podatki trajno izbrišejo. Osebni podatki, za katere veljavna zakonodaja zahteva trajno hrambo, se po izteku tega roka ne izbrišejo.

9. Člen – evidenca kupcev storitev in poslovnih partnerjev

Podjetje vzdržuje enotno evidenco svojih strank in poslovnih partnerjev v elektronski obliki, shranjeni na strežniku, ki ga zagotavlja ponudnik teh storitev.
V tej evidenci podjetje ne obdeluje občutljivih osebnih podatkov, temveč zgolj osnovne kontaktne informacije, kot so ime, priimek, naslov, zaposlitev, telefonska številka in e-poštni naslov, ki omogočajo stik s posamezniki, na katere se ti podatki nanašajo. Prav tako podjetje ne uporablja podatkov iz te evidence za avtomatizirano odločanje ali za oblikovanje profilov.
Dostop do strežnika s to evidenco je omejen z uporabniškim imenom in geslom, ki sta v lasti in v uporabi samo zaposlenih v podjetju.

Obdelava vseh osebnih podatkov v evidenci strank in poslovnih partnerjev temelji na osebni privolitvi ali pa je v skladu s 6. členom GDPR potrebna za izpolnitev pogodb, ki so sklenjene s posamezniki, na katere se ti podatki nanašajo.

Osebni podatki, ki se obdelujejo v tej evidenci za namene izpolnitve pogodb s posamezniki, se hranijo za obdobje, potrebno za izvajanje pogodbe, vključno z morebitnimi jamčevalnimi in zastaralnimi roki (običajno pet let). Po preteku tega obdobja se podatki trajno izbrišejo.
Osebni podatki, ki se obdelujejo v tej evidenci na podlagi privolitve posameznikov, se izbrišejo takoj, ko posameznik prekliče svojo privolitev.
Osebni podatki, za katere posebna zakonodaja predpisuje trajno hrambo, se po izteku roka, navedenega v tem članku, ne izbrišejo.

ukrepi za varovanje osebnih podatkov

10. Člen – varovanje prostorov in nosilcev podatkov

Prostori podjetja se nahajajo v na naslovu Ob železnici 16, Ljubljana. V teh prostorih se hranijo nosilci podatkov ter strojna in programska oprema, skupaj z omaricami, ki vsebujejo dokumentacijo iz člena 6 tega pravilnika (v nadaljevanju imenovani “varovani prostori“). Ti prostori so zaščiteni z ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Vhod v stavbo in okolica je opremljen z videonadzornim sistemom. Video posnetki, ki lahko vsebujejo osebne podatke posameznikov, se redno izbrišejo ali hranijo toliko časa, kolikor je potrebno za dosego namena, za katerega so bili zbrani in obdelani. Kopije delov posnetkov, ki se uporabljajo za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali incidentov, se hranijo, dokler se navedeni nameni ne izpolnijo ali dokler postopki, povezani s temi zahtevki, niso zaključeni. V primeru, ko ti postopki niso uveljavljeni, se hranijo največ do datuma, ko pravne zahteve zastarajo. Vsi prostori podjetja imajo posebna vrata s ključavnico oz. s kodo varovan zaklep.
Vstop v varovane prostore je dovoljen samo med delovnim časom in za dostop izven delovnega časa je potrebno odobrenje direktorja. Zaposleni, ki redno opravljajo delo izven rednega delovnega časa, kot so nadure, imajo pravico vstopiti v varovane prostore brez posebnega dovoljenja tudi izven običajnega delovnega časa.
Varovani prostori morajo biti vedno nadzorovani in zaklenjeni, ko zaposleni niso prisotni.
Osebe, ki niso del zaposlenih podjetja, ne smejo vstopiti v varovane prostore brez spremstva ali prisotnosti zaposlenega, ki nadzoruje te prostore. Zaposleni, ki delajo v varovanih prostorih, morajo paziti na varnost teh prostorov in jih zakleniti, ko jih zapustijo.
Vzdrževalci, čistilci, varnostniki, serviserji, obiskovalci in poslovni partnerji lahko vstopijo v varovane prostore le z dovoljenjem zaposlenih. Izven delovnega časa lahko delavci, kot so čistilci ali varnostniki, če je to nujno, vstopijo samo v tiste varovane prostore, kjer ni mogoč dostop do osebnih podatkov (na primer, kjer so nosilci podatkov zaklenjeni v omarah in mizah, računalniki in druga oprema izklopljeni ali na drug način varovani).
Nosilci osebnih podatkov, ki se ne nahajajo v aktivnih delovnih prostorih ali varovanih prostorih (na primer hodniki ali skupni prostori), morajo biti vedno zaklenjeni, razen ko so v uporabi.
Hranjenje posebnih vrst osebnih podatkov izven varovanih prostorov ni dovoljeno. Prostor, kjer se nahajajo nosilci podatkov s posebnimi vrstami osebnih podatkov, mora biti varovan tako, da je omogočen celovit nadzor nad dostopom in gibanjem v tem prostoru.
Zaposleni, ki delajo z osebnimi podatki ali jih kako drugače obdelujejo, ne smejo puščati nosilcev osebnih podatkov na mizi ali izpostavljati nepooblaščenim osebam. Računalniški monitorji morajo biti postavljeni tako, da jih ni mogoče videti od zunaj.
Ključi, kartice, gesla in druga sredstva za dostop do varovanih prostorov morajo biti ustrezno varovani, upravljani in skrbno hranjeni. Vsakršno izgubo, krajo ali sum zlorabe je treba nemudoma sporočiti direktorju, ki bo sprejel ustrezne ukrepe.

11. Člen – kraj obdelave osebnih podatkov

Obdelava osebnih podatkov je dovoljena samo v prostorih podjetja. V posebnih primerih, ko delavec opravlja delo od doma ali na terenu s pomočjo oddaljenega dostopa, je obdelava osebnih podatkov zunaj sedeža podjetja dovoljena, pod pogojem, da so sprejeti vsi potrebni ukrepi za varovanje osebnih podatkov.
Izvoz nosilcev osebnih podatkov iz podjetja lahko odobri direktor ali vodja projektov, pri čemer je obvezno zabeležiti razlog za izvoz nosilcev iz podjetja. Eno dovoljenje lahko velja za več iznosov ali ponavljajoče iznašanje.
Dovoljenje za posredovanje osebnih podatkov končnim uporabnikom izda direktor podjetja. Vsi prenosi osebnih podatkov iz prejšnjega odstavka se ustrezno dokumentirajo pri vodji prodaje v podjetju.

varovanje programske opreme za obdelavo osebnih podatkov

12. Člen – splošno

Dostop do programske opreme, ki se uporablja za obdelavo osebnih podatkov, mora biti strogo omejen in omogočen le pooblaščenim zaposlenim ter tistim, ki izvajajo servis ali vzdrževanje strojne ali programske opreme za podjetje. Medsebojna izmenjava ali razkritje podatkov za dostop ni dovoljeno, ne glede na raven pravic, dodeljenih uporabnikom.
Vodja prodaje ali direktor je odgovoren za dodeljevanje dostopa do programske opreme zaposlenim ter vzdrževanje evidenc o tem. Popravila, spremembe in posodobitve programske opreme ali navodil zanje so v pristojnosti direktorja.
Zaposleni ne smejo nameščati programske opreme na strojno opremo in naprave podjetja brez predhodnega soglasja direktorja. Prav tako ne smejo odnašati programske opreme iz prostorov podjetja brez dovoljenja direktorja.
Za popravila, spremembe in posodobitve programske opreme s strani zunanjih izvajalcev je potrebno pridobiti odobritev direktorja. To lahko izvajajo samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo s podjetjem sklenjeno pogodbo, ki vključuje ustrezne določbe o pogodbeni obdelavi osebnih podatkov.
Za popravila, spremembe in posodobitve programske opreme s strani zunanjih izvajalcev je potrebno pridobiti odobritev direktorja. To lahko izvajajo samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo s podjetjem sklenjeno pogodbo, ki vključuje ustrezne določbe o pogodbeni obdelavi osebnih podatkov.
Zaposleni, ki ustvarijo ali dovolijo ustvariti kopijo (bazo) osebnih podatkov za servisiranje, popravilo, spremembo ali posodobitev programske opreme ali za nudenje podpore, morajo zagotoviti, da se kopija učinkovito uniči ali izbriše, ko ni več potrebna.
Direktor podjetja določi natančne smernice za ustvarjanje kopij (baz) osebnih podatkov, da se omogoči obnovitev osebnih podatkov v primeru neželenega izbrisa, spremembe ali uničenja osebnih podatkov ali nosilca, na katerem se nahajajo osebni podatki.

13. Člen – omejevanje in nadzor dostopa do osebnih podatkov

Dostop do osebnih podatkov preko programske opreme mora biti zaščiten z enotnim in centraliziranim sistemom gesel ali drugim varnim načinom avtorizacije in identifikacije uporabnikov. Programska oprema mora omogočati beleženje dogodkov v vsaki aplikaciji, kar omogoča kasnejšo ugotovitev, kdaj so bili osebni podatki vneseni, uporabljeni ali kako drugače obdelani, ter kdo je to storil. To beleženje se ohranja za obdobje 5 let od zadnje obdelave osebnih podatkov.
Vsi računalniki in programska oprema podjetja so opremljeni z najnovejšo licencirano antivirusno opremo, ki tudi preprečuje nepooblaščene vdore v sistem. Ta antivirusna oprema se redno posodablja v skladu s smernicami proizvajalca in odpravlja računalniške viruse, če se pojavijo. Ob pojavu virusov se ukrepa čim prej, po potrebi s strokovno pomočjo. Hkrati se preiskujejo vzroki za pojav virusov v sistemu podjetja. Vsak računalnik je dodatno zaščiten z osebnim varnostnim geslom, ki preprečuje nepooblaščen dostop do sistema. Vse elektronske zbirke osebnih podatkov se tudi redno varnostno kopirajo na zunanji trdi disk, da se prepreči izguba ali nepopravljiva okvara podatkov zaradi okvare trdega diska.
Direktor podjetja je pristojen za določitev režima sistema, vključno z načini dodeljevanja, shranjevanja in spreminjanja gesel.
Vse gesla in postopke, ki se uporabljajo za dostop in administracijo omrežja računalnikov, elektronske pošte in aplikacij, se strogo varujejo pred nepooblaščenim dostopom. V primeru nepooblaščenega dostopa se takoj izvede sprememba gesel.

14. Člen – hramba podatkov izven baz

Vse gesla in postopke, ki se uporabljajo za dostop in administracijo omrežja računalnikov, elektronske pošte in aplikacij, se strogo varujejo pred nepooblaščenim dostopom. V primeru nepooblaščenega dostopa se takoj izvede sprememba gesel.
Če obstajajo kopije vsebin zbirk osebnih podatkov na lokalnih nosilcih, kot so zunanji diski, USB-ključi in podobno, se morajo te kopije hraniti v zaklenjenih omarah.
Kopije vsebine mrežnega strežnika in lokalnih postaj za namene obnovitve računalniškega sistema ob okvarah ali izjemnih situacijah se ohranjajo na posebnih, ustrezno varovanih in zaklenjenih mestih.

pogodbena obdelava osebnih podatkov

15. Člen – splošno

Z vsako zunanjo pravno ali fizično osebo, ki izvaja določene naloge v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov (obdelovalec), se sklene pisna pogodba, kot predpisano v 28. členu GDPR. Podjetje bo sklenilo takšno pogodbo s preverjenimi obdelovalci le, če obdelovalec zagotovi, da ima izvajane vse potrebne ukrepe za varstvo osebnih podatkov in izpolnjuje svoje obveznosti v skladu s trenutno veljavnim ZVOP-1, GDPR in tem pravilnikom.

V tej pogodbi, ki jo sklenejo v skladu s prvim odstavkom tega člena, se tudi jasno določijo pogoji in ukrepi za varstvo osebnih podatkov ter njihovo zavarovanje. Preden podjetje sklene pogodbo z obdelovalcem, mora zakoniti zastopnik podjetja pridobiti informacije, ki omogočajo preveritev, ali obdelovalec izpolnjuje zahteve v zakonodaji o varstvu osebnih podatkov. To vključuje tudi razkrivanje vseh podpogodbenih obdelovalcev, vključno z njihovimi imeni in sedeži.
Tudi zgolj možnost dostopa do podatkov, tudi če je to na izrecno zahtevo podjetja (npr. za servisiranje strojne opreme, itd.), se šteje za pogodbeno obdelavo v skladu z 1. odstavkom tega člena.
Obdelovalci smejo izvajati storitve obdelave osebnih podatkov samo v skladu s pooblastili, dodeljenimi v pogodbi, in v skladu z drugimi ustrezno dokumentiranimi navodili podjetja. Obdelovalci ne smejo obdelovati podatkov za noben drug namen, razen tistega, za katerega so bili zavezani s pogodbo.
Obdelovalec je dolžan zagotoviti najmanj enako raven varstva osebnih podatkov, kot jo zahteva ta pravilnik.
Poleg drugih zahtev podjetje določi v pogodbah z obdelovalci tudi pravico do izvajanja pregleda ali revizije obdelovalcev na področju varstva osebnih podatkov, ki se mora izvesti vsaj enkrat letno. Pregled ali revizija se izvede na stroške podjetja. Morebitne stroške, povezane z angažmajem osebja obdelovalca ali podpogodbenih obdelovalcev, obdelovalec ne sme zaračunati podjetju. Izvedbo pregleda ali revizije je treba izvesti ob vsakem sumu ali indicu kršitve s strani obdelovalca ali neustreznega varstva osebnih podatkov.

brisanje, uničenje in anonimizacija osebnih podatkov

16. Člen – splošno

Osebni podatki smejo biti shranjeni samo za obdobje, ki ga določajo zakoni, za izpolnitev pogodb, vključno z jamčevalnimi in zastaralnimi roki, ki običajno znašajo 5 let, ali za obdobje, za katerega posameznik poda privolitev za obdelavo svojih osebnih podatkov. Konkreten rok hrambe za določene (baze) osebnih podatkov določi direktor podjetja.
Ko ni več potrebe po ohranjanju osebnih podatkov, se morajo ti osebni podatki učinkovito izbrisati, uničiti ali anonimizirati, razen če zakon ali drugi predpisi določajo drugače. Direktor določi ukrepe za izbris, uničenje ali anonimizacijo osebnih podatkov. Vsako dejanje izbrisa, uničenja ali anonimizacije osebnih podatkov se zabeleži v zapisniku, ki ne sme vsebovati osebnih podatkov posameznikov, katerih podatki so bili izbrisani, uničeni ali anonimizirani.
Za izbris podatkov z računalnikov, strežnikov in podobnih naprav oziroma nosilcev osebnih podatkov v elektronski obliki se uporabi metoda brisanja, ki zagotavlja, da izbrisani podatki niso obnovljivi.
Podatki na fizičnih nosilcih, ki jih ni mogoče izbrisati, se uničijo na način, ki zagotavlja, da postane osebni podatek nerazpoznaven in neobnovljiv. Točen način uničenja za različne vrste osebnih podatkov ali nosilcev določi direktor podjetja.
Odmetavanje nosilcev podatkov na način, ki bi omogočal obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti), je strogo prepovedano.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je treba zagotoviti ustrezno zavarovanje tudi med prevozom, zlasti tako, da se prepreči razpoznavnost ali obnovitev osebnih podatkov.

ukrepanje ob varnostnih incidentih v zvezi z osebnimi podatki

17. Člen – splošno

Zaposleni so obvezani izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo ravnati vestno in previdno pri ravnanju z osebnimi podatki, ki jih uporabljajo pri svojem delu, v skladu s postopki, navedenimi v tem pravilniku.
Če zaposleni opazijo kakršno koli dejavnost, ki je povezana z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamernim ali nepooblaščenim dostopom, krajo, spreminjanjem ali poškodovanjem osebnih podatkov, so dolžni nemudoma obvestiti direktorja podjetja in sami poskusiti preprečiti takšno dejavnost s sprejetjem zakonitih ukrepov.
Ob vsakem sumu kršitve varstva osebnih podatkov je direktor podjetja dolžan takšno kršitev nemudoma sporočiti Informacijskemu pooblaščencu v 72 urah. Če obstaja verjetnost, da kršitev varstva osebnih podatkov predstavlja znatno tveganje za pravice in svoboščine posameznikov, mora direktor podjetja zagotoviti, da so posamezniki, ki so bili prizadeti, takoj obveščeni o kršitvi varstva osebnih podatkov, brez nepotrebnega odlašanja. V primeru suma storitve kaznivega dejanja je potrebno takšen varnostni incident prijaviti policiji ali tožilstvu.

18. Člen – interni ukrepi

Direktor podjetja je odgovoren za zagotovitev, da se po vsakem varnostnem incidentu izvede analiza vzrokov ter predlaganih ukrepov, katerih namen je zmanjšati ali odpraviti tveganje za trenutne in morebitne prihodnje varnostne incidente. Če se šteje, da je izvedba teh predlaganih ukrepov smiselna in izvedljiva, je direktor odgovoren za njihovo izvedbo.
V primeru, ko se ugotovi, da je varnostni incident posledica malomarnosti zaposlenega ali da je zaposleni neposredno vpleten v nastanek varnostnega incidenta, neodvisno od ostalih določb tega pravilnika, direktor podjetja sprejme ustrezne delovnopravne ukrepe proti temu zaposlenemu.

odgovornost za izvajanje ukrepov zavarovanja osebnih podatkov

19. Člen – splošno

Odgovornost za nadzor nad izvajanjem postopkov in ukrepov za varovanje osebnih podatkov leži pri direktorju podjetja, ki ima pravico pooblastiti druge osebe, ki niso zaposlene pri podjetju, za izvajanje določenih nalog.
Ta nadzor vključuje tudi redna testiranja, ocene in preverjanja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov. V ta proces so dolžni vključiti vsi zaposleni, pogodbene stranke in druge osebe, ki so povezane s podjetjem.
Vsak posameznik, ki se ukvarja z obdelavo osebnih podatkov, ima obveznost upoštevati predpisane postopke in ukrepe za zaščito podatkov, s katerimi se srečuje pri opravljanju svojih nalog. To zavezo za varovanje podatkov mora izpolnjevati tudi po prenehanju delovnega razmerja ali druge pogodbene zveze, ki mu omogoča delo za podjetje.
Pred začetkom dela na delovnem mestu, kjer se obdelujejo osebni podatki, je zaposleni dolžan podpisati posebno izjavo, s katero se zavezuje k varovanju osebnih podatkov. Ta izjava lahko tvori del zaposlitvene pogodbe.

Iz podpisane izjave mora biti jasno razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter z zakonodajo, ki se nanaša na varstvo osebnih podatkov, vključno s Splošno uredbo o varstvu podatkov (GDPR). Izjava mora tudi vsebovati informacijo o posledicah kršenja teh določb.

Kršitve pravil iz tega pravilnika so predmet disciplinskih ukrepov za zaposlene pri podjetju, medtem ko ostali, ki so povezani s podjetjem na podlagi pogodb ali drugih obveznosti, odgovarjajo na podlagi svojih pogodbenih obveznosti. Odgovornost posameznikov ne izključuje morebitnih prekrškovnih, kazenskih ali odškodninskih postopkov.

SPREMEMBE pravilnika o varstvu osebnih podatkov

Ta pravilnik o varstvu osebnih podatkov je lahko predmet sprememb in posodobitev. Vse spremembe bodo objavljene na naši spletni strani, zato vas naprošamo, da jo redno preverjate. 

Vaša varnost je za nas zelo pomembna in v našem največjem interesu je, da vas zaščitimo.

Zahvaljujemo se vam za zaupanje in uporabo naših storitev. 

končne določbe

21. Člen – objava, dostopnost

Z uporabo storitev podjetja Do Avta d.o.o. soglašate, da ste prebrali, razumeli in se v celoti strinjate z našim pravilnikom o varstvu osebnih podatkov.

V kolikor imate kakršna koli vprašanja ali pomisleke, vas prosimo da nas kontaktirate pred koriščenjem naših storitev na elektronsko pošto info@doavta.si ali telefonsko številko 068 636 403.

Ta pravilnik je podvržen zakonom Republike Slovenije in vsi morebitni spori se bodo reševali na pristojnem sodišču v Ljubljani. Če pristojno sodišče določi, da je kateri koli del tega pravilnika neizvršljiv, ostanejo vse druge določbe tega pravilnika v polni veljavi in učinku.

21. Člen – objava, dostopnost

Ta pravilnik v elektronski obliki se posreduje vsem zaposlenim v podjetju, in v tej obliki se hrani v računalniku vodje prodaje. Prav tako se v fizični obliki shrani v posebni mapni pri vodji prodaje, kjer se hranijo dokumenti, povezani z varovanjem osebnih podatkov.

22. Člen – datum uveljavitve

Ta pregledan dokument pravilnika o varstvu osebnih podatkov je uveljavljen in uporabljen od 01.11.2023 dalje.

Imate vprašanjE?

Pokličite nas

070 659 101

Pišite nam

info@doavta.si

obiščite nas

Ob železnici 16, 1000 Ljubljana