Na podlagi sklepa Upravnega odbora Vodovod Artiče z.o.o. z dne 24.5. 2018 in na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov ( Uradni list RS, 86/04 in 113/05) izdaja VODOVOD ARTIČE Z.O.O.
PRAVILNIK o varovanju osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski in tehnični postopki in ukrepi za zavarovanje osebnih podatkov pri poslovanju Vodovoda Artiče z.o.o. z namenom, da se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Pooblaščenec in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- ZVOP-1 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05);
- Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen;
- Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa;
- Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
- Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
- Upravljavec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave;
- Občutljivi osebni podatki - so podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
- Uporabnik osebnih podatkov je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
- Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno kot magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
3. člen
Zadruga Vodovod Artiče z.o.o. nima svojih prostorov in računalniške opreme. Uporablja se osebni računalnik predsednika zadruge, ki je lociran v zasebni stanovanjski hiši in je kot taka varovana kot zasebna lastnina.
Osebni podatki uporabnikov vodovoda Artiče so hranjeni na ločeni programski opremi osebnega računalnika, ki je zaklenjena z geslom. Dostop do programske opreme ima kot pooblaščena oseba predsednik zadruge.
III. VAROVANJE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
4. člen
Dostop do programske opreme je varovan tako, da dovoljuje dostop samo za to v naprej določeni pravni osebi, ki v skladu s pogodbo opravlja dogovorjene storitve.
5. člen
Vzdrževanje, popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve in prisotnosti pooblaščene osebe , izvaja pa ga lahko samo pooblaščeni servis Hermes d.o.o. Krško, ki ima z Vodovod Artiče z.o.o. sklenjeno ustrezno pogodbo.
Izvajalec mora spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvaja pa ga lahko samo pooblaščeni vzdrževalec.
6. člen
Vsebina diska kjer se nahajajo osebni podatki, se sprotno preverja z antivirusnim programom. Ob pojavu računalniškega virusa, ki ga antivirusni prigram ne zazna, se le tega odpravi s pomočjo pooblaščenega servisa Hermes d.o.o. Krško, obenem pa se ugotovi vzrok pojava virusa v računalniku.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniku in prispejo na medijih za prenos računalniških podatkov (e-pošta), morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.
7. člen
Pristop do podatkov preko aplikativne programske opreme se varuje z geslom za avtorizacijo.
Kopija gesla se hrani v zapečateni ovojnici v arhivu Vodovod Artiče z.o.o. Uporabi se jo samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatene ovojnice se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesla.
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
8. člen
Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba, predvidena v drugem odstavku 11. člena ZVOP-1. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo.
Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.
Pooblaščena pravna ali fizična oseba, ki za Vodovod Artiče z.o.o. opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik.
V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
9. člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu z vročilnico.
Osebni podatki se pošiljajo priporočeno.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
10. člen
Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
11. člen
Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen ZVOP-1).
12. člen
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
VI. BRISANJE PODATKOV
13. člen
Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.
Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga zbirke osebnih podatkov.
14. člen
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo s sežigom.
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).
VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
15. člen
Pooblaščenec je dolžan o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti policijo.
VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
16. člen
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov je odgovoren pooblaščenec.
17. člen
Obveza varovanja podatkov ne preneha s prenehanjem funkcije pooblaščenca.
Z dnem prevzema funkcije mora pooblaščenec podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov.
Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami ZVOP-1, izjava pa mora vsebovati tudi pouk o posledicah kršitve.
18. člen
Za kršitev določil iz prejšnjega člena pooblaščenec odgovarja v skladu z zakonom, ostali pa na temelju pogodbenih obveznosti.
IX. KONČNE DOLOČBE:
19. člen
Ta pravilnik velja od 25. 5. 2018 dalje.
Predsednik
Franc Volčanšek