Pravilnik o zasebnosti

I.

Osnovne določbe

1. Namen te direktive je urediti varstvo in ravnanje z osebnimi podatki pri dejavnostih, ki jih opravljajo pooblaščene osebe delodajalca, ki je podjetje ELLMAN, s.r.o., Muscat 732/23,
Lozorno 900 55, ID št.: 35 949 309 (v nadaljnjem besedilu „upravljavec“).

 

2. V tej direktivi pooblaščena oseba pomeni zaposlenega pri upravljavcu, ki pri opravljanju svojih poklicnih dejavnosti ravna z osebnimi podatki posameznikov, na katere se nanašajo osebni podatki (v nadaljnjem besedilu: pooblaščena oseba).

 

II.

Splošne obveznosti

1. Osebni podatki morajo biti ustrezno zavarovani v vseh primerih, ko se z njimi ravna v organizaciji. 

2. Pooblaščena oseba lahko z osebnimi podatki ravna le, če je to potrebno za opravljanje njenih delovnih dejavnosti ali na podlagi posameznega pisnega pooblastila upravljavca. 

3. Pooblaščena oseba je dolžna ohraniti zaupnost osebnih podatkov, s katerimi pride v stik pri opravljanju svoje poklicne dejavnosti ali dejavnosti, ki izhaja iz njene naloge. 

4. Obveznost zaupnosti velja tudi po prenehanju delovnega razmerja s pooblaščeno osebo. 

5. Pooblaščena oseba lahko obdeluje le osebne podatke, ki so potrebni za opravljanje njenega dela ali dejavnosti, ki izhajajo iz pooblastila. 

6. Pooblaščena oseba lahko z osebnimi podatki opravlja le dejanja, ki so potrebna za opravljanje njenega dela ali opravljanje dejavnosti, ki izhaja iz naloge. 

7. Pooblaščena oseba ne sme pridobivati informacij v zvezi z osebnimi podatki zunaj okvira svoje delovne dejavnosti ali naloge. 

8. Pooblaščena oseba zagotovi, da pri opravljanju svojih delovnih dejavnosti ali dejavnosti, ki izhajajo iz njenega mandata, ne pride do uhajanja obdelanih osebnih podatkov ali kršitve varnosti postopkov obdelave.

9. V pogodbah, sklenjenih s fizično osebo, je prepovedano navajati rojstno številko.

 10. Prepovedano je objavljati fotografije in druge aktivnosti z delovnih dejavnosti na zasebnih profilih družbenih medijev. 

11. Fotografije, posnete na zasebnih napravah, pooblaščena oseba shrani na napravi, ki jo določi operater, in jih takoj odstrani (izbriše) s svoje zasebne naprave.

III.

Zbiranje osebnih podatkov

1. Osebni podatki upravljavca so shranjeni in varnostno kopirani v njegovi lastni zbirki podatkov z zunanjim shranjevanjem. 

2. Pooblaščena oseba dostopa do podatkovne zbirke s posebno programsko opremo, ki je dostopna na vsakem računalniku podjetja upravljavca. 

3. Vsaka pooblaščena oseba ima svoje ime in geslo za dostop do programske opreme upravljavca, podatkovna zbirka pa ji omogoča dostop do osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, samo v okviru njene delovne dejavnosti ali naloge. 

4. Če pooblaščena oseba potrebuje dostop do osebnih podatkov v večjem obsegu, kot je na voljo v zbirki podatkov, mora na zahtevo upravljavca podatkov pridobiti posamezno pisno soglasje za pridobitev teh podatkov. 

5. Pisno soglasje izda upravljavec na zahtevo in le v obsegu, ki je potreben za izpolnitev namena pooblaščene osebe. 

6. Pooblaščena oseba nato predloži pisno privolitev vodji oddelka za IT, ki zagotovi osebne podatke samo v obsegu privolitve, ki jo je dal upravljavec. 

7. Pooblaščena oseba pridobljenih osebnih podatkov ne sme razkriti drugim osebam.

8. Pooblaščena oseba svojih podatkov za dostop do upravljavčeve programske opreme ne sme posredovati drugim osebam.

9. Pooblaščena oseba ne sme uporabljati operaterjeve programske opreme za lastne namene.

 

IV.

Uporaba interneta

1. Uporaba internetnih storitev s strani pooblaščenih oseb je namenjena opravljanju delovnih nalog.

2. Pri uporabi interneta je treba upoštevati zaupnost posredovanih informacij.

3. Pooblaščena oseba mora pri dostopu do interneta upoštevati naslednja načela:

a. uporabljajo dostop do interneta predvsem v skladu s svojim delom/funkcijo,

b. sledite sporočilom protivirusnega programa,

c. da ne dostopate do neznanih spletnih strani z nepreverjeno vsebino, razen če je to potrebno za opravljanje vašega dela/funkcije,

d. ne smejo uporabljati gesel, ki se uporabljajo za dostop do notranjih informacijskih sistemov, za dostop do javnih internetnih storitev.

 

V.

Elektronska pošta

  1. Elektronska pošta se uporablja za notranjo in zunanjo komunikacijo.

  2. Pooblaščena oseba je dolžna pošiljati množična elektronska sporočila v obliki skritih elektronskih naslovov (skrita kopija), tako da posamezni naslovniki ne vedo za elektronski naslov drugih posameznikov, na katere se nanašajo osebni podatki - naslovnikov.

  3. Prepovedano je pošiljanje osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, v odprtih e-poštnih sporočilih ali v odprti priponki. Priponke morajo biti šifrirane. Geslo mora potekati po drugem komunikacijskem kanalu, npr. sms ali telefon. Če to ni mogoče, je treba geslo poslati v ločenem elektronskem sporočilu.

  4.  V primeru prenehanja delovnega ali drugega razmerja s pooblaščeno osebo upravljavec v 30 dneh po prenehanju razmerja preneha uporabljati elektronski naslov pooblaščene osebe.

 

VI.
Osebna varnost

  1. Ob prenehanju delovnega ali drugega razmerja (npr. prenehanju funkcije direktorja) mora pooblaščena oseba (delavec, direktor ...) izročiti delovni program, vključno s spisi, vsemi dodeljenimi inventarnimi predmeti, izposojenimi knjigami in ključi.

  2. Vse pooblaščene osebe je treba poučiti o osnovnih varnostnih načelih, preden dobijo dostop do informacijskega sistema upravljavca in namenov obdelave. Navodila izvede odgovorna oseba. Dokazilo o navodilu se shrani v osebno mapo zaposlenega.

  3. Pooblaščeni osebi se lahko dodeli tehnična naprava (npr. službeni mobilni telefon, prenosni računalnik), katere prejem pooblaščena oseba potrdi ob prevzemu naprave. Ob vračilu naprave ima pooblaščena oseba pravico zahtevati potrdilo o prejemu.

VII.

Fizična varnost

1. Informacijska tehnologija (računalniki, prenosni računalniki itd.) mora biti nameščena v zaklenjenih prostorih. Prostor, v katerem se nahaja informacijska oprema, mora biti zaklenjen, kadar koli ga pooblaščena oseba zapusti. Ko pooblaščena oseba konča delo, mora:

a. izklopite osebni računalnik ali se odjavite iz njega,

b. zaklepanje omar z osebnimi podatki (če jih je mogoče zakleniti).

 

VIII.

Upravljanje ključev in kartic za dostop

 

  1. Upravičeni osebi se dodeli en ključ za vrata v  

          prostor, v katerem bo opravljal svojo delovno dejavnost/funkcijo.

2. Pooblaščena oseba mora vsako izgubo pisarniškega ključa nemudoma sporočiti po elektronski pošti. 

   svojemu nadrejenemu in odgovorni osebi.

3. Za ključe je odgovorna oseba, ki so ji bili dodeljeni. Za ključe je odgovorna pooblaščena oseba        

  v primeru prenehanja delovnega ali drugega razmerja predati svojemu nadrejenemu..

 

IX.

Drugi ukrepi

1. Pooblaščena oseba (zaposleni, vodja) mora zakleniti sobo in vzeti ključ s seboj, kadarkoli zapusti sobo, če v sobi ni druge pooblaščene osebe.

2. Preden pooblaščena oseba zapusti sobo, mora preveriti, ali so okna v sobi zaprta.

3. Pooblaščena oseba ne sme spreminjati nastavitev protivirusnega programa ali onemogočiti rezidenčnega protivirusnega programa brez odobritve vodje oddelka za IT.

4. Vsako sumljivo, nenavadno obnašanje ali okvaro računalnika je treba nemudoma sporočiti vodji oddelka za IT.

5. Pooblaščena oseba ne sme samovoljno nameščati računalniških programov s pomnilniških medijev ali z interneta. Programe lahko namešča le z dovoljenjem svojega nadrejenega po predhodnem posvetovanju z vodjo oddelka za IT.

6. Vsaka pooblaščena oseba mora imeti dodeljeno geslo za preverjanje svoje pristnosti in to geslo hraniti kot zaupno. Pooblaščena oseba ne sme razkriti svojega gesla za avtentikacijo. Geslo se ne sme zapisati in hraniti na vidnem ali lahko dostopnem mestu. Pooblaščena oseba je odgovorna za nepooblaščeno razkritje svojega gesla drugi osebi ter posledično za njegovo zlorabo in povzročeno škodo.

7. Pooblaščena oseba ne sme dovoliti, da bi z računalnikom upravljala oseba, ki ni pooblaščena.

8. Če na enem računalniku dela več oseb, se mora pooblaščena oseba prijaviti s svojim uporabniškim imenom in geslom, potem ko se je pooblaščena oseba, ki je prej delala na tem računalniku, odjavila.

 

X.

Kršitev varnosti

1. V primeru kršitve varstva osebnih podatkov mora pooblaščena oseba o tem takoj obvestiti svojega nadrejenega in vodjo oddelka IT. 

2. Pooblaščena oseba mora prenehati s svojimi dejavnostmi in ne sme sprejeti nobenega ukrepa, ki bi lahko povzročil večje tveganje za varnost osebnih podatkov. 

3. Pooblaščena oseba mora sestaviti zapisnik, v katerem navede vse podrobnosti o obsegu: 

a. za katere osebne podatke gre, 

b. ko je izvedela za kršitev varnosti, 

c. kakšna kršitev varnosti se je zgodila,

d. kako je izvedela za to kršitev,

e. katere ukrepe je sprejela.

4. Pooblaščena oseba izroči zapisnik vodji oddelka za IT. 

5. Vodja oddelka za IT obvesti upravljavca o naravi in obsegu kršitve varnosti takoj, ko izve za to informacijo. 

6. Vodja oddelka za IT si mora po najboljših močeh prizadevati za preprečitev nadaljnjih kršitev varnosti pri obdelavi osebnih podatkov in je dolžan težave čim prej odpraviti.

7. Pooblaščena oseba lahko opravlja svoje delovne dejavnosti le z odobritvijo vodje IT, ki potrdi, da opravljanje delovnih dejavnosti ne predstavlja tveganja za varnost osebnih podatkov. 

8. Vodja oddelka za IT mora sestaviti zapisnik, ki bo vseboval:

a. vrsto osebnih podatkov, katerih varstvo je bilo ogroženo, 

b. izvor in oblika motnje, 

c. obseg motenj in pričakovano stopnjo tveganja, 

d. ukrepe, ki so bili sprejeti za izboljšanje stanja, 

e. ukrepe, sprejete za zagotovitev varnosti osebnih podatkov.

9. Vodja oddelka za informacijsko tehnologijo upravljavcu izroči svoje zapisnike in zapisnike pooblaščene osebe. 

XI.

Obdelava vlog posameznikov, na katere se nanašajo osebni podatki

 

1. Zahteve in ugovore posameznikov, na katere se nanašajo osebni podatki, obravnava oseba, na katero je to preneseno (v nadaljnjem besedilu: odgovorna oseba). 

2. Po prejemu zahteve, ugovora ali pritožbe posameznika, na katerega se nanašajo osebni podatki (v nadaljnjem besedilu: predložitev), odgovorna oseba obvesti posameznika, na katerega se nanašajo osebni podatki, o prejemu in nadaljnjih ukrepih, ki jih je treba sprejeti. 

3. Odgovorna oseba oceni vlogo posameznika, na katerega se nanašajo osebni podatki, najpozneje v 30 dneh po njenem prejemu. 

4. Če je za oceno predložitve potrebno več časa, mora odgovorna oseba stopiti v stik z upravljavcem in o tem obvestiti posameznike, na katere se nanašajo osebni podatki. 

5. Po oceni vloge odgovorna oseba ustrezno obvesti zadevne osebe v zgoraj določenem roku.

 

XII. 

Delo od doma 

 

  1. Pri delu od doma je treba uporabljati delovne naprave (prenosne in namizne računalnike).

  2. Če to ni mogoče, morate pri delu od doma z lastnimi napravami uporabljati samo protivirusne programe, ki jih priporoča delodajalec, rešitve v oblaku in nastaviti samodejne posodobitve za programe, ki jih uporabljate. 

  3. Če delate od doma, morate delati z aktiviranim omrežjem VPN (Virtual Private Network) ali drugo varno aplikacijo, ki jo odobri delodajalec. 

  4. Brez aktiviranega omrežja VPN je prepovedano odpirati dokumente ali programe, ki vsebujejo osebne podatke ali druge občutljive podatke. 

  5. Naprave (prenosni ali namizni računalniki), ki se uporabljajo pri delu od doma, ne smejo ostati odklenjene v odsotnosti pooblaščene osebe (tudi če napravo zapustite za krajši čas, jo je treba uspavati).

  6. Pri delu od doma morate upoštevati odobreni sistem gesel in zakleniti vso opremo, ki se uporablja pri delu, ko ste odsotni.

  7. Za spletno shranjevanje dokumentov z osebnimi podatki in pošiljanje dokumentov z osebnimi podatki se lahko uporabljajo samo odobrene rešitve v oblaku in komunikacijske aplikacije.

  8. Pri delu od doma ne uporabljajte zasebnih e-poštnih naslovov ali telefonskih številk (če je to mogoče).

  9. Pri delu od doma je prepovedano uporabljati javno dostopna komunikacijska sredstva (WhatsApp, Facebook itd.) za komuniciranje ali pošiljanje ali prenašanje dokumentov, ki vsebujejo osebne podatke.

  10. Na javnih mestih je prepovedano delati z napravami, s katerimi se obdelujejo osebni podatki, in poskrbeti je treba za splošne varnostne ukrepe za zaščito naprav pred krajo ali kopiranjem njihove vsebine (zlasti ne puščati naprav brez nadzora v prisotnosti neznanih oseb ali če je treba naprave prenašati na javnih mestih, na primer v prtljažniku avtomobila).

  11. V primeru kakršnih koli varnostnih incidentov mora pooblaščena oseba nemudoma stopiti v stik z delodajalcem in odgovorno osebo.

 

XIII.

Skupne, prehodne in končne določbe

1. Ta direktiva začne veljati 1. oktobra 2021.

2. Ta direktiva je zavezujoča za vse pooblaščene osebe upravljavca.

V Lozornu dne 01.06.2025

  

  

 
×