Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov, Uredbe (EU) 2016/679) in Zakon o zbirkah podatkov s področja zdravstvenega varstva, sprejema ESTETIKA FABJAN d.o.o. Splošna in plastična kirurgija (v nadaljevanju: EF)

PRAVILNIK

o varovanju osebnih podatkov

1. SPLOŠNE DOLOČBE

1. člen

Ta pravilnik določa splošne postopke in ukrepe za varovanje osebnih podatkov vodenih v zbirkah osebnih podatkov s katerimi upravlja EF.  

S tem pravilnikom se določajo splošni ukrepi za varovanje zbirk osebnih podatkov pri njihovem zbiranju, obdelovanju, shranjevanju, posredovanju in uporabi, kakor tudi organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v EF z namenom varstva posameznika pri obdelavi osebnih podatkov in pravil o prostem pretoku osebnih podatkov, varovanju temeljnih pravic in svoboščin posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z ZVOP-1, Uredbo (EU) 2016/679, Zakonom o zbirkah podatkov s področja zdravstvenega varstva in z vsebino tega pravilnika.

Namen pravilnika je zagotoviti skladnost delovanja upravljavca osebnih podatkov s predpisi s področja varstva osebnih podatkov.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  1. Zakon o varstvu osebnih podatkov – ZVOP-1;
  2. Uredba (EU) 2016/679 – Uredba;
  3. Zakon o zbirkah podatkov s področja zdravstvenega varstva – ZZPPZ;
  4. Zakon o pacientovih pravicah – ZPacP;
  5. Osebni podatek – pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom;
  6. Posameznik – določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
  7. Privolitev posameznika na katerega se nanašajo osebni podatki – prostovoljna, izrecna, nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;
  8. Kršitev varstva osebnih podatkov – kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
  9. Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika;
  10. Obdelava – pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
  11. Omejitev obdelave – pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
  12. Upravljavec –  pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
  13. Obdelovalec – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
  14. Uporabnik – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
  15. Tretja oseba – pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
  16. Podatki o zdravstvenem stanju – pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;
  17. Podjetje – pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;
  18. Povezana družba – pomeni obvladujočo družbo in njene odvisne družbe;
  19. Zavezujoča poslovna pravila – pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;
  20. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
  21. Občutljivi osebni podatki – so podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti;
  22. Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.);
  23. Zdravstvena dokumentacija – je izvirno in reproducirano (pisano, risano, tiskano, fotografirano, filmano, fonografirano, magnetno, optično ali kako drugače zapisano) dokumentarno gradivo, ne glede na obliko zapisa in nosilec zapisa podatkov.

3. člen

Opis zbirk osebnih podatkov, katerih upravljavec je EF, se vodi v internem aktu o zbirkah osebnih podatkov (opisu zbirk osebnih podatkov), kakor so opredeljeni tudi v nadaljevanju Pravilnika.

Posamezna zbirka osebnih podatkov je lahko sestavljena iz ene ali več fizičnih zbirk osebnih podatkov, ki lahko obstaja v papirnati obliki (knjiga, fascikel, datotečna omara) ali elektronski obliki (magnetni disk, CD, drugi nosilci elektronskih zapisov).

EF vodi naslednje zbirke osebnih podatkov:

  1. Evidenca pacientov

EF vodi in zbira naslednje podatke:

– priimek in ime pacienta, – rojstni datum, –  spol; – naslov prebivališča; – EMŠO; – številko in vrsto zdravstvenega zavarovanja; – ime firme zavarovanja (ki je razvidna le ob spremembah); – poklic; – izobrazbo; – zakonski stan; – državljanstvo; – osebno številko zavarovanca in ime zavezanca za plačilo stroškov; – številko izbranega zdravnika; – telefonsko številko; – vrste predpisanih zdravil; – zdravstveno diagnozo; – vse podatke potrebne za obravnavo (razlog obravnav, datum obravnav, datum načrtovanih obravnav, izvidi).

Kategorije posameznikov, na katere se nanašajo osebni podatki v zbirki, so pacienti, pri čemer je namen obdelave osebnih podatkov opravljanje zdravniške službe; – evidentiranje opravljenih storitev; – sam potek obravnave; – uveljavljanje pravice posameznika, na katerega se osebni podatki nanašajo, za postopke in izvajanje dejavnosti in izvajanje pogodb z ZZZS in ostalimi zdravstvenimi zavarovalnicami.

  1. Evidenca o zaposlenih delavcih

EF vodi in zbira naslednje podatke:

  1. a) – podatki o delavcu: – osebno ime, – datum rojstva (če oseba nima EMŠO), – kraj rojstva, – država rojstva (če je kraj rojstva v tujini); – enotna matična številka občana, – davčna številka, – državljanstvo, – naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – izobrazba, – ali je delavec invalid, – kategorija invalidnosti, – ali je delavec delno upokojen, – ali delavec opravlja dopolnilno delo pri drugem delodajalcu, – ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, – naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj);
  2. b) podatki o delovnem dovoljenju delavca (tujci): – vrsta delovnega dovoljenja, – datum izdaje delovnega dovoljenja, – datum izteka delovnega dovoljenja, – številka delovnega dovoljenja, – organ, ki je izdal delovno dovoljenje;
  3. c) podatki o sklenjeni pogodbi o zaposlitvi: – datum sklenitve pogodbe o zaposlitvi, – datum nastopa dela, – vrsta sklenjene pogodbe o zaposlitvi, – razlog za sklenitev pogodbe o zaposlitvi za določen čas, – poklic, ki ga opravlja delavec, – strokovna usposobljenost, potrebna za opravljanje del in nalog delovnega mesta, za katero je delavec sklenil pogodbo o zaposlitvi, – naziv delovnega mesta oziroma podatki o vrsti dela, za katerega je delavec sklenil pogodbo o zaposlitvi, – število ur tedenskega rednega delovnega časa, – razporeditev delovnega časa, – kraj, kjer delavec opravlja delo, – ali pogodba o zaposlitvi delavca vsebuje konkurenčno klavzulo;

č) podatki o prenehanju pogodbe o zaposlitvi: – datum prenehanja pogodbe o zaposlitvi, – način prenehanja pogodbe o zaposlitvi.

Dodatni podatki:

  1. d) podatki za študente/dijake – naziv študentskega servisa – letnik izobraževalne ustanove – naziv izobraževalne ustanove – status študenta/dijaka do – vpisna številka študenta/dijaka – številka osebnega dokumenta študenta/dijaka.

Zbiranje osebnih podatkov se nanaša na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca, in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi in izvajanje pogodb za opravljanje del.

  1. Evidenca o stroških dela

EF vodi in zbira naslednje podatke:

  1. a) podatki o delavcu: – osebno ime, – datum rojstva, če oseba nima EMŠO, – kraj rojstva, – država rojstva, če je kraj rojstva v tujini, – enotna matična številka občana, – davčna številka, – državljanstvo, – naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – izobrazba, – ali je delavec invalid, – kategorija invalidnosti, – ali je delavec delno upokojen, – ali delavec opravlja dopolnilno delo pri drugem delodajalcu, – ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, – naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj); – številka transakcijskega računa, na katerega se izplačujejo plače in ostali prejemki;
  2. b) podatke o plačah in nadomestilih plač, ki bremenijo delodajalca: plača za tekoči mesec, izplačana v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: – bruto plača za delo s polnim delovnim časom, – bruto plača za delo s krajšim delovnim časom od polnega, – bruto izplačila za delo preko polnega delovnega časa (nadurno delo), – bruto nadomestila plač, ki bremenijo delodajalca; zaostala izplačila in nadomestila plač, ki bremenijo delodajalca, izplačana v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: – bruto zaostala izplačila in nadomestila plač; izredno izplačilo (izplačilo po drugih osnovah, ki ne predstavlja redne mesečne plače): – bruto izplačila na podlagi osebne delovne uspešnosti, – dodatna denarna izplačila iz naslova uspešnosti poslovanja; neto plača (za mesec poročanja, za zaostala izplačila, nadomestila plač in za izredna izplačila): – plača, – zaostalo izplačilo, – nadomestilo plače, – izredno izplačilo;
  3. c) podatke o drugih stroških dela: – povračila stroškov v zvezi z delom, – regres za letni dopust, – jubilejna nagrada, – dodatna plačila, namenjena socialni varnosti delavcev, – plačila za prostovoljno pokojninsko zavarovanje, – solidarnostna pomoč, – odpravnina, – stroški izobraževanja delavcev, – davki na izplačane plače, – ostali stroški dela;

č) podatke o zakonsko določenih prispevkih za socialno varnost za posameznega delavca: prispevki v breme delodajalca: – plačani prispevki za pokojninsko in invalidsko zavarovanje, – plačani prispevki za zdravstveno zavarovanje, – plačani prispevki za starševsko varstvo, – plačani prispevki za zaposlovanje; prispevki v breme zavarovanca: – plačani prispevki za pokojninsko in invalidsko zavarovanje, – plačani prispevki za zdravstveno zavarovanje, – plačani prispevki za starševsko varstvo, – plačani prispevki za zaposlovanje

Dodatni podatki:

  1. d) krediti: – številka pogodbe, – datum pogodbe, – vrsta odtegljaja, – tip kredita, – znesek obroka, – višina kredita, – število obrokov – status olajšave pri dohodnini;
  2. e) vzdrževani družinski člani: – priimek, – ime, – datum rojstva, – davčna številka, – šifra sorodstva;
  3. f) delovna doba: – status zaposlitve, – celotna delovna doba, – delovna doba v podjetju.

Osebni podatki v zbirki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi.

  1. Evidenca o izrabi delovnega časa

EF vodi in zbira naslednje podatke:

  1. a) podatki o delavcu: – osebno ime, – datum rojstva, če oseba nima EMŠO, – kraj rojstva, – država rojstva, če je kraj rojstva v tujini, – enotna matična številka občana, – davčna številka, – državljanstvo, – naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), – izobrazba, – ali je delavec invalid, – kategorija invalidnosti, – ali je delavec delno upokojen, – ali delavec opravlja dopolnilno delo pri drugem delodajalcu, – ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, – naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj);
  2. b) podatki o številu ur: – skupno število opravljenih delovnih ur s polnim delovnim časom in s krajšim delovnim časom od polnega z oznako vrste opravljenega delovnega časa, – opravljene ure v času nadurnega dela, – neopravljene ure, za katere se prejema nadomestilo plače iz sredstev delodajalca, z oznako vrste nadomestila, – neopravljene ure, za katere se prejema nadomestilo plače v breme drugih organizacij ali delodajalcev in organov z oznako vrste nadomestila, – neopravljene ure, za katere se ne prejema nadomestilo plače, – število ur pri delih na delovnem mestu, za katera se šteje zavarovalna doba s povečanjem, oziroma na katerih je obvezno dodatno pokojninsko zavarovanje, z oznako vrste statusa.

Dodatni podatki:

  1. c) dopust: – število dni dopusta, – število izkoriščenih dni, – število dni dopusta iz preteklega leta;
  2. d) mesečna specifikacija števila opravljenih in neopravljenih delovnih ur po dnevih.

Osebni podatki v zbirki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi.

  1. Evidenca o opravljenem usposabljanju za varno delo in preizkus praktičnega znanja

EF vodi naslednje osebne podatke:

  1. a) podatki o delavcu: – osebno ime, – datum rojstva;
  2. b) podatki o usposabljanju: – delovno mesto, – datum opravljenega usposabljanja za varno delo in preizkus praktičnega znanja, – datum predvidenega naslednjega usposabljanja in preizkusa;
  3. c) požarna varnost.

Osebni podatki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi, izvajanje pogodb za delo zaradi usposabljanja, zagotavljanje varnosti in zdravja pri delu.

  1. Evidenca o preventivnih zdravstvenih pregledih

EF vodi naslednje osebne podatke:

  1. a) podatki o delavcu: – osebno ime, – datum rojstva, – naslov stalnega prebivališča;
  2. b) podatki o usposabljanju: – delovno mesto, – datum opravljenega pregleda, – datum predvidenega naslednjega pregleda;
  3. c) dodatni podatki iz napotnice: – dekliški priimek, – EMŠO, – izobrazba, – stopnja izobrazbe, – poklic, – datum zaposlitve, – delovno mesto, – datum zaposlitve na trenutnem delovnem mestu, – datum izjave o varnosti z oceno tveganja, – opis delovnega procesa, – delovna oprema, – predmeti dela, – izpostavljenost tveganjem, – ukrepi, – osebna varovalna oprema, – posebne zdravstvene zahteve, – neustreznost delovnega mesta, – pripombe delodajalca, – kraj izdaje napotnice, – datum izdaje napotnice;
  4. d) dodatni podatki iz zdravniškega spričevala: – status izpolnjevanja posebnih zdravstvenih zahtev z morebitnimi omejitvami, – predlagano drugo delo, – razlog za morebitno neizdano oceno, – predlagani ukrepi, – kraj zdravniškega pregleda, – datum zdravniškega pregleda.

Osebni podatki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi, izvajanje pogodb za delo zaradi usposabljanja, zagotavljanje varnosti in zdravja pri delu.

  1. Evidenca o poškodbah pri delu, kolektivnih nezgodah, nevarnih pojavih, ugotovljenih poklicnih boleznih in o boleznih v zvezi z delom ter o njihovih vzrokih

EF vodi naslednje osebne podatke:

  1. a) podatki o delavcu: ime in priimek, EMŠO, davčna številka, kraj, občina in država rojstva, stalno in začasno bivališče, kraj dela, poklic, šolska izobrazba, strokovna usposobljenost, delovne naloge, delovni čas (v urah na teden), zavarovalna doba, dejavnost podjetja (šifra);
  2. b) podatki o poškodbi: delo, ki ga je delavec opravljal, ko se je zgodila poškodba, koliko ur je delal delavec tistega dne, ko se je zgodila poškodba pri delu, ali je delavec kdaj prej doživel poškodbo pri delu in kolikokrat, narava poškodbe, poškodovani del telesa, ali je bila poškodba smrtna, podlaga zavarovanja; podatki o poškodbi pri delu: kdaj se je zgodila poškodba, kje se je zgodila nesreča, število poškodovanih oseb, koliko oseb je izgubilo življenje, ali se je podobna nesreča zgodila že prej na istem delovnem mestu, vir nesreče, vzrok nesreče, ali je bilo ugotovljeno, da je delavec na delovnem mestu ogrožen, uporaba osebnih varstvenih sredstev (ali je bila odrejena uporaba zaščitnih sredstev, ali so bila uporabljena zaščitna sredstva, ali so bili izvedeni splošni in posebni ukrepi za varstvo pri delu).

Osebni podatki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi, izvajanje pogodb za delo zaradi usposabljanja, zagotavljanje varnosti in zdravja pri delu.

  1. Evidenca o kandidatih za sklenitev delovnega razmerja

EF vodi naslednje osebne podatke: – ime in priimek, – naslov stalnega prebivališča, – datum rojstva, – kraj rojstva, – spol, – telefonska številka, – poklic, – izobrazba, – dodatna znanja, – delovne izkušnje, – dosedanje zaposlitve, – hobiji, – fotokopije prilog, – ostali podatki, ki jih kandidati navajajo v pisni obliki na prošnjah, – datum prošnje.

Osebni podatki se nanašajo na kandidata za sklenitev delovnega razmerja in se hranijo v skladu s podano privolitvijo.

Namen obdelave osebnih podatkov je zbiranje kandidatov za sklenitev delovnega razmerja po razpisu prostega delovnega mesta in izbiranje primernih kandidatov za sklenitev delovnega razmerja.

  1. Evidenca o potnih nalogih z obračunom

EF vodi naslednje osebne podatke:

  1. a) – številka naloga, – kraj izdaje, – datum izdaje, – status prevoza (oseb ali blaga), – smer vožnje, – ime in priimek voznika, – ime in priimek sovoznika, – znamka motornega vozila, – registrska številka motornega vozila (prikolice);
  2. b) seznam podatkov o prevozu: – datum, – kraj odhoda, – kraj prihoda, – čas odhoda, – čas prihoda, – prepeljano: vrsta tovora/potnikov, – prepeljano: količina, – prevoženi km: prazni, – prevoženi km: polni;
  3. c) drugi podatki o prevozu: – kraj izpolnjevanja podatkov o prevozu, – datum izpolnjevanja podatkov o prevozu, – spisek prilog, – priloge, – stanje števca na začetku, – stanje števca na koncu, – skupno št. prevoženih km, – količina prepeljanega blaga in tonskih km, – št. prepeljanih potnikov in potniških km;
  4. d) predlog obračuna potnih stroškov: – ime in priimek predlagatelja, – naslov stalnega prebivališča predlagatelja, – čas odhoda, – čas prihoda, – čas odsotnosti, – število dnevnic, – znesek dnevnic, – specifikacija prevoznih stroškov, – specifikacija drugih stroškov, – znesek predujma, – datum predujma, – spisek prilog, – priloge, – kraj obračuna, – datum obračuna;
  5. e) obračun potnih stroškov: – višina odobrenega izplačila, – plačnik izplačila, – ime likvidatorja, – višina izplačila, – ime blagajnika, – datum izplačila.

Osebni podatki v zbirki se nanašajo na delavce, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za delodajalca in osebe, ki pri delodajalcu opravljajo delo zaradi usposabljanja.

Namen obdelave osebnih podatkov je izvajanje pogodb o zaposlitvi, izvajanje pogodb za opravljanje dela za delodajalca na kakršnikoli drugi pravni podlagi, izvajanje pogodb za delo zaradi usposabljanja zaradi obračuna potnih stroškov, podatki pa se hranijo 10 let.

  1. Evidenca o izdanih in prejetih računih

EF vodi naslednje osebne podatke: – ime in priimek, – ulica in hišna številka, – poštna številka in pošta, – številka računa, – datum izdaje računa, – kraj izdaje računa, – datum opravljene dobave blaga oz. opravljene storitve, – rok plačila, – datum valute, – davčna številka (ID za DDV), – postavke računa s količino, cenami in zneski, – specifikacija obračunanega DDV z osnovami, – skupni znesek računa.

Osebni podatki v zbirki se nanašajo na kupce in dobavitelje blaga ali storitev.

Namen obdelave osebnih podatkov je izdajanje računov in računovodsko knjiženje računov, ki se hranijo 10 let.

  1. Evidenca o franšiznih in podjemnih pogodbah

EF vodi naslednje osebne podatke: – ime in priimek, – naslov stalnega prebivališča, – davčna številka, – številka transakcijskega računa, – naročnik, – predmet pogodbe – delo, – obseg dela, – čas trajanja pogodbenega razmerja, – pogodbena vrednost, – datum podpisa pogodbe, – aneksi k podjemni pogodbi.

Osebni podatki se nanašajo na podjemnike oziroma franšizojemalce z namenom izvajanja podjemnih oziroma franšiznih pogodb in se hranijo do prenehanja pogodbenega razmerja.

  1. Evidenca o štipendistih

EF vodi naslednje podatke: – ime, priimek, – naslov stalnega bivališča, – naslov začasnega bivališča, – datum rojstva, – podatki o izobraževanju in izobraževalni ustanovi, – transakcijski račun, ime banke, – višina štipendije, – trajanje štipendiranja, – obveznosti do delodajalca.

Osebni podatki se nanašajo na štipendisti zaradi izvajanja pogodbe o štipendiranju in se hranijo do prenehanja bodočega delovnega razmerja.

  1. Zbirka osnovne zdravstvene dokumentacije (zdravstvena mapa)

EF vodi naslednje podatke:

  1. OSEBNI PODATKI OZIORMA SKUPINE PODATKOV PO ZZPPZ: EMŠO, številka zdravstvenega zavarovanja (ZZZS številka), ime in priimek, genogram, zakonski stan, izobrazba, poklic, naslov stalnega bivališča, naslov začasnega bivališča, telefon, diagnoza, datum stika, načrtovani stiki, številka zdravnika, terapija (zlasti podatki o pacientovi obravnavi – opis izvedenih in predvidenih zdravstvenih storitev), napotitev, vzrok začasne dela nezmožnosti, vzrok smrti, zavarovalniški status (kategorija zavarovanja, podatki o plačniku, podatki o dodatnem zdravstvenem zavarovanju…), razlog obravnave, socialna anamneza družine, načrt zdravstvene nege;
  2. DRUGI OSEBNI PODATKI: -interna številna pacienta, -lokacija obravnave in namestitve pacienta, -ime in priimek, razmerje in kontaktni podatki svojcev ter podatki drugih kontaktnih oseb po volji pacienta, -podatki o morebitnem pacientovem zdravstvenem pooblaščencu, -zapisi po volji pacienta (pripombe, prepovedi pooblastila, privolitve), -podatki o izdanih receptih, napotnicah in delovnih nalogih, -zapisi diagnostičnih sredstev (RTG, UZ, laboratorijski izvidi, drugo), -podatki iz obrazcev standardiziranih kliničnih poti, -anamnestični oziroma heteroanamnestični podatki, -drugi podatki na podlagi privolitve pacienta, -drugi podatki po posebnih prepisih, -drugi podatki, ki jih je po naravi stvari nujno obdelovati (četrti odstavek 9. člena ZVOP-1, 12. člen ZVOP-1, tretji odstavek 45. člena ZPacP).

Posamezniki, na katere se nanašajo osebni podatki v zbirki, so pacienti in delno njihovi svojci iz ambulantne in bolnišnične obravnave.

Namen obdelave osebnih podatkov je spremljanje in načrtovanje zdravstvene oskrbe in s tem zagotavljanje: – kakovostne, varne, primerne, učinkovite in kontinuirane zdravstvene oskrbe pacienta; – financiranja zdravstvene oskrbe in izvajanja zdravstvenega zavarovanja; – različnih vrst nadzora (na primer strokovni, finančni in upravni nadzor);  – možnosti za reševanje sporov in statističnega in drugega poročanja.

  1. Zbirka podatkov videonadzornega sistema

EF zbira naslednje podatke: – video posnetki, brez zvoka.

Osebni podatki v zbirki se nanašajo na paciente, obiskovalce, pogodbene sodelavce, poslovne stranke in uslužbence.

Namen obdelave osebnih podatkov je: a) varovanje premoženja; b) varovanje zaposlenih in pacientov; c) varovanje bolnišničnega reda; č) nadzor nad vstopom in izstopom v smislu 75. člena ZVOP-1; d) potrebe doseganja preventivnih učinkov in potrebe naknadnega razreševanja varnostnih ali konfliktnih primerov; e) varovanje poslovnih skrivnosti po objektivnem in subjektivnem kriteriju iz 39. člena ZGD-1; g) varovanje papirne zdravstvene dokumentacije in informatiziranih zbirk zdravstvenih podatkov ter dostopov do zunanjih omrežij v zdravstvu.

  1. Čakalni seznami

EF vodi naslednje podatke:a) zaporedna številka vpisa, b) datum in ura vpisa, c) osebno ime pacienta, č) naslov in kontaktni podatki pacienta, d) EMŠO pacienta, e) ZZZS številka zavarovane osebe, f) predvideni datum izvedbe zdravstvene storitve, g) datum izvedene zdravstvene storitve, h) šifra programa oziroma zdravstvene storitve, i) stopnja nujnosti, j) izvajalec, ki je pacienta uvrstil na čakalni seznam (šifra zdravstvenega delavca, šifra in drugi podatki o izvajalcu), k) izvajalec, ki je zdravstveno storitev opravil (šifra zdravstvenega delavca, šifra in drugi podatki o izvajalcu).

Osebni podatki se nanašajo na paciente, ki so deležni obravnave pri upravljavcu. Namen obdelave osebnih podatkov pa je spoštovanje vrstnega reda, organizacija zdravstvene dejavnosti in statistično poročanje.

  1. Informatizirana zbirka zdravstvenih in administrativnih podatkov BIRPIS

EF vodi naslednje podatke:

  1. OSEBNI PODATKI OZIROMA SKUPINE PODATKOV PO ZZPPZ: EMŠO, številka zdravstvenega zavarovanja (ZZZS številka), ime in priimek, genogram, zakonski stan, izobrazba, poklic, naslov stalnega bivališča, naslov začasnega bivališča, telefon, diagnoza, datum stika, načrtovani stiki, številka zdravnika, terapija (zlasti podatki o pacientovi obravnavi – opis izvedenih in predvidenih zdravstvenih storitev), napotitev, vzrok začasne dela nezmožnosti, vzrok smrti, zavarovalniški status (kategorija zavarovanja, podatki o plačniku, podatki o dodatnem zdravstvenem zavarovanju…), razlog obravnave, socialna anamneza družine, načrt zdravstvene nege;
  2. DRUGI OSEBNI PODATKI: -interna številna pacienta, -lokacija obravnave in namestitve pacienta, -ime in priimek, razmerje in kontaktni podatki svojcev ter podatki drugih kontaktnih oseb po volji pacienta, -podatki o morebitnem pacientovem zdravstvenem pooblaščencu, -zapisi po volji pacienta (pripombe, prepovedi pooblastila, privolitve), -podatki o izdanih receptih, napotnicah in delovnih nalogih, -zapisi diagnostičnih sredstev (RTG, UZ, laboratorijski izvidi, drugo), -podatki iz obrazcev standardiziranih kliničnih poti, -anamnestični oziroma heteroanamnestični podatki, -drugi podatki na podlagi privolitve pacienta, -drugi podatki po posebnih prepisih, -drugi podatki, ki jih je po naravi stvari nujno obdelovati (četrti odstavek 9. člena ZVOP-1, 12. člen ZVOP-1, tretji odstavek 45. člena ZPacP).

Osebni podatki se nanašajo na paciente iz ambulantne in bolnišnične obravnave ter svojce pacienta.

Namen obdelave osebnih podatkov je neposredna informacijska podpora izvajanju zdravstvene dejavnosti.

EF vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. 

Upravljavec zbirk osebnih podatkov v operacijskem predpisu za varstvo osebnih podatkov določi tipične pravice v zvezi z obdelavo osebnih podatkov (dostop, pregledovanje, spreminjanje, brisanje, posredovanje). Za vsako evidenco določi katere pravice na tej evidenci obstajajo in katera delovna mesta iz sistemizacije delovnih mest imajo te pravice pri posamezni evidenci.

EF s sklepom imenuje osebo, ki je dolžna voditi ažuren seznam, iz katerega je za vsako zbirko osebnih podatkov jasno razvidna oseba, ki je odgovorna za posamezno zbirko osebnih podatkov ter oseba, ki zaradi narave svojega dela obdeluje osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov, kakor tudi zagotoviti sledljivost vpogleda v zbirko osebnih podatkov.

V seznam se vpisujejo sledeči podatki: naziv zbirke osebnih podatkov, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko osebnih podatkov ter osebno ime in delovno mesto oseb, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke, ki se nanašajo na zbirko osebnih podatkov.

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

4. člen

Upravljavec osebnih podatkov v operacijskem predpisu za varstvo osebnih podatkov za vsako fizično zbirko osebnih podatkov določi, v kateri zbirki osebnih podatkov se nahaja osebni podatek.

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi, fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Pravico do vstopa v prostore, kjer se hranijo fizične zbire osebnih podatkov imajo le za to pooblaščene osebe, pri čemer pooblastilo izvira iz pogodbe med upravljavcem in obdelovalcem oziroma iz internega akta o odgovornih in pooblaščenih osebah za zbirke osebnih podatkov.

Obdelovalci osebnih podatkov v varovane prostore upravljavca osebnih podatkov v delovnem času ne smejo vstopati ali se zadrževati brez prisotnosti odgovornega delavca, razen če jih veže dolžnost varovanja osebnih podatkov, ki je določena v pogodbi z upravljavcem osebnih podatkov.

Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi predhodnega dovoljenja zakonitega zastopnika družbe/vsak zaposleni pa uporablja magnetno kartico za vstop v poslovne prostore EF, ki omogoča identifikacijo zaposlenega, ki je vstopil v prostore podjetja.

Ključi varovanih prostorov in vstopne kartice se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani.

Varovani prostori ne smejo ostajati nenadzorovani oziroma se morajo zaklepati ob odsotnosti delavcev, ki jih nadzorujejo.

Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.

Nosilci osebnih podatkov in zdravstvena dokumentacija, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni oziroma zaščiteni s sistemom gesel.

Izven delovnega časa morajo biti računalniki in druga strojna oprema izklopljeni ali fizično ali

programsko zaklenjeni.

Oseba, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob koncu delovnega časa vključiti alarm.

Direktor EF s sklepom imenuje osebe, ki imajo oddaljen dostop do računalnikov, pri čemer se zagotovi programska sledljivost vpogleda v računalnik in zbirke osebnih podatkov.

Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.

Pod pogoji, ki jih določa ta pravilnik, je vstop v varovane prostore upravljavca osebnih podatkov dovoljen tudi nezaposlenim osebam, poslovnim partnerjem in drugim obiskovalcem (tretje osebe).

Tretje osebe v varovane prostore upravljavca osebnih podatkov, kjer se nahajajo osebni podatki in zdravstvena dokumentacija, ki niso posebej zaščiteni, ne smejo vstopati ali se zadrževati brez prisotnosti odgovornega delavca.

5. člen

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje, prav tako se mora onemogočiti vpogled v listinsko dokumentacijo nepooblaščenim osebam.

6. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo oziroma ob prisotnosti odgovorne  osebe.

Zaposleni, kot so čistilke, varnostniki in drugi se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

III. VAROVANJE SISTEMSKE IN PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV TER SLEDLJIVOST

7. člen

Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

8. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z EF predhodno sklenjeno ustrezno pogodbo.

Izvajalci morajo spremembe in dopolnitve sistemske in programske opreme ustrezno dokumentirati.

9. člen

Za shranjevanje in varovanje programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.

10. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne strokovne službe, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.

Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo v EF na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

11. člen

Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z EF predhodno sklenjeno ustrezno pogodbo.

Vsak delavec, ki na svojem računalniku (namiznem, prenosnem) hrani osebne podatke, je dolžan v primeru servisiranja računalnika, pred predajo računalnika servisu poskrbeti, da se osebni podatki na njem ustrezno zaščitijo.

12. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti odgovorne osebe. Prav tako ne smejo odnašati programske opreme iz EF brez odobritve zakonitega zastopnika družbe in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

13. člen

Pristop do podatkov preko programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.

Z uporabo sistemov se zagotavlja integriteta (nespremenljivost podatkov), ki onemogočajo spreminjanje zajetih podatkov ter z različnimi logično-tehničnimi postopki kot so uporaba uporabniških imen in gesel, elektronskega podpisa itd.

Odgovorna oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.

14. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov, administriranje elektronske pošte in administriranje programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb.  Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

Upravljavec osebnih podatkov mora zagotoviti zaupnost obdelovanih podatkov.

15.člen

Upravljavec osebnih podatkov mora zagotoviti dostopnost obdelovanih podatkov.

Dostopnost podatkov se zagotavlja z ukrepi, ki omogočajo neprekinjen in trajen (do izbrisa) dostop do podatkov: izdelava varnostnih kopij podatkov in arhiviranje podatkov. Varnostna kopija podatkov lahko obstaja v isti obliki kot izvirni podatki (npr. kopirani papirni arhiv), lahko pa je varnostna kopija v drugem formatu (npr. skenirani dokumenti), lahko pa gre za povzetek podatkov v drugem formatu (npr. vpis podatkov iz papirnih vlog v elektronsko zbirko podatkov ali Excel tabelo).

Vsi postopki izdelovanja varnostnih kopij morajo biti ustrezno dokumentirani in morajo zagotavljati natančen zajem in shranjevanje podatkov.

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj,če se podatki tam nahajajo.

Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna in zavarovana proti poplavam ter zaklenjena.

16. člen

Sledljivost vnosa, uporabe, spremembe, posredovanja in brisanja osebnih podatkih se dosega z vodenjem evidenc o operacijah na podatkih oziroma zbirkah podatkov.

Evidence so elektronske ali papirne, njihovo vodenje pa je lahko ročno ali avtomatsko.

Vodenje je ročno, če se vsaka obdelava podatkov ročno zavede. Primer avtomatskega vodenja je vodenje dnevnikov v posameznih programih, iz katerih se da razbrati dejanja posameznih oseb v zvezi s posameznimi osebnimi podatki.

Sledljivost posredovanj osebnih podatkov uporabnikom, se dosega z vodenjem evidenc o posredovanju osebnih podatkov. Take evidence so lahko pisne  ali elektronske, njihovo vodenje pa je ročno.

IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

17. člen

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene ustrezna pisna pogodba.

V pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo.

Pogodbeni obdelovalec sme opravljati samo storitve obdelave osebnih podatkov v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

Pogodbeni obdelovalec, ki za EF opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva Uredba.

V. ZBIRANJE OSEBNIH PODATKOV

18. člen

Pravna podlaga za zbiranje osebnih podatkov je bodisi zakon, ki dovoljuje obdelovanje določene vrste osebnih podatkov, bodisi osebna privolitev posameznika za obdelovanje osebnih podatkov bodisi ustrezna pogodba. Osebna privolitev posameznika naj bo praviloma pisna in jasna.

Izjemoma se lahko obdelujejo tudi osebni podatki, za katere ni eksplicitnega zakonskega pooblastila ali privolitve posameznika, če gre za osebne podatke posameznikov, ki so z upravljavcem osebnih podatkov sklenili pogodbo ali pa so z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna za izvedbo pogajanj ali izpolnitev pogodbe.

Osebni podatki se vpisujejo v zbirke osebnih podatkov samo na podlagi ustrezne pravne podlage, kakor je določena v tem členu Pravilnika.

19. člen

Upravljavec osebnih podatkov mora zagotoviti, da je posameznik, čigar osebni podatki se vnašajo v zbirki osebnih podatkov, obveščen o obdelavi njegovih osebnih podatkov in da je podana osebna privolitev posameznika v skladu z veljavno zakonodajo s področja varstva osebnih podatkov in Uredbo.

Če se osebni podatki zbirajo neposredno od posameznika, upravljavec osebnih podatkov posamezniku, s katerimi še ni seznanjen, sporoči naslednje informacije:

  • podatke o upravljavcu osebnih podatkov (firma in sedež) ter
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namen obdelave osebnih podatkov;
  • kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov pri katerih sta upravljavec osebnih podatkov ter obdelovalec predvidela ustrezne zaščitne ukrepe, na podlagi zavezujočih poslovnih pravil ali druge ustrezne pravne podlage za iznos osebnih podatkov v tretjo državo ali mednarodno organizacijo, sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

Če je glede na posebne okoliščine zbiranja teh osebnih podatkov potrebno, da se zagotovi zakonita in poštena obdelava osebnih podatkov posameznika, upravljavec osebnih podatkov sporoči tudi dodatne informacije, če posameznik z njimi še ni seznanjen, zlasti:

  • obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
  • kadar obdelava temelji na privolitvi posameznika, obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo.

VI. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV

20. člen

Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, na katero je ta pošiljka naslovljena.

Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v pisarno prinesejo jih stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena.

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki.

Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca.

21. člen

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Osebni podatki in občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah s priporočeno pošiljko.

Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

22. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.

Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.

23. člen

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki.

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki nanašajo. Upravičenec lahko poda tudi ustno vlogo, pri čemer mora upravljavec pred posredovanjem zbirke zdravstvenih podatkov oziroma podatkov o zdravstvenem stanju posamezniku preveriti njegovo istovetnost.  

Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.

Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

VI. OBDELOVALCI OSEBNIH PODATKOV

24. člen

Upravljavec osebnih podatkov lahko poveri posamezna opravila v zvezi z obdelavo osebnih podatkov obdelovalcu osebnih podatkov, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za varovanje osebnih podatkov.

Upravljavec osebnih podatkov v internem aktu določi seznam obdelovalcev osebnih podatkov za posamezno zbirko osebnih podatkov.

25. člen

Za vsakega obdelovalca osebnih podatkov določi upravljavec osebnih podatkov v internem aktu do katerih zbirk oziroma do katerih vrst osebnih podatkov v posamezni zbirki osebnih podatkov ima obdelovalec osebnih podatkov dostop, kakšna pooblastila ima obdelovalec osebnih podatkov na teh zbirkah oziroma vrstah podatkov (dostop, pregledovanje, spreminjanje, brisanje, posredovanje).

26. člen

Obdelovalec osebnih podatkov sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru pooblastil upravljavca osebnih podatkov in osebnih podatkov ne sme obdelovati za drug namen.

Obdelovanje osebnih podatkov mora temeljiti na pogodbi, ki mora vsebovati določila iz 28. Člena Uredbe.

VII. BRISANJE IN OMEJITEV PODATKOV

27. člen

Podatki posameznika oziroma pacienta se hranijo do nove izbire osebnega zdravnika.

Roki, po katerih se osebni podatki izbrišejo iz zbirke posameznih evidenc, so opredeljeni v zakonu ali pa izhajajo iz namena za katerega so bili pridobljeni osebni podatki in so opredeljeni v internem aktu o odgovornih in pooblaščenih osebah za zbirke osebnih podatkov.

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, če je izpolnjen kater izmed taksativno določenih razlogov, kakor jih opredeljuje 17. člen Uredbe.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, če je izpolnjen kateri od taksativno določenih razlogov, kakor jih opredeljuje 18. člen Uredbe.

Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave osebnih podatkov.

28. člen

Za Zrisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da ni mogoča restavracija vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov.

Prepovedano je odmetavati odpadne nosilce podatkov oziroma listine z osebnimi podatki v koše za smeti.

Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa.

Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik.

VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

29. člen

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju nemudoma oziroma najkasneje v 72 urah po seznanitvi s kršitvijo obvestiti pooblaščeno osebo ali nadzorni organ, sami pa poskušajo takšno aktivnost preprečiti.

Uradno obvestilo o kršitvi naj vsebuje vsaj opis vrste kršitve varstva osebnih podatkov, opis nastanka kršitve in verjetne posledice kršitve varstva osebnih podatkov, kakor tudi opis ukrepov.

Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.

Upravljavec je dolžan dokumentirati vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost ravnanja z Uredbo.   

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

30. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov EF imenuje pooblaščeno osebo.

Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom opravlja pooblaščena oseba za varstvo podatkov, ki jo EF imenuje s posebnim sklepom.  

Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

– obveščanje upravljavca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s določbami prava Evropske unije ali zakonskih določil na področju varstva osebnih podatkov;

– spremljanje skladnosti s pravom Evropske unije ali pravom Republike Slovenije in politikami upravljavca osebnih podatkov ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

– svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu Uredbo;

– sodelovanje z nadzornim organom (Informacijskim pooblaščencem);

– delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz Uredbo in, kjer je to ustrezno, posvetovanje glede katere koli druge zadeve.

31. člen

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Zaposleni pri EF so zavezani k varovanju osebnih podatkov.

32. člen

Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko odgovorni.

IX. VIDEONADZOR

33. člen

Upravljavec osebnih podatkov mora o izvajanju videonadzora objaviti obvestilo. Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor.

Obvestilo iz prejšnjega odstavka mora vsebovati naslednje informacije:

– da se izvaja videonadzor;

– naziv upravljavca osebnih podatkov ter

– telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz

videonadzornega sistema.

Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.

Odločitev o uvedbi videonadzora dostopa poslovnih prostorih sprejme direktor.

O izvajanju videonadzora je potrebno pisno obvestiti vse delavce, ki opravljajo delo v nadzorovanem prostoru.

Videonadzor znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi in premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.

VidZonadzor se lahko izvaja le glede tistih delovnih prostorov, kjer je potrebno varovati interese iz prejšnjega odstavka.

X. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

34. člen

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

– vrste zadevnih osebnih podatkov;

– namene obdelave;

– trajanje hrambe osebnih podatkov ali merila, ki se uporabijo za določitev tega obdobja;

– uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

– obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

– pravico do vložitve pritožbe pri nadzornem organu;

– kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

–  obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter vsaj v   takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

35. člen

Poleg pravice do posredovanja osebnih podatkov ima posameznik prav tako:

– pravico do popravka;

– pravico do izbrisa (pravico do pozabe);

– pravico do omejitve obdelave;

– pravico do obveščanja drugih uporabnikov v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave;

– pravico do prenosljivosti podatkov.

36. člen

Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo.

Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

37. člen

Posameznik lahko kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke.

Upravljavec osebnih podatkov je dolžan v desetih (10) dneh ustrezno preprečiti uporabo osebnih podatkov ter o tem v nadaljnjih petih (5) dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval.

XI. PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

38. člen

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb Uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz Uredbe, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo.

Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

XII. KONČNE DOLOČBE

39. člen

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci pri upravljavcu osebnih podatkov, ki pridejo v stik z osebnimi podatki.

Pravilnik prične veljati dne 25.5.2018.

V Kranju, 24.5.2018

ESTETIKA FABJAN d.o.o. Splošna in plastična kirurgija, ki jo zastopa Gašper Fabjan

Na podlagi 35. člena Uredbe (EU) 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) izvajalec zdravstvene dejavnosti ESTETIKA FABJAN d.o.o. Splošna in plastična kirurgija sprejme

OCENO UČINKA V ZVEZI Z VARSTVOM PODATKOV

1. člen

Ocena učinka pomeni oceno izvora, narave, posebnosti in resnosti tveganja pri obdelavi osebnih podatkov ter ukrepe za omejitev tveganja pri obdelavi osebnih podatkov.

Izvajalec izdela in sprejme Oceno učinka v zvezi z varstvom podatkov z namenom pravočasne identifikacije tveganj in z namenom sprejema ustreznih ukrepov za obvladovanje tveganj, da se v največji možni meri prepreči, da bi prišlo do kršitve zakonodaje iz področja varstva podatkov.

Ocena učinka v zvezi z varstvom podatkov je preventivni ukrep varstva osebnih podatkov za zagotavljanje načela zakonitosti in odgovornosti pri obdelavi osebnih podatkov, ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov.

2. člen

  1. OPIS PROJEKTA – opis predvidenih dejanj obdelave in namenov obdelave

Opis dejanja obdelave Obrazložitev in smernice V praksi izvajalca
1. nabor osebnih podatkov Nabor osebnih podatkov, ki se bodo obdelovali, moramo čim bolj natančno določiti. Pri tem pazimo na to, da:

  • obdelava pomeni kakršnokoli ravnanje z osebnimi podatki,
  • je osebni podatek katera koli informacija v zvezi z določenim ali določljivim posameznikom; osebni podatek se nanaša na posameznika in sicer ne glede na obliko, v kateri je izražen;
  • na določljivost ne smemo gledati samo skozi naše sposobnosti, podatke in znanje – temveč tudi, ali bi kdo drug brez nesorazmerno veliko naporov, časa, ali sredstev lahko ugotovil, na koga se podatek nanaša,
  • za obdelavo osebnih podatkov potrebujemo pravno podlago (zakon ali pogodba oz. izrecna in jasna privolitev posameznika).
Vrste osebnih podatkov, ki jih obdelujemo:

  • osebni podatki: ime, priimek, naslov, izobrazba, poklic, zaposlitev, drugi podatki, ki jih posreduje posameznik;
  • posebna vrsta osebnih podatkov: podatki o zdravstvenem stanju posameznikov, podatek o članstvu v sindikatu, podatki v zvezi s posameznikovim spolnim življenjem in spolno usmerjenostjo, biometrični podatki za namene avtentikacije ali identifikacije posameznika
2. namen obdelave
  • samo za namen, določen z zakonom ali izrecno privolitvijo posameznika in le za namen, za katerega so zbrani
  • razločevati obdelavo, ki ima podlago v zakonu in podlago v osebni privolitvi posameznika
3.zakonitost:

način in sredstva za pridobivanje in obdelavo podatkov (mediji, internet, človeški vir) in podatkovni tokovi

Podatke pridobivamo na podlagi zakona, pogodbe ali izrecne in jasne privolitve posameznika.

Za zagotavljanje zakonitosti v procesu obdelave upoštevamo:

  • od posameznika pridobljene osebne podatke,
  • podatki se hranijo v informacijskem sistemu in fasciklih,
  • podatki se obdelujejo ročno in v informacijskem sistemu,
  • podatki se posredujejo tretjim le v skladu s Pravilnikom in internim aktom,
  • osebne podatke lahko obdeluje s z internim aktom določena oseba,  
  • podatki so varovani skladno s Pravilnikom,
  • podatki se hranijo skladno z internim aktom,  
  • po poteku obdelave bodo podatki uničeni prek pogodbenega partnerja.
Pravna podlaga za zbiranje, hrambo ali drugo vrsto obdelave osebnih podatkov:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti v primeru otrok
3. udeleženi subjekti pri obdelavi
  • vnaprej določene osebe na podlagi zakona ali pogodbe ali notranjega akta obdelovalca podatkov
  • izvajalec ali po izvajalcu pooblaščena oseba; drugim osebam se obdelava osebnih podatkov onemogoči.

  1. TVEGANJA

vrsta tveganja Verjetnost resnost stopnja tveganja ukrep
obdelava podatkov brez podlage v zakonu majhna, ker se večina podatkov pri izvajanju dejavnosti izvajalca obdeluje na podlagi zakona velika, če bi izvajalec obdeloval podatke brez podlage v zakonu, saj so predpisane visoke globe nizka, saj se večina podatkov obdeluje na podlagi predložene kartice zdravstvenega zavarovanja posameznika, na podlagi zakona – omejimo obdelavo podatkov,

– pridobimo ustrezno obliko privolitve posameznika,

-pazimo, da vpogledamo v podatke, ki so zapisani na kartici zdravstvenega zavarovanja posameznika samo v primerih, ki jih določa zakon

privolitev posameznika ni veljavna majhna, ker se večina podatkov obdeluje na podlagi zakona in ni potrebna privolitev posameznika velika, ker so izjemno visoke kazni za primer nezakonite obdelave osebnih podatkov, izven okvirjev, ki jih določa zakon ali brez privolitve posameznika nizka, saj se večina podatkov obdeluje na podlagi predložene kartice zdravstvenega zavarovanja posameznika, na podlagi zakona – podrobno preverimo pogoje za veljavnosti privolitve in jih upoštevamo pri snovanju obrazca za privolitev
zbrani podatki niso točni majhna, ker se večina podatkov pri obdelavi obdeluje in zbira preko informacijskega sistema – torej gre za avtomatizirano uporabo in vnos podatkov majhna, ker se uporabljajo podatki, ki so že zbrani v informacijskem sistemu za zavarovano osebo preko kartice zdravstvenega zavarovanja nizka – ažuriramo podatke in netočne nadomestimo s točnimi – po postopku, ki zagotavlja sledljivost spremembe podatkov
uničenje ali izguba podatkov (listine, računalniški mediji) majhna, ker so podatki v obliki listin shranjeni v ustreznih omarah, v zaklenjenem prostoru; podatki na računalnikih so varovani z varnostnimi kopijami visoka, ker izguba osebnih podatkov lahko pomeni hudo škodo za posameznika visoka – dokumente listine shranjujemo v zaklenjenih, protipožarnih omarah, predalih,

-podatke na računalniških in elektronskih medijih kopiramo in delamo varnostne kopije

obdelava podatkov izven namena obdelave srednja, saj so vse osebe, ki sodelujejo v procesu obdelave podatkov ustrezno poučene o pomembnosti varstva osebnih podatkov; tveganje pa kljub temu obstaja, še posebej v primerih seznanitve s posebnimi podatki javnih oseb in/ali znancev, prijateljev visoka, saj nenamenska obdelava osebnih podatkov pomeni hudo škodo za posameznika srednja – uvede se sledljivost obdelave podatkov

– uvede se izobraževanje oseb, ki sodelujejo v postopku obdelave podatkov

– uvede se omejitev dostopa do osebnih podatkov

pošiljanje podatkov po elektronski poti srednja, saj so posredovani podatki ustrezno kodirani in šifrirani; verjetnost tveganja pa obstaja v primeru, da podatek v pošiljanju prestrežejo računalniški in IT strokovnjaki Visoka, saj gre za obdelavo posebnih vrst osebnih podatkov in lahko zloraba podatkov pri pošiljanju povzroči posamezniku hudo škodo srednja – podatke šifriramo in kriptiramo

-šifrirno kodo pošljemo naslovniku po drugem mediju, ne istem, po katerem pošiljamo podatek

sodelovanje s pogodbenimi obdelovalci osebnih podatkov visoka, v kolikor nimamo sklenjene ustrezne pogodbe o obdelavi osebnih podatkov, s točno določenim namenom obdelave in varnostnimi ukrepi pri obdelavi visoka, saj se s podatki lahko seznani širok krog oseb, izven nadzora in kontrole obdelovalca podatkov visoka – sklenjena ustrezna pogodba o obdelavi podatkov z zunanjimi poslovnimi subjekti – tretjimi osebami, z določenimi ukrepi varovanja tveganj pri obdelavi osebnih podatkov

  1. UKREPI ZA OMEJITEV TVEGANJA (ukrepi za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostni ukrepi ter mehanizmi za zagotavljanje  varstva osebnih podatkov in za dokazovanje skladnosti )

VRSTE UKREPOV OBRAZLOŽITEV
ukrepi, ki prispevajo k varstvu pravic posameznika
  • informiranje posameznika o obdelavi podatkov;
  • pravica do seznanitve in prenosljivosti podatkov;
  • pravica do popravka in izbrisa podatkov;
  • pravica do ugovora in omejitve obdelave;
  • odnosi s (pogodbenimi) obdelovalci;
  • varovalke glede prenosa podatkov v tretje države;
  • predhodno posvetovanje.
ocena potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen Ukrepi, ki prispevajo k upoštevanju nujnosti in sorazmernosti:

  • določeni, izrecni in zakoniti nameni obdelave;
  • zakonitost obdelave;
  • obdelava je ustrezna, relevantna in omejena na to, kar je potrebno za namene, za katere se obdelujejo podatki;
  • upoštevana je omejitev shranjevanja – roki hrambe.

Pri zakonskih podlagah obdelave podatkov načeloma sorazmernost upošteva že zakonodajalec z vsebino zakonske določbe.

Pri projektih morajo odgovorni na projektu določiti minimalni zadostni nabor osebnih podatkov, s katerim lahko dosežemo namen obdelave:

  • če določeni osebni podatki niso potrebni, potem naj se jih ne zbira (pogosto zadostujejo anonimizirana ali statistični podatki),
  • če so osebni podatki potrebni, potem uporabiti manj občutljive/posebne od bolj občutljivih, ne zbirati več enoličnih identifikatorjev, če to ni nujno potrebno.

Nabor osebnih podatkov poskusimo skrčiti na minimum.

Na sorazmernost pazimo v vseh fazah – tudi npr. pri:

  • oblikovanju iskalnikov (kakšni so možni iskalni kriteriji, kaj se izpiše pri rezultatih iskanja);
  • uporabniških pravicah (ali določen uporabnik res potrebuje dostop do določenih podatkov-nivojski dostop) – več podatkov pomeni večje zahteve za sledljivost.

DOSTOP DO OSEBNIH PODATKOV:

  • vnaprej določeni osebi, minimalen nabor podatkov, sledljivost.

Kjer je možno – ohraniti osebne podatke pod nadzorom posameznika (npr. biometrijski vzorci in druge vrste posebnih podatkov je varneje in skladneje z načelom sorazmernosti imeti na kartici ali drugem mediju, s katerim razpolaga posameznik, ki ima pooblastila za obdelavo osebnih podatkov).

Preverimo, ali lahko zmanjšamo tveganje za zlorabe in se izognemo centralizirani hrambi podatkov.

preveritev pravne podlage Pravno podlago za obdelavo osebnih podatkov lahko daje zakon ali osebna privolitev posameznika ali pogodba.

Če je pravna podlaga privolitev posameznika, moramo biti pozorni, da:

  • preučimo in redno spremljamo način pridobivanja, dokazovanja in preklica privolitve,
  • da se kot privolitev ne šteje molk posameznika,
  • da se za privolitev šteje le prostovoljna, jasna in svobodna izjava volje posameznika, da se določeni njegovi osebni podatki obdelujejo za določene namene,
  • da je informiranost posameznika le predpogoj za pravno podlago, ne nadomesti pa njegove privolitve
  • da je privolitev lahko pisna, ustna ali tudi na drug način podana privolitev (npr. klik na povezavo ali gumb na spletni strani),
  • da je npr. na spletnih straneh ali drugih oblikah privolitvene izjave pravilno postaviti potrditvena okenca privzeto prazna, ne pa vnaprej zapolnjena.
preveritev pogodbene obdelave Če bo določena opravila nad osebnimi podatki izvajal pogodbeni obdelovalec, moramo upoštevati zahteve iz Zakona o varstvu osebnih podatkov in evropske Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov – pisna pogodba in konkretizirani postopki za zavarovanje osebnih podatkov pri pogodbenem partnerju.

VEDETI MORAMO: obdelava pomeni kakršnokoli ravnanje z osebnimi podatki – tudi samo shranjevanje, pošiljanje ali uničenje podatkov se šteje za obdelavo osebnih podatkov! Pri tem je nepomembno celo, ali pogodbeni obdelovalec (ne) ve, na koga se osebni podatki nanašajo! Na pogodbeno obdelavo moramo gledati skozi oči posameznika – ali bi lahko prišlo do zlorabe osebnih podatkov pri pogodbenem obdelovalcu.

Pogodbena obdelava

Pogodbenega obdelovalca imamo pravico in dolžnost nadzorovati, saj gre le za našo podaljšano roko! Tako kot bi sami morali varovati osebne podatke, jih mora tudi pogodbeni obdelovalec.

VEDETI MORAMO: zaposleni pri pogodbenem obdelovalcu morajo biti natančno poučeni, kaj smejo in kaj ne smejo z osebnimi podatki!

preveritev točnosti in ažurnosti
  • osebni podatki morajo biti točni in ažurni;
  • pred vnosom osebnih podatkov v zbirko se lahko preveri točnost podatkov z vpogledom v osebni dokument,
  • predvidene imamo postopke za dopolnitev, brisanje ali popravek netočnih in neažurnih podatkov;
uporaba istega povezovalnega znaka
  • isti povezovalni znaki so npr.: EMŠO, davčna številka, številka zdravstvenega zavarovanja,…
  • pri pridobivanju osebnih podatkov iz zbir osebnih podatkov s področja zdravstva, policije, sodstva, državnega tožilstva ter kazenske evidence in prekrškovnih evidenc ni dovoljena uporaba istega povezovalnega znaka na način, da bi se za pridobitev osebnega podatka uporabil samo ta znak;
  • iskalnike in uporabo šifrantov moramo ustrezno prilagoditi.
posredovanje
  • osebne podatke se lahko posreduje uporabnikom osebnih podatkov, ki razpolagajo z ustrezno pravno podlago.
informacijska varnost – interni akti Osebni podatki morajo biti med obdelavo ustrezno zavarovani s postopki in ukrepi, s katerimi preprečujemo dostopnost podatkov nepooblaščenim osebam, njihovo uničenje, spreminjanje ali drugo zlorabo.

Upoštevamo naslednje ukrepe za obvladovanje splošnih tveganj v povezavi z varnostjo podatkov:

  • sprejete imamo interne akte o varnosti osebnih podatkov,
  • ob uvedbi novega projekta je treba posodobiti interni akt;
  • s pogodbenimi obdelovalci osebnih podatkov imamo sklenjene ustrezne pogodbe,
  • uporabljamo ukrepe za fizično in komunikacijsko varnost podatkov,
  • podatki so šifrirani med prenosom in med hrambo,
  • opredeljene in vzdrževane so pravice uporabnikov za dostop do podatkov,
  • beležimo dostope do osebnih podatkov,
  • udeležene osebe smo ozavestili glede zakonodaje o varstvu osebnih podatkov,
  • drugo (navedite):________________________________________________________

                ___________________________________________________________________________

določitev odgovornih oseb
  • določen, dokumentiran ter ažuriran mora biti nabor odgovornih oseb za posamezno zbirko osebnih podatkov ter oseb, ki imajo pooblastila za dostop do osebnih podatkov (dostopne pravice/varnostna shema).
notranja sledljivost obdelave
  • sistem mora omogočati poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil;
  • zavarovanje je potrebno in dopustno prilagoditi naravi in tveganju, ki ga prinaša obdelava določenih vrst osebnih podatkov.
  • pri posebnih vrstah osebnih podatkih, pri velikih zbirkah osebnih podatkov in v primerih, kjer je tveganje za zlorabe ali »vrednost« osebnih podatkov velika, je treba slediti vsak vpogled v osebne podatke.
  • posebno pozornost nameniti nadzoru sistemskih administratorjev in verodostojnosti revizijskih sledi/dnevnikov aktivnosti!
  • pri zbirkah, ki se vodijo na papirju (npr. kadrovska evidenca), izvesti analizo tveganja in prilagoditi ukrepe za zavarovanje.
zunanja sledljivost obdelave (posredovanje)
  • zagotoviti pri vsakem posredovanju osebnih podatkov naknadno ugotovitev, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni pravni podlagi
sistem za uveljavljanje varovanja informacij
  • pri kompleksnejših projektih velja razmisliti o uvedbi celovitega in sistematičnega pristopa k varovanju informacij – uvedbi sistema za upravljanje varovanja informacij (SUVI). Priporočila podaja npr. standard ISO 27001.
interni nadzor
  • redno izvajanje internega nadzora s preverjanjem:
  • ali znamo odkriti zlorabe osebnih podatkov?
  • ali znamo ločiti, če naši zaposleni uporabljajo osebne podatke za legitimne in zakonite namene, ali gre za radovednost in usluge prijateljem?
  • varnost osebnih podatkov temelji tudi na ustrezni izobraženosti in ozaveščenosti zaposlenih – človeški faktor je pogost vzrok zlorab.
katalogi in register podatkov
  • za vsako zbirko osebnih podatkov moramo pravočasno oblikovati katalog (opis) zbirke osebnih podatkov
videonadzor
  • tudi pri videonadzoru je pomembna sorazmernost – snemanje morda ni potrebno ves čas, področje snemanja naj se omeji samo na tista področja, kjer je to potrebno za varovanje premoženja ali ljudi;
  • izognimo se snemanju na delovnem mestu, če res ni nujno potrebno;