UNIFOREST proizvodnja, trgovina in storitve, d.o.o. (v nadaljevanju upravljalec), Latkova vas 81D, 3312 Prebold, ki ga zastopa direktor Drago Pintar, v skladu z določili veljavnih predpisov na podlagi Uredbe (EU) 2016/679 Evropskega Parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) in na podlagi Zakona o varstvu osebnih podatkov – ZVOP-2 (Uradni list RS, št. 163/2022) sprejema naslednji

PRAVILNIK o varstvu osebnih podatkov


SPLOŠNE DOLOČBE


1. člen


S tem pravilnikom se določa namen obdelave osebnih podatkov, vrste osebnih podatkov, ki naj bi se obdelovale ter rok hrambe, arhiviranja ali izbrisa osebnih podatkov, s katerimi upravlja UNIFOREST d.o.o. (v nadaljevanju: upravljavec). V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe veljavnih predpisov.


2. člen


Izrazi, ki so uporabljeni v tem pravilniku, imajo v skladu z veljavnimi predpisi naslednji pomen:

1. »osebni podatki« pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

2. »obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

3. »omejitev obdelave« pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

4. »psevdonimizacija« pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

5. »zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

6. »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

7. »obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

8. »uporabnik« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

9. »tretja oseba« pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

10. »privolitev posameznika« na katerega se nanašajo osebni podatki pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

11. »kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

12. »biometrični podatki« pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

13. »podjetje« pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

14. »nadzorni organ« pomeni Informacijskega pooblaščenca, določenega z zakonom, ki ureja informacijskega pooblaščenca;

15. »čezmejna obdelava osebnih podatkov« pomeni bodisi: a) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi b) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

16. »povezovanje zbirk« pomeni povezavo vsaj dveh zbirk, tako, da se omogoči, da se vsebina osebnih podatkov v različnih zbirkah samodejno posodablja na način, da so osebni podatki v zbirki osebnih podatkov posodobljeni ali da je avtomatično navedena oznaka, da je osebni podatek spremenjen.


NAMEN OBDELAVE OSEBNIH PODATKOV IN ZBIRKE


3. člen


Upravljalec sam ali po pooblaščenem obdelovalcu obdeluje osebne podatke zaposlenih, kupcev oziroma poslovnih partnerjev in sicer za potrebe:

  • izvajanja kadrovske funkcije v družbi (prijave delavcev ob zaposlitvi, pridobivanje novih kadrov, obračun plač zaposlenih, naročanje zaščitnih sredstev, priprave internega telefonskega imenika, novoletna obdarovanja otrok in podobno),
  • izvajanja zakonsko določenih obdelav in poročanje pristojnim institucijam,
  • izvajanja komercialne dejavnosti podjetja.

Upravljavec za vsak strukturiran niz osebnih podatkov, ki je centraliziran, vzpostavi zbirko.

Upravljavec mora skrbeti za točnost in ažurnost vsebine zbirke.

Upravljalec vodi evidenco dejavnosti obdelovalcev osebnih podatkov.


4. člen

Upravljalec v podjetju vodi naslednje zbirke:

  • evidence, ki so vezane na zaposlene v družbi oziroma na delovno razmerje,
  • evidence, ki so vezane na zakonsko poročanje (sem sodijo npr. evidence o izrabi
  • delovnega časa in podobno, kar je potrebno voditi skladno z zakonom, v tem primeru
  • npr. ZDR-1),
  • evidenco naročnikov storitev, kupcev in ostalih poslovnih partnerjev.

Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri so izraženi. V smislu prvega odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:

  • identifikacijski podatki o posamezniku,
  • podatki, ki se nanašajo na družinska razmerja,
  • podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,
  • podatki o zaposlitvi,
  • podatki o socialnem in ekonomskem stanju posameznika,
  • podatki o izobrazbi in pridobljenih znanjih,
  • podatki o uporabi komunikacijskih sredstev,
  • podatki o aktivnostih v prostem času,
  • podatki o navadah posameznika.

Upravljalec lahko osebne podatke zbira ali obdeluje za drug namen kot je prvotni namen njihovega zbiranja ali obdelave določen v prvem odstavku 4. člena tega pravilnika in sicer pod pogojem pisne presoje o združljivosti novega namena obdelave, ki vključuje naslednja merila:

a) ali so izpolnjene zahteve glede zakonitosti, poštenosti in sorazmernosti prvotne obdelave;

b) oceno združljivosti načrtovanega namena s prvotnim namenom obdelave ali zbiranja;

c) oceno poštenosti in sorazmernosti načrtovane nadaljnje obdelave;

č) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

e) razumna pričakovanja posameznikov, na katere se nanašajo zadevni osebni podatki, še zlasti pa morebitne posledice načrtovane nadaljnje obdelave na njihove pravice in obveznosti, položaje ali osebna stanja,

f) obstoj ustreznih ukrepov varnosti glede obdelave osebnih podatkov (v nadaljnjem besedilu: zavarovanje osebnih podatkov), ki lahko vključujejo tudi psevdonimizacijo, anonimizacijo ali kriptiranje.

Obdelava za drug namen od prvotnega se lahko brez zagotovitve posebne pravne podlage izvede le, če pisna presoja po prejšnjih odstavkih jasno pokaže, da je razširitev obdelave osebnih podatkov potrebna zaradi uresničevanja zakonitih interesov upravljavca in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki. Pisna presoja po tem odstavku je del dokumentacije, s katero upravljavec izkazuje skladnost njegove obdelave s pravili iz določb veljavnih predpisov. Ob upoštevanju četrtega in petega odstavka 4. člena pravilnika, je obdelava osebnih podatkov za drug namen dovoljena le, če:

a) je podana privolitev posameznika, na katerega se nanašajo osebni podatki,

b) obdelavo za drug namen določa zakon ali pravni akt ali odločitev Evropske unije, ki je enakovreden zakonu in se v Republiki Sloveniji uporablja neposredno,

c) je to potrebno za namene preprečevanja, preiskovanja, odkrivanja, pregona kaznivih dejanj ali prekrškov, izvrševanje kazenskih sankcij, varovanje pred grožnjami javni varnosti in njihovim preprečevanjem, varnosti države ali obrambe, ali

č) je to potrebno za uveljavljanje, izvajanje ali obrambo civilnopravnih zahtevkov, če ne prevladujejo interesi posameznika, na katerega se nanašajo osebni podatki, zlasti zaupnost pravnega razmerja, iz katerega izvira obdelava osebnih podatkov.


5. člen


Posamezna zbirka je lahko sestavljena iz ene ali več fizičnih zbirk.


6. člen


Fizična zbirka lahko obstaja v:

  • papirni obliki (knjiga, registrator, datotečna omara, ipd.);
  • elektronski obliki (CD-ROMi, USB ključi in drugi nosilci elektronskih zapisov).


7. člen


Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako da se:

  • varujejo prostori, aparaturna in sistemska programska oprema, vključno z vhodnimi in izhodnimi enotami;
  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  • zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  • onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk;
  • omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, za katero se posamezni podatki shranjujejo.


IZJAVA O SEZNANJENOSTI Z VARSTVOM OSEBNIH PODATKOV


8. člen


Delavci upravljalca in zunanji izvajalci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni s Splošno uredbo, z zakonodajo v zvezi z varstvom osebnih podatkov in s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika. Oseba, ki za družbo opravlja delo, na podlagi katerega se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti in ga opozarja na posledice kršitve zaveze. Izjava o varovanju osebnih podatkov vsebuje tudi določbo, da obveza varovanja osebnih podatkov, s katerimi se oseba, ki za družbo opravlja delo, na podlagi katerega se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov seznani pri svojem delu, traja tudi po prenehanju delovnega oziroma pogodbenega razmerja. Določba o obveznosti varovanja osebnih podatkov iz prejšnjega odstavka tega člena se smiselno vključi v pogodbe z zunanjimi izvajalci.


VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME


9. člen


Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka – in strojna ter programska oprema (v nadaljevanju besedila: varovani prostori) morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz 1. odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja generalnega direktorja. Nosilci osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oziroma izven varovanih prostorov, morajo biti stalno shranjeni v zaklenjenem prostoru v uradni arhivi podjetja.


10. člen


Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni v zaklenjenih omarah v delovnih prostorih.

Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, mora biti izven delovnega časa izklopljena in fizično ali programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku računalnika pa kodiran.


11. člen


V varovane prostore (tajništvo, kadrovsko službo, računovodsko in finančno službo, prostore arhive ter ostale prostore uprave) osebe, ki ne delajo v prostorih in ki niso zaposlene v podjetju, ne smejo vstopati brez predhodne najave in dovoljenja generalnega direktorja. Delavci, ki delajo v varovanih prostorih, morajo vestno in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti prostor. Delavec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem. V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso zaposlene v podjetju, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni v času obdelave ali dela na njih tako, da strankam ni omogočen vpogled vanje.


12. člen


Nosilcev osebnih podatkov delavci podjetja ne smejo odnašati izven podjetja brez izrecnega dovoljenja generalnega direktorja. Obdelovanje osebnih podatkov iz zbirk je dovoljeno le v prostorih podjetja. Posredovanje osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki izkažejo zakonsko ali pogodbeno podlago za pridobitev osebnih podatkov, dovoli direktor. Delavec, ki s soglasjem direktorja posreduje osebne podatke eksternim institucijam in drugim, ki izkažejo zakonsko ali pogodbeno podlago za pridobitev osebnih podatkov, mora dejstva o posredovanju osebnih podatkov ustrezno evidentirati oziroma dokumentirati.


13. člen


Vzdrževanje in popravilo strojne računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe (ali direktorja), izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s podjetjem sklenjeno pogodbo o servisiranju računalniške oziroma strojne opreme.


14. člen


Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih le ob prisotnosti delavca podjetja in z dovoljenjem generalnega direktorja.


ZAVAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO


15. člen


Dostop do računalniške programske opreme mora biti varovan, na način, ki omogoča dostop samo določenim pooblaščenim delavcem in delavcem, ki za podjetje po pogodbi opravljajo servisiranje računalniške in programske opreme.


16. člen


Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve generalnega direktorja, izvajajo pa ga lahko samo pooblaščeni servis in podjetja oziroma njihovi delavci, ki imajo s podjetjem sklenjeno ustrezno pogodbo.


17. člen


Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.

Delavec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali dopolnjevanja sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija uniči.

Delavec, pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku, mora biti v času servisiranja računalnika in programske opreme vse čas prisoten in mora nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.


18. člen


Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se dnevno preverja glede na prisotnost računalniških virusov.

Ob pojavi računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da se ugotovi vzrok pojava virusa.


19. člen


Zaposleni delavci ne smejo brez izrecnega dovoljenja generalnega direktorja inštalirati programske opreme in odnašati programske opreme iz prostora podjetja.


DOSTOPNOST


20. člen


Upravljavec mora zagotoviti dostopnost obdelovanih podatkov. Pristop do podatkov prek aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Pooblaščena oseba oziroma direktor določi režim dodeljevanja, hranjenja in spreminjanja gesel.


21. člen


Vsa gesla in postopki, ki se uporabljajo za vstop in za administriranje v mreži osebnih računalnikov, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, se hranijo v zaprtih ovojnicah na upravi podjetja. Varovana gesla, hranjena v zaprtih ovojnicah, se smejo uporabiti v izjemnih in nujnih primerih. Vsaka uporaba vsebine zaprtih ovojnic se dokumentira.


22. člen


Za potrebe restavriranja osebnih podatkov oziroma računalniškega sistema po okvarah ali izgubi podatkov iz drugih razlogov, mora podjetje redno izdelovati kopije vsebine osebnih podatkov, ki jih ustrezno vodi. Vse izdelane kopije vsebin zbirk osebnih podatkov se morajo vpisati v knjigo evidenc dejavnosti obdelave. Računalniške kopije vsebin zbirk osebnih podatkov na ključih, diskih ali drugih medijih se hranijo v zavarovanih zaklenjenih omarah.


RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI


23. člen


Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku priporočeno. Prenašanje osebnih podatkov prek telekomunikacijskih sredstev, elektronske pošte ali drugih računalniških medijev izven prostorov podjetja mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje prilaščanje, uničevanje ali nedovoljeno seznanjanje z njihovo vsebino. Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.


ZAUPNOST PODATKOV


24. člen


Upravljavec mora zagotoviti zaupnost obdelovanih podatkov. Organizacijsko, se zaupnost podatkov lahko zagotavlja v aktu o sistematizaciji delovnih mest, kjer se za vsako delovno mesto opredelijo pravice in pooblastila na posamezni zbirki. Če to v sistemizaciji delovni mest ni podrobneje opredeljeno, omenjene pravice in pooblastila izhajajo iz organizacijskega predpisa, ki je sprejet na podlagi tega pravilnika. Za vsako delovno mesto se v notranjih aktih upravljalca lahko opredeli tudi dolžnost varovanja zaupnosti osebnih podatkov. Zaupnost podatkov se zagotavlja tudi s fizičnim varovanjem prostorov, sistemske in aplikativne programske opreme ter podatkovnih nosilcev.


POSREDOVANJE

25. člen


Upravljavec osebnih podatkov mora proti plačilu stroškov posredovanja, če zakon ne določa drugače, posredovati osebne podatke uporabnikom osebnih podatkov.


26. člen


Upravljavec mora za vsak prenos osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in po kateri pravni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravic posameznika, na katerega se nanašajo osebni podatki, zaradi nedopustnega posredovanja osebnih podatkov. Osebni podatki naročnikov se zbirajo v ustrezni programski opremi, ki je zaščitena z vstopnimi kodami. Namen zbiranja in obdelave podatkov je vzdrževanje aktivne evidence naročnikov storitev.


ROK HRAMBE OSEBNIH PODATKOV


27. člen


Upravljalec v skladu z načelom sorazmernosti in namenom obdelave osebne podatke iz 4. člena pravilnika, hrani najkrajše mogoče obdobje, v skladu z veljavno zakonodajo.


BRISANJE

28. člen


Po prenehanju potrebe po vodenju osebnih podatkov se podatki zbrišejo oziroma uničijo nosilci podatkov, če to ni v nasprotju z veljavnimi splošnimi pravili, aktualnim pogodbenim razmerjem ali naravo delovnega razmerja.


29. člen


Za brisanje podatkov z nosilcev podatkov se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo (zažgejo, razrežejo) v prostorih upravljalca, pod nadzorom pooblaščenega delavca upravljalca pa lahko tudi pri drugi organizaciji, ki se ukvarja z uničevanjem zaupne dokumentacije.


30. člen


Z vestnostjo in skrbnostjo določeno s tem pravilnikom za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke. Uničevanje osebnih podatkov na nosilcih iz predhodnega odstavka se mora izvajati tekoče in ažurno.


UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV


31. člen


Zaposleni v podjetju so dolžni izvajati ukrepe za preprečevanje zlorab osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Delavec, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničevanje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko, mora takoj o tem obvestiti generalnega direktorja in pooblaščenega delavca, ki vodi in ureja zbirko, ki je bila zlorabljena ali v katero se je vdrlo.


32. člen


Upravljalec mora o kršitvah varstva osebnih podatkov v 72 urah od seznanitve s kršitvijo, poslati uradno obvestilo informacijskemu pooblaščencu, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljalca. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljalec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov. Direktor mora zoper tistega, ki je zlorabil osebne podatke ali nepooblaščeno vdrl v zbirko, ustrezno ukrepati. Če obstaja sum pri vdoru v zbirko, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani ali če je do zlorabe osebnih podatkov že prišlo, mora generalni direktor poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je ta delavec podjetja, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona. Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v veljavnih predpisih, na podlagi katerih se zbirajo ali nameni, določenimi v zbirkah. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.


PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI


33. člen


Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a) namene obdelave;

(b) vrste zadevnih osebnih podatkov;

(c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f) pravico do vložitve pritožbe pri nadzornem organu;

(g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom.

Posameznik pred predajo osebnih podatkov podpiše posebno izjavo, na kateri označi osebne podatke, ki jih želi predati, ter določi namen, za katerega dovoljuje uporabo osebnih podatkov. Na zahtevo posameznika upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju dejanskih stroškov. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga; Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 4 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.


34. člen


Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, skladno z 8. členom tega pravilnika, ki ga zavezuje k varovanje osebnih podatkov kot poklicne skrivnosti in ki ga opozarja na posledice kršitve zaveze


35. člen


Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbene obveznosti.


36. člen


Delavec stori lažjo kršitev delovne dolžnosti:

  • če opusti vestno in skrbno nadzorovanje varovanih prostorov (prva točka 7. člena tega pravilnika);
  • če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov (5. točka prvega odstavka 7. člena tega pravilnika);
  • če ne uniči kopije osebnih podatkov v primerih iz 2. odstavka 25. člena tega pravilnika;
  • če ni ves čas servisiranja računalnika in programske opreme prisoten (3. odstavek 20. tega pravilnika);
  • če ne izvaja preventive v zvezi z računalniškimi virusi (21. člen tega pravilnika);
  • če ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o ravnanju z osebnimi podatki (1. odstavek 25. člena tega pravilnika) in
  • če ne obvesti direktorja ali pooblaščenega delavca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov (2. odstavek 34. člena tega pravilnika).


37. člen


Delavec stori hujšo kršitev delovne dolžnosti:

  • če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, sodelavcem ali drugim osebam;
  • če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam (2. odstavek 14. člena tega pravilnika);
  • če brez izrecnega dovoljenja odnaša iz prostorov podjetja nosilce osebnih podatkov (15. člen tega pravilnika);
  • če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja direktorja (3. odstavek 15. člena tega pravilnika);
  • če ne dokumentira dejstva o posredovanju osebnih podatkov zunanjim institucijam (4. odstavek 15. člena tega pravilnika);
  • če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo (19. člen tega pravilnika);
  • če inštalira ali odnese programsko opremo iz prostorov podjetja brez izrecnega dovoljenja generalnega direktorja ali svojega vodje (22. člen tega pravilnika);
  • če ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zaklenjenih omarah (2. odstavek 22. člena tega pravilnika).


POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH V PODJETJU


38. člen


Za vzpostavitev, vodenje, ažuriranje in ravnanje z zbirkami osebnih podatkov in osebnimi podatki vodenimi v podjetju so odgovorne osebe, ki so za to zadolžene in pooblaščene skladno s podpisano pogodbo o zaposlitvi oziroma posebno izjavo.


39. člen


Zbirke osebnih podatkov delavcev se vzpostavijo ob sklenitvi delovnega razmerja z delavcem oziroma ažurirajo ob vsaki spremembi, ki jo javi delavec. Osebne podatke v zbirki osebnih podatkov delavcev vzpostavi oziroma ažurira kadrovski delavec oziroma finančno računovodski referent zadolžen za obračun plač. Zbirke osebnih podatkov kupcev oziroma poslovnih partnerjev se vzpostavijo ob povpraševanju in nakupu in se ažurirajo ob vsaki spremembi, ki jo javi kupec oziroma poslovni partner.


40. člen


Za hrambo zbirk osebnih podatkov so odgovorni delavci, ki so pooblaščeni za obdelovanje zbirk osebnih podatkov v skladu s pogodbo o zaposlitvi oziroma posebno izjavo.


41. člen


Zbirke osebnih podatkov delavcev podjetja (kadrovske evidence) in druge zbirke osebnih podatkov vodenih v podjetju se hranijo v zaklenjeni omari v kadrovski službi, zbirke osebnih podatkov na področju obračuna plač pa se hranijo v računovodstvu.


42. člen


Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov posebej upoštevaje pri tem veljavno zakonodajo.


POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV


43. člen


V skladu s prvim odstavkom 37. člena Splošne uredbe direktor imenuje pooblaščeno osebo za varstvo podatkov, katere naloge med drugim obsegajo:

  • obveščanje direktorja in zaposlenih o varstvu podatkov ter svetovanje pri obdelavi podatkov;
  • spremljanje skladnosti delovanja družbe z uredbo in drugimi predpisi;
  • svetovanje, kadar je to zahtevano, glede ocene učinka in spremljanje njegovega izvajanja;
  • sodelovanje z informacijskim pooblaščencem, zlasti kot kontakt v zvezi z varstvom osebnih podatkov;
  • druge naloge, povezane z varstvom podatkov.

V roku 8 dni od določitve pooblaščene osebe se njeni podatki vpišejo v evidenco dejavnosti obdelav, njeni kontaktni podatki pa se objavijo na spletnih straneh družbe.


PREHODNE IN KONČNE DOLOČBE


44. člen


Vse spremembe ali dopolnitve predmetnega pravilnika morajo biti pisne in sprejete po enakem postopku kot ta pravilnik. Za vprašanja, ki jih ta pravilnik ne ureja, se neposredno uporabljajo določbe Splošne uredbe in veljavne zakonodaje s področja varstva osebnih podatkov. Z določbami tega pravilnika morajo biti seznanjeni vsi delavci podjetja. Ta pravilnik prejmejo službe oziroma delavci, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov.


45. člen


Pravilnik je objavljen in dostopen na sedežu družbe UNIFOREST d.o.o.. Pravilnik prične veljati z dnem podpisa, uporabljati pa se prične z dnem 18.04.2023.

Prodaja in rezervni deli

+386 3 777 14 00

prodajalna@uniforest.si

Servis

+386 3 777 14 00

servis@uniforest.si


 

Naša prodajna mesta