Varovanje osebnih podatkov

Kazalo vsebine
NAVODILO…………………………………………………………………………………………………………………..2
PRAVILNIK……………………………………………………………………………………………………………………3
o varovanju osebnih podatkov …………………………………………………………………………………3
PRAVILNIK
o postopkih in ukrepih za zavarovanje osebnih podatkov video nadzora……………………….12
IZJAVA O SEZNANITVI IN STRINJANJU ZAPOSLENIH…………………………………………………….16
KATALOG……………………………………………………………………………………………………………………17
ZBIRKE OSEBNIH PODATKOV……………………………………………………………………………………17
POLITIKA ZASEBNOSTI…………………………………………………………………………………………………27
ANALIZA SPLETNE STRANI……………………………………………………………………………………….30
Privacy Policy…………………………………………………………………………………………………………32
Izjave pri pridobivanju soglasij in uveljavljanju pravic………………………………………………….36
Osnovna tehnična navodila za implementacijo…………………………………………………………..37
OBDELOVALCI…………………………………………………………………………………………………………….39
IZJAVA O VARNOSTI OSEBNIH PODATKOV SKLADNO S SPLOŠNO UREDBO O VARSTVU
OSEBNIH PODATKOV (EU 679/2016)…………………………………………………………………………39
SPLOŠNA FORMA – IZJAVA O VARNOSTI OSEBNIH PODATKOV SKLADNO S SPLOŠNO
UREDBO O VARSTVU OSEBNIH PODATKOV (EU 679/2016)…………………………………………..54
SPLOŠNA FORMA – PRILOGA IZJAVI O VARNOSTI OSEBNIH PODATKOV Z NAVODILI………..58
SPLOŠNA FORMA – PRILOGA IZJAVI O VARNOSTI OSEBNIH PODATKOV………………………….59
Pogoji dovoljenja za uporabo dokumentacije za uskladitev poslovanja z GDPR………………….60
Notary.Email storitev in pogoji uporabe………………………………………………………………………..61
OCENA UČINKA………………………………………………………………………………………………………….62
POJASNILO…………………………………………………………………………………………………………………63

NAVODILO

Prevzeli ste dokumentacijo, prosimo, če sledite navodilom, dogovorili se bomo tudi za dodatna
navodila, ki vam jih bomo dali po telefonu ali preko Zoom-a z video konferenco, če vam to bolj
ustreza kot telefon.

Po prevzemu dokumentacije je pomembno da preberete pravilnik in ostalo dokumentacijo in
ocenite ali bi bilo morda potrebno pogoje še dopolniti in spremeniti. V kolikor ugotovite, da bi
bilo potrebno pogoje spremeniti, nam to javite, da vam pri tem pomagamo.

1. Če in ko je pravilnik ustrezen, podpišite pravilnik. Pripravite izjave za zaposlene, jim dajte
   podpisane pravilnike v branje (najbolje v fizični obliki, ker pravilnik vsebuje tudi del varnostne
   politike varovanja osebnih podatkov). Pridobite podpise vseh zaposlenih s priloženo izjavo.
2. V kolikor imate več kot 50 zaposlenih oddajte zbirke osebnih podatkov na portal ip-rs-si.
   Zbirke so urejene na način, da številke vprašanj v registru ustrezajo vašim zaporednim številkam
   pri posamezni zbirki. Če imate manj od 50 zaposlenih, vam zbirk ni treba oddajati pooblaščencu,
   še vedno pa to lahko storite, če želite.
3. Vso dokumentacijo od Politike zasebnosti do konca Tehničnih navodil za implementacijo v tekstovni obliki pošljite svojemu izdelovalcu spletne strani, da na spletni strani uredi vse potrebno. V dokumentu, ki mu ga boste poslali so tako besedila, kot tudi navodilo, kaj vse in kako je treba na spletni strani popraviti.
4. Pridobite podpisane izjave vaših obdelovalcev s pripravljenimi izjavami. Priložena je tudi splošna izjava, ki jo lahko sami izpolnite po navodilih v prilogi z navodili.
5. Preberite še ostale dokumente in pojasnilo.

Ta dokument boste prejeli v obliki PDF, ki omogoča kopiranje besedil. S kopiranjem besedil iz
tega dokumenta si boste pripravili izjave za zaposlene delavce, poslali del besedila svojim spletnim oblikovalcev, pripravili splošno formo za vaše obdelovalce in podobno.

ZA POJASNILA PO PREVZEMU POKLIČITE 041 320 531, Aleš Lipičnik ali ales@informatika.net .

Na podlagi sklepa direktorja družbe TEHNOCOM d.o.o. in na podlagi 24. in 25. člena Zakona o
varstvu osebnih podatkov ( Uradni list RS, 86/04 in 113/05) (v nadaljevanju ZVOP) in evropske
Splošne uredbe o varovanju osebnih podatkov (EU 679/2016 v nadaljevanju EU GDPR) izdaja
podjetje TEHNOCOM d.o.o., Zagrebška cesta 60, 2000 Maribor.

PRAVILNIK

o varovanju osebnih podatkov

I. SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za
zavarovanje osebnih podatkov v TEHNOCOM d.o.o. z namenom, da se prepreči slučajno ali
namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi
nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni in zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke,
morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja
posamezno področje njihovega dela ter z vsebino tega pravilnika.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1. ZVOP – Zakon o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05);
2. EU GDPR – Evropska uredba o varovanju osebnih podatkov
3. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v
   kateri je izražen;
4. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni
   podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira,
   predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so
   značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno
   identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva
   veliko časa;
5. Zbirka osebnih podatkov (seznam) – je vsak strukturiran niz podatkov, ki vsebuje vsaj en
   osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje
   podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na
   funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je
   organiziran na takšen način, da določi ali omogoči določljivost posameznika;
6. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja
   v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del
   zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti
   zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje,
   priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo
   dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali
   uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave);
7. Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali
   zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave
   osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in
   sredstva obdelave;
8. Občutljivi osebni podatki – so podatki o rasnem narodnem ali narodnostnem poreklu,
   političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence
   ter biometrične značilnosti;
9. Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali
   zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki;
   10. Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki
   (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi
   računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za
   prenos podatkov, ipd.);

3. člen

Vsi dokumenti, ki vsebujejo osebne podatke, ki so v papirni ali elektronski obliki so v podjetju
TEHNOCOM d.o.o. varovani v skladu z EU GDPR in ZVOP. Priloga tega pravilnika sta oba
dokumenta v izvirniku.

4. člen

Opis zbirk osebnih podatkov, katerih upravljavec je TEHNOCOM d.o.o., se vodi v katalogu zbirk
osebnih podatkov (opisu zbirk osebnih podatkov), ki se vodi v skladu z določbami 26. člena
ZVOP. Podatki iz 1., 2., 4., 5., točke katalogov zbirk osebnih podatkov se posredujejo državnemu
organu, pristojnemu za vodenje Registra zbirk osebnih podatkov. Katalog zbirke osebnih
podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo
zbirke osebnih podatkov, v istem roku pa se podatki iz kataloga posredujejo tudi pristojnemu
državnemu organu. Katalog zbirk osebnih podatkov se dopolnjuje ob vsaki spremembi vrste
osebnih podatkov v posamezni zbirki, spremembe pa se v roku 8 dni posredujejo tudi
pristojnemu državnemu organu. Če obveznost opisa kataloga zbirk osebnih podatkov zaradi
zakonsko predpisanih okoliščin ali spremembe reda velikosti podjetja ni obvezna, se o vpisu
odloča direktor družbe kot pooblaščenec za varovanje osebnih podatkov v družbi TEHNOCOM
d.o.o..
Zaposleni, ki obdelujejo osebne podatke, morejo biti seznanjeni s katalogom zbirk osebnih
podatkov in vsebino obveznosti, ki jih določa ta pravilnik, ZVOP in EU GDPR, vpogled v katalog
zbirk osebnih podatkov pa je potrebno omogočiti tudi vsakomur, ki to zahteva. Če katero od
obveznosti, ki jih narekujeta ZVOP in EU GDPR v tem pravilniku ni zapisano, veljata oba zakona.
TEHNOCOM d.o.o. je dolžan voditi ažuren seznam, iz katerega je za vsako zbirko osebnih
podatkov jasno razvidno, katera oseba je odgovorna za posamezno zbirko osebnih podatkov ter
katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na
posamezno zbirko osebnih podatkov. V seznam se vpisujejo sledeči podatki: naziv zbirke
osebnih podatkov, osebno ime in delovno mesto osebe, ki je odgovorna za zbirko osebnih
podatkov ter osebno ime in delovno mesto oseb, ki lahko zaradi narave njihovega dela
obdelujejo osebne podatke, ki se nanašajo na zbirko osebnih podatkov. V kolikor v posamezni
zbirki odgovorna oseb, ki je odgovorna za zbirko osebnih podatkov, ni posebej določena, se
razume, da je to direktor podjetja.

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

5. člen

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema
(varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi,
ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja
vodje organizacijske enote.
Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo
v ključavnici v vratih od zunanje strani.
Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti
delavcev, ki jih nadzorujejo.
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene,
računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.
Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo
pravice vpogleda vanje.
Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori)
morajo biti stalno zaklenjeni.
Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov.

6. člen

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški
prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

7. člen

Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo
pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z
TEHNOCOM d.o.o. sklenjeno ustrezno pogodbo.

8. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo
gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke,
varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je
onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in
pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali
programsko zaklenjeni).
III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER

PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

9. člen

Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej
določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo
dogovorjene storitve.

10. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je
dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo
pooblaščeni servisi in organizacije in posamezniki, ki imajo z TEHNOCOM d.o.o. sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne
programske opreme ustrezno dokumentirati.

11. člen

Za shranjevanje in varovanje aplikativne programske opreme kot tudi video posnetkov video
nadzora veljajo enaka določila, kot za ostale podatke iz tega pravilnika. Video nadzor natančno
opredeljuje „PRAVILNIK o postopkih in ukrepih za zavarovanje osebnih podatkov pri izvajanju
video nadzora“, ki je priloga tega pravilnika in stopi v veljavo s trenutkom, ko upravljavec
uvede video nadzorni sistem.

12. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki,
se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa
se tega čim prej odpravi s pomočjo ustrezne strokovne službe TEHNOCOM d.o.o., obenem pa se
ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu.
Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem
informacijskem sistemu, in prispejo v TEHNOCOM d.o.o. na medijih za prenos računalniških
podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede
prisotnosti računalniških virusov.

13. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje
računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz
TEHNOCOM d.o.o. brez odobritve vodje organizacijske enote in vednosti osebe, zadolžene za
delovanje računalniškega informacijskega sistema.

14. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za
avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora
omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki
vnešeni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil.
Pooblaščena oseba določi režim dodeljevanja hranjenja in spreminjanja gesel.

15. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov
(supervizorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje
aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom
nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih.
Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi
nova vsebina gesel.

16. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se
zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj,če se podatki tam
nahajajo.

Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti
poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter
zaklenjena.

IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

17. člen

Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem,
obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za
opravljanje takšne dejavnosti (pogodbeni Obdelovalec), se pripravi Izjava z obveznostmi kot jih
opredeljuje Uredba. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za
zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje
osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali
programsko opremo.
Zunanje pravne ali fizične osebe smejo opravljati samo storitve obdelave osebnih podatkov
samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati
za noben drug namen.
Pooblaščena pravna ali fizična oseba, ki za TEHNOCOM d.o.o. opravlja dogovorjene storitve
izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov,
kakor ga predvideva ta pravilnik.

V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV

18a. člen (papirna oblika)

Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi
podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in
pošiljke, ki na drug način prispejo v TEHNOCOM d.o.o., jih prinesejo stranke ali kurirji, razen
pošiljk iz tretjega in četrtega odstavka tega člena.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene
na drugo fizično osebo, organ, podjetje ali organizacijo in so pomotoma dostavljena ter pošiljk,
ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo
točno določeno osebo.
Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na
delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na
katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in
šele nato naslov podjetja TEHNOCOM d.o.o..

18b. člen (elektronska oblika)

Elektronska sporočila, ki pridejo v elektronski predal podjetja TEHNOCOM d.o.o. lahko odpre
delavec, ki je zadolžen za sprejem elektronske pošte. V kolikor je elektronska pošta namenjena
posameznemu zaposlenemu in je to iz naslova elektronske pošte mogoče razbrati, se
elektronsko sporočilo posreduje delavcu, ki mu je elektronska pošta namenjena, vsebina pošte
pa se ne bere in odpira. V kolikor delavec, ki je zadolžen za prejem elektronske pošte
TEHNOCOM d.o.o. prebere vsebino, ki je namenjena posameznemu zaposlenemu, se tak podatek smatra kot osebna skrivnost pravega prejemnika elektronskega sporočila in dela ali
celote teh podatkov delavec, ki je zadolžen za sprejem pošte ne sme nikomur posredovati ali jih
uporabiti.
Podjetje TEHNOCOM d.o.o. sprejema povpraševanja na spletu s spletnimi obrazci, ki vsebujejo
vse potrebne elemente varovanja osebnih podatkov v skladu z EU GDPR in zagotavlja varno
pošiljanje sporočil podjetju. Na vsakem spletnem obrazcu so jasna pojasnila za kateri namen se
zbirajo osebni podatki, način hranjenja, način varovanja in trajanje hranjenja, kot tudi pravica,
da se iz obdelave osebne podatke posameznika na njegovo željo izbriše.
Podjetje TEHNOCOM d.o.o. ima pripravljen dokument »Politika zasebnosti«, ki je objavljena na
spletni strani in dosegljiva vsem uporabnikom spletnih strani podjetja. O kakršni koli spremembi
pravil poslovanja ali varovanja zasebnosti podjetje TEHNOCOM d.o.o. o tem takoj obvesti vse
posameznike, ki jih vodi na seznamih osebnih podatkov.
Podjetje TEHNOCOM d.o.o. za potrebe obveščanja posameznikov, ki so v zbirkah osebnih
podatkov, ki jih vodi podjetje, za pošiljanje uporablja varen način pošiljanja elektronske pošte z
dokazljivim pošiljanjem, za kar s ponudnikom storitve Viva.Fit d.o.o. sklene pogodbo. Vse
spremembe so objavljene tudi na spletni strani podjetja TEHNOCOM d.o.o.
Podjetje TEHNOCOM d.o.o. se zaveda in upošteva, da v kolikor je osebni podatek objavljen na
spletu, to še ne pomeni, da je osebni podatek brezpogojno trajno na voljo in se ga sme
uporabljati brez omejitev in zahtev, kot jih določa EU GDPR.

19a. člen (prenos podatkov)

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi
sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali
uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni
knjigi ali z vročilnico. Osebni podatki se pošiljajo priporočeno.
Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica
ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna
vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno
vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

19b. člen (obdelava podatkov)

Osebne podatke, ki jih upravljavec TEHNOCOM d.o.o. obdeluje za druge upravljavce (stranke
podjetja TEHNOCOM d.o.o. upravljavec-stranka) in s tem TEHNOCOM d.o.o. nastopa kot
Obdelovalec osebnih podatkov za upravljavca-stranko, se varuje na način, kot jih za varstvo
osebnih podatkov predpisuje upravljavec-stranka, ta pravilnik in kot so opisane v pravilih
zasebnosti podjetja TEHNOCOM d.o.o. v skladu z EU GDPR in ZVOP.
Upravljavec-stranka, ki daje osebne podatke podjetju TEHNOCOM d.o.o. mora podjetju
TEHNOCOM d.o.o. svoje zahteve in standarde varovanja v pisni obliki predložiti v potrditev v
obliki izjave oziroma pogodbe. Zahteve upravljavca-stranke morajo vsebovati popis vseh zbirk
podatkov in podatkov, kot tudi varnostne zahteve, ki jih zahteva upravljavec-stranka. Podjetje
TEHNOCOM d.o.o. bo na podlagi pisnih zahtev, če so v skladu z obstoječo varnostno politiko
podjetja TEHNOCOM d.o.o. izjavo potrdilo, zbirke upravljavca-stranke pa varovalo v skladu s tem
Pravilnikom.

Če zahteve upravljavca–stranke presegajo standarde, merila ali obstoječa pravila varovanja
osebnih podatkov v podjetju TEHNOCOM d.o.o., TEHNOCOM d.o.o. lahko uvede dodatne
ukrepe za varovanje osebnih podatkov v zbirkah, ki jih obdeluje za upravljavca-stranko. Z
dodatnimi ukrepi bo podjetje TEHNOCOM d.o.o. seznanilo vse zaposlene, kot tudi svoje
obdelovalce oziroma pod-obdelovalce, v kolikor za obdelavo potrebuje njihovo sodelovanje
oziroma obdelave.
Če dodatnih ukrepov, kot jih zahteva upravljavec-stranka, TEHNOCOM d.o.o. zaradi tehničnih,
organizacijskih ali drugih razlogov ne more zagotoviti, o omejitvah seznani upravljavca-stranko
in z metodami šifriranja, anonimiziranja, omejitvami dostopov ali brisanja osebnih podatkov ali
podobno skupaj z upravljavcem-stranko omeji obdelave osebnih podatkov upravljavca-stranke
do tiste mere, da so zahteve po varovanju osebnih podatkov upravljavca-stranke izpolnjene. Če
skupaj z upravljavcem-stranko teh ukrepov ne more zagotoviti, bo podjetje TEHNOCOM d.o.o.
pogodbeni odnos v delu, ki zahteva obdelavo osebnih podatkov z obdelovalcev-stranko prekinilo
z obrazložitvijo in utemeljitvijo iz tega člena Pravilnika.
20. člen

Obdelava občutljivih osebnih podatkov mora biti posebej označena in zavarovana.
Podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če
so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je
zagotovljena nečitljivost podatkov med njihovim prenosom.

21. člen

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko
podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti
jasno navedena določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa
mora k vlogi priložena pisna zahteva oziroma privolitev posameznika, na katerega se podatki
nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti
razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.
Nikoli se ne posredujejo originali dokumentov, razen v primeru pisne odredbe sodišča.
Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.

22. člen

Vsi zaposleni in ostali, ki v podjetju z osebnimi podatki delajo kot zaposleni (študenti, zaposleni
kot s.p., zaposleni preko kadrovskih agencij in ostali) so seznanjeni in se strinjajo s tem
Pravilnikom. Kršitev določb pravilnika, pregledovanje, prepisovanje oz. kopiranje in vpogled
nepooblaščenih zaposlenih v sezname osebnih podatkov, ki jih vodi podjetje TEHNOCOM d.o.o.
lahko pomeni hujšo kršitev po sklenjeni pogodbi o zaposlitvi.

VI. BRISANJE PODATKOV

23. člen

Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen
če zakon ali drug akt ne določa drugače.

Roki, po katerih se osebni podatkov izbrišejo iz zbirke podatkov, so razvidni iz 7. točke kataloga
zbirke osebnih podatkov.

24. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je
nemogoča restavracija vseh ali dela brisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznam, …) se uničijo na način, ki
onemogoča čitanje vseh ali dela uničenih podatkov.
Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne
oziroma neuspešne izpise ipd.).
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno
zavarovanje tudi v času prenosa.
Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov
nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik.

VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

25. člen

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem
zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali
poškodovanju takoj obvestiti pooblaščeno osebo ali predstojnika, sami pa poskušajo takšno
aktivnost preprečiti.

VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

26. člen

Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov so odgovorni vodje
organizacijskih enot in pooblaščene osebe, ki jih imenuje direktor TEHNOCOM d.o.o.
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, lahko opravlja
zunanji izvajalec, ki ga za potrebe nadzora najame podjetje TEHNOCOM d.o.o..

27. člen

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za
zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri
opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega
razmerja. Vsi zaposleni in pred nastopom dela novega delavca na delovno mesto, kjer se
obdelujejo osebni podatki, mora zaposleni podpisati izjavo, ki ga zavezuje k varovanju osebnih
podatkov. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega
pravilnika in se z njim strinja, izjava pa mora vsebovati tudi pouk o posledicah kršitve kot to
določa 22. člen tega pravilnika. Vsak delavec se z izjavo zaveže, da bo deloval v skladu s
pravilnikom podjetja TEHNOCOM d.o.o.in veljavno zakonodajo.

28. člen

Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko in materialno odgovorni, ostali pa
na temelju pogodbenih obveznosti.

IX. KONČNE DOLOČBE

29. člen

Ta pravilnik prične veljati z dnem podpisa direktorja družbe TEHNOCOM d.o.o. Pravilnik se v
pisni obliki hrani na sedežu družbe oziroma poslovni enoti družbe.

Maribor, 08.03.2022.
direktor, žig