Na podlagi 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04) izdaja direktor
Janez Zupančič, dr.med.
P R A V I L N I K
o zavarovanju osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo postopki in ukrepi za zavarovanje
osebnih podatkov vodenih v zbirkah osebnih podatkov, s katerimi upravlja
Zdravstveni dom Ivančna Gorica (v nadaljevanju: zavod).
Ta
pravilnik določa ukrepe za zavarovanje pri zbiranju, obdelovanju,
shranjevanju, posredovanju in uporabi osebnih podatkov v zavodu.
V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Zakona o varstvu osebnih podatkov.
Za varovane osebne podatke štejejo tisti podatki o fizični osebi, ki
kažejo na lastnosti, stanja ali razmerja posameznika, ne glede na
obliko, v kateri so izraženi.
V smislu določbe 1. odstavka tega člena štejejo za osebne podatke o fizični osebi zlasti:
- identifikacijski podatki o posamezniku,
- podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti,
- podatki, ki se nanašajo na družinska razmerja,
- podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika,
- podatki o zaposlitvi,
- podatki o socialnem in ekonomskem stanju posameznika,
- podatki o izobrazbi in pridobljenih znanjih,
- podatki o uporabi komunikacijskih sredstev,
- podatki o aktivnostih v prostem času,
- podatki o zdravstvenem stanju posameznika,
- podatki o navadah posameznika.
Zavarovanje osebnih podatkov zajema pravne, organizacijske in ustrezne logistično-tehnične postopke in ukrepe, s katerimi se:
- varujejo prostori, aparaturna in sistemska programska oprema;
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
- zagotavlja varnost posredovanja in prenosa osebnih podatkov;
- onemogoča nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do njihovih zbirk;
- omogoča naknadno ugotavljanje kdaj so bili posamezni podatki uporabljeni in vnešeni v zbirko podatkov in kdo je to storil, in sicer za obdobje, za katero se posamezni podatki shranjujejo.
Obdelava in zavarovanje občutljivih
osebnih podatkov, med katere sodijo podatki o narodnem ali narodnostnem
poreklu, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju,
morata biti izvajana posebno vestno in skrbno.
Občutljivi
osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani
tako, da se nepooblaščenim osebam prepreči dostop do njih.
II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov - vsak
dokument, na katerem je zapisan osebni podatek in vsak drug računalniški
ali elektronski nosilec podatka - in strojna ter programska oprema (v
nadaljevanju besedila: varovani prostori) morajo biti varovani z
organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo
nepooblaščenim osebam dostop do podatkov.
Dostop v prostore iz 1.
odstavka tega člena je mogoč in dopusten le v delovnem času, izven
delovnega časa pa le na podlagi dovoljenja vodje (direktorja).
Nosilci
osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oziroma
izven varovanih prostorov (hodniki, skupni prostori, aktivni arhivi
ipd.), morajo biti stalno zaklenjeni v zaščiteni omari.
Ključi
varovanih prostorov se uporabljajo in hranijo v skladu z navodilom (ali
pravilnikom) o varovanju in uničevanju ključev, ki ga izda direktor.
Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni v zaklenjenih zaščitenih omarah v delovnih prostorih.
Računalniki
ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni
podatki, mora biti izven delovnega časa izklopljena in fizično ali
programsko zaklenjena, dostop do osebnih podatkov, hranjenih na disku
računalnika pa kodiran.
V varovane prostore (tajništvo, pisarna kadrovika, likvidatura plač,
pasivni arhivi ipd.) osebe, ki ne delajo v prostorih in ki niso
zaposlene v zavodu, ne smejo vstopati brez spremstva ali prisotnosti
zaposlenega delavca. Delavec, ki dela v varovanih prostorih, mora vestno
in skrbno nadzorovati prostor in ob zapustitvi prostora zakleniti
prostor.
Delavec, ki pri svojem delu uporablja osebne podatke ali
jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev
osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati
nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem.
V
prostorih, kjer imajo vstop stranke oziroma osebe, ki niso zaposlene v
zavodu, morajo biti nosilci podatkov in računalniški prikazovalniki
nameščeni v času obdelave ali dela na njih tako, da strankam ni omogočen
vpogled vanje.
Nosilcev osebnih podatkov delavci zavoda ne smejo odnašati izven zavoda brez izrecnega dovoljenja direktorja.
Obdelovanje osebnih podatkov iz zbirk osebnih podatkov je dovoljeno le v prostorih zavoda.
Direktor
lahko dovoli iznos nosilcev osebnih podatkov iz zavoda, ko predhodno
delavec vpiše namen in razlog za iznos podatkov iz zavoda v knjigo evidenc o ravnanju z osebnimi podatki.
Posredovanje
osebnih podatkov pooblaščenim eksternim institucijam in drugim, ki
izkažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli
direktor.
Posredovanje osebnih podatkov iz predhodnega odstavka tega člena se vpiše v knjigo evidenc o ravnanju z osebnimi podatki.
Vzdrževanje in popravilo strojne računalniške in druge opreme, s
katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in
odobritvijo pooblaščene osebe (ali direktorja), izvajajo pa ga lahko
samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo z zavodom
sklenjeno pogodbo o servisiranju računalniške oziroma strojne opreme.
Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni
partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih
le ob prisotnosti delavca zavoda.
Zaposleni tehnično-vzdrževalni delavci in čistilke se lahko gibljejo v
varovanih prostorih izven delovnega časa in brez prisotnosti
odgovornega delavca le, če so nosilci podatkov shranjeni v zaklenjenih
omarah na način, ki ga določa ta pravilnik za čas izven delovnega časa.
III. ZAVAROVANJE SISTEMSKE IN APLIKATIVNE PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
Dostop do računalniške programske opreme mora biti varovan, na način,
ki omogoča dostop samo določenim pooblaščenim delavcem in delavcem, ki
za zavod po pogodbi opravljajo servisiranje računalniške in programske
opreme.
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne
programske opreme je dovoljeno samo na podlagi odobritve direktorja,
izvajajo pa ga lahko samo pooblaščeni servis in organizacije oziroma
njihovi delavci, ki imajo z zavodom sklenjeno ustrezno pogodbo.
Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.
Delavec,
pooblaščen za obdelavo in ravnanje z osebnimi podatki na računalniku,
mora skrbeti, da se v primeru servisiranja, popravila, spreminjanja ali
dopolnjevanja sistemske ali aplikativne programske opreme ob morebitne
kopiranju osebnih podatkov, po prenehanju potrebe po kopiji, kopija
uniči.
Delavec, pooblaščen za obdelavo in ravnanje z osebnimi
podatki na računalniku, mora biti v času servisiranja računalnika in
programske opreme ves čas prisoten in mora nadzirati, da ne pride do
nedopustnega ravnanja z osebnimi podatki.
V primeru izkazane
potrebe po popravilu računalnika, na čigar disku se nahajajo osebni
podatki, izven zavoda in brez kontrole pooblaščenega delavca zavoda, se
morajo podatki z diska računalnika izbrisati na način, ki onemogoča
restavracijo. Če tak izbris ni mogoč, se mora popravilo opraviti v
poslovnih prostorih zavoda v prisotnosti pooblaščenega delavca.
Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer
se nahajajo osebni podatki, se dnevno preverja glede na prisotnost
računalniških virusov.
Ob pojavu računalniškega virusa je
potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi in da
se ugotovi vzrok pojava virusa.
Vsi podatki in programska oprema,
ki so namenjeni uporabi na računalnikih zavoda in v računalniškem
informacijskem sistemu zavoda in prispejo v zavod na medijih za prenos
računalniških podatkov ali prek telekomunikacijskih kanalov, morajo biti
pred uporabo preverjeni glede prisotnosti računalniških virusov.
Zaposleni delavci ne smejo brez izrecnega dovoljenja direktorja inštalirati programske opreme.
Zaposleni delavci ne smejo odnašati programske opreme iz prostorov zavoda brez izrecnega dovoljenja direktorja.
Pristop do podatkov prek aplikativne programske opreme mora biti
varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov
programov in podatkov.
Direktor določi režim dodeljevanja, hranjenja in spreminjanja gesel.
Vsa gesla in postopki, ki se uporabljajo za vstop in za
administriranje v mreži osebnih računalnikov, administriranje z
elektronsko pošto in administriranje prek aplikativnih programov, se
hranijo v zapečatenih ovojnicah in varujejo v blagajni zavoda.
Varovana
gesla, hranjena v zapečatenih ovojnicah, se smejo uporabiti v izjemnih
in nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se
dokumentira.
Po uporabi zapečatenih gesel iz ovojnic direktor določi nova gesla.
Za potrebe restavriranja osebnih podatkov oziroma računalniškega
sistema po okvarah ali izgubi podatkov iz drugih razlogov mora delavec,
ki vodi zbirke osebnih podatkov, redno izdelovati kopije vsebine osebnih
podatkov, ki jih vodi.
Vse izdelane kopije vsebin zbirk osebnih podatkov se morajo vpisati v knjigo evidenc o ravnanju z osebnimi podatki.
Računalniške
kopije vsebin zbirk osebnih podatkov na disketah ali drugih medijih se
hranijo v zavarovanih zaklenjenih omarah odpornih proti ognju, poplavam
in elektromagnetnim motnjam in v predpisanih klimatskih razmerah.
IV. RAVNANJE Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV
Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku priporočeno s povratnico ali po kurirju z oznako »zaupno« na kuverti.
Prenašanje osebnih podatkov prek telekomunikacijskih sredstev, elektronske pošte
ali drugih računalniških medijev izven prostorov zavoda mora biti
zavarovano s postopki in ukrepi na način, ki nepooblaščenim preprečuje
prilaščanje, uničenje ali nedovoljeno seznanjanje z njihovo vsebino.
Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.
Vsebina zbirke ali zbirk podatkov, ki se prenašajo po komunikacijskih kanalih, po elektronski pošti
ali fizično na računalniških medijih izven prostorov zavoda, se mora
med prenosom napraviti nečitljiva z ustreznimi standardnimi
kriptografskimi metodami.
Zavod vodi osebne podatke v zbirkah osebnih podatkov, ki jih ustanovi
na podlagi zakona in osebne podatke, ki jih vodi v okviru zakonsko
določenih zbirk na podlagi soglasja osebe, na katero se podatki
nanašajo.
Vrste zbirk osebnih podatkov, ki jih zavod vodi, so določene z Internim seznamom katalogov zbirk osebnih podatkov, ki je priloga tega pravilnika.
Zavod mora 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali
vnosom nove vrste osebnih podatkov posredovati Državnemu nadzornemu
organu za varstvo osebnih podatkov, ki v skladu z zakonom vodi register
zbirk osebnih podatkov, katalog zbirke, ki jo namerava vzpostaviti, v roku 8 dni pa mora zavod Državnemu nadzornemu organu posredovati tudi spremembe podatkov iz ustanovljene zbirke podatkov.
Delavec oziroma oseba o kateri se vodijo osebni podatki oziroma
pooblaščenec delavca ali osebe ali zakoniti zastopnik osebe o kateri se v
zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v
osebne podatke, vodene o njem oziroma o zastopancu in jih ima pravico
prepisati ali kopirati. Vpogled in prepis osebnih podatkov mora biti
osebi omogočen v roku 15-ih dni od dneva, ko je bila stavljena pisna
zahteva na zavod.
Oseba iz 1. odstavka tega člena ima pravico
zahtevati, da ji zavod posreduje izpis osebnih podatkov iz zbirke
osebnih podatkov, ki se nanašajo nanjo. Izpis je potrebno osebi
zagotoviti v roku 30-ih dni od dneva prejema pisne zahteve. Stroške
izpisa nosi zavod.
Osebni podatki, vodeni v zbirki osebnih podatkov zavoda, se lahko
posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in
uporabo pooblaščeni z zakonom ali na podlagi pisne zahteve ali
privolitve osebe, na katero se osebni podatki nanašajo.
Dejstva o
posredovanih osebnih podatkih iz zbirke osebnih podatkov, vodene v
zavodu, se morajo v roku 3 dni od dneva posredovanja, sporočiti osebi o
kateri so bili posredovani osebni podatki.
Posredovanje osebnih podatkov iz zbirk osebnih podatkov, ki jih vodi zavod, drugim upravičencem se vpiše v knjigo evidenc o ravnanju z osebnimi podatki.
Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora
delavec, ki je osebne podatke posredoval, izročiti osebi seznam
subjektov katerim so bili v določenem obdobju posredovani podatki, ki so
vsebovani v zbirki podatkov zavoda in se nanašajo nanj.
V. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV
Osebni podatki se lahko vodijo v zbirki osebnih podatkov le toliko
časa, kolikor je potrebno, da se doseže namen, za katerega se zbirajo in
vodijo.
Po prenehanju potrebe po vodenju osebnih podatkov, se podatki zbrišejo oziroma uničijo nosilci podatkov.
Brisanje osebnih podatkov na računalniških medijih se opravi na
način, po postopku in metodi, ki onemogoča restavriranje brisanih
podatkov.
Osebni podatki, vsebovani na klasičnih nosilcih
(listine, kartoteke, register, seznam) se brišejo z uničenjem nosilcev.
Nosilci se fizično uničijo (pokurijo, razrežejo) v prostorih zavoda ali
pod nadzorom pooblaščenega delavca zavoda pri organizaciji, ki se
ukvarja z uničevanjem zaupne dokumentacije.
Uničevanje
in brisanje osebnih podatkov se opravi komisijsko. Direktor imenuje
tričlansko komisijo s trajnim mandatom, ki prisostvuje in protokolira
vsak izbris in uničenje nosilcev osebnih podatkov z zapisnikom.
Z vestnostjo in skrbnostjo določeno s tem pravilnikom za uničevanje
osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih
podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali
računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne
podatke.
Uničevanje osebnih podatkov na nosilcih iz predhodnega odstavka se mora izvajati tekoče in ažurno.
VI. UKREPANJE OB UGOTOVITVI O ZLORABI OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV
Delavci zavoda so dolžni izvajati ukrepe za preprečevanje zlorabe
osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo
pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki
jih določa ta pravilnik.
Delavec, ki izve ali opazi, da je prišlo
do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno
uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje
osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o
tem obvestiti direktorja in pooblaščenega delavca, ki vodi in ureja
zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero se je
vdrlo.
Direktor mora zoper tistega, ki je zlorabil osebne podatke ali je
nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.
Če
obstaja sum pri vdoru v zbirko osebnih podatkov, da je ta storjen z
naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v
nasprotju z nameni, za katere so zbrani ali če je do zlorabe osebnih
podatkov že prišlo, mora direktor poleg
uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred
redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o
zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o
zaposlitvi, če je ta delavec zavoda, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.
Za
zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene,
ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi
katerega se zbirajo ali nameni, določenimi v katalogu zbirk osebnih
podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.
VII. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV
Pred nastopom dela delavca na delovnem mestu, kjer se zbirajo,
urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali
uporabljajo osebni podatki ali nosilci osebnih podatkov, mora delavec
podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot
poklicne skrivnosti in ki ga opozarja na posledice kršitve zaveze.
Obveza
varovanja osebnih podatkov, s katerimi se delavec seznani pri svojem
delu v zavodu traja tudi po prenehanju delovnega razmerja v zavodu.
Delavec stori lažjo kršitev delovne dolžnosti:
- če opusti vestno in skrbno nadzorovanje varovanih prostorov (1. odst. 7. člena),
- če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov (3. odst. 7. člena),
- če ne uničii kopije osebnih podatkov v primerih iz 2. odst. 14. člena,
- če ni ves čas servisiranja računalnika in programske opreme prisoten (3. odst. 14. člena),
- če ne izvaja preventive v zvezi z računalniškimi virusi (15. člen),
- če ne vodi evidence kopij vsebin zbirk osebnih podatkov v knjigi evidenc o ravnanju z osebnimi podatki (2. odst. 19. člena) in
- če ne obvesti direktorja ali pooblaščenega delavca v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov (3. odst. 28. člena).
32. člen
Delavec stori hujšo kršitev delovne dolžnosti:
- če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, sodelavcem ali drugim osebam,
- če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam (2. odst. 7. člena),
- če brez izrecnega dovoljenja odnaša iz prostorov zavoda nosilce osebnih podatkov (1. odst. 8. člena),
- če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja direktorja (4. odst. 8. člena),
- če ne vpiše v knjigo evidenc o ravnanju z osebnimi podatki dejstva o posredovanju osebnih podatkov eksternim institucijam (5. odst. 8. člena),
- če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo (1. odst. 13. člena),
- če inštalira ali odnese programsko opremo iz prostorov zavoda brez izrecnega dovoljenja direktorja (16. člen),
- če ne izdeluje redno kopije vsebine osebnih podatkov (1. odst. 19. člena) in
- če ne hrani računalniških kopij vsebin zbirk osebnih podatkov v zavarovanih zaklenjenih omarah (3. odst. 19. člena).
O zlorabi ali sumu o zlorabi osebnih podatkov, vodenih v zbirkah osebnih podatkov zavoda, oseb, ki niso delavci zavoda, se obvesti organe, pooblaščene za pregon.
VIII. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV VODENIH V ZAVODU
1. Odgovorni delavci
Za vzpostavitev, vodenje, ažuriranje
in ravnanje z zbirkami osebnih podatkov in osebnimi podatki vodenimi v
zavodu so odgovorni : direktor : Janez Zupančič, dr.med.
2. Pooblaščeni delavci
Računovodja in kadrovski delavec /tajnica/ sta pooblaščena da za
potrebe njunega dela vpogledata in uporabita osebne podatke, vsebovane v
vseh zbirkah osebnih podatkov vodenih v zavodu.
Direktor
v katalogu zbirk osebnih podatkov poleg naziva zbirke osebnih podatkov,
podatkov o upravljavcu zbirke, pravne podlage za obdelavo osebnih
podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki,
vrste osebnih podatkov v zbirki, namena obdelave, roka hrambe, omejitve
pravic posameznikov, uporabnikov ali kategorij uporabnikov osebnih
podatkov, dejstev o iznašanju osebnih podatkov, opisa zavarovanja
osebnih podatkov, podatkov o povezanih zbirkah in podatkov o zastopniku,
določi tudi pooblaščeno osebo za obdelavo osebnih podatkov, vsebovanih v
zbirki po funkciji oziroma delovnem mestu.
Direktor
na podlagi določitve pooblaščene osebe za obdelavo osebnih podatkov v
zbirki iz predhodnega odstavka tega člena, izda posameznemu delavcu
pooblastilo za obdelavo osebnih
podatkov
v zbirki ali zbirkah osebnih podatkov, s katerim določi obseg
pooblastila in vrsto zbirke ali zbirk za obdelavo katere ali katerih je
delavec pooblaščen.
3. Zbirke osebnih podatkov za katere je potrebno soglasje
Pisno soglasje delavcev mora zavod
pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali
osebnega podatka, ki jo ali ga namerava zavod voditi, pa taka zbirka ali
osebni podatek ni predpisana oziroma predpisan z zakonom.
Pisno soglasje iz predhodnega člena mora vsebovati:
- jasno opredeljeno voljo za izdajo soglasja,
- navedbo podatkov, ki se zbirajo,
- natančno opredeljen namen zbiranja podatkov,
- zagotovilo, da se bodo podatki uporabljali le za namen za katerega so zbrani,
- čas shranjevanja podatkov,
- seznanitev z možnostjo preklica soglasja,
- datum podpisa izjave in podpis osebe.
4. Vodenje in ažuriranje zbirk osebnih podatkov
Zbirke osebnih podatkov delavcev se vzpostavijo ob sklenitvi delovnega razmerja z delavcem oziroma ažurirajo ob vsaki spremembi, ki jo javi delavec. Osebne podatke v zbirki osebnih podatkov delavcev vzpostavi oziroma ažurira kadrovski delavec /tajnica/ zavoda.
5. Hramba in roki hrambe zbirk osebnih podatkov
Za hrambo zbirk osebnih podatkov so odgovorni delavci, ki so pooblaščeni za obdelovanje zbirk osebnih podatkov.
Zbirke osebnih podatkov delavcev
zavoda (kadrovske evidence) in druge zbirke osebnih podatkov vodene v
zavodu se hranijo v zaklenjeni omari v tajništvu /pisarni kadrovskega
delavca/ in v računovodstvu zavoda.
Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov.
Katalogi zbirk osebnih podatkov združeni v Interni seznam katalogov zbirk osebnih podatkov so priloga tega pravilnika.
VIII. PREHODNE IN KONČNE DOLOČBE
Katalog zbirk in zbirke osebnih podatkov, organizacija zavarovanja
osebnih podatkov in ureditev drugih zadev določenih s tem pravilnikom se
mora uskladiti z Zakonom o varstvu osebnih podatkov in določbami tega
pravilnika v roku 60 dni od dneva sprejema tega pravilnika.
Ta pravilnik sprejme direktor.
Spremembe in dopolnitve tega pravilnika sprejme direktor po postopku in na način kot velja za sprejem pravilnika.
Z določbami tega pravilnika morajo biti seznanjeni vsi delavci zavoda.
Ta
pravilnik prejmejo službe oziroma delavci v čigar delovne obveznosti
sodi zbiranje, urejanje, obdelava, spreminjanje, shranjevanje,
posredovanje ali uporaba osebnih podatkov ali nosilcev osebnih podatkov.
Delavci, ki delajo na delovnih mestih, kjer se zbirajo, urejajo,
obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni
podatki ali nosilci osebnih podatkov, morajo podpisati izjavo iz 30.
člena tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.
Ta pravilnik začne veljati osmi dan po dnevu sprejema.
Janez Zupančič, dr.med.
Datum sprejema, 01.03.2006