Privacy Policy

Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 s spremembami, v nadaljevanju: »ZVOP-1«), 24., 25. in 32. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES – Splošne uredbe o varstvu podatkov (v nadaljevanju: Uredba GDPR) direktorja družbe Fizioterapija ENO, manualna fizioterapija in rehabilitacija ter izobraževanje d.o.o. (v nadaljevanju:  ENO) sprejema

PRAVILNIK
o varstvu osebnih podatkov

1. člen
(Splošne določbe)

S tem pravilnikom se določajo tehnični in organizacijski postopki ter ukrepi za varovanje ter zavarovanje osebnih podatkov v ENO, z namenom preprečiti nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali obdelani na kakršenkoli drug način. 

Z določitvijo ukrepov ENO zagotavlja oziroma je zmožna dokazati, da obdelava poteka v skladu z veljavnimi predpisi s področja varstva osebnih podatkov z namenom, da se zagotovi zaupnost, celovitost, razpoložljivost in točnost osebnih podatkov, zagotavlja izpolnjevanje zahtev iz Uredbe GDPR in zaščito pravic posameznikov, na katere se nanašajo osebni podatki.

2. člen
(Pomen nekaterih izrazov v tem pravilniku)

Za osebne podatke štejejo katerekoli informacije v zvezi z določenim ali določljivim posameznikom, pri čemer je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika ne glede na obliko, v kateri so izraženi.

Obdelava posebnih vrst osebnih podatkov, med katere sodijo podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo je dovoljena le v primerih, ki so določeni v 9. členu Uredbe GDPR.

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

Osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki). 

Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. 

Zbirka osebnih podatkov pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi.

Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Omejitev obdelave pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti.

Oblikovanje profilov pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.

Psevdonimizacija pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.

Upravljavec osebnih podatkov pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. 

Obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Kontaktna oseba za varstvo osebnih podatkov je oseba, ki je zaposlena v oziroma v pogodbenem razmerju z ENO, pooblaščena in zadolžena za izvajanje postopkov in ukrepov, vezanih na varstvo osebnih podatkov skladno s tem pravilnikom.

Uporabnik pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave

Tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca.

Privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali drugačnega jasnega aktivnega delovanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katero izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. 

Podatki o zdravstvenem stanju pomenijo osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju.

Nosilci podatkov in informacij so različna sredstva, na katerih so podatki fiksirani oz. zapisani tako, da se jih da omejeno ali neomejeno reproducirati (na primer: papirnati nosilci, zgoščenke, računalniški diski, magnetni nosilci itd.).

Varovanje osebnih podatkov obsega pravne, organizacijske in tehnične postopke ter ukrepe za varovanje osebnih podatkov v fazi njihovega nastajanja, obdelovanja, hranjenja, arhiviranja in uničevanja, s katerimi se preprečuje nepooblaščen dostop do prostorov, strojne in programske opreme, slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali izguba, kakor tudi nepooblaščen dostop do njih, njihova obdelava in posredovanje takih podatkov ter njihova uporaba.
Nadzorni organ pomeni Informacijskega pooblaščenca, določenega z zakonom, ki ureja informacijskega pooblaščenca.

3. člen
(Načela v zvezi z obdelavo osebnih podatkov)

ENO s sprejetimi organizacijskimi in tehničnimi ukrepi zagotavlja:

  • zakonitost, pravičnost in preglednost obdelave osebnih podatkov: da so osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (načelo zakonitosti);
  • omejitev namenov obdelave: da so osebni podatki zbrani za določene, izrecne in zakonite namene ter se nadalje ne obdelujejo na način, ki ni združljiv s temi nameni;
  • najmanjši obseg podatkov: da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (načelo minimizacije);
  • točnost: da so osebni podatki točni in, kadar je to potrebno, posodobljeni; pri ENO pa so sprejeti ustrezni ukrepi za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (načelo točnosti);
  • omejitev shranjevanja: da so osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; pri tem ENO izvaja ustrezne tehnične in organizacijske ukrepe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;

celovitost in zaupnost: da se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.

4. člen
(Zakonita obdelava in varstvo osebnih podatkov)

ENO lahko obdeluje osebne podatke, če je izpolnjen vsaj eden od naslednjih pogojev:

  • če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov; privolitev je lahko pisna, ustna ali telekomunikacijska oz. dana v drugi obliki, bodisi v obliki pogodbenega določila ali posebne izjave oz. druga ustrezna privolitev skladno s predpisi, pri čemer mora biti posameznik predhodno pisno seznanjen z namenom obdelave ter časom hranjenja;
  • če je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali je potrebna za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; 
  • če je obdelava  potrebna za izpolnitev zakonske obveznosti, ki velja za ENO ; 
  • če je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; 
  • če je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene ENO ; 
  • če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva ENO ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

ENO lahko obdeluje posebne vrste osebnih podatkov, če je izpolnjen vsaj eden od pogojev iz 2. odstavka 9. člena Uredbe GDPR (zlasti če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov oziroma če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja, ali če je obdelava potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene). 

Na kateri podlagi se določeni osebni podatki obdelujejo, izhaja iz evidenc dejavnosti obdelave za posamezne vrste obdelave osebnih podatkov, ki jih vodi ENO kot upravljavec.

Osebni podatki se lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če s predpisi ni določeno drugače.

Ne glede na prvotni namen zbiranja se lahko osebni podatki nadalje obdelujejo za zgodovinsko, statistično in znanstveno-raziskovalne namene, v kolikor so za to izpolnjeni pogoji iz Uredbe GDPR.


ENO ustvarja zbirke osebnih podatkov le za lastno uporabo in to le za namene v zvezi z izvajanjem svoje dejavnosti, v druge namene pa le, če je drugačna uporaba obsežena v privolitvi posameznika,  če tako dopušča zakon ali ima ENO zato zakoniti interes.

V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, mora strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.

Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Izjemoma se lahko osebni podatki delavcev obdelujejo na podlagi njihove privolitve, ob upoštevanju vrste in narave osebnih podatkov, ki se obdelujejo in prostovoljnosti podaje takšne privolitve.

Osebne podatke delavcev lahko zbira, obdeluje, uporablja in dostavlja tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti oziroma je to vezano na njegovo delovno mesto. 

Osebni podatki delavcev, za katerih zbiranje in obdelavo ne obstoji več ustrezna podlaga, se morajo zbrisati in prenehati uporabljati.

Določbe prejšnjih odstavkov se uporabljajo tudi za osebne podatke kandidatov za zaposlitev.

5. člen
(Zbirke in evidence dejavnosti obdelave osebnih podatkov)

Osebne podatke pri upravljavcu lahko v imenu in za račun ENO kot upravljavca zbirk osebnih podatkov obdelujejo direktorica družbe in z njene strani pooblaščene osebe. Direktorica družbe določi osebe, odgovorne za posamezno evidenco ter osebe, ki lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov. Ta določitev je lahko vezana na delovno mesto, na katerem posamezni delavec opravlja svoje delo, vsebino pogodbe o poslovnem sodelovanju oziroma drugo vlogo, ki jo ima ta oseba v ENO . 

O odgovornih osebah za posamezno evidenco ter osebah, ki lahko zaradi narave svojega dela obdelujejo osebne podatke, se vodi poseben seznam, ki se redno posodablja. Za vodenje seznama je zadolžena kontaktna oseba za varstvo osebnih podatkov.

Opis zbirk osebnih podatkov, katerih upravljavec je ENO , se vodi v evidencah dejavnosti obdelave osebnih podatkov. Evidence se vodijo v skladu z določbo 30. člena Uredbe GDPR. 

Evidenca dejavnosti obdelave osebnih podatkov se za vsako zbirko osebnih podatkov zagotovi najkasneje ob vzpostavitvi zbirke osebnih podatkov. Evidenca dejavnosti obdelave osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki.

Ob vzpostavitvi evidence se določi osebe, odgovorne za posamezno evidenco ter osebe, ki lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov. 

ENO vodi seznam evidenc dejavnosti obdelave osebnih podatkov, iz katerega je za vsako posamezno evidenco dejavnosti obdelave razvidno, katera oseba je odgovorna za posamezno evidenco ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov. Za vodenje in posodabljanje seznama je odgovorna kontaktna oseba za varstvo osebnih podatkov.

Zaposleni in drugi pogodbeni sodelavci, ki v imenu ENO obdelujejo osebne podatke, morajo biti seznanjeni z evidenco dejavnosti obdelave osebnih podatkov, vezano na konkretno obdelavo osebnih podatkov.

ENO ima vzpostavljen sistem rednega letnega pregledovanja vsebine in ustreznosti evidenc dejavnosti obdelave. Za izvedbo pregleda so zadolžene odgovorne osebe za posamezno evidenco dejavnosti obdelave. V kolikor podatki posamezne evidence dejavnosti obdelave ne ustrezajo dejanskemu stanju, odgovorna oseba za posamezno evidenco dejavnosti obdelave osebnih podatkov le-to posodobi v roku, ki ne sme biti daljši od 3 mesecev.  

6. člen
(Hramba in roki hrambe podatkov)

Zbirke osebnih podatkov se hranijo fizično v prostorih in omarah oziroma ognjevarnih omarah, ki se zaklepajo, ter na strežnikih in programski opremi, do katere je mogoč dostop le pooblaščenim osebam z ustreznim geslom. Navedeno velja tudi za elektronsko hrambo in hrambo v oblaku. 

ENO zbira in hrani osebne podatke le toliko časa, kolikor je potrebno, da se doseže namen, za katerega so bili zbrani. Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz posamezne evidence dejavnosti obdelave osebnih podatkov. Po poteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo oziroma psevdonimizirajo, razen če zakon ali drug akt ne določa drugače. 

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je restavracija brisanih podatkov onemogočena. Podatki na klasičnih (listine, kartoteke, seznami…) in drugih medijih (zgoščenke, USB ključki, prenosni diski…) se uničijo na način, ki onemogoča branje vseh ali dela zbrisanih oz. uničenih podatkov. Na enak način se uničuje pomožno gradivo (npr. matrice, grafikone, skice, poskusne oz. neuspešne zapise…). Brisanje elektronsko hranjenih osebnih podatkov mora biti izvedeno na način, da je onemogočeno njihovo restavriranje.

Uničevanje in brisanje osebnih podatkov se izvaja s strani zunanjega izvajalca, ki ima z družbo sklenjeno ustrezno pogodbo o obdelavi osebnih podatkov. Vsak izbris ali uničenje se ustrezno dokumentira.

7. člen
(Sprejem, prenos in posredovanje osebnih podatkov)

Delavec, ki je zadolžen za sprejem, mora izročiti poštno pošiljko z osebnimi podatki neposredno posamezniku, na katero je naslovljena.

Delavec, ki je zadolžen za sprejem, odpira in pregleduje vse poštne pošiljke ter pošiljke, ki na drug način prispejo v ENO razen pošiljk iz tretjega odstavka tega člena.

Delavec, ki je zadolžen za sprejem, ne odpira tistih pošiljk, ki so naslovljene na drug naslov in so pomotoma dostavljene ENO, pošiljk ki so označene kot osebni podatki, pošiljk naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega položaja in šele nato naslov ENO.

Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo po pošti, priporočeno, priporočeno s povratnico ali po kurirju v zaprti kuverti. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice.

Obdelava posebnih vrst osebnih podatkov je posebej označena in zavarovana. Pri obdelavi posebnih vrst osebnih podatkov ENO sprejme vse ukrepe in izvaja postopke, ki jih opredeljuje Uredba GDPR. 

Posebne vrste osebnih podatkov se naslovnikom pošiljajo v zaprtih ovojnicah. 

Prenos posebnih vrst osebnih podatkov po elektronski poti mora biti zavarovan s kriptografskimi metodami (šifriranje podatkov).

Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

Osebni podatki se posredujejo samo tistim uporabnikom, za katere tako določa zakon ali ki se izkažejo z ustrezno zakonsko podlago oziroma s pisno zahtevo oz. privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora biti iz vloge upravičenca jasno razvidna pravna podlaga, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa mora biti k vlogi priložena pisna zahteva  oz. privolitev posameznika, na katerega se podatki nanašajo.

8. člen
(Pravice posameznika)

ENO ima sprejete ustrezne ukrepe, s katerimi zagotavlja posamezniku, na katerega se nanašajo osebni podatki, uresničevanje njegovih pravic.  

ENO z namenom zagotavljanja informacij ter z namenom učinkovitega uresničevanja pravic posameznika, na katerega se nanašajo osebni podatki, sprejme in na spletni strani ENO javno objavi Pravila obdelave osebnih podatkov v ambulanti ENO , v okviru katerih v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku da na voljo informacije skladno z zahtevami Uredbe GDPR. 

Z namenom zagotavljanja informacij pacientom, katerih osebne podatke obdeluje v okviru izvajanja storitev, ENO informacije objavi tudi neposredno v prostorih ambulante in na pristopnih obrazcih, s katerimi od posameznikov pridobiva osebne podatke. 

Posamezniki lahko s pisno zahtevo od ENO zahtevajo dostop do svojih osebnih podatkov, ki so bili zbrani v povezavi z njimi; popravek netočnih podatkov, zbranih v povezavi z njimi; omejitev obdelave osebnih podatkov; izbris vseh podatkov, če so izpolnjeni pogoji iz 17. člena Uredbe GDPR, ali obdelavi ugovarjajo. Posameznik lahko dane privolitve v obdelavo osebnih kadarkoli trajno ali začasno, v celoti ali delno prekliče pod pogoji, navedenimi v nadaljevanju.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od ENO dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki. Pravico do dostopa ENO uresničuje tako, da posamezniku na njegovo zahtevo omogoči dostop do osebnih podatkov in naslednje informacije: 

  • namene obdelave;
  • vrste zadevnih osebnih podatkov;
  • uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki;
  • kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da od ENO zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov oz. obstoj pravice do ugovora taki obdelavi;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  • da se avtomatizirano sprejemanje odločitev, vključno z oblikovanjem profilov, ne izvaja.

Odgovor ENO posamezniku posreduje v obliki izpisa na naslov ali elektronski naslov, ki ga ENO posameznik sporoči ob vložitvi zahteve, glede na zahtevo pa posamezniku zagotovi tudi kopijo osebnih podatkov, ki se obdelujejo. Odgovor in prvi izvod kopij se posamezniku zagotovi brezplačno. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, ENO lahko zaračuna pristojbino v višini materialnih stroškov izdelave kopij in pošiljanja. 

Za pripravo in posredovanje odgovora je zadolžena kontaktna oseba za varstvo osebnih podatkov, pri čemer ji po potrebi pomagajo vsi zaposleni v ENO in njeni pogodbeni partnerji, zlasti pa osebe, odgovorne za posamezno evidenco ter osebe, ki lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da ENO brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave. 

Ob prejemu zahteve posameznika za popravo osebnih podatkov se zahteva nemudoma posreduje odgovorni osebi za obdelavo osebnih podatkov v posamezni zbirki osebnih podatkov, na katero se osebni podatki nanašajo, ki osebni podatek posameznika popravi skladno z zahtevo posameznika v roku 30 dni.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da ENO brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, ENO pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, v naslednjih primerih:

  • kadar osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani; 
  • če posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga; 
  • kadar posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi; 
  • kadar so bili osebni podatki obdelani nezakonito; 
  • kadar je treba osebne podatke izbrisati za izpolnitev pravne obveznosti v skladu z veljavnimi predpisi; ali 
  • če so bili osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe.

Presojo, ali so izpolnjeni pogoji za izbris, opravi kontaktna oseba za varstvo osebnih podatkov ter svojo odločitev ustrezno dokumentira.

ENO ni dolžna zagotoviti izbrisa osebnih podatkov v zvezi s posameznikom, če je obdelava potrebna za uresničevanje pravice do svobode izražanja in obveščanja; za izpolnjevanje pravne obveznosti obdelave na podlagi veljavnih predpisov ali za izvajanje naloge v javnem interesu; ali za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene, v kolikor bi pravica do izbrisa lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. V tem primeru se posameznika o razlogih, zakaj zahtevi za izbris ni bilo ugodeno, obvesti po elektronski pošti ali na drug primeren način v skladu s prejeto zahtevo.

ENO na zahtevo posameznika omeji obdelavo osebnih podatkov posameznika, kadar:

  • posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki ENO omogoča preveriti točnost osebnih podatkov;
  • je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
  • ENO osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  • je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

Kadar je bila obdelava osebnih podatkov omejena, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.

Pred preklicem omejitve obdelave ENO o tem obvesti posameznika, na katerega se nanašajo osebni podatki po elektronski pošti ali na drug primeren način v skladu s prejeto zahtevo.

ENO vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Na zahtevo posameznika ENO o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki.

Kadar obdelava osebnih podatkov temelji na privolitvi ali na pogodbi in se obdelava izvaja z avtomatiziranimi sredstvi, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da prejme osebne podatke v zvezi z njim v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga ENO , ki so ji bili osebni podatki zagotovljeni, pri tem ovirala. Kadar je to tehnično izvedljivo, ENO na zahtevo posameznika osebne podatke neposredno prenese k drugemu upravljavcu, o prenosu pa posameznika obvesti na primeren način.

Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, če obdelava temelji na opravljanju nalog v javnem interesu ali izvajanju javne oblasti, dodeljene ENO , ali zakonitih interesih, za katere si prizadeva ENO ali tretja oseba. V primeru ugovora ENO : 

  • dokaže nujne legitimne razloge za obdelavo;
  • dokaže, da je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali
  • preneha obdelovati osebne podatke. 

Če se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. Izjeme opredeljuje Uredba GDPR.

Posameznik zahtevo, vezano na uresničevanje njegovih pravic, posreduje na elektronski naslov info@fizioterapija-eno.si ali po navadni pošti na naslov: Fizioterapija ENO, Chengdujska 25, 1260 Ljubljana – Polje, s pripisom: »osebni podatki«.

ENO informacije posamezniku, na katerega se nanašajo osebni podatki, zagotovi oziroma na zahtevo posameznika odgovori brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. ENO obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

Za ukrepanje v skladu z zahtevo je zadolžena kontaktna oseba za varstvo osebnih podatkov, pri čemer sodelujejo vsi zaposleni v ENO , zlasti pa osebe, odgovorne za posamezno evidenco ter osebe, ki lahko zaradi narave svojega dela obdelujejo osebne podatke, ki se nanašajo na posamezno zbirko osebnih podatkov, vključno s pogodbenimi obdelovalci.

Če ENO ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

Kadar ENO  upravičeno dvomi v identiteto posameznika, lahko od njega zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev njegove identitete.

Informacije ter vsa sporočila in ukrepi se posamezniku zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko ENO zaračuna pristojbino v višini materialnih stroškov ali zavrne ukrepanje v zvezi z zahtevo. Šteje se, da je zahteva očitno neutemeljena ali pretirana, kadar posameznik zahtevo z bistveno enako vsebino naslovi na ENO več kot trikrat v obdobju šestih mesecev.

9. člen
(Varnost obdelave)

Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, ENO z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotavlja ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi: 

  • zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo,
  • zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta,
  • postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave
  • v primeru posebnih vrst osebnih podatkov z uporabo tehnologij za kriptiranje in varno pošiljanje osebnih podatkov po elektronskih poteh.

ENO z vzpostavljenimi mehanizmi dostopnih pravic, pooblastili za obdelavo osebnih podatkov in sklenjenimi pogodbami o obdelavi osebnih podatkov zagotavlja, da katera koli fizična oseba, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil ENO , razen če to od nje zahteva pravo Unije ali pravo države članice.

Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo. 

Osebne podatke se varuje na pravnem, organizacijskem in tehničnem področju ter s postopki fizičnega varovanja, tako da se:

  • varujejo prostori, računalniška oprema in sistemsko programska in aplikativna programska računalniška oprema ter podatki, ki se obdelujejo z računalniško opremo, vključno z vhodno-izhodnimi enotami; 
  • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu;
  • zagotavlja učinkovit način blokiranja, uničenja in izbrisa osebnih podatkov.

Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori) morajo biti varovani z organizacijskimi  ter fizičnimi in/ali  tehničnimi ukrepi, ki nepooblaščenim osebam onemogočajo dostop do podatkov. 

Dostop v prostore iz prejšnjega odstavka je mogoč in dopusten le v delovnem času, izven delovnega časa pa le z dovoljenjem direktorice ENO , oziroma z njene strani pooblaščene osebe. 

Varovani prostori ne smejo ostati nenadzorovani oz. se morajo ob odsotnosti delavcev, ki jih nadzorujejo, zaklepati.  

Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema pa izklopljeni in fizično ali programsko zaklenjeni.

Zaposleni in pogodbeni izvajalci ne smejo med delovnim časom puščati nosilcev osebnih podatkov na mizah na način, da bi jih lahko izpostavil nepooblaščenim osebam.

Nosilci osebnih podatkov, ki se nahajajo zunaj varovanih prostorov (hodniki, skupni prostori, ..), morajo biti stalno zaklenjeni.

V prostorih, ki so namenjeni poslovanju s strankami in drugimi posamezniki, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke oz. drugi posamezniki nimajo vpogleda vanje. 

Ključe varovanih prostorov uporabljajo in hranijo zaposleni v teh prostorih in osebe, ki so za to posebej pooblaščene.

Vzdrževanje in popravila strojne računalniške ter druge opreme kot tudi popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno le z vednostjo pooblaščene osebe v ENO , izvajajo pa jih lahko samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo z ENO sklenjeno ustrezno pogodbo. 

Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v varovanih prostorih samo z vednostjo oziroma ob ustreznem spremstvu pooblaščene osebe v ENO . 

Čistilke, varnostniki in druge osebe se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke in v katerih so nosilci osebnih podatkov shranjeni na način, kot ga predpisuje ta pravilnik.

Dostop do programske opreme in osebnih podatkov mora biti varovan tako, da dovoljuje dostop samo za to vnaprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo oziroma izrecnim naročilom ENO opravljajo dogovorjene storitve za ENO.

Pristop do podatkov preko aplikativne programske opreme se varuje  s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov ter podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko, uporabljeni ali drugače  obdelovani ter kdo je to storil.

Vzpostavljen je režim dodeljevanja, hranjenja in spreminjanja uporabniških imen in gesel. Gesla je potrebno redno menjevati in posodabljati. 

Gesla, ki se uporabljajo za vstop in administriranje v mreži osebnih računalnikov, administriranje z elektronsko pošto in administriranje prek aplikativnih programov, so zaupna in se jih ne sme razkriti nepooblaščenim osebam.

Vsi podatki, programska oprema, nosilci podatkov, telekomunikacijski kanali, ki so namenjeni uporabi na napravah ENO in v računalniško-informacijskem sistemu, ki ga uporablja ENO, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov. Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se redno preverja glede prisotnosti računalniških virusov. Ob pojavu računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odstrani in ugotovi njegov vzrok. 

Delavci ne smejo brez izrecnega dovoljenja direktorjev ENO ali pooblaščene osebe inštalirati programske opreme ali programske opreme odnašati iz prostorov ENO .

ENO v zvezi z dostopi do podatkov, postopkov obdelave in do sistemov obdelave tvori, beleži in hrani zapise (t.i. revizijsko sled), ki omogočajo poznejše ugotavljanje, kdaj in kdo je dostopal do določenega podatka, postopka obdelave oz. sistema za obdelavo. 

Revizijska sled se vodi elektronsko v posebni evidenci, v ločenem okolju z zagotavljanjem sledljivosti vpogledov v revizijsko sled in razlogom vpogleda. 

Revizijska sled se hrani tako dolgo, kot je določen rok za hrambo posameznih osebnih podatkov oziroma za obdobje, ko je mogoče varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.

10. člen
(Odgovornost za izvajanje ukrepov varovanja osebnih podatkov)

Za izvajanje postopkov in ukrepov za varovanje osebnih podatkov so odgovorni vsi zaposleni v ENO ter druge pravne in fizične osebe, s katerimi ENO sodeluje na kakšni drugi podlagi. 

Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za varovanje osebnih podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja osebnih podatkov ne preneha s prenehanjem delovnega razmerja oziroma poslovnega sodelovanja z ENO.

Pred nastopom dela na delovno mesto oziroma funkcijo, kjer se obdelujejo osebni podatki, mora biti zaposleni oz. drug sodelavec seznanjen z določbami tega pravilnika, določbami Zakona o varstvu osebnih podatkov in Uredbe GDPR ter o posledicah kršitve omenjenih aktov. Pred nastopom dela mora taka oseba podpisati izjavo, ki jo zavezuje k varovanju osebnih podatkov. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika in veljavnih predpisov s področja varstva osebnih podatkov, izjava pa mora vsebovati tudi pouk o posledicah kršitve.

Obrazec izjave je priloga tega pravilnika.

Razkrivanje osebnih podatkov, s katerimi se zaposleni seznani pri svojem delu, nepooblaščenim osebam ali zloraba teh podatkov oziroma vsako ravnanje v nasprotju z določili tega pravilnika je sankcionirana kot hujša kršitev delovnih obveznosti, ki je lahko podlaga za ukrepanje skladno s predpisi s področja delovnih razmerij. 

Razkrivanje osebnih podatkov, s katerimi se seznani druga fizična ali pravna oseba, ki sodeluje z ENO in pri tem obdeluje osebne podatke, se šteje kot hujša kršitev pogodbe o poslovnem sodelovanju in predstavlja podlago za odškodninsko odgovornost po splošnih pravilih civilnega prava.

11. člen
(Ukrepanje ob ugotovitvi kršitve varstva osebnih podatkov)

Zaposleni ter druge pravne ali fizične osebe, ki v skladu s pogodbo oziroma izrecnim naročilom ENO opravljajo dogovorjene storitve za ENO, so dolžne izvajati ukrepe za preprečevanje zlorab osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Zaposleni ter druge osebe iz prvega odstavka tega člena so dolžne o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti direktorico ali kontaktno osebo za varstvo osebnih podatkov, sami pa poskušajo takšno aktivnost preprečiti. 

Zaposleni ali druga oseba, ki izve, opazi ali sumi, da je prišlo do kršitve varstva osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščen dostop, uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora o tem takoj obvestiti kontaktno osebo in v okviru prijave podati ugotovitve glede osebnih podatkov, ki so bili zlorabljeni ali zbirke osebnih podatkov, v okviru katere je prišlo do kršitve varstva osebnih podatkov.

ENO v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Za obvestitev nadzornega organa je odgovorna kontaktna oseba za varstvo osebnih podatkov.

Uradno obvestilo vsebuje vsaj:

  • opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
  • sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
  • opis verjetnih posledic kršitve varstva osebnih podatkov;
  • opis ukrepov, ki jih ENO sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

Obrazec uradnega obvestila je priloga tega pravilnika.

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, ENO brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

V sporočilu posamezniku, na katerega se nanašajo osebni podatki, je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter: 

  • informacije o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
  • opis verjetnih posledic kršitve varstva osebnih podatkov;
  • opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

  • če je ENO izvedla ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;
  • če je ENO sprejela naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, verjetno ne bo več udejanjilo;
  • če bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni. 

Presojo o obveznosti posredovanja sporočila opravi kontaktna oseba za varstvo osebnih podatkov.

Obrazec obvestila za posameznika je priloga tega pravilnika.

Vse zaznane kršitve, opravljene presoje glede obveznosti obveščanja nadzornega organa in posameznika ter izvedeni ukrepi za odpravo posledic kršitve se ustrezno dokumentirajo. Za dokumentiranje je zadolžena kontaktna oseba za varstvo osebnih podatkov.

Vsakdo, ki so mu dostopni  osebni podatki, in jih nepooblaščeno razkrije nepooblaščeni tretji fizični ali pravni osebi, je disciplinsko, odškodninsko in kazensko odgovoren, in to tako ENO kot tudi prizadetemu posamezniku, na katerega se razkriti osebni podatki nanašajo.

ENO zoper tistega, ki je zlorabil osebne podatke, nepooblaščeno dostopal do osebnih podatkov oziroma je odgovoren za kršitev varstva osebnih podatkov, izvede ustrezne in primerne ukrepe. Če obstaja sum kršitve varstva osebnih podatkov s strani zaposlene osebe, oziroma obstaja sum, da je izvedena aktivnost zaposlenega storjena z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so bili zbrani ali če je do kršitve varstva osebnih podatkov že prišlo, ENO poleg uvedbe disciplinskega postopka zoper storilca v primeru hujše kršitve oceni resnost dejanja in po potrebi prijavi kršitev organom pregona.

12. člen
(Pogodbe z obdelovalci osebnih podatkov)

Kadar v imenu ENO kot upravljavca obdelavo izvajajo obdelovalci, ENO sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz Uredbe GDPR in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. 

Pogodba ali drug dogovor med upravljavcem in obdelovalcem mora biti sestavljena pisno ali v enakovredni elektronski obliki.

Obdelavo s strani obdelovalca vsakič ureja pogodba ali drug pravni akt v skladu s pravom Unije ali Zakonom o varstvu osebnih podatkov, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  • osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  • sprejme vse ukrepe, potrebne v skladu z 32. členom Uredbe GDPR;
  • spoštuje pogoje za zaposlitev drugega obdelovalca;
  • ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
  • upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 Uredbe GDPR ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  • v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Pri sklenitvi pogodbe o obdelavi osebnih podatkov obdelovalec ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz veljavnih predpisov o varstvu podatkov. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

Zaposleni ter druge pravne ali fizične osebe, ki v skladu s pogodbo oziroma izrecnim naročilom ENO opravljajo dogovorjene storitve za ENO, ki pri svojem delu, sklepanju pogodb z zunanjimi izvajalci oziroma izdaji naročilnic zunanjim izvajalcem ugotovijo, da bodo slednji v okviru izvajanja storitev obdelovali osebne podatke za in v imenu upravljavca, so dolžni o tem obvestiti kontaktno osebo za varstvo osebnih podatkov, ki poskrbi za pripravo in podpis pogodbe o obdelavi osebnih podatkov z izvajalcem skladno z določili tega Pravilnika.

ENO o vseh zunanjih izvajalcih – obdelovalcih osebnih podatkov vodi poseben pisni seznam, ki se redno posodablja, in sicer ob vsaki sklenitvi pogodbe o obdelavi osebnih podatkov ali njenem prenehanju, pregleduje pa se najmanj polletno. Za vodenje, posodabljanje in pregledovanje seznama je zadolžena  kontaktna oseba za varstvo osebnih podatkov.

13. člen
(Končne določbe)

Spremembe in dopolnitve tega pravilnika se sprejemajo po enakem postopku, kot je veljal za sprejem tega pravilnika.

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci ENO ter druge pravne ali fizične osebe, ki v skladu s pogodbo oziroma naročilom ENO opravljajo dogovorjene storitve za ENO . 

Delavci, ki delajo na delovnih mestih, kjer se obdelujejo osebni podatki, ter druge pravne ali fizične osebe, ki v skladu s pogodbo oziroma izrecnim naročilom ENO opravljajo dogovorjene storitve za ENO, v okviru opravljanja storitev pa obdelujejo osebne podatke, morajo podpisati izjavo o varovanju osebnih podatkov v roku 30 dni od sprejema tega pravilnika.

Ta pravilnik začne veljati z dnem sprejema. 

V primeru neskladja med določbami tega Pravilnika in določbami drugih aktov, pravil, izjav ali pooblastil ENO v delu, ki se nanaša na obdelavo osebnih podatkov, prevladajo določila tega pravilnika.

Ljubljana, 01. 06. 2020