VARSTVO OSEBNIH PODATKOV ZNANI O ZASEBNOSTI Goethe Talent
VARSTVO OSEBNIH PODATKOV
ZNANI O ZASEBNOSTI Goethe: “Talent se razvija v zasebnosti. ” Johnny Depp: “Svoj denar porabljamo za nakup zasebnosti, saj v našem življenju ni dovoljeno biti normalen. ” Marilyn Monroe: “Kariera se oblikuje v javnosti, talent v zasebnosti. ” Princesa Margareta: “Imam toliko zasebnosti kot zlata ribica v akvariju. ” Robert Browning: “Vdam se. Naj se že najde prostor, obskuren kotiček zame. Želim biti pozabljen celo od Boga. ” Judy Garland: “Nikoli nisem pogledala skozi ključavnico, ne da bi me z druge strani nekdo gledal nazaj. ”
VARSTVO OSEBNIH PODATKOV § ena izmed ustavno zagotovljenih človekovih pravic in temeljnih svoboščin, spada v okvir pravic s področja zasebnosti (38. člen Ustave RS); § v RS je uveljavljen “obdelovalni model” - na področju obdelave osebnih podatkov (OP) je prepovedano vse, razen tistega, kar je z zakonom izrecno dovoljeno; § Zakon o varstvu osebnih podatkov (Ur. l. RS, št. 94/2007–UPB 1; ZVOP-1) je sistemski zakon na področju varstva osebnih podatkov.
USTAVA RS, 38. člen § zagotovljeno je varstvo OP; § prepovedana je uporaba OP v nasprotju z namenom njihovega zbiranja; § zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti OP določa zakon; § vsakdo ima pravico seznaniti se z zbranimi OP, ki se nanašajo nanj in pravico do sodnega varstva ob njihovi zlorabi. Konkretizacija te ustavne pravice je ZVOP-1
SMISEL VARSTVA OSEBNIH PODATKOV Varstvo lastnega občutka zasebnosti (individualnost) Breme in ovira za normalno poslovanje upravljavcev Varstvo pred zlorabami OP –povzročanjem škode za posameznika Varstvo pred neželenimi posegi države, podjetij, posameznikov… (varstvo pred motenjem lastnega miru)
IZJEME PO ZVOP-1 izključen v celoti: če obdelavo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe. ZVOP-1 izključen delno: § za OP, ki jih o svojih članih obdelujejo politične stranke, sindikati, društva ali verske skupnosti: ni katalogov zbirk OP, vpisa v register zbirk OP, § za OP, ki jih za obveščanje javnosti obdelujejo mediji: ni internega akta o zavarovanju OP, katalogov zbirk OP, vpisa v register zbirk OP, ne veljajo določbe glede iznosa OP, § upravljavci z manj kot 50 zaposlenimi: ni internega akta o zavarovanju OP, katalogov zbirk OP, vpisa v register zbirk OP § izjema pa ne velja za vse….
…izjeme pa se NE uporabljajo za zbirke OP, ki jih vodijo upravljavci: § v javnem sektorju, § notarji, § odvetniki, § detektivi, § izvršitelji, § izvajalci zasebnega varovanja, § zasebni zdravstveni delavci, § izvajalci zdravstvenih storitev, § upravljavci občutljivih OP in je obdelava občutljivih OP del njihove registrirane dejavnosti.
OSEBNI PODATEK je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen POSAMEZNIK je določena ali določljiva fizična oseba, na katero se nanaša OP, pri čemer je fizična oseba določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali na več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa
OBČUTLJIVI OSEBNI PODATKI § podatki o: rasnem, narodnem in narodnostnem poreklu, političnem, verskem in filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu iz kazenske, prekrškovne evidence, § biometrične značilnosti
OBDELAVA OSEBNIH PODATKOV kakršnokoli delovanje ali niz delovanj, ki se izvaja z OP, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke OP (strukturiran niz podatkov, ki določi ali omogoči določljivost posameznika) ali namenjeni vključitvi vanjo, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje
OBDELAVA OSEBNIH PODATKOV Načelo sorazmernosti: OP, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo (3. člen ZVOP-1). OP se lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače (16. člen ZVOP-1). OP, ki se obdelujejo, morajo biti točni in ažurni (preverjanje točnosti OP z vpogledom v osebni dokument ali drugo javno listino) – 18. člen ZVOP-1
PODLAGE ZA OBDELAVO OSEBNIH PODATKOV - splošno § OP se lahko obdelujejo le, če obdelavo OP in OP, ki se obdelujejo, določa zakon ali če je za obdelavo določenih OP podana osebna privolitev posameznika, § namen obdelave OP mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave OP (8. člen ZVOP-1)
PODLAGE ZA OBDELAVO OSEBNIH PODATKOV – zasebni sektor § če obdelavo OP in OP, ki se obdelujejo, določa zakon ali če je za obdelavo določenih OP podana osebna privolitev posameznika; §. . . se lahko obdelujejo OP posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava OP potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe; §…. se lahko obdelujejo OP, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo OP (10. člen ZVOP-1)
POGODBENA OBDELAVA OSEBNIH PODATKOV § upravljavec OP lahko posamezna opravila v zvezi z obdelavo OP s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za zavarovanje OP, § pogodbeni obdelovalec lahko obdeluje OP samo v okviru pooblastil upravljavca in za noben drug namen, § pogodba mora biti pisna in mora vsebovati dogovor o postopkih in ukrepih (pravila zavarovanja) iz 24. člena ZVOP-1, § upravljavec nadzoruje izvajanje zavarovanja pogodbenega obdelovalca; § pogodbeni obdelovalec mora po koncu pogodbene obdelave OP vrniti upravljavcu. Primeri: obračun plač, vzdrževanje inf. sistema, izvajanje videonadzora
POSREDOVANJE OSEBNIH PODATKOV § upravljavec OP mora proti plačilu stroškov posredovanja, če zakon ne določa drugače, posredovati OP uporabnikom; § upravljavec OP mora imeti za vsako posredovanje OP pravno podlago.
POSREDOVANJE OSEBNIH PODATKOV upravljavec OP mora za vsako posredovanje OP zagotoviti, da je mogoče pozneje ugotoviti, kateri OP so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje (5 let), ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja OP (22. člen ZVOP-1)
POSREDOVANJE OSEBNIH PODATKOV Zunanja sledljivost – tretji odstavek 22. člena ZVOP-1: § kateri OP so bili posredovani (ime in priimek posameznika ter vrsta njegovih OP, ki so bili posredovani), § komu so bili posredovani (osebno ime ali firma prejemnika ter naslov prebivališča ali sedež), § datum posredovanja OP, § pravna podlaga posredovanja (določba zakona, ki uporabnika pooblašča za pridobitev podatkov).
PODLAGE ZA OBDELAVO OSEBNIH PODATKOV Specialni zakoni, npr: § Zakon o policiji (Ur. l. RS, št. 66/2009 -UPB 7) - 54. in 55. člen § Zakon o odvetništvu (Ur. l. RS, št. 18/1993, s spr. ) - 10. člen § Zakon o sodiščih (Ur. l. RS, št. 94/2007 -UPB 4, s spr. ) - 13. člen § Zakon o kazenskem postopku (Ur. l. RS, št. 32/2007 -UPB 4, s spr. ) 143. člen § Zakon o pravdnem postopku (Ur. l. RS, št. 73/2007 -UPB 3, s spr. ) 10. člen § Zakon o socialnem varstvu (Ur. l. RS, št. 3/2007 -UPB 2) – 111. člen v povezavi s 110. in 112. členom § Zakon o delovnih razmerjih (Ur. l. RS, št. 42/2002, s spr. ) – 46. člen
ROK HRAMBE OSEBNIH PODATKOV § OP se lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali nadalje obdelovali, § po izpolnitvi namena obdelave se OP zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste OP ne določa drugače (21. člen ZVOP-1)
ZAVAROVANJE OSEBNIH PODATKOV
ZAVAROVANJE OSEBNIH PODATKOV obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo OP, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov (24. člen ZVOP 1)
ZAVAROVANJE OSEBNIH PODATKOV § varovanje prostorov, opreme in sistemsko programske opreme, vključno z vhodno-izhodnimi enotami; § varovanje aplikativne programske opreme, s katero se obdelujejo OP; § preprečevanje nepooblaščenega dostopa do OP pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih; § zagotavljanje učinkovitega načina blokiranja, uničenja, izbrisa ali anonimiziranja OP; § omogočanje poznejšega ugotavljanja, kdaj so bili posamezni OP vneseni v zbirko OP, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave OP (sledljivost!)
ZAVAROVANJE OSEBNIH PODATKOV Notranja sledljivost: 5. točka prvega odstavka 24. člena ZVOP-1: dogodkovni dnevnik (log file) ali preglednica Primer: evidenca pregledovanja videoposnetkov § datum in čas pregledovanja posnetkov, § kdo je posnetke pregledoval (ime osebe in naziv podjetja oziroma organa, kjer je ta oseba zaposlena), § katere posnetke (številka kamere, datum in ura posnetka) je oseba pregledovala, § razlog pregledovanja.
DOLŽNOST ZAVAROVANJA § upravljavci OP in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje OP na način iz 24. člena ZVOP-1, § upravljavci OP v svojih aktih predpišejo postopke in ukrepe za zavarovanje OP ter določijo osebe, ki so odgovorne za določene zbirke OP, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene OP (25. člen ZVOP-1) Ni dovolj, da so postopki in ukrepi le predpisani, ampak se morajo tudi izvajati!
OSNOVE ZAVAROVANJA 1. fizično varovanje (shranjevanje v ognjevarni omari, dokumenti na mizah!, zaklepanje pisarn!, omejevanje dostopov, protipožarna varnost, alarmi), 2. elektronsko varovanje (gesla , zavarovanje priključkov: ( npr. USB; povezave na internet; kriptiranje e-pošte; antivirusni in anti-spyware programi; požarni zid; SSL; https; brezžična omrežja; dogodkovni dnevniki), 3. izobraževanje zaposlenih, 4. striktno izvrševanje pogodbene obdelave.
GESLA § ne sme biti enako kot uporabniško ime, § ne sme biti beseda iz slovarja, § ne sme biti sestavljeno zgolj iz pogosto uporabljenih besed, § ne sme biti sestavljeno iz imena, priimka, ali drugače enostavno ugotovljivega osebnega podatka uporabnika računalnika (npr. rojstnega datuma, imena partnerja, otrok. . . ), § mora biti sestavljeno iz črk in številk, § mora biti kar se da dolgo, § mora biti takšno, da si ga je lahko zapomniti, a težko uganiti (npr. NPSS 175 nplj). § redna menjava gesel!
ZAVAROVANJE IN POGODBENA OBDELAVA § za zavarovanje sta dolžna skrbeti tako upravljavec osebnih podatkov kot tudi pogodbeni obdelovalec, § upravljavec je dolžan nadzirati pogodbenega obdelovalca glede izvajanja zavarovanja osebnih podatkov, § preverite reference bodočega pogodbenega obdelovalca in ugotovite, katere varnostne standarde upošteva, § od pogodbenega obdelovalca zahtevajte, da vas obvešča o vseh varnostnih težavah, četudi osebni podatki morda niso bili ogroženi.
ZAPOSLENI IN VAROVANJE OSEBNIH PODATKOV § funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo OP, so dolžni varovati tajnost OP, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti OP jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave, § izjava o varovanju OP.
UNIČENJE DOKUMENTOV § razrez papirnatih dokumentov (shredder); § previdnost ob odpisu računalniške opreme (pravilno brisanje podatkov)
ČLOVEŠKI FAKTOR za večino zlorab OP je še vedno najbolj odgovoren človeški faktor – izobraževanje in “vzgoja” zaposlenih
GLOBE 4. 170 € pravna oseba in samostojni podjetnik posameznik 830 € odgovorna oseba pravne osebe in samostojnega podjetnika posameznika 200 € posameznik
OBDELAVA OSEBNIH PODATKOV ZAPOSLENIH
ZASEBNOST NA DELOVNEM MESTU § delodajalec mora varovati in spoštovati delavčevo osebnost in zasebnost, § delavec ima tudi na delovnem mestu pravico do zasebnosti, sorazmerno z zakonitim ciljem, ki mu delodajalec sledi, § poseg v zasebnost delavca na delovnem mestu je mogoče izvesti le, ko pride do kolizije z neko drugo ustavno pravico in ta v konkretnem primeru prevlada (delodajalčeva pravica do lastnine in delavčeva pravica do zasebnosti).
OBDELAVA OSEBNIH PODATKOV ZAPOSLENIH Delodajalec lahko od zaposlenega zbira in nadalje obdeluje le toliko OP, kolikor je to nujno zaradi uresničevanje pravic in obveznosti iz delovnega razmerja in kar določa zakonodaja: § Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/2006; ZEPDSV) § Zakon o delovnih razmerjih (Uradni list RS, št. 42/2002 in 103/2007–ZDR-A; ZDR) § osebna privolitev je dopustna izjemoma (priporočena je pisna privolitev) in le za OP, ki niso vezani na uresničevanje pravic in obveznosti iz delovnega razmerja oz. niso v zvezi z delovnim razmerjem, zavrnitev soglasja ne sme imeti posledic za delovno razmerje
OBDELAVA OSEBNIH PODATKOV ZAPOSLENIH § Pri sklepanju pogodbe o zaposlitvi delodajalec ne sme od kandidata zahtevati podatkov o družinskem, zakonskem stanu, nosečnosti, načrtovanju družine oz. drugih podatkov, če niso neposredno v zvezi z delovnim razmerjem, § Delodajalec mora obrazložiti, zakaj potrebuje določen OP delavca.
ZBIRKE OSEBNIH PODATKOV ZAPOSLENIH ZEPDSV določa 4 evidence: § o zaposlenih delavcih § o stroških dela, § o izrabi delovnega časa, § o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu. še npr. § evidenca o opravljenih usposabljanjih za varno delo in preizkusih praktičnega znanja, § evidenca o opravljenih preventivnih zdravstvenih pregledih zaposlenih, § evidenca o izrečenih disciplinskih ukrepih, § evidenca o poškodbah pri delu, § evidenca o vzdrževanih družinskih članih.
EVIDENCA O ZAPOSLENIH DELAVCIH (ZEPDSV) a) podatki o delavcu: • osebno ime, • datum rojstva, če oseba nima EMŠO, • kraj rojstva, • država rojstva, če je kraj rojstva v tujini, • EMŠO in DŠ, • državljanstvo, • naslov stalnega in začasnega prebivališča, • izobrazba, • ali je delavec invalid in kategorija invalidnosti, • ali je delavec delno upokojen, • ali delavec opravlja dopolnilno delo pri drugem delodajalcu, • podatki o drugem delodajalcu, kjer delavec dela dopolnilno, b) podatki o delovnem dovoljenju delavca (za tujce), c) podatki o sklenjeni pogodbi o zaposlitvi, d) datum in način prenehanja pogodbe o zaposlitvi.
ROK HRAMBE OSEBNIH PODATKOV ZAPOSLENIH § evidence po ZEPDSV se začnejo za posameznega delavca voditi z dnem sklenitve delovnega razmerja, prenehajo pa z dnem prenehanja pogodbe o zaposlitvi § Dokumenti s podatki o delavcu po prenehanju delovnega razmerja in izvirne listine, ki so podlaga za vpis v evidence po ZEPDSV, se hranijo kot listine trajne vrednosti. Ob prenehanju dejavnosti delodajalca prevzame arhiv teh podatkov pravni naslednik, če tega ni, pa Arhiv RS. § OP delavcev, za katere ne obstoji več zakonska podlaga, se morajo takoj zbrisati in prenehati uporabljati
PRAVICE POSAMEZNIKA
SEZNANITEV Z LASTNIMI OSEBNIMI PODATKI Upravljavec OP mora posamezniku na njegovo zahtevo: § omogočiti vpogled v katalog zbirke OP; § potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogočiti vpogled v OP, ki so vsebovani v zbirki OP in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje; § posredovati izpis OP, ki so vsebovani v zbirki OP in se nanašajo nanj; § posredovati seznam uporabnikov, katerim so bili posredovani OP, kdaj, na kakšni podlagi in za kakšen namen; § dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka OP, in o metodi obdelave; § dati informacije o namenu obdelave in vrsti OP, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem; § pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z obdelavo OP posameznika.
POSTOPEK SEZNANITVE § zahteva se vloži pisno ali ustno na zapisnik pri upravljavcu OP, § zahteva se lahko vloži enkrat na tri mesece, § glede obdelave občutljivih OP in OP po določbah 2. poglavja VI. dela ZVOP-1 (videonadzor) enkrat na mesec, izjemoma tudi v krajšem ustreznem roku, ki ni krajši od petih dni od dneva seznanitve z OP, ki se nanašajo nanj ali zavrnitve te seznanitve, § upravljavec OP mora posamezniku omogočiti vpogled, prepis, kopiranje in potrdilo praviloma istega dne, ko je prejel zahtevo, najpozneje pa v 15 dneh, ali pa ga v 15 dneh pisno obvestiti o razlogih zavrnitve, § izpis, seznam, informacije ter pojasnilo mora upravljavec OP posredovati posamezniku v 30 dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih zavrnitve.
STROŠKI PRI SEZNANITVI § stroške v zvezi z zahtevo in vpogledom krije upravljavec OP, § za prepis, kopiranje in pisno potrdilo ter za izpis, seznam, informacije ter pojasnilo lahko upravljavec OP posamezniku zaračunava zgolj materialne stroške po vnaprej določenem ceniku (Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi OP), § ustno potrdilo, ustna informacija in ustno pojasnilo so brezplačni. Informacijski pooblaščenec je pritožbeni organ v primeru zavrnitve vpogleda ali molka upravljavca OP
PRAVICA DO DOPOLNITVE, POPRAVKA, BLOKIRANJA, IZBRISA IN UGOVORA § upravljavec OP mora na zahtevo posameznika, na katerega se nanašajo OP, dopolniti, popraviti, blokirati ali izbrisati OP, za katere posameznik dokaže, da so nepopolni, netočni ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom, § zahteva ali ugovor se vloži pisno ali ustno na zapisnik pri upravljavcu OP, § upravljavec OP mora zahtevo izvršiti v 15 dneh od dneva, ko je prejel zahtevo in o tem obvestiti vlagatelja zahteve ali ga v istem roku obvestiti o razlogih zavrnitve, § stroške krije upravljavec OP.
KATALOGI IN REGISTER ZBIRK OP
KATALOG IN REGISTER ZBIRK OSEBNIH PODATKOV Katalog zbirke osebnih podatkov je opis zbirke osebnih podatkov. Register zbirk osebnih podatkov (RZOP) je register, v katerem so podatki iz katalogov zbirk osebnih podatkov, vodi ga Informacijski pooblaščenec.
KATALOG ZBIRKE OSEBNIH PODATKOV Vsebuje: • • • • naziv zbirke OP; podatke o upravljavcu OP; pravno podlago za obdelavo OP; kategorije posameznikov, na katere se nanašajo OP; vrste OP v zbirki; namen obdelave; rok hrambe OP; omejitve pravic posameznikov glede OP v zbirki in pravno podlago omejitev; uporabnike ali kategorije uporabnikov OP, vsebovanih v zbirki; dejstvo, ali se OP iznašajo v tretjo državo, kam, komu in pravno podlago iznosa; splošen opis zavarovanja OP; podatke o povezanih zbirkah OP iz uradnih evidenc ter javnih knjig; podatke o zastopniku iz tretjega odstavka 5. člena ZVOP-1.
KATALOG IN REGISTER ZBIRK OSEBNIH PODATKOV § Upravljavec OP mora skrbeti za točnost in ažurnost vsebine kataloga. § Upravljavec OP posreduje podatke iz 1. , 2. , 4. , 5. , 6. , 9. , 10. , 11. , 12. in 13. točke prvega odstavka 26. člena ZVOP-1 Državnemu nadzornemu organu za varstvo OP (Informacijskemu pooblaščencu) najmanj 15 dni pred vzpostavitvijo zbirke OP ali pred vnosom nove vrste OP. § Upravljavec OP posreduje Državnemu nadzornemu organu za varstvo OP spremembe navedenih podatkov najkasneje v osmih dneh od dneva spremembe.
Kaj morate storiti, preden začnete vnašati podatke v RZOP? § ugotoviti, ali ste dolžni vzpostaviti kataloge zbirk OP in posredovati podatke v RZOP, § ugotoviti, katere zbirke OP vodite, § prebrati Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Ur. l. RS, št. 28/2005), § pogledati, kakšni so vpisi v RZOP vaši družbi sorodnih družb, § poznati spletno stran Informacijskega pooblaščenca: www. ip-rs. si
VIDEONADZOR
Izvajalec videonadzora mora: § objaviti obvestilo (vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor): 1. da se izvaja videonadzor, 2. naziv osebe javnega ali zasebnega sektorja, ki ga izvaja, 3. telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema. § zavarovati videonadzorni sistem pred dostopom nepooblaščenih oseb.
VIDEONADZOR DOSTOPA V URADNE SLUŽBENE OZIROMA POSLOVNE PROSTORE § če je to potrebno: a) za varnost ljudi ali premoženja, b) zaradi zagotavljanja nadzora vstopa ali izstopa, c) zaradi narave dela obstaja možnost ogrožanja zaposlenih § pisna odločitev z obrazloženimi razlogi za uvedbo videonadzora in pisno obvestilo vsem zaposlenim, § ob izvajanju videonadzora nastane zbirka OP (vzpostavitev kataloga, posredovanje podatkov IP, določitev odgovorne osebe, zagotovitev evidence posredovanja in pregledovanja videoposnetkov), § rok hrambe OP: največ eno leto.
VIDEONADZOR V DELOVNIH PROSTORIH § le v izjemnih primerih, če je to nujno potrebno za: a) varnost ljudi ali premoženja, b) varovanje tajnih podatkov in poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. § prepovedano izvajati v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih , § vnaprej pisno obvestiti zaposlene, § posvetovanje z reprezentativnim sindikatom pri delodajalcu.
BIOMETRIJA
Zakaj se veča uporaba biometrije? § biometrične značilnosti (telesne, fiziološke ter vedenjske značilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z uporabo prstnega odtisa, šarenice, očesne mrežnice, obraza, ušesa, DNK ter značilne drže). Prednosti biometričnih značilnosti: • unikatne, • neprenosljive na drugo osebo, • ni jih mogoče pozabiti ali izgubiti, • težko jih je kopirati ali ponarediti, • lahko se uporabijo z vednostjo ali brez vednosti posameznika, • posamezniku jih je težko spremeniti ali skriti.
Biometrijski ukrepi v zasebnem sektorju § če so nujno potrebni za: a) opravljanje dejavnosti, b) varnost ljudi ali premoženja, c) varovanje tajnih podatkov ali poslovne skrivnosti. § le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni, § če izvajanje biometrijskih ukrepov ni urejeno z zakonom, mora tisti, ki želi uvesti biometrijske ukrepe, pridobiti odločbo Informacijskega pooblaščenca, § upravljavec OP sme izvajati biometrijske ukrepe po prejemu odločbe Informacijskega pooblaščenca, s katero je izvajanje biometrijskih ukrepov dovoljeno.
FOTOKOPIRANJE OSEBNIH DOKUMENTOV (osebna izkaznica in potni list)
Kdaj je fotokopiranje dovoljeno? § kopiranje osebne izkaznice in potnega lista je možno samo v primerih, ki jih določa zakon (Zakon o osebni izkaznici, Zakon o potnih listinah, Ur. l. RS, št. 44/2008), § notarji in finančne družbe, ki opravljajo finančne storitve, če kopijo potrebujejo za dokazovanje identitete državljana v konkretnem postopku, § upravljavci OP lahko osebne dokumente kopirajo na podlagi pisne privolitve njihovih imetnikov. § nujno upoštevati načelo sorazmernosti!!
Označitev kopije § Zakona zahtevata, da je kopijo treba označiti z opozorilom o prepovedi uporabe v druge namene. § Pooblaščenec priporoča naslednje sestavine opozorila: – da gre za kopijo; – naziv upravljavca osebnih podatkov; – namen fotokopiranja; – pravna podlaga za fotokopiranje (npr. pisna privolitev).
Potrdilo in prepoved hranjenja v elektronski obliki § prepovedano je kopiranje kopij in hranjenje kopij osebnih dokumentov v elektronski obliki, § imetnik osebnega dokumenta lahko kopijo označi s svojim podpisom § Potrdilo: na podlagi vloge imetnika osebnega dokumenta mora upravljavec izdati potrdilo o kopiji, na katerem je naveden namen rabe kopije in rok, za katerega upravljavec kopijo potrebuje.
DOLŽNOSTI UPRAVLJAVCEV ZBIRK OP (povzetek)
Kot upravljavec OP morate zagotoviti: § da se OP obdelujejo le, če tako določa zakon ali je dana osebna privolitev (8. člen), § da se OP obdelujejo v skladu z namenom, za katerega so bili zbrani (16. člen), § točnost in ažurnost OP (18. člen), § posamezniku informacije iz 19. člena, § da se OP po izpolnitvi namena brišejo, uničijo, blokirajo ali anonimizirajo (21. člen), § sledljivost posredovanja OP = možnost naknadnega ugotavljanja, kateri OP so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen),
§ notranje akte, v katerih so predpisani postopki in ukrepi za zavarovanje OP (25. člen), § sledljivost obdelave OP (24. člen), § seznam oseb, ki so odgovorne za posamezne zbirke OP in oseb, ki lahko obdelujejo določene OP (25. člen), § ustrezno zavarovanje OP (24. in 25. člen), § kataloge zbirk OP (26. člen) ter podatke iz katalogov posredovati Informacijskemu pooblaščencu (27. člen), § posameznikom pravico do seznanitve z lastnimi OP ter pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora (30. -33. člen).
Če izvajate, morate kot upravljavec OP zagotoviti tudi: § pisne pogodbe s pogodbenimi obdelovalci (11. člen), § zakonitost iznosa OP v 3. države (63. člen), § zakonito izvajanje neposrednega trženja tako, da posameznika seznanijo z njegovimi pravicami in če posameznik to zahteva, preprečijo nadaljnjo uporabo OP ter o tem obvestijo posameznika (72. in 73. člen), § sprejeti pisni sklep o uvedbi videonadzora, objaviti ustrezno obvestilo, pisno seznaniti zaposlene, se posvetovati s sindikati (74. -77. člen), § pridobiti odločbo Informacijskega pooblaščenca o dovolitvi izvajanja biometrije (80. , 81. člen), § javni sektor (uradne evidence in javne knjige): pridobiti odločbo IP o dovolitvi povezave zbirk z občutljivimi OP ali v primeru uporabe istega povezovalnega znaka (84. člen).
- Slides: 66