Na podlagi določb Splošne uredbe o varstvu osebnih podatkov (Uredba (EU) 2016/679 ), na njeni osnovi sprejetega Zakona o varstvu osebnih podatkov, 21. in 22. člena Zakona o gasilstvu (ZGas) (Uradni list RS, 113/05 – UPB), ter na podlagi Statuta Prostovoljnega gasilskega društva Brezje, je Upravni odbor PGD Brezje na svoji 3. seji dne 5.6.2018 sprejel naslednji
PRAVILNIK
o postopkih in ukrepih za zavarovanje osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
(vsebina in namen pravilnika)
(1) S tem pravilnikom se določajo pravila za obdelavo osebnih podatkov in organizacijski, tehnični in logično-tehnični postopki, ter ukrepi za zavarovanje osebnih podatkov v Prostovoljnem gasilskem društvu Brezje (v nadaljevanju PGD Brezje), in dajejo strokovne usmeritve za obdelavo osebnih podatkov, organizacijske, tehnične in logično-tehnične postopke in ukrepe za zavarovanje osebnih podatkov, ki jih obdeluje prostovoljno gasilsko društvo z namenom, da se zagotovi zakonita obdelava osebnih podatkov in se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava osebnih podatkov. Prav tako se s tem pravilnikom določajo pravila za obdelavo osebnih podatkov znotraj PGD za namene izvajanja nalog gasilske službe. S pravilnikom se ureja tudi način dostopa uporabnikov do osebnih podatkov, ki jih v svojih zbirkah obdeluje PGD.
(2) Člani, zunanji sodelavci in drugi pooblaščeni sodelavci, ki pri svojem delu obdelujejo ter uporabljajo osebne podatke, morajo biti seznanjeni z zakonom, ki ureja varstvo osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela in vsebino tega pravilnika.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
- Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa.
- Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
- Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
- Anonimiziranje – je sprememba oblike osebnih podatkov, da jih ni več mogoče povezovati s posameznikom oz. je to mogoče z nesorazmerno velikimi napori, stroški ali porabo časa.
- Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene ter sredstva obdelave.
- Posebne vrste osebnih podatkov – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti.
- Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
- Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov ipd.).
10. Gasilske organizacije (GO) – so prostovoljna gasilska društva in njihove enote, gasilske zveze, poklicne gasilske enote, organizirane kot javni zavodi in druge organizacijske oblike, ki poklicno opravljajo gasilsko službo. - Prostovoljno gasilsko društvo (PGD) – je humanitarna organizacija, v kateri fizične osebe prostovoljno delujejo in opravljajo naloge na področju gasilstva, varstva pred požarom in drugimi nesrečami ter opravljajo druge dejavnosti, ki so pomembne za razvoj in delovanje gasilstva.
- Gasilska zveza Slovenije (GZS) – je zveza vseh prostovoljnih gasilskih društev, prostovoljnih industrijskih gasilskih društev in njihovih gasilskih zvez, ki so organizirana na občinski, medobčinski ter regijski ravni. Je samostojna, nepridobitna, humanitarna, nepolitična in najvišja oblika povezovanja prostovoljnih gasilskih društev, njihovih zvez ter regij.
- Prostovoljni gasilec – je član prostovoljnega gasilskega društva.
- Poklicni gasilec je – delavec v poklicni gasilski enoti ali poklicnem jedru gasilske enote ali delavec, ki opravlja operativne naloge gasilstva v gospodarski družbi, zavodu ali drugi organizaciji.
- Operativni gasilec – je oseba, ki poklicno ali prostovoljno opravlja operativne naloge gasilstva v formacijskih sestavah gasilskih enot, izpolnjuje predpisane psihofizične ter zdravstvene zahteve in je strokovno usposobljena za opravljanje teh nalog.
- Operativne naloge gasilstva – so gašenje in reševanje ob požarih, prometnih, okoljskih oziroma ekoloških in industrijskih nesrečah, zaščita in reševanje oseb ter premoženja ob naravnih in drugih nesrečah, požarne straže ter druge splošne reševalne naloge. Operativne naloge gasilstva so tudi preventivne in operativne naloge v zvezi z varstvom pred požarom.
- Odgovorna oseba po tem pravilniku je predsednik Prostovoljnega gasilskega društva Brezje.
II. OBDELAVA OSEBNIH PODATKOV
3. člen
(zbirke osebnih podatkov)
(1) PGD Brezje vodi zbirke osebnih podatkov, v skladu z zakonskim pravnim temeljem iz zakona, ki ureja gasilstvo, zakona, ki ureja evidence s področja dela in socialne varnosti ter drugih zakonov, ki urejajo pooblastila PGD Brezje oziroma izvajanje javne gasilske službe (na primer za namen zavarovanja odgovornosti, poškodbe pri delu, nezgodno zavarovanje, podatki o usposobljenosti za vožnjo in morebitnih omejitvah). Za namen izvajanja javne gasilske službe obdeluje PGD tudi druge osebne podatke, ki so potrebni in primerni za sklenitev in izvajanje pogodbe ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo.
(2) PGD vodi evidenco dejavnosti obdelave osebnih podatkov, iz katere so razvidni kontaktni podatki PGD, vrste zbirk in osebnih podatkov, ki se vodijo v njih, namen obdelave osebnih podatkov, kategorije uporabnikov, ki se jim osebni podatki posredujejo in roke hrambe.
(3) PGD vodi naslednje zbirke z osebnimi podatki:
- o pogodbenih sodelavcih;
- o prostovoljnih gasilcih;
- o izdanih gasilskih izkaznicah;
- o članarinah fizičnih oseb;
- o zbirkah podatkov iz naslova uporabe GPS.
- Odgovorna oseba za zakonitost obdelave osebnih podatkov v PGD je predsednik PGD.
4. člen
(obdelava osebnih podatkov s strani gasilske organizacije in tretjih oseb)
Zbirko osebnih podatkov iz 3. alineje 3. člena tega pravilnika vodi PGD za svoje potrebe, v skladu z ZGas. Podatki za to zbirko se pridobijo neposredno od posameznikov, na katere se nanašajo, ali iz že obstoječih zbirk podatkov, ter se hranijo in uporabljajo le toliko časa, kot je to potrebno za dosego namena, za katerega so bili zbrani. Šteje se, da so bili podatki pridobljeni od posameznikov tudi v primerih, ko jih je v njihovem imenu in za njihov račun (po pooblastilu posameznika) PGD dejansko posredovala tretja oseba. Če PGD o takšnem načinu posredovanja ni že sama obvestila posameznika, izvede razumne ukrepe glede preverjanja obstoja pooblastila za ta namen (klic, e-pošta ipd. posamezniku, na katerega se osebni podatki nanašajo).
Osebne podatke iz zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika lahko uporabljajo:
- organi prostovoljnega gasilskega društva za opravljanje svojih nalog, v skladu s pravili gasilskih organizacij;
- občinski organi, pristojni za organiziranje javne gasilske službe občin;
- inšpektorji za varstvo pred naravnimi in drugimi nesrečami za opravljanje inšpekcijskih nalog, v skladu s tem zakonom in predpisi o varstvu pred naravnimi in drugimi nesrečami;
- Uprava Republike Slovenije za zaščito in reševanje za opravljanje nalog, v skladu s tem zakonom in predpisi o varstvu pred naravnimi in drugimi nesrečami, ter drugi državni organi, če je tako določeno z zakonom.
Administratorji v PGD so določeni z sklepom UO društva in lahko dogovorijo neposreden dostop do zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika. Pred odobritvijo neposrednega dostopa administratorju društva UO preveri, kako je na njegovi strani zmanjšano tveganje za nepooblaščeno dostopanje do osebnih podatkov. Enak dogovor je po predhodnem preverjanju ukrepov za zavarovanje osebnih podatkov mogoč tudi z drugimi uporabniki osebnih podatkov iz zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika, ki so našteti v prejšnjem odstavku tega člena.
PGD lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke ter ukrepe zavarovanja. Pogodbeni obdelovalci obdelujejo osebne podatke v zbirkah PGD po pravilih iz 21. člena tega pravilnika.
5. člen
(obdelava osebnih podatkov iz poštnih pošiljk)
(1) Tajnik PGD je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v PGD – prinesejo jih člani, druge osebe ali kurirji – razen pošiljk iz drugega in tretjega odstavka tega člena.
(2) Tajnik PGD ne odpre pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljene v PGD.
(3) Tajnik PGD ne sme odpreti pošiljk, naslovljenih osebno na druge gasilce (člane) PGD, na katerih je na ovojnicah navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime člana PGD, brez označbe njegovega uradnega položaja in šele nato naslov PGD.
6. člen
(posredovanje osebnih podatkov)
(1) Osebni podatki iz zbirk PGD se lahko posredujejo tretji osebi le, če se le-ta izkaže z ustreznim pravnim temeljem, v skladu z določili zakona, ki ureja varstvo osebnih podatkov (praviloma z zakonsko določbo ali osebno privolitvijo posameznika, na katerega se osebni podatki nanašajo). Če pravni temelj ob zaprosilu za posredovanje osebnih podatkov ni razviden, odgovorna oseba PGD (predsednik PGD) prosilca pozove k sklicu nanj in izkazu njegovega obstoja (še posebej ob sklicu na osebno privolitev posameznika) in šele potem sprejme odločitev o posredovanju ali zavrnitvi posredovanja zahtevanih osebnih podatkov. Zapisan način ravnanja velja tudi v primerih, ko druge gasilske organizacije zaprošajo PGD za osebne podatke posameznikov, ki niso njihovi člani.
(2) Posredovanje osebnih podatkov iz prvega odstavka tega člena lahko uporabnik zahteva pisno ali ustno. Če uporabnik zahteva posredovanje osebnih podatkov ustno, sme odgovorna oseba v primeru dvoma o vsebini zahteve oziroma privolitve posameznika, na katerega se podatki nanašajo, od uporabnika zahtevati, naj takšno zahtevo kot privolitev, če se sklicuje nanjo (ali drug pravni temelj), predloži v pisni obliki.
(3) Osebni podatki, ki se posredujejo uporabniku v fizični obliki, morajo biti posredovani v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri njeni osvetlitvi z običajno lučjo vidna njena vsebina. Ovojnica mora tudi zagotoviti, da njenega odprtja in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
(4) Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino med prenosom.
(5) Občutljive osebne podatke oziroma posebne vrste osebnih podatkov je dovoljeno posredovati preko komunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom, tako da je zagotovljena nečitljivost podatkov med njihovim prenosom.
7. člen
(evidenca posredovanj)
(1) Za namen omogočanja izvršitve pravice posameznika do seznanitve z njegovimi osebnimi podatki, lahko posameznik zahteva seznam uporabnikov, ki so jim bili posredovani njegovi osebni podatki (kdaj, na kakšni podlagi in za kakšen namen), PGD posreduje osebne podatke na način, ki omogoča takšno ugotavljanje, lahko pa vodi tudi evidenco posredovanj osebnih podatkov.
V slednjem primeru se vsako posredovanje osebnih podatkov zaznamuje z navedbo naslednjih podatkov:
- kateri osebni podatki so bili posredovani;
- uporabnike, ki so jim bili posredovani osebni podatki;
- pravni temelj za posredovanje.
(2) Odgovorna oseba PGD lahko o posredovanju osebnih podatkov naredi le zaznamek in ga shrani na način, ki bo omogočal izvršitev pravice posameznika, če bo le-ta postavil zahtevo po predložitvi seznama uporabnikov.
(3) Evidenca posredovanj oziroma zaznamki o posredovanju se vodijo/hranijo za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov (6 let od dneva posredovanja).
8. člen
(hramba osebnih podatkov)
(1) Osebni podatki se lahko hranijo le toliko časa, kot je potrebno za dosego določenega namena oziroma do poteka roka hrambe.
(2) Osebni podatki o članih prostovoljnega gasilskega društva se hranijo trajno.
Podatki o kandidatih za člana prostovoljnega gasilskega društva, ki ne postanejo člani društva, se uničijo takoj po tem, ko postane sklep, da kandidat ne more postati član prostovoljnega gasilskega društva, pravnomočen.
(3) Po preteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.
(4) Za brisanje osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov – v aplikaciji lahko ostanejo le anonimizirani podatki.
(5) Osebni podatki v fizični obliki se uničijo na način, s katerim se zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv (npr. rezalnik papirja, fizično uničenje zunanjih podatkovnih enot).
(6) Prepovedano je zavreči odpadne nosilce podatkov, ki vsebujejo osebne podatke, na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).
(7) Pri prenosu osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov.
(8) Če se uničenje osebnih podatkov zaupa pogodbenemu obdelovalcu, se v pisni obliki dogovori tudi trenutek, ko odgovornost za morebitno nepooblaščeno ali nezakonito obdelavo osebnih podatkov na poti na uničenje iz PGD preide na pogodbenega obdelovalca (na primer ob naložitvi podatkov na prevozno sredstvo, s katerim upravlja pogodbeni obdelovalec).
III. ZAVAROVANJE OSEBNIH PODATKOV
9. člen
(ukrepi zavarovanja)
(1) Zavarovanje osebnih podatkov obsega pravne, organizacijske in ustrezne logično-tehnične postopke ter ukrepe, s katerimi se:
- varujejo prostori, oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami;
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
- zagotavlja varnost posredovanja osebnih podatkov, tako da se preprečuje nepooblaščen dostop do osebnih podatkov, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
- onemogoči nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do samih osebnih podatkov;
- omogoči naknadno ugotavljanje, kdaj so bili posamezni podatki vnešeni v zbirko podatkov, uporabljeni ali kako drugače obdelani ter kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, ki ga s tem pravilnikom določimo na 6 let od vnosa oziroma drugačne obdelave osebnih podatkov v zbirki.
IV. PODROČNE UREDITVE VARSTVA OSEBNIH PODATKOV
10. člen
(elektronska pošta in uporaba računalnika s pripadajočo programsko opremo)
(1) Elektronska pošta in računalnik se uporabljata v službene namene.
(2) Ne glede na prejšnji odstavek se elektronska pošta in druga programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Uporabniki na strani PGD so se dolžni – v smislu skrbi za ugled PGD – izogibati pošiljanju elektronskih sporočil z neprimerno ali žaljivo vsebino.
(3) V računalnik (delovno postajo), drugo tehnično sredstvo, dano v uporabo s strani PGD ali v elektronsko pošto gasilca, ki je angažiran bodisi na podlagi sklepa UO ali na drugem pogodbenem temelju (v nadaljevanju: uporabnik opreme), sme PGD poseči le v primeru nepričakovane, nenadne in dalj časa trajajoče ali trajne odsotnosti uporabnika opreme (v primeru odstopa iz društva, v primeru izključitve iz društva iz krivdnih razlogov, v primeru, da uporabnik zaradi zdravstvenega stanja ni sposoben izraziti svoje volje, pa takšno stanje traja dlje časa, ali se upravičeno domneva, da bo trajalo dlje časa, smrt uporabnika in podobni izredni primeri), kadar:
- je to nujno in neizogibno potrebno za izpolnitev zakonskih obveznosti PGD;
- je to nujno in neizogibno potrebno za izpolnitev pogodbenih obveznosti PGD, katerih neizpolnitev ali izpolnitev z zamudo bi za PGD pomenila izgubo ugleda ali neupravičeno porabo javnih sredstev.
(4) Uporabnika opreme se pred posegom v njegovo računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto pozove k prostovoljni predložitvi gesel in/ali potrebnih dokumentov ter se mu za izpolnitev zahteve postavi primeren rok. Tako v primeru prostovoljnega posredovanja dostopnih gesel, kot tudi v primeru, da se uporabnik na poziv PGD ne odzove ali ga zavrne, se vstop v računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto opravi komisijsko, uporabniku pa se omogoči, da dejanju osebno prisostvuje, tako da se ga obvesti o kraju in času dejanja, razen če to iz objektivnih razlogov ni mogoče ali če član (administrator) s svojim ravnanjem očitno onemogoča vstop.
(5) Vpogled v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto uporabnika opravi tričlanska komisija, ki jo vsakič imenuje predsednik PGD. Vsaj en član komisije mora biti član društva, ki ni del vodstva PGD.
(6) Komisija iz prejšnjega odstavka o vsakem vstopu v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto po tem členu vodi dokumentacijo, ki vsebuje najmanj:
– obrazložen razlog za dopustnost vstopa;
– zapisnik o vstopu v računalnik ali elektronsko pošto, z morebitnimi pripombami člana (administratorja), če je ta navzoč;
– navedbo prisotnih oseb;
– seznam oziroma izpis pridobljenih podatkov.
(7) Šteje se, da je o namenu uporabe elektronske pošte in ostale programske opreme, ki jo uporabniku za namene opravljanja dela nudi PGD, ter o možnosti nadzora po določbah tega člena uporabnik predhodno obveščen, ko mu PGD izroči izvod tega pravilnika ali mu ga pošlje na e-naslov, ki ga uporabniku da PGD, ali ga za namen komunikacije z PGD posreduje uporabnik sam. Kot primerno obvestilo šteje tudi objava tega pravilnika na spletni strani PGD.
11. člen
(internet)
(1) Internet se na delovnih sredstvih PGD uporablja v društvene namene.
(2) Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Uporabniki na strani PGD so se dolžni v smislu skrbi za ugled društva izogibati ogledu spletnih strani z neprimerno ali žaljivo vsebino.
(3) Odgovorna oseba PGD lahko odredi blokado določenih spletnih strani, ki jih uporabniki ne potrebujejo pri svojem delu. Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema v PGD.
- O blokadi dostopa do določenih spletnih strani je potrebno vse uporabnike predhodno obvestiti po elektronski pošti.
12. člen
(uporaba telefona)
Vpogled v telefonske prometne podatke priključkov in mobilnih naročniških številk v lasti PGD in uporabi posameznega uporabnika, lahko od operaterjev telekomunikacijskih storitev ali vzdrževalca hišne centrale zahteva le odgovorna oseba PGD, in sicer le v primeru spora med uporabnikom in PGD, o višini stroškov porabe za sporni telefonski priključek oziroma mobilno naročniško številko za določeno obračunsko obdobje, pri čemer to stori, skladno z določili Zakona o elektronskih komunikacijah in nikakor ne sme preverjati identitete oziroma lastništva klicanih ali klicočih številk.
13. člen
(videonadzor)
(1) Odločitev o uvedbi videonadzora sprejme odgovorna oseba PGD. V odločitvi, ki je lahko v obliki sklepa ali zaznamka, odgovorna oseba opredeli namen videonadzora, in opredeli prostore, v katerih se izvaja videonadzor, ter namestitev obvestil, v skladu z zakonom, ki ureja varstvo osebnih podatkov.
(2) Obvestilo vsebuje informacije o tem:
- da se izvaja videonadzor;
- naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
- telefonsko številko za pridobitev informacije, kje in koliko časa se hranijo posnetki iz video-nadzornega sistema.
Obvestilo mora biti nameščeno na mestih, ki posamezniku omogočajo, da se seznani z izvajanjem videonadzora najkasneje, ko se le-ta nad njim začne izvajati – torej najkasneje ob vstopu v video nadzorovani prostor.
(3) Odgovorna oseba PGD ali z njene strani zadolžena oseba za delovanje video-nadzornega sistema v PGD, lahko v upravičenih primerih, kadar je prizadeta dobrina, ki jo PGD varuje z video-nadzornim sistemom, vpogleda v posnetke video-nadzornega sistema (zlasti ugotovljena materialna škoda, poškodba ljudi, sum nepooblaščenega vstopa v prostore, ki so video-nadzorovani, oziroma v prostorih, do katerih se dostopa skozi prostore, ki so video-nadzorovani, sum na odtekanje poslovnih skrivnosti ipd.).
(4) Vpogleda se lahko le v posnetke, ki so nastali v časovnem obdobju, za katerega se utemeljeno predvideva, da se je zgodil izredni dogodek iz prejšnjega odstavka, ter v posnetke, ki so nastali v časovnem obdobju neposredno pred in po izrednem dogodku.
(5) Videonadzori posnetki se hranijo najdlje 6 mesecev, nato se izbrišejo.
14. člen
(uporaba opreme za sledenje gibanju)
(1) PGD lahko v svoja gasilska vozila namesti naprave za sledenje, za namen zagotavljanja javne službe – natančne in hitre lokacije vozila za posredovanje v primeru potrebe po uporabi v operativne namene in/ali primeru odtujitve vozila. Tega namena ni mogoče doseči z drugačnimi sredstvi.
(2) Šteje se, da so uporabniki gasilskih vozil PGD obveščeni o uporabi opreme za sledenje z objavo tega pravilnika na spletni strani PGD Brezje.
(3) Opremo za sledenje lahko gasilske organizacije uporabijo tudi pri namenski reševalni in komunikacijski opremi za namen njene hitre lokacije pri izvajanju operativnih nalog, za namen hitre lokacije uporabnika za zagotavljanje njegove varnosti pri izvajanju operativnih nalog in v primeru odtujitve opreme.
(4) Podatke iz naprav za sledenje obdeluje PGD oziroma njen pogodbeni obdelovalec, v skladu s določili 21. člena tega pravilnika. Hranijo se najdlje 1 leto – v primeru spora, v katerem so potrebni, pa do pravnomočnega zaključka takšnega spora, po tem roku se izbrišejo.
15. člen
(fotografiranje in snemanje dogodkov)
(1) Za namene dokumentiranja aktivnosti in obveščanja javnosti o delu PGD le-ta dogodke v lastni organizaciji ali soorganizaciji, kot so prireditve, tekmovanja, izobraževanja in podobno, delno ali v celoti snema oziroma fotografira.
(2) Obvestilo o tem, da bo dogodek sneman oziroma fotografiran, se zapiše na vabilo oziroma obvestilo o dogodku. Navede se tudi namen snemanja oziroma fotografiranja. Na ta način se šteje, da so udeleženci oziroma obiskovalci obveščeni o snemanju oziroma fotografiranju javnega dogodka.
- Če je to bolj primerno (ob dogodkih z manjšim številom udeležencev, dogodkih, ki niso odprti za javnost, udeleženci pa na njih utemeljeno pričakujejo večjo stopnjo zasebnosti) se snemanje oziroma fotografiranje ustno napove in udeležencem pusti možnost, da izrazijo svojo voljo glede zajema njihove podobe s kamero ali fotografskim objektivom.
- Snemanje ali fotografiranje na intervencijah je dovoljeno samo v primeru snemanja gasilskih vozil in članov PGD Brezje. Snemanje in fotografiranje objektov ni dovoljeno oziroma je dovoljeno samo z pristankom lastnika (oškodovanca)
- Snemanje ali fotografiranje članov PGD Brezje je dovoljeno samo z njihovim soglasjem – pri mladoletnih osebah s pisnim soglasjem staršev ali skrbnikov.
16. člen
(posredovanje osebnih podatkov v tretje države)
(1) Če je potrebno osebne podatke posredovati v tretje države, ki niso članice EU in EGP – zaradi izvajanja operativnih nalog, usposabljanja ali iz drugih z javno gasilsko službo povezanih razlogov – se šteje, da je iznos osebnih podatkov potreben za izpolnitev nalog, ki jih prostovoljni gasilec izvaja za PGD (pogodbeni pravni temelj).
(2) Če se osebni podatki posredujejo v tretje države izven potreb povezanih z javno gasilsko službo, je pred posredovanjem treba pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki. Posameznika je pred pridobitvijo privolitve treba opozoriti na okoliščino, da tretja država, v katero se osebni podatki posredujejo, ne zagotavlja enakega nivoja varstva osebnih podatkov kot države članice EU in EGP.
V. VAROVANJE PROSTOROV, NOSILCEV PODATKOV, STROJNE IN PROGRAMSKE OPREME
17. člen
(varovanje prostorov)
(1) Prostori, v katerih posluje PGD, in se v njih nahajajo nosilci podatkov, ki vsebujejo osebne podatke, strojna in programska oprema (v nadaljevanju: varovani prostori), morajo biti varovani z organizacijskimi in/ali tehničnimi ukrepi iz tega pravilnika, ki nepooblaščenim osebam onemogočajo dostop do podatkov.
(2) Dostop do varovanih prostorov je dopusten samo na podlagi dovoljenja odgovorne osebe PGD.
(3) V varovanih prostorih morajo biti po zaključku dela oziroma po končanem delu omare in pisalne mize z nosilci podatkov, ki vsebujejo osebne podatke, zaklenjene, računalniki in druga strojna oprema pa izklopljeni ter fizično ali programsko zaklenjeni. Ključi se hranijo na mestu, ki ga določi predsednik PGD. Ključi se ne smejo puščati v ključavnicah.
(4) Omare, mize in drugo pohištvo, v katerem so nosilci z osebnimi podatki in se nahajajo izven varovanih prostorov (hodniki, skupni prostori), morajo biti zaklenjeni. Ključe hrani član, ki nadzoruje posamezno omaro oziroma pisalno mizo, na za to določenem mestu. Ključev ni dopustno puščati v ključavnicah.
(5) Osebe, ki niso člani društva (npr. vzdrževalci prostorov ter strojne in programske opreme, obiskovalci, poslovni partnerji), se smejo gibati v varovanih prostorih samo z vednostjo/prisotnostjo odgovorne osebe PGD.
18. člen
(varovanje nosilcev podatkov, ki vsebujejo osebne podatke v času dela v društvu)
(1) Člani PGD ne smejo puščati nosilcev z osebnimi podatki na vidnem mestu (npr. na mizah) v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
(2) Nosilci podatkov, ki vsebujejo občutljive oziroma posebne vrste osebnih podatkov, se ne smejo hraniti izven varovanih prostorov.
(3) Nosilce podatkov, ki vsebujejo osebne podatke, lahko člani društva odnesejo izven prostorov PGD samo z dovoljenjem odgovorne osebe. Šteje se, da je odgovorna oseba dala dovoljenje z angažiranjem določenega člana pri nalogi, katere sestavni del je tudi obdelava osebnih podatkov zunaj varovanih prostorov. V tem primeru posebno dovoljenje ni potrebno.
(4) V prostorih, ki so namenjeni poslovanju s člani in drugimi, morajo biti nosilci podatkov z vsebovanimi osebnimi podatki in računalniški prikazovalniki nameščeni tako, da le-ti nimajo vpogleda vanje.
19. člen
(varovanje strojne in programske opreme)
(1) Vzdrževanje in popravilo strojne, računalniške in druge opreme je dovoljeno samo z vednostjo odgovorne osebe PGD, izvedejo pa ga lahko samo pooblaščeni servisi ter vzdrževalci, ki imajo z PGD sklenjene ustrezne pogodbe.
(2) Dostop do programske opreme mora biti varovan tako, da je dovoljen samo delavcem, ki jih določi odgovorna oseba PGD, vključno s pravnimi ali fizičnimi osebami, ki, v skladu s pogodbo, opravljajo dogovorjene storitve.
(3) Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve odgovorne osebe, delo pa lahko izvedejo samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo z PGD sklenjene ustrezne pogodbe po določbah 20. člena tega pravilnika. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati. Šteje se, da je odobritev odgovorne osebe PGD dana z njenim podpisom pogodbe s pogodbenim obdelovalcem in odobritvijo konkretne storitve – na primer z izdajo naročilnice.
(4) Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.
(5) Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se vsakodnevno preveri z vidika prisotnosti računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi, obenem pa se lahko ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu PGD.
(6) Delavci ne smejo namestiti programske opreme brez vednosti odgovorne osebe PGD. Prav tako ne smejo nameščene programske opreme, ki je v lasti oz. ima pravico do njene uporabe PGD, brisati, ali brez odobritve odgovorne osebe PGD kopirati ali prenesti na drug medij
(7) Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočiti tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelani in kdo je to storil.
(8) Gesla se spremenijo vsakih 6 mesecev. Za opozarjanje članov o spremembi gesel je odgovorna oseba, ki je hkrati odgovorna oseba PGD.
(9) Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervizijska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah in varovanih pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine odpečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
(10) Za potrebe restavriranja računalniškega sistema ob okvarah in drugih izjemnih situacijah se zagotovi redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki nahajajo tam.
(11) Kopije iz prejšnjega odstavka se hranijo na zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
VI. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
20. člen
(pogodbena obdelava)
(1) Z vsako zunanjo pravno ali fizično osebo, ki za PGD opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (v nadaljevanju: pogodbeni obdelovalec), odgovorna oseba PGD sklene pisno pogodbo, v skladu s predpisi.
(2) Pogodba iz prejšnjega odstavka mora vsebovati tudi pogoje in ukrepe za zagotovitev zavarovanja osebnih podatkov.
(3) Prejšnji odstavek velja tudi za pogodbene obdelovalce, ki vzdržujejo obstoječo strojno in programsko opremo in izdelujejo ter inštalirajo novo strojno ali programsko opremo.
(4) Pogodbeni obdelovalci lahko obdelujejo osebne podatke PGD samo v okviru pooblastil iz pogodbe iz prvega odstavka tega člena in podatkov ne smejo obdelovati ali drugače uporabiti za noben drug namen.
(5) V primeru prenehanja pogodbenega obdelovalca oziroma prenehanja pogodbe se osebni podatki brez nepotrebnega odlašanja vrnejo PGD.
VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
21. člen
(obveščanje)
(1) Člani PGD so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov takoj obvestiti odgovorno osebo PGD ali od njega pooblaščeno osebo, sami pa morajo poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti.
(2) Če odgovorna oseba PGD ugotovi kršitev varstva osebnih podatkov in je verjetno, da ta ogroža pravice in svoboščine posameznikov, mora o tem v 72 urah, od kar je zvedela za kršitev, obvestiti Informacijskega pooblaščenca.
VIII. ODGOVORNOST ZA IZVAJANJE POSTOPKOV IN UKREPOV ZA ZAVAROVANJE OSEBNIH PODATKOV
22. člen
(izvajanje postopkov in ukrepov)
(1) Vsak, ki obdeluje osebne podatke, je dolžan izvajati s tem pravilnikom predpisane postopke ter ukrepe za zavarovanje osebnih podatkov in varovati osebne podatke, za katere je zvedel oziroma je bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega ali pogodbenega razmerja.
23. člen
(odgovornost za izvajanje in nadzor nad izvajanjem)
(1) Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih s tem pravilnikom, je odgovorna oseba v PGD predsednik PGD.
24. člen
(odgovornost za kršitev)
(1) Kršitev določil tega pravilnika s strani članov društva pomeni hujšo kršitev obveznosti in dolžnosti.
(2) Odgovornost iz prejšnjega odstavka ne izključuje kazenske ali odškodninske odgovornosti.
IX. PREHODNE IN KONČNE DOLOČBE
25, člen
(začetek veljavnosti)
Ta pravilnik stopi v veljavo osmi (8) dan po objavi na spletni strani PGD Brezje.
Predsednik:
Anton Blažič