Na podlagi določb Splošne uredbe o varstvu osebnih podatkov (Uredba (EU) 2016/679 ), na njeni osnovi sprejetega Zakona o varstvu osebnih podatkov, 21. in 22. člena Zakona o gasilstvu (ZGas) (Uradni list RS, 113/05 – UPB), ter na podlagi Statuta Gasilske zveze Maribor, je Upravni odbor Gasilske zveze Maribor na svoji 1. seji dne 8. maja 2018 sprejel naslednji:
PRAVILNIK
o postopkih in ukrepih za zavarovanje osebnih podatkov
I. SPLOŠNE DOLOČBE
1.člen
(vsebina in namen pravilnika)
(1) S tem pravilnikom se določajo pravila za obdelavo osebnih podatkov in organizacijski, tehnični in logično-tehnični postopki, ter ukrepi za zavarovanje osebnih podatkov pri Gasilski zvezi Maribor (v nadaljevanju GZMB), in dajejo strokovne usmeritve za obdelavo osebnih podatkov, organizacijske, tehnične in logično-tehnične postopke in ukrepe za zavarovanje osebnih podatkov, ki jih obdelujejo gasilske organizacije – članice GZMB – z namenom, da se zagotovi zakonita obdelava osebnih podatkov in se prepreči slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava osebnih podatkov. Prav tako se s tem pravilnikom določajo pravila za obdelavo osebnih podatkov znotraj GZMB in v odnosu do gasilskih organizacij za namene izvajanja nalog gasilske službe. S pravilnikom se ureja tudi način dostopa uporabnikov do osebnih podatkov, ki jih v svojih zbirkah obdeluje GZMB.
(2) Zaposleni, zunanji sodelavci in drugi pooblaščeni sodelavci, ki pri svojem delu obdelujejo ter uporabljajo osebne podatke, morajo biti seznanjeni z zakonom, ki ureja varstvo osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela in vsebino tega pravilnika.
2.člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
- Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa.
- Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
- Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
- Anonimiziranje – je sprememba oblike osebnih podatkov, da jih ni več mogoče povezovati s posameznikom oz. je to mogoče z nesorazmerno velikimi napori, stroški ali porabo časa.
- Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene ter sredstva obdelave.
- Posebne vrste osebnih podatkov – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem, filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti.
- Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
- Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov ipd.). 10. Gasilske organizacije (GO) – so prostovoljna gasilska društva in njihove enote, gasilske zveze, poklicne gasilske enote, organizirane kot javni zavodi in druge organizacijske oblike, ki poklicno opravljajo gasilsko službo.
- Prostovoljno gasilsko društvo (PGD) – je humanitarna organizacija, v kateri fizične osebe prostovoljno delujejo in opravljajo naloge na področju gasilstva, varstva pred požarom in drugimi nesrečami ter opravljajo druge dejavnosti, ki so pomembne za razvoj in delovanje gasilstva.
- Gasilska zveza Slovenije (GZS) – je zveza vseh prostovoljnih gasilskih društev, prostovoljnih industrijskih gasilskih društev in njihovih gasilskih zvez, ki so organizirana na občinski, medobčinski ter regijski ravni. Je samostojna, nepridobitna, humanitarna, nepolitična in najvišja oblika povezovanja prostovoljnih gasilskih društev, njihovih zvez ter regij.
- Prostovoljni gasilec – je član prostovoljnega gasilskega društva.
- Poklicni gasilec je – delavec v poklicni gasilski enoti ali poklicnem jedru gasilske enote ali delavec, ki opravlja operativne naloge gasilstva v gospodarski družbi, zavodu ali drugi organizaciji.
- Operativni gasilec – je oseba, ki poklicno ali prostovoljno opravlja operativne naloge gasilstva v formacijskih sestavah gasilskih enot, izpolnjuje predpisane psihofizične ter zdravstvene zahteve in je strokovno usposobljena za opravljanje teh nalog.
- Operativne naloge gasilstva – so gašenje in reševanje ob požarih, prometnih, okoljskih oziroma ekoloških in industrijskih nesrečah, zaščita in reševanje oseb ter premoženja ob naravnih in drugih nesrečah, požarne straže ter druge splošne reševalne naloge. Operativne naloge gasilstva so tudi preventivne in operativne naloge v zvezi z varstvom pred požarom.
- Odgovorna oseba po tem pravilniku je predsednik Gasilske zveze Maribor. Ko se pravilnik uporablja kot organizacijsko navodilo za gasilske organizacije, je odgovorna oseba predsednik posamezne gasilske organizacije.
II. OBDELAVA OSEBNIH PODATKOV
3.člen
(zbirke osebnih podatkov)
(1) GZMB vodi zbirke osebnih podatkov, v skladu z zakonskim pravnim temeljem iz zakona, ki ureja gasilstvo, zakona, ki ureja evidence s področja dela in socialne varnosti ter drugih zakonov, ki urejajo pooblastila GZMB oziroma izvajanje javne gasilske službe (na primer za namen zavarovanja odgovornosti, poškodbe pri delu, nezgodno zavarovanje, podatki o usposobljenosti za vožnjo in morebitnih omejitvah). Za namen izvajanja javne gasilske službe obdeluje GZMB tudi druge osebne podatke, ki so potrebni in primerni za sklenitev in izvajanje pogodbe (tudi izdajo gasilske izkaznice prostovoljnim gasilcem, v skladu s podzakonskim predpisom, ki ureja njeno vsebino) ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo.
(2) GZMB vodi evidenco dejavnosti obdelave osebnih podatkov, iz katere so razvidni kontaktni podatki GZMB, vrste zbirk in osebnih podatkov, ki se vodijo v njih, namen obdelave osebnih podatkov, kategorije uporabnikov, ki se jim osebni podatki posredujejo in roke hrambe.
(3) GZMB vodi naslednje zbirke z osebnimi podatki:
- s področja dela in socialne varnosti (evidence o zaposlenih delavcih, stroških dela, izrabi delovnega časa);
- o pogodbenih sodelavcih;
- o prostovoljnih gasilcih;
- o izdanih gasilskih izkaznicah;
- o članarinah fizičnih oseb;
- o zbirkah članarin pravnih oseb;
- o zbirkah video nadzornih posnetkov; – o zbirkah podatkov iz naslova uporabe GPS.
(4) Odgovorna oseba za zakonitost obdelave osebnih podatkov na GZMB je predsednik GZMB, v GO pa predsednik GO.
4.člen
(obdelava osebnih podatkov s strani gasilskih organizacij in tretjih oseb)
Zbirko osebnih podatkov iz 3. alineje 3. člena tega pravilnika vodi GZMB za svoje potrebe in potrebe gasilskih organizacij, v skladu z ZGas. Vsaka gasilska organizacija lahko iz te zbirke pridobi osebne podatke samo za svoje člane, prav tako jih za svoje člane posreduje v zbirko. Podatki za to zbirko se pridobijo neposredno od posameznikov, na katere se nanašajo, ali iz že obstoječih zbirk podatkov, ter se hranijo in uporabljajo le toliko časa, kot je to potrebno za dosego namena, za katerega so bili zbrani. Šteje se, da so bili podatki pridobljeni od posameznikov tudi v primerih, ko jih je v njihovem imenu in za njihov račun (po pooblastilu posameznika) GZMB dejansko posredovala tretja oseba. Če GZMB o takšnem načinu posredovanja ni že sama obvestila posameznika, izvede razumne ukrepe glede preverjanja obstoja pooblastila za ta namen (klic, epošta ipd. posamezniku, na katerega se osebni podatki nanašajo).
Osebne podatke iz zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika lahko uporabljajo:
- organi prostovoljnih gasilskih društev in gasilske zveze za opravljanje svojih nalog, v skladu s pravili gasilskih organizacij;
- občinski organi, pristojni za organiziranje javne gasilske službe občin;
- inšpektorji za varstvo pred naravnimi in drugimi nesrečami za opravljanje inšpekcijskih nalog, v skladu s tem zakonom in predpisi o varstvu pred naravnimi in drugimi nesrečami;
- Uprava Republike Slovenije za zaščito in reševanje za opravljanje nalog, v skladu s tem zakonom in predpisi o varstvu pred naravnimi in drugimi nesrečami, ter drugi državni organi, če je tako določeno z zakonom.
Gasilske organizacije lahko z GZMB dogovorijo neposreden dostop do zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika. Pred odobritvijo neposrednega dostopa GZMB pri gasilski organizaciji preveri, kako je na njeni strani zmanjšano tveganje za nepooblaščeno dostopanje do osebnih podatkov. Enak dogovor je po predhodnem preverjanju ukrepov za zavarovanje osebnih podatkov mogoč tudi z drugimi uporabniki osebnih podatkov iz zbirke o prostovoljnih gasilcih iz 3. alineje 3. člena tega pravilnika, ki so našteti v prejšnjem odstavku tega člena.
GZMB lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke ter ukrepe zavarovanja. Pogodbeni obdelovalci obdelujejo osebne podatke v zbirkah GZMB po pravilih iz 21. člena tega pravilnika.
5.člen
(obdelava osebnih podatkov iz poštnih pošiljk)
(1) Delavec GZMB, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo na GZMB – prinesejo jih člani, druge osebe ali kurirji – razen pošiljk iz drugega in tretjega odstavka tega člena.
(2) Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpre pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljene na GZMB.
(3) Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpreti pošiljk, naslovljenih osebno na delavce ali sodelavce GZMB, na katerih je na ovojnicah navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca ali sodelavca GZMB, brez označbe njegovega uradnega položaja in šele nato naslov GZMB.
6.člen
(posredovanje osebnih podatkov)
(1) Osebni podatki iz zbirk GZMB se lahko posredujejo tretji osebi le, če se le-ta izkaže z ustreznim pravnim temeljem, v skladu z določili zakona, ki ureja varstvo osebnih podatkov (praviloma z zakonsko določbo ali osebno privolitvijo posameznika, na katerega se osebni podatki nanašajo). Če pravni temelj ob zaprosilu za posredovanje osebnih podatkov ni razviden, odgovorna oseba GZMB prosilca pozove k sklicu nanj in izkazu njegovega obstoja (še posebej ob sklicu na osebno privolitev posameznika) in šele potem sprejme odločitev o posredovanju ali zavrnitvi posredovanja zahtevanih osebnih podatkov. Zapisan način ravnanja velja tudi v primerih, ko gasilske organizacije zaprošajo GZMB za osebne podatke posameznikov, ki niso njihovi člani.
(2) Posredovanje osebnih podatkov iz prvega odstavka tega člena lahko uporabnik zahteva pisno ali ustno. Če uporabnik zahteva posredovanje osebnih podatkov ustno, sme odgovorna oseba v primeru dvoma o vsebini zahteve oziroma privolitve posameznika, na katerega se podatki nanašajo, od uporabnika zahtevati, naj takšno zahtevo kot privolitev, če se sklicuje nanjo (ali drug pravni temelj), predloži v pisni obliki.
(3) Osebni podatki, ki se posredujejo uporabniku v fizični obliki, morajo biti posredovani v ovojnici, ki ne omogoča, da bi bila ob normalni svetlobi ali pri njeni osvetlitvi z običajno lučjo vidna njena vsebina. Ovojnica mora tudi zagotoviti, da njenega odprtja in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
(4) Osebne podatke je dovoljeno posredovati z informacijskimi, komunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino med prenosom.
(5) Občutljive osebne podatke oziroma posebne vrste osebnih podatkov je dovoljeno posredovati preko komunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom, tako da je zagotovljena nečitljivost podatkov med njihovim prenosom.
7.člen
(evidenca posredovanj)
(1) Za namen omogočanja izvršitve pravice posameznika do seznanitve z njegovimi osebnimi podatki, lahko posameznik zahteva seznam uporabnikov, ki so jim bili posredovani njegovi osebni podatki (kdaj, na kakšni podlagi in za kakšen namen), GZMB posreduje osebne podatke na način, ki omogoča takšno ugotavljanje, lahko pa vodi tudi evidenco posredovanj osebnih podatkov. V slednjem primeru se vsako posredovanje osebnih podatkov zaznamuje z navedbo naslednjih podatkov:
- kateri osebni podatki so bili posredovani;
- uporabnike, ki so jim bili posredovani osebni podatki; – pravni temelj za posredovanje.
(2) Odgovorna oseba GZMB lahko o posredovanju osebnih podatkov naredi le zaznamek in ga shrani na način, ki bo omogočal izvršitev pravice posameznika, če bo le-ta postavil zahtevo po predložitvi seznama uporabnikov.
(3) Evidenca posredovanj oziroma zaznamki o posredovanju se vodijo/hranijo za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov (6 let od dneva posredovanja).
8.člen
(hramba osebnih podatkov)
(1) Osebni podatki se lahko hranijo le toliko časa, kot je potrebno za dosego določenega namena oziroma do poteka roka hrambe.
(2) Osebni podatki o članih prostovoljnih gasilskih društev se hranijo trajno. Podatki o kandidatih za člane prostovoljnih gasilskih društev, ki ne postanejo člani društva, se uničijo takoj po tem, ko postane sklep, da kandidat ne more postati član prostovoljnega gasilskega društva, pravnomočen.
(3) Po preteku roka hrambe se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.
(4) Za brisanje osebnih podatkov v elektronski obliki se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov – v aplikaciji lahko ostanejo le anonimizirani podatki.
(5) Osebni podatki v fizični obliki se uničijo na način, s katerim se zagotovi, da postane osebni podatek nerazpoznaven in neobnovljiv (npr. rezalnik papirja, fizično uničenje zunanjih podatkovnih enot).
(6) Prepovedano je zavreči odpadne nosilce podatkov, ki vsebujejo osebne podatke, na način, ki omogoča obnovitev ali razpoznavnost osebnih podatkov (npr. v koš za smeti).
(7) Pri prenosu osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa, zlasti tako, da je onemogočena razpoznavnost ali obnovitev osebnih podatkov.
(8) Če se uničenje osebnih podatkov zaupa pogodbenemu obdelovalcu, se v pisni obliki dogovori tudi trenutek, ko odgovornost za morebitno nepooblaščeno ali nezakonito obdelavo osebnih podatkov na poti na uničenje z GZMB preide na pogodbenega obdelovalca (na primer ob naložitvi podatkov na prevozno sredstvo, s katerim upravlja pogodbeni obdelovalec).
III. ZAVAROVANJE OSEBNIH PODATKOV
9.člen
(ukrepi zavarovanja)
(1) Zavarovanje osebnih podatkov obsega pravne, organizacijske in ustrezne logično-tehnične postopke ter ukrepe, s katerimi se:
- varujejo prostori, oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami;
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
- zagotavlja varnost posredovanja osebnih podatkov, tako da se preprečuje nepooblaščen dostop do osebnih podatkov, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
- onemogoči nepooblaščenim osebam dostop do naprav, na katerih se obdelujejo osebni podatki in do samih osebnih podatkov;
- omogoči naknadno ugotavljanje, kdaj so bili posamezni podatki vnešeni v zbirko podatkov, uporabljeni ali kako drugače obdelani ter kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, ki ga s tem pravilnikom določimo na 6 let od vnosa oziroma drugačne obdelave osebnih podatkov v zbirki.
IV. PODROČNE UREDITVE VARSTVA OSEBNIH PODATKOV
10.člen
(elektronska pošta in uporaba računalnika s pripadajočo programsko opremo)
(1) Elektronska pošta in računalnik se uporabljata v službene namene.
(2) Ne glede na prejšnji odstavek se elektronska pošta in druga programska oprema na računalniku lahko uporabljata v omejenem obsegu in razumnih mejah tudi v zasebne namene. Uporabniki na strani GZMB so se dolžni – v smislu skrbi za ugled zveze – izogibati pošiljanju elektronskih sporočil z neprimerno ali žaljivo vsebino.
(3) V računalnik (delovno postajo), drugo tehnično sredstvo, dano v uporabo s strani GZMB ali v elektronsko pošto delavca, ki je angažiran bodisi na podlagi pogodbe o zaposlitvi ali na drugem pogodbenem temelju (v nadaljevanju: uporabnik opreme), sme GZMB poseči le v primeru nepričakovane, nenadne in dalj časa trajajoče ali trajne odsotnosti uporabnika opreme (v primeru odpovedi delovnega razmerja s strani zaposlenega brez odpovednega roka, v primeru odpovedi delovnega razmerja iz krivdnih razlogov zaradi neopravičene odsotnosti, v primeru, da uporabnik zaradi zdravstvenega stanja ni sposoben izraziti svoje volje, pa takšno stanje traja dlje časa, ali se upravičeno domneva, da bo trajalo dlje časa, smrt uporabnika in podobni izredni primeri), kadar:
- je to nujno in neizogibno potrebno za izpolnitev zakonskih obveznosti GZMB;
- je to nujno in neizogibno potrebno za izpolnitev pogodbenih obveznosti GZMB, katerih neizpolnitev ali izpolnitev z zamudo bi za GZMB pomenila izgubo ugleda ali neupravičeno porabo javnih sredstev.
(4) Uporabnika opreme se pred posegom v njegovo računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto pozove k prostovoljni predložitvi gesel in/ali potrebnih dokumentov ter se mu za izpolnitev zahteve postavi primeren rok. Tako v primeru prostovoljnega posredovanja dostopnih gesel, kot tudi v primeru, da se uporabnik na poziv GZMB ne odzove ali ga zavrne, se vstop v računalnik (delovno postajo), drugo tehnično sredstvo ali elektronsko pošto opravi komisijsko, uporabniku pa se omogoči, da dejanju osebno prisostvuje, tako da se ga obvesti o kraju in času dejanja, razen če to iz objektivnih razlogov ni mogoče ali če zaposleni s svojim ravnanjem očitno onemogoča vstop.
(5) Vpogled v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto uporabnika opravi tričlanska komisija, ki jo vsakič imenuje predsednik GZMB. Vsaj en član komisije mora biti predstavnik delavcev, ki ni del vodstva GZMB.
(6) Komisija iz prejšnjega odstavka o vsakem vstopu v računalnik, drugo tehnično sredstvo in/ali elektronsko pošto po tem členu vodi dokumentacijo, ki vsebuje najmanj:
- obrazložen razlog za dopustnost vstopa;
- zapisnik o vstopu v računalnik ali elektronsko pošto, z morebitnimi pripombami delavca, če je ta navzoč;
- navedbo prisotnih oseb;
- seznam oziroma izpis pridobljenih podatkov.
(7) Šteje se, da je o namenu uporabe elektronske pošte in ostale programske opreme, ki jo uporabniku za namene opravljanja dela nudi GZMB, ter o možnosti nadzora po določbah tega člena uporabnik predhodno obveščen, ko mu GZMB izroči izvod tega pravilnika ali mu ga pošlje na e-naslov, ki ga uporabniku da GZMB, ali ga za namen komunikacije z GZMB posreduje uporabnik sam. Kot primerno obvestilo šteje tudi objava tega pravilnika na spletni strani GZMB.
12.člen
(internet)
(1) Internet se v delovnem času in na delovnih sredstvih GZMB uporablja v službene namene.
(2) Ne glede na prejšnji odstavek se internet lahko uporablja v omejenem obsegu in razumnih mejah tudi v zasebne namene. Uporabniki na strani GZMB so se dolžni v smislu skrbi za ugled zveze izogibati ogledu spletnih strani z neprimerno ali žaljivo vsebino.
(3) Odgovorna oseba GZMB lahko odredi blokado določenih spletnih strani, ki jih uporabniki ne potrebujejo pri svojem delu. Blokado dostopa do določenih spletnih strani izvede oseba, zadolžena za delovanje računalniškega informacijskega sistema pri GZMB.
(4) O blokadi dostopa do določenih spletnih strani je potrebno vse uporabnike predhodno obvestiti po elektronski pošti.
13.člen
(uporaba telefona)
Vpogled v telefonske prometne podatke priključkov in mobilnih naročniških številk v lasti GZMB in uporabi posameznega uporabnika, lahko od operaterjev telekomunikacijskih storitev ali vzdrževalca hišne centrale zahteva le odgovorna oseba GZMB, in sicer le v primeru spora med uporabnikom in GZMB, o višini stroškov porabe za sporni telefonski priključek oziroma mobilno naročniško številko za določeno obračunsko obdobje, pri čemer to stori, skladno z določili Zakona o elektronskih komunikacijah in nikakor ne sme preverjati identitete oziroma lastništva klicanih ali kličočih številk.
14.člen
(videonadzor)
(1) Odločitev o uvedbi videonadzora sprejme odgovorna oseba GZMB. V odločitvi, ki je lahko v obliki sklepa ali zaznamka, odgovorna oseba opredeli namen videonadzora, in opredeli prostore, v katerih se izvaja videonadzor, ter namestitev obvestil, v skladu z zakonom, ki ureja varstvo osebnih podatkov.
(2) Obvestilo vsebuje informacije o tem:
- da se izvaja videonadzor;
- naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
- telefonsko številko za pridobitev informacije, kje in koliko časa se hranijo posnetki iz videonadzornega sistema.
Obvestilo mora biti nameščeno na mestih, ki posamezniku omogočajo, da se seznani z izvajanjem videonadzora najkasneje, ko se le-ta nad njim začne izvajati – torej najkasneje ob vstopu v video nadzorovani prostor.
(3) Odgovorna oseba GZMB ali z njene strani zadolžena oseba za delovanje video-nadzornega sistema pri GZMB, lahko v upravičenih primerih, kadar je prizadeta dobrina, ki jo GZMB varuje z video-nadzornim sistemom, vpogleda v posnetke video-nadzornega sistema (zlasti ugotovljena materialna škoda, poškodba ljudi, sum nepooblaščenega vstopa v prostore, ki so videonadzorovani, oziroma v prostorih, do katerih se dostopa skozi prostore, ki so video-nadzorovani, sum na odtekanje poslovnih skrivnosti ipd.).
(4) Vpogleda se lahko le v posnetke, ki so nastali v časovnem obdobju, za katerega se utemeljeno predvideva, da se je zgodil izredni dogodek iz prejšnjega odstavka, ter v posnetke, ki so nastali v časovnem obdobju neposredno pred in po izrednem dogodku.
(5) Videonadzori posnetki se hranijo najdlje 6 mesecev, nato se izbrišejo.
15.člen
(uporaba opreme za sledenje gibanju)
(1) GZMB lahko v svoja gasilska vozila namesti naprave za sledenje, za namen zagotavljanja javne službe – natančne in hitre lokacije vozila za posredovanje v primeru potrebe po uporabi v operativne namene in/ali primeru odtujitve vozila. Tega namena ni mogoče doseči z drugačnimi sredstvi.
(2) Šteje se, da so uporabniki gasilskih vozil GZMB obveščeni o uporabi opreme za sledenje z objavo tega pravilnika na spletni strani Gasilske zveze Maribor.
(3) Opremo za sledenje lahko gasilske organizacije uporabijo tudi pri namenski reševalni in komunikacijski opremi za namen njene hitre lokacije pri izvajanju operativnih nalog, za namen hitre lokacije uporabnika za zagotavljanje njegove varnosti pri izvajanju operativnih nalog in v primeru odtujitve opreme.
(4) Podatke iz naprav za sledenje obdeluje GZMB oziroma njen pogodbeni obdelovalec, v skladu s določili 21. člena tega pravilnika. Hranijo se najdlje 1 leto – v primeru spora, v katerem so potrebni, pa do pravnomočnega zaključka takšnega spora, po tem roku se izbrišejo.
16.člen
(fotografiranje in snemanje dogodkov)
(1) Za namene dokumentiranja aktivnosti in obveščanja javnosti o delu GZMB le-ta dogodke v lastni organizaciji ali soorganizaciji, kot so prireditve, tekmovanja, izobraževanja in podobno, delno ali v celoti snema oziroma fotografira.
(2) Obvestilo o tem, da bo dogodek sneman oziroma fotografiran, se zapiše na vabilo oziroma obvestilo o dogodku. Navede se tudi namen snemanja oziroma fotografiranja. Na ta način se šteje, da so udeleženci oziroma obiskovalci obveščeni o snemanju oziroma fotografiranju javnega dogodka.
(3) Če je to bolj primerno (ob dogodkih z manjšim številom udeležencev, dogodkih, ki niso odprti za javnost, udeleženci pa na njih utemeljeno pričakujejo večjo stopnjo zasebnosti) se snemanje oziroma fotografiranje ustno napove in udeležencem pusti možnost, da izrazijo svojo voljo glede zajema njihove podobe s kamero ali fotografskim objektivom.
17.člen
(posredovanje osebnih podatkov v tretje države)
(1) Če je potrebno osebne podatke posredovati v tretje države, ki niso članice EU in EGP – zaradi izvajanja operativnih nalog, usposabljanja ali iz drugih z javno gasilsko službo povezanih razlogov – se šteje, da je iznos osebnih podatkov potreben za izpolnitev nalog, ki jih prostovoljni gasilec izvaja za GZMB (pogodbeni pravni temelj).
(2) Če se osebni podatki posredujejo v tretje države izven potreb povezanih z javno gasilsko službo, je pred posredovanjem treba pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki. Posameznika je pred pridobitvijo privolitve treba opozoriti na okoliščino, da tretja država, v katero se osebni podatki posredujejo, ne zagotavlja enakega nivoja varstva osebnih podatkov kot države članice EU in EGP.
V. VAROVANJE PROSTOROV, NOSILCEV PODATKOV, STROJNE IN PROGRAMSKE OPREME
18.člen
(varovanje prostorov)
(1) Prostori, v katerih posluje GZMB, in se v njih nahajajo nosilci podatkov, ki vsebujejo osebne podatke, strojna in programska oprema (v nadaljevanju: varovani prostori), morajo biti varovani z organizacijskimi in/ali tehničnimi ukrepi iz tega pravilnika, ki nepooblaščenim osebam onemogočajo dostop do podatkov.
(2) Dostop do varovanih prostorov je dopusten le v rednem delovnem času, izven njega pa samo na podlagi dovoljenja odgovorne osebe GZMB.
(3) V varovanih prostorih morajo biti po zaključku delovnega časa oziroma po končanem delu izven delovnega časa omare in pisalne mize z nosilci podatkov, ki vsebujejo osebne podatke, zaklenjene, računalniki in druga strojna oprema pa izklopljeni ter fizično ali programsko zaklenjeni. Ključi se hranijo na mestu, ki ga določi predsednik GZMB. Ključi se ne smejo puščati v ključavnicah.
(4) Omare, mize in drugo pohištvo, v katerem so nosilci z osebnimi podatki in se nahajajo izven varovanih prostorov (hodniki, skupni prostori), morajo biti zaklenjeni. Ključe hrani zaposleni, ki nadzoruje posamezno omaro oziroma pisalno mizo, na za to določenem mestu. Ključev ni dopustno puščati v ključavnicah.
(5) Osebe, ki ne delajo na GZMB (npr. vzdrževalci prostorov ter strojne in programske opreme, obiskovalci, poslovni partnerji), se smejo gibati v varovanih prostorih samo z vednostjo/prisotnostjo odgovorne osebe GZMB.
19.člen
(varovanje nosilcev podatkov, ki vsebujejo osebne podatke v delovnem času)
(1) Delavci in sodelavci GZMB ne smejo puščati nosilcev z osebnimi podatki na vidnem mestu (npr. na mizah) v prisotnosti oseb, ki nimajo pravice vpogleda vanje.
(2) Nosilci podatkov, ki vsebujejo občutljive oziroma posebne vrste osebnih podatkov, se ne smejo hraniti izven varovanih prostorov.
(3) Nosilce podatkov, ki vsebujejo osebne podatke, lahko delavci in sodelavci GZMB odnesejo izven prostorov GZMB samo z dovoljenjem odgovorne osebe. Šteje se, da je odgovorna oseba dala dovoljenje z angažiranjem določenega delavca ali sodelavca pri nalogi, katere sestavni del je tudi obdelava osebnih podatkov zunaj varovanih prostorov. V tem primeru posebno dovoljenje ni potrebno.
(4) V prostorih, ki so namenjeni poslovanju s člani in drugimi, morajo biti nosilci podatkov z vsebovanimi osebnimi podatki in računalniški prikazovalniki nameščeni tako, da le-ti nimajo vpogleda vanje.
20.člen
(varovanje strojne in programske opreme)
(1) Vzdrževanje in popravilo strojne, računalniške in druge opreme je dovoljeno samo z vednostjo odgovorne osebe GZMB, izvedejo pa ga lahko samo pooblaščeni servisi ter vzdrževalci, ki imajo z GZMB sklenjene ustrezne pogodbe.
(2) Dostop do programske opreme mora biti varovan tako, da je dovoljen samo delavcem, ki jih določi odgovorna oseba GZMB, vključno s pravnimi ali fizičnimi osebami, ki, v skladu s pogodbo, opravljajo dogovorjene storitve.
(3) Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve odgovorne osebe, delo pa lahko izvedejo samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo z GZMB sklenjene ustrezne pogodbe po določbah 21. člena tega pravilnika. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati. Šteje se, da je odobritev odgovorne osebe GZMB dana z njenim podpisom pogodbe s pogodbenim obdelovalcem in odobritvijo konkretne storitve – na primer z izdajo naročilnice.
(4) Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila kot za ostale podatke iz tega pravilnika.
(5) Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se vsakodnevno preveri z vidika prisotnosti računalniških virusov. Ob pojavu računalniškega virusa se tega čim prej odpravi, obenem pa se lahko ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu GZMB.
(6) Delavci ne smejo namestiti programske opreme brez vednosti odgovorne osebe GZMB. Prav tako ne smejo nameščene programske opreme, ki je v lasti oz. ima pravico do njene uporabe GZMB, brisati, ali brez odobritve odgovorne osebe GZMB kopirati ali prenesti na drug medij
(7) Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočiti tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelani in kdo je to storil.
(8) Gesla se spremenijo vsakih 6 mesecev. Za opozarjanje zaposlenih o spremembi gesel je odgovorna oseba, ki je hkrati odgovorna oseba GZMB.
(9) Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervizijska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov, se hranijo v zapečatenih ovojnicah in varovanih pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine odpečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.
(10) Za potrebe restavriranja računalniškega sistema ob okvarah in drugih izjemnih situacijah se zagotovi redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki nahajajo tam.
(11) Kopije iz prejšnjega odstavka se hranijo na zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev ter zaklenjena.
VI. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE
21.člen
(pogodbena obdelava)
(1) Z vsako zunanjo pravno ali fizično osebo, ki za GZMB opravlja posamezna opravila v zvezi z obdelavo osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (v nadaljevanju: pogodbeni obdelovalec), odgovorna oseba GZMB sklene pisno pogodbo, v skladu s predpisi.
(2) Pogodba iz prejšnjega odstavka mora vsebovati tudi pogoje in ukrepe za zagotovitev zavarovanja osebnih podatkov.
(3) Prejšnji odstavek velja tudi za pogodbene obdelovalce, ki vzdržujejo obstoječo strojno in programsko opremo in izdelujejo ter inštalirajo novo strojno ali programsko opremo.
(4) Pogodbeni obdelovalci lahko obdelujejo osebne podatke GZMB samo v okviru pooblastil iz pogodbe iz prvega odstavka tega člena in podatkov ne smejo obdelovati ali drugače uporabiti za noben drug namen.
(5) V primeru prenehanja pogodbenega obdelovalca oziroma prenehanja pogodbe se osebni podatki brez nepotrebnega odlašanja vrnejo GZMB.
VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
22.člen
(obveščanje)
(1) Delavci in sodelavci GZMB so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem osebnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju osebnih podatkov takoj obvestiti odgovorno osebo GZMB ali od njega pooblaščeno osebo, sami pa morajo poskusiti z zakonitimi ukrepi takšno aktivnost preprečiti.
(2) Če odgovorna oseba GZMB ugotovi kršitev varstva osebnih podatkov in je verjetno, da ta ogroža pravice in svoboščine posameznikov, mora o tem v 72 urah, od kar je zvedela za kršitev, obvestiti Informacijskega pooblaščenca.
VIII. ODGOVORNOST ZA IZVAJANJE POSTOPKOV IN UKREPOV ZA ZAVAROVANJE OSEBNIH PODATKOV
23.člen
(izvajanje postopkov in ukrepov)
(1) Vsak, ki obdeluje osebne podatke, je dolžan izvajati s tem pravilnikom predpisane postopke ter ukrepe za zavarovanje osebnih podatkov in varovati osebne podatke, za katere je zvedel oziroma je bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega ali pogodbenega razmerja.
24.člen
(odgovornost za izvajanje in nadzor nad izvajanjem)
(1) Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih s tem pravilnikom, je odgovorna oseba na GZMB predsednik GZMB, v GO pa predsednik GO.
25.člen
(odgovornost za kršitev)
(1) Kršitev določil tega pravilnika s strani zaposlenih pomeni kršenje obveznosti iz delovnega razmerja, pogodbeni sodelavci pa za kršitve odgovarjajo na temelju pogodbenih obveznosti.
(2) Odgovornost iz prejšnjega odstavka ne izključuje kazenske ali odškodninske odgovornosti.
IX. PREHODNE IN KONČNE DOLOČBE
26.člen
(začetek veljavnosti)
Ta pravilnik začne veljati, ko ga sprejme UO GZ Maribor, osmi (8) dan po objavi na spletni strani GZ Maribor.
Predsednik:
Slavko Kramberger