Varstvo osebnih podatkov

Spoštovanje zasebnosti posameznikov, vključno z varovanjem osebnih podatkov, je za nas bistvenega pomena. Zavezani smo k varovanju podatkov ter zagotavljanju varnosti in zaupnosti. Zato vas vabimo, da se podrobneje seznanite z informacijami o obdelovanju vaših osebnih podatkov na Gimnaziji Celje – Center (GCC).

1. Osnovni podatki o nas kot upravljalcu osebnih podatkov
2. Zbiranje in uporaba osebnih podatkov
3. Šolstvo in osebni podatki
4. Obdelava osebnih podatkov drugih kategorij posameznikov
5. Kategorije uporabnikov osebnih podatkov
6. Kategorije obdelovalcev osebnih podatkov
7. Hramba podatkov
8. Avtomatično sprejemanje odločitev ter profiliranje
9. Varovanje zasebnosti
10. Uveljavljanje pravic v zvezi z osebnimi podatki
11. Posodabljanje politike zasebnosti

 

1. Osnovni podatki o nas kot upravljalcu osebnih podatkov

Upravljalec: Gimnazija Celje – Center Sedež : Kosovelova ulica 1, 3000 Celje Matična številka: 5082625000

Davčna številka: 44240562

IBAN: SI56 0110 0603 0692 763

Zakoniti zastopnik: Rok Lipnik Telefon: (03) 428 57 00

Naslov e pošte: ali Naslov spletne strani: gcc.si

Dejavnost upravljalca: izobraževanje

2. Zbiranje in uporaba osebnih podatkov

Vaše podatke zbiramo in nadalje obdelujemo v skladu s predpisi, ki urejajo varstvo osebnih podatkov.

3. Kdaj pridobimo vaše osebne podatke?

Vaše osebne podatke pridobimo od vas, kadar:

• ste udeleženec izobraževanja, ki ga izvajamo,
• ste starš skrbnik udeleženca našega izobraževanja,
• uporabljate našo spletno stran,
• nastopijo drugi primeri, določeni s to

Informacije o obdelavi osebnih podatkov za udeležence izobraževanja pridobite v poglavju Šolstvo in osebni podatki

Informacije o obdelavi osebnih podatkov za starše oz. skrbnike udeležencev izobraževanja pridobite v poglavju Šolstvo in osebni podatki

Naša spletna stran je javno dostopna in namenjena za uporabo in informiranje dijakov in širše javnosti, omogoča pa tudi uporabo drugih funkcionalnosti.

Obiskovalci spletne strani se lahko vselej prostovoljno odločite, da boste v kontakt s GCC stopili na drugačen način (preko telefona, elektronske pošte,…).

GCC podatke v zvezi z obiskom spletne strani uporablja za naslednje namene:

-za spremljanje in analizo delovanja spletnih aplikacij,

-za tehnično vzdrževanje in razvoj spletnih strani in storitev GCC,

-za obveščanje o storitvah GCC in drugih pomembnih informacijah (razpisi, dogodki, ipd.),

-ter za druge namene, navedene v tej politiki zasebnosti.

Ob obisku spletne strani strežnik avtomatično zbira podrobnosti o vašem obisku kot so:

-IP naslov,

-URL naslov spletne strani, iz katere ste dostopali do naše spletne strani,

-nastavitve brskalnika in informacije o operacijskem sistemu računalnika ali mobilnega aparata,

-vsebine, do katerih dostopate na spletni strani,

-datum dostopa in trajanje obiska spletne strani.

Glede piškotkov:

Na spletni strani boste zasledili tudi termin »Piškotki«. Piškotki so male besedilne datoteke, ki jih večina spletnih mest shrani v naprave uporabnikov, s katerimi dostopajo do interneta z namenom prepoznavanja posameznih naprav, ki so jih uporabniki uporabili pri dostopu. Obiskovalec oz. uporabnik spletne strani lahko sam shranjuje, omejuje ali onemogoča piškotke. Piškotki so namenjeni zagotavljanju prijaznejših spletnih strani, saj beležijo posameznikove interese, preference in izkušnje ter izboljšujejo učinkovitost iskanja informacij, pri čemer konkretnega posameznika ni mogoče identificirati.

Shranjevanje piškotkov je pod vašim popolnim nadzorom, saj lahko v brskalniku, ki ga uporabljate, hranjenje piškotkov omejite ali onemogočite. Za informacije o nastavitvah za piškotke preverite spletni brskalnik, ki ga uporabljate.

Če piškotke izključite, so lahko nekatere možnosti spletne strani onemogočene.

Glede izpolnjevanja spletnih obrazcev:

V spletnih obrazcih so praviloma zahtevani osebni podatki, ki jih GCC potrebuje, da vam lahko zagotovi želene informacije, pomoč ali storitev. Preko spletne strani GCC so dostopni naslednji spletni obrazci, v katerih lahko poleg podatkov iz prejšnje točke te politike zasebnosti zbiramo in obdelujemo podatke, kot je navedeno v seznamu:

Obrazec	Podatki o posamezniku (poleg zgoraj navedenih podatkov)	Namen obdelave podatkov
Erasmus+ točka	Osebni podatki kot jih zahteva vsakokratni razpis	Zagotavljanje mobilnosti

 

Posamezniki lahko na GCC oz. na elektronske naslove, objavljene na spletni strani www.gcc.si naslovite tudi pismo ali elektronsko sporočilo. V tem primeru se prostovoljno odločite, katere osebne podatke nam želite zaupati. GCC bo vaš naslov, elektronski naslov in elektronsko sporočilo nadalje obdelovala v skladu z vsebino vašega elektronskega sporočila ter ob upoštevanju vrste in narave medsebojnega razmerja.

V stik s GCC lahko stopite tudi preko telefona, možno pa je tudi, da vas po telefonu pokličejo zaposleni GCC, kadar ste izrazili željo za takšen način vzpostavitve stika z vami oziroma ste privolili v izvedbo telefonskega klica.

Z namenom varovanja ljudi in premoženja GCC izvajamo snemanje vhodov v prostore. V takšnem primeru ste o tem obveščeni s posebnim obvestilom, ki je objavljen na vidnem mestu. V zvezi s snemanjem zbiramo naslednje podatke: slikovni posnetek posameznika, datum in čas vstopa oziroma izstopa iz prostora, v katerem se izvaja videonadzor.

O snemanju na dogodkih v organizaciji GCC:

GCC organizira raznovrstne športne, kulturne in družbeno odgovorne prireditve, v okviru katerih lahko tudi obdelujemo osebne podatke udeležencev.

Do prve obdelave osebnih podatkov navadno pride že ob prijavi udeleženca, kadar se je na dogodek treba prijaviti. Pri izdelavi prijavnic zato skrbimo, da zahtevamo le tiste podatke, ki jih od udeležencev zares potrebujemo za samo izvedbo prireditve oz. dogodka. Posameznik lahko ob prijavi na dogodek izpolni tudi obrazec »Privolitev za obdelavo osebnih podatkov« – tj. posnetkov, na katerih je upodobljen, kar pomeni fotografijo in/ali videoposnetek. Obdelavo posnetkov, ki vsebujejo podobo posameznika, izvajamo na podlagi njegove privolitve – toliko bolj pazljivi smo, kadar je na posnetku mladoletna oseba, mlajša od 15 let (v tem primeru zahtevamo, da privolitev za obdelavo osebnih podatkov poda njegov zakoniti zastopnik ali skrbnik). Privolitev potrebujemo tako za izdelavo posnetka, kot tudi za objavo na spletnih straneh, socialnih omrežjih, tiskanih medijih ipd. Brez privolitve tako objavimo zgolj tiste fotografije, na katerih oseba ni določljiva.

Drugače ravnamo v primeru množičnih obiskov ali večjih prireditev. Vsak posameznik, ki se udeleži večje ali javne prireditve (kot nastopajoči ali kot gledalec) se mora zavedati, da obstaja na takšni prireditvi večja verjetnost, da bo posnet. Na tovrstnih prireditvah tako lahko posnamemo in objavimo posnetek o dogodku kot takšnem oz. posnamemo reportažo, ki vključuje podobe posameznika, pri čemer pazimo, da posameznik ni osrednji motiv posnetka. Pred izvedbo tovrstne prireditve vedno objavimo obvestilo o tem, da bo prireditev snemana. Če želite, da se objavljena fotografija, na kateri ste vi osrednji motiv posnetka, odstrani, ali če se ne želite pojaviti v kadru oz. z izjavo ne želite sodelovati v video prispevku, vas prosimo, da nam to v naprej oziroma čim prej sporočite. GCC fotografije oz. videoposnetke za namen objave foto galerije dogodka oz. video prispevka in naknadne promocije dogodka obdeluje v zbirkah podatkov, ki jih vzpostavi, vodi in vzdržuje v skladu s predpisi, ki urejajo varstvo osebnih podatkov.

 

3. Šolstvo in osebni podatki

Če se izobražujete na GCC, lahko izobraževanje izvajamo zgolj s tem, da obdelujemo vaše osebne podatke. To počnemo z visoko skrbnostjo in zgolj v meri, ki je potrebna za doseganje zakonitih namenov obdelave osebnih podatkov, na primer izvajanje pouka, ocenjevanje, izdaja spričeval in podobnih dejanj, pri katerih se obdelavi osebnih podatkov ne moremo izogniti.

Podatke, ki ste nam jih zaupali ob vpisu oziroma tekom šolanja, v veliki večini primerov uporabljamo zgolj za ta namen. Odvisno od okoliščin, pa moramo včasih te podatke uporabljati tudi za druge, z izvajanjem izobraževanja povezane namene, a le takrat, kadar imamo za to ustrezno pravno podlago.

Večinoma osebne podatke pridobimo od vas samih ob vpisu, v določenih primerih, pa jih lahko pridobimo tudi od drugih pravnih in fizičnih oseb ali državnih organov.

Dodatne informacije po 13. in 14. členu Splošne uredbe o varstvu podatkov so dostopne na tej povezavi.

4. Obdelava osebnih podatkov drugih kategorij posameznikov

V kolikor niste udeleženec izobraževanja, starš oz skrbnik udeleženca izobraževanja ali obiskovalec naše spletne strani, se lahko seznanite z nekaj dodatnimi informacijami o obdelavi osebnih podatkov, ki so dostopne na tej povezavi.

5. Kategorije uporabnikov osebnih podatkov

Vaših osebnih podatkov navadno ne posredujemo tretjim osebam. Občasno pa je GCC primorana vaše osebne podatke posredovati določenim zunanjim uporabnikom, če ti izkažejo ustrezno pravno podlago za pridobitev vaših podatkov. Takšni uporabniki so navadno različni državni organi, ki vaše osebne podatke potrebujejo v okviru uradnih postopkov, ki jih vodijo, lahko pa tudi posamezniki, če dostop do podatkov zahtevajo preko sodišča ali če z gotovostjo izkažejo, da ste jih sami pooblastili za pridobitev vaših podatkov.

Morebitno zahtevo za pridobitev vaših osebnih podatkov s strani tretjih oseb vedno preverimo, da ugotovimo, če prihaja od upravičenega prosilca in če le-ta ima ustrezno pravno podlago za njihovo pridobitev. V primeru, da zahteva za pridobitev podatkov ni popolna, vsakršno posredovanje vaših podatkov zavrnemo.

Seznam kategorij uporabnikov vaših osebnih podatkov:

Uporabnik	Pravna podlaga	Namen
Ministrstvo, pristojno za šolstvo	Zakon o organizaciji in financiranju izobraževanja	vodenje evidenc
Državni izpitni center	Zakon o poklicnem in strokovnem izobraževanju,  Zakon o gimnazijah, Zakon o maturi	vodenje evidenc, izvajanje vpisa
Sodišča	Zakon o sodiščih, procesni in materialni predpisi	za vodenje postopkov
Sodni izvedenci	Zakon o sodiščih	za podajanje mnenj glede strokovnih vprašanj, za katera tako določa zakon
Policija, tožilstva	Zakon o nalogah in pooblastilih policije, Zakon o kazenskem postopku, Zakon o državnem tožilstvu	izvajanje policijskih nalog, izvajanje tožilskih nalog
Odvetniki	Zakon o odvetništvu, materialni predpisi	za namene pravnega zastopanja
Fakulteta za šport	Privolitev	spremljanje telesne aktivnosti
Druge osebe, na podlagi privolitve stranke	Privolitev	za namene, navedene v privolitvi
Zunanji izvajalci IT storitev	Legitimni interes	reševanje tehničnih in uporabniških težav
Zunanji izvajalec šolske prehrane	Zakon o šolski prehrani	Izvajanje šolske prehrane
Partnerji za izvajanje izmenjav	privolitev	Izvajanje mednarodnih izmenjav
Inšpektorati	Zakon o inšpekcijskem nadzoru, procesni in materialni predpisi	izvajanje inšpekcijskega nadzora
izvajalci poštnih storitev	Zakon o poštnih storitvah	izvajanje poštnih storitev
Finančna uprava RS	davčna zakonodaja	izpolnjevanje davčnih obveznosti
Ministrstvo, pristojno za delo, družino in socialne zadeve	ZEPDSV	izpolnjevanje pravic zaposlenih
Zavod za pokojninsko in invalidsko zavarovanje	ZPIZ-2	uveljavljanje pravic zaposlenih
Zavod za zdravstveno zavarovanje Slovenije	ZZVZZ	uveljavljanje pravic zaposlenih
Zavod RS za zaposlovanje	ZZZPV	uveljavljanje pravic zaposlenih
Statistični urad RS	ZEPDSV	izvajanje analiz
Storitve tretjih oseb (Google)	Privolitev	prikaz lokacije
Platforme socialnih medijev	Privolitev	predstavitev

 

Platforme socialnih medijev vključujejo Facebook, Youtube, TikTok in Instagram. Navedeni nastopajo kot neodvisni upravljavci osebnih podatkov, ki bodo vaše osebne podatke obdelovali v skladu z njihovo politiko zasebnosti. Google je neodvisni upravljavec osebnih podatkov in ponudnik storitev (npr: Google Maps, Google Analytics), ki vaše osebne podatke obdeluje skladno z njihovo politiko zasebnosti.

OPOZORILO:

Z uporabo spletne strani GCC in objavo in uporabo na platformah socialnih medijev, se vaši osebni podatki lahko prenesejo in obdelujejo v ZDA ali tretjo državo oziroma ni mogoče preprečiti takega prenosa in nadejane obdelave s strani platform socialnih medijev. V tem primeru lahko pride do manjšega pravnega varstva vaših osebnih podatkov kot predvideva Splošna uredba o varstvu podatkov (GDPR). Izrecno opozarjamo, da od 16. julija 2020, zaradi pravnega spora med posameznikom in irskim nadzornim organom, tako imenovani “Zasebnostni ščit”, ki je v določenih okoliščinah potrdil ustrezno raven varstva osebnih podatkov v ZDA, ni več veljaven. Tveganja za vas kot uporabnika so v vsakem primeru pooblastila ameriških obveščevalnih služb in pravni položaj v ZDA, ki po mnenju Sodišča EU trenutno ne zagotavlja več ustrezne ravni varstva osebnih podatkov. Kadar ameriški ponudniki ponujajo to možnost, se odločimo za obdelavo osebnih podatkov na strežnikih v EU. S tem naj bi tehnično zagotovili, da se podatki nahajajo v Evropski uniji in da dostop ameriških organov do njih ni mogoč.

 

6. Kategorije obdelovalcev osebnih podatkov

GCC za posamezne dele obdelav osebnih podatkov angažira različne pogodbene obdelovalce, ki opravljajo del storitev namesto šole, pri čemer šola s takšnimi pogodbenimi obdelovalci osebnih podatkov sklene ustrezne zakonsko predpisane pogodbe o obdelavi osebnih podatkov, v katerih jih zaveže k enakemu standardu varstva osebnih podatkov, kot če bi te izločene dele obdelav osebnih podatkov izvajal sam. Obenem ti pogodbeni obdelovalci podatke obdelujejo zgolj za namen izvajanja pogodbeno opredeljenih storitev za GCC in za noben drug namen, niti jih ne smejo uporabljati za lastne namene ali namene tretjih oseb.

Seznam kategorij obdelovalcev vaših osebnih podatkov:

Zunanji izvajalci IT storitev	izvajanje storitev vzdrževanja sistemov, administracije ter razvoja sistemov
IZUM	izvajanje knjižnične dejavnosti (sistem Cobiss)
Izvajalci uničevanja dokumentacije	izvajalci postopkov odvoza in uničevanja dokumentacije
Pogodbeni partner za izvedbo dogodka	izvajanje aktivnosti v zvezi z izvedbo dogodka
Tiskarji	izvajanje storitev tiskanja dokumentov
Ponudniki storitev plačilnega prometa	izvajanje plačil

7. Hramba podatkov

Kadar vaše osebne podatke obdelujemo na podlagi zakonov, jih hranimo do izteka zakonskih rokov hrambe. Zakon o poklicnem in strokovnem izobraževanju in Zakon o gimnazijah v zvezi z evidencami, ki se vodijo za vpisane osebe, predpisujeta, da se le-te shranjujejo trajno. Tudi evidence o zaposlenih delavcih se na podlagi Zakona o evidencah na področju dela in socialne varnosti in drugih predpisov trajno hranijo. Kadar vaše osebne podatke obdelujemo na podlagi pogodbe, jih hranimo do izpolnitve obveznosti po pogodbi ter do izteka rokov, ki jih določajo predpisi s področja hrambe poslovne dokumentacije ter s področja davkov. Videoposnetki vstopov/izstopov v prostore se hranijo največ eno leto. Vaše osebne podatke, ki jih obdelujemo na podlagi vaše privolitve in za namene, opredeljene v privolitvah, hranimo do preklica privolitve z vaše strani oz. do roka, opredeljenega v privolitvi.

 

8. Avtomatično sprejemanje odločitev ter profiliranje

Avtomatičnega sprejemanja odločitev ter profiliranja ne izvajamo.

 

9. Varovanje zasebnosti

Na GCC izvajamo fizične, organizacijske in tehnične ukrepe za varovanje podatkov pred izgubo, krajo, nedostopnostjo in nepooblaščeno uporabo. Vaše podatke varujemo v skladu z veljavno zakonodajo in z internimi akti, ki urejajo varstvo in zavarovanje osebnih podatkov na GCC.

Vsi zaposleni na GCC, pogodbeni obdelovalci in druge osebe, ki imajo za obdelavo podatkov vašo osebno privolitev ali drugo ustrezno pravno podlago za obdelovanje, so zavezane k varovanju zaupnosti vaših podatkov in jih ne smejo razkrivati nepooblaščenim osebam ali osebam, ki nimajo ustrezne podlage za obdelavo vaših osebnih podatkov. Dostop do vaših osebnih podatkov dovoljujemo le tistim osebam, ki morajo te podatke poznati, da jih lahko v našem imenu obdelajo. Te osebe zavezujejo pogodbene obveznosti glede zaupnosti, ob morebitnih kršitvah pa se lahko proti njim sprožijo ustrezni postopki.

Poslovne prostore, kjer se nahajajo nosilci osebnih podatkov, strojna in programska oprema, skrbno varujemo z ukrepi, ki nepooblaščenim osebam onemogočajo nepooblaščen dostop do osebnih podatkov.

Izvajamo, pregledujemo in vzdržujemo varnostne postopke, ki ustrezajo najnovejšemu stanju tehnike, standardom in prakse zaščite podatkov.

Računalniška mreža je zaščitena pred zunanjim svetom s sistemom požarnega zidu ter drugimi aktivnimi sistemi za preprečevanje oz. zaznavo vdorov, ki ustrezajo najnovejšemu stanju tehnike.

GCC preko digitalnih socialnih omrežij Facebook, TikTok in Instagram stopa v stik s posamezniki in širšo javnostjo, zaradi česar je pomembno, da se posamezniki seznanijo tudi s pravili teh omrežij oz. z njihovimi politikami zasebnosti ter z nastavitvami zasebnosti.

Spletna stran GCC lahko omogoča povezave do spletnih strani tretjih oseb ali vključujejo strani in storitve tretjih oseb. GCC ni odgovorna za varovanje zasebnosti ali osebnih podatkov s strani tretjih oseb, ponudnikov aplikacij, ponudnikov operacijskih sistemov, ponudnikov brezžičnih storitev, izdelovalcev naprav ipd. V primeru, da se odločite obiskati tako povezavo, nismo odgovorni za razpoložljivost izbrane strani, mobilnih aplikacij ali drugih storitev tretjih oseb. Prav tako spletnih strani tretjih oseb, njihovih mobilnih aplikacij ali storitev ne preverjamo ter nismo posredno ali neposredno odgovorni za njihovo uporabo in vsebino, zbiranje in obdelovanje kakršnihkoli podatkov s strani spletnih strani, mobilnih aplikacij ali storitev teh oseb. Glede na navedeno vam priporočamo, da se pred uporabo storitev ali mobilnih aplikacij tretjih oseb oz. pred kakršnimkoli vnašanjem svojih osebnih podatkov vanje seznanite z njihovimi politikami zasebnosti ali izjavami o varovanju zasebnosti, ki so dostopne bodisi na njihovih spletnih straneh ali ob dostopu (registraciji) v takšno mobilno aplikacijo.

 

10. Uveljavljanje pravic v zvezi z osebnimi podatki

Če se osebni podatki obdelujejo na podlagi privolitve, lahko posameznik kadarkoli začasno ali trajno prekliče svojo privolitev za obdelavo osebnih podatkov; vaš preklic velja za naprej in ne vpliva na obdelave osebnih podatkov, ki so bile izvedene do vašega preklica. Prav tako lahko posameznik zahteva dostop, dopolnitev, popravek, omejitev obdelave, prenos ali izbris osebnih podatkov ali vloži ugovor zoper obdelavo osebnih podatkov, ki se obdelujejo v zvezi z njim, s pisno zahtevo, poslano po klasični ali elektronski pošti na naš naslov.

Prav tako bi vas želeli opozoriti, da imate v primeru, da menite, da so bili kršeni predpisi, ki urejajo varstvo osebnih podatkov, pravico vložiti pritožbo pri Informacijskem pooblaščencu Republike Slovenije, Dunajska cesta 22, 1000 Ljubljana.

 

11. Posodabljanje politike zasebnosti

GCC si pridržuje pravico občasno posodobiti to politiko zasebnosti.

Morebitne spremembe te politike zasebnosti začnejo veljati z dnem objave na spletni strani. GCC vsem posameznikom, na katere se nanaša ta politika, priporoča redno pregledovanje te politike.

Te informacije so namenjene seznanitvi posameznikov  z informacijami, ki vam jih moramo zagotoviti v zvezi z obdelavo vaših osebnih podatkov v skladu s 13. in 14. členom Uredbe (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, tudi Uredba).

Za dodatne informacije vas prijazno vabimo, da se seznanite tudi z našo Politiko zasebnosti Gimnazije Celje-Center in drugimi informacijami.

Obvestilo posameznikom po 13. členu Uredbe

• Upravljavec osebnih podatkov in kontaktni podatki
• Kako pridobimo vaše osebne podatke
• Kategorije osebnih podatkov
• Podatki, ki se zbirajo na podlagi šolske zakonodaje
• Podatki, ki se nanašajo na druge kategorije posameznikov
• Nameni obdelave osebnih podatkov
• Uporabniki in kategorije uporabnikov osebnih podatkov ter obdelovalci osebnih podatkov
• Kako dolgo bomo hranili vaše osebne podatke?
• Ali ima posameznik kakšno obveznost v zvezi z zagotavljanjem osebnih podatkov?
• Ali se bodo osebni podatki iznašali v tretje države?
• Ali se izvaja avtomatizirano sprejemanje odločitev ter profiliranje?
• Katere pravice imate v zvezi s svojimi osebnimi podatki

Obvestilo posameznikom po 13. členu Uredbe

Upravljavec osebnih podatkov in kontaktni podatki

GIMNAZIJA CELJE-CENTER

Kosovelova ulica 2, Celje

(03) 42 85 700

 

S pooblaščeno osebo za varstvo podatkov lahko stopite v stik:

Kaja Dosedla, odvetnica

Ulica Dušana Kvedra 11, Šentjur

041 981 610

 

Kako pridobimo vaše osebne podatke?

Osebne podatke pridobimo praviloma neposredno od vas.

Pri izvajanju naših storitev lahko v skladu s predpisi uporabljamo tudi osebne in druge podatke, pridobljene iz naslednjih virov:

– zbirke podatkov državnih organov (npr. Zavod RS za šolstvo, centri za socialno delo,…)

– javno objavljeni podatki in/ali zbirke podatkov na podlagi javno objavljenih podatkov

– in od drugih oseb na podlagi vaše privolitve.

Osebne podatke pridobimo tudi, ker uporabljate našo spletno stran.

Kategorije osebnih podatkov

1. Podatki, ki se nanašajo na kandidate za vpis, vpisane dijake ter vpisane v izredno/drugo izobraževanje:

Kategorija posameznikov	Namen obdelave	Podlaga za obdelavo	Vir podatkov	Kategorije osebnih podatkov
Kandidati za vpis, vpisani dijaki in osebe, vpisane v izredno izobraževanje ter njihovi starši/zakoniti zastopniki	Izvajanje izobraževalnega procesa, izvajanje praktičnega izobraževanja izvajanje šolske prehrane, izvajanje knjižnične dejavnosti, obveščanje staršev	Zakon o poklicnem in strokovnem izobraževanju, Zakon o izobraževanju odraslih, Zakon o organizaciji in financiranju izobraževanja, Pravilnik o šolski dokumentaciji v srednješolskem izobraževanju, Zakon o šolski prehrani, Zakon o knjižničarstvu, soglasje	posameznik, javne zbirke podatkov	osebni podatki, določeni s predpisi, podatki, potrebni za sklenitev in izvajanje učne pogodbe, podatki, zbrani na podlagi soglasja
Udeleženci izobraževanja, ki vstopajo v poslovne prostore upravljavca	varovanje premoženja in oseb, ki se nahajajo v poslovnih prostorih upravljavca, evidentiranje vstopa	legitimni interes	posameznik	slikovni posnetek posameznika, datum in čas vstopa oziroma izstopa iz prostora, nad katerim se izvaja videonadzor

2. Podatki, ki se nanašajo na druge kategorije posameznikov:

Kategorija posameznikov	Namen obdelave	Podlaga za obdelavo	Vir podatkov	Kategorije osebnih podatkov
zaposleni pri upravljavcu	sklenitev in izvajanje pogodbe o zaposlitvi, posredovanje podatkov upravičenim uporabnikom, izpolnjevanje obveznosti, ki jih za primer poškodb pri delu, kolektivnih nezgod, nevarnih pojavov, ugotovljenih poklicnih boleznih in boleznih v zvezi z delom določajo predpisi, zagotavljanje preventivnih zdravstvenih pregledov, zagotavljanje ukrepov za varnost in zdravje pri delu in požarne varnosti ter izvajanje drugih obveznosti, ki izhajajo iz predpisov in pogodb	Zakon o delovnih razmerjih, Zakon o varnosti in zdravju pri delu, Zakon o evidencah na področju dela in socialne varnosti, Zakon o dohodnini in drugi, kolektivne pogodbe, pogodba, soglasje	posameznik, javne zbirke podatkov	osebni podatki, določeni s predpisi, podatki, potrebni za sklenitev in izvajanje pogodbe, podatki na podlagi soglasja
iskalci zaposlitve	izbira kandidata za objavljeno prosto delovno mesto	Zakon o delovnih razmerjih, drugi predpisi, ki določajo pogoje za zasedbo delovnega mesta	posameznik	podatki, ki jih sporoči iskalec zaposlitve (ime, priimek, datum rojstva, kontaktni podatki, podatki o šolanju, podatki o delovnih izkušnjah, podatki o dodatnih znanjih, reference in drugi)
fizične osebe, ki za upravljavca opravljajo dela na podlagi avtorske ali podjemne pogodbe	sklenitev in izpolnjevanje obveznosti in uveljavljanje pravic iz avtorske oz. podjemne pogodbe	pogodba, Zakon o avtorski in sorodnih pravicah, Obligacijski zakonik	posameznik	kontaktni podatki in podatki za sklenitev in izvajanje pogodbe
dijaki in študenti, ki delajo na podlagi napotnice pooblaščene organizacije, ki opravlja dejavnost posredovanja dela dijakom in študentom	pokojninsko in invalidsko zavarovanje, zdravstveno zavarovanje ter zavarovanje za poškodbe pri delu in poklicne bolezni ter izpolnjevanje drugih obveznosti in uveljavljanje pravic iz naslova dela na podlagi napotnice	napotnica za študentsko delo, Zakon o zaposlovanju in zavarovanju za primer brezposelnosti, Zakon o urejanju trga dela in drugi	študentski servis, posameznik	podatki s študentske napotnice: ime, priimek, kontaktni podatki, podatki o izobraževalni ustanovi in študiju, študentski status, vrsta dela, datum opravljanja dela, število opravljenih ur
člani Sveta  staršev in Sveta zavoda	sklicevanje sej, udeležba na sejah	Zakon o organizaciji in financiranju izobraževanja	posameznik, zbirke podatkov	podatki, ki jih določajo predpisi
upokojenci, ki so bili pred upokojitvijo zaposleni pri upravljavcu	za izvajanje obveščanja o dogodkih v družbi	soglasje	posameznik	ime, priimek, kontaktni podatki
zunanji obiskovalci in zaposleni, ki vstopajo v poslovne prostore upravljavca	varovanje premoženja in oseb, ki se nahajajo v poslovnih prostorih upravljavca, evidentiranje vstopa	legitimni interes	posameznik	podatki o obiskovalcu (ime, priimek, datum prihoda in odhoda), namen obiska, slikovni posnetek posameznika, datum in čas vstopa oziroma izstopa iz prostora, nad katerim se izvaja videonadzor
predstavniki pogodbenih partnerjev (izvajalci in dobavitelji)	izvajanje pogodb o izvedbi storitev in dobavi blaga	pogodba	posameznik, poslovni subjekt, v imenu katerega dela predstavnik	ime, priimek, kontaktni podatki, delovno mesto, firma pogodbenega partnerja, drugi podatki, potrebni za sklenitev in izvajanje pogodbe
odvetniki, izvršitelji, stečajni upravitelji, sodni izvedenci in cenilci ter sodni tolmači	komunikacija v postopku po nalogu sodišča ali stranke, ki jo zastopa odvetnik ali na podlagi zakonskega pooblastila v postopkih osebnega stečaja, izvršbe in zavarovanja in drugih postopkih	Zakon o odvetništvu in pooblastilo za zastopanje, Zakon o sodiščih, Zakon o izvršbi in zavarovanju, Zakon o finančnem poslovanju, postopkih zaradi insolventnosti in prisilnem prenehanju in drugi	posameznik, druge osebe v postopkih, zbirke podatkov	Ime in priimek in kontaktni podatki, vsebina zahteve, vloge v postopku, mnenja ali poročila
udeleženci dogodkov, ki jih organizira ali soorganizira upravljavec	organizacija ali soorganizacija prireditev, pošiljanje vabil na razne prireditve in aktivnosti ter dogodke ter za objavo v sredstvih javnega obveščanja, na spletni strani upravljavca, na njegovih profilih družbenih omrežij ter spletnih straneh posameznih dogodkov, izvajanje drugih aktivnosti v skladu s podano privolitvijo	privolitev, brez privolitve v primeru udeležbe posameznika na množičnih dogodkih, pogodba	posameznik, poslovni subjekti	kontaktni podatki, in drugi podatki, ki jih podajo posamezniki, v okviru množičnih dogodkov in fotografiranje množice ni obdelave osebnih podatkov, razen, ko je subjekt posnetka konkretni posameznik
uradne osebe v organih	inšpekcijski postopki, prekrškovni postopki in izmenjava različnih vlog v postopkih, mnenja in pojasnila organov	Zakon o upravnem postopku, Zakon o prekrškovnem postopku, Zakon o inšpekcijskem nadzoru in drugi	posameznik, organ	ime, priimek, delovno mesto/naziv uradne osebe, naziv organa in kontaktni podatki
obiskovalci spletnih strani	spremljanje in analizo delovanja spletnih aplikacij,  tehnično vzdrževanje in razvoj spletnih strani in storitev, obveščanje o storitvah in drugih pomembnih informacijah (razpisi, dogodki, ipd.)	Legitimni interes	posameznik	IP naslov, URL naslov spletne strani, iz katere ste dostopali do naše spletne strani,nastavitve brskalnika in informacije o operacijskem sistemu računalnika ali mobilnega aparata, vsebine, do katerih dostopate na spletni strani,datum dostopa in trajanje obiska spletne strani, drugi podatki, če se izpolni spletni obrazec

 

Nameni obdelave osebnih podatkov

Vaše osebne podatke obdelujemo v skladu s Splošno uredbo o varstvu podatkov,  Zakonom o varstvu osebnih podatkov, Zakonom o gimnazijah, Zakonom o poklicnem in strokovnem izobraževanju in v skladu z drugimi predpisi, ki urejajo obseg in namene obdelave osebnih podatkov, ki jih lahko kot upravljavec obdelujemo. Vaše podatke obdelujemo zaradi:

a) izpolnjevanja zakonskih obveznosti:

Poglavitni namen obdelave vaših osebnih podatkov je predvsem izpolnjevanje zakonske obveznosti izobraževanja in izpolnjevanje zakonskih obveznosti do zaposlenih delavcev.

b) izpolnjevanja pogodbenih obveznosti:

Z določenimi posamezniki stopamo v pogodbene odnose in v tovrstnih primerih je  namen  obdelave osebnih podatkov izpolnjevanje pogodbenih obveznosti.

c) zagotavljanja legitimnih interesov šole:

Kadar je potrebno, vaše osebne podatke obdelujemo na podlagi legitimnih interesov, med katere spadajo:

-za tehnično vzdrževanje naših spletnih strani in storitev zaradi zagotavljanja varnosti spletnih strani in z njimi povezanih storitev ter z namenom preprečevanja zlorab,

-zagotavljanje delovanja informacijskih sistemov, varnosti omrežja in informacij (preprečevanje dogodkov, nezakonitih ali zlonamernih dejanj, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih osebnih podatkov ter varnost s tem povezanih IT storitev), preprečevanje nepooblaščenega dostopa do informacijskih sistemov ter odzivanje na računalniške varnostne grožnje in incidente,

-za namen varstva in zavarovanja premoženja in zaposlenih pred grožnjami in nasiljem in v podobnih primerih, ko brez obdelave osebnih podatkov posameznikov ne bi mogla zavarovati in uveljaviti lastnih legitimnih interesov in pravic, ki jih v skladu z zakonodajo uživamo, kar vključuje tudi izvajanje videonadzora vhodov v poslovne prostore zaradi razjasnitve okoliščin kaznivih dejanj zoper zaposlene in premoženje ter nadzorovanje dostopov v poslovne stavbe zaradi preprečevanja dostopa nepooblaščenim osebam in zaradi zagotavljanja hišnega reda v poslovnih prostorih.

č) na podlagi privolitve:

Vaše osebne podatke za določene namene uporabe lahko obdelujemo samo na podlagi vaše privolitve (npr. objavo fotografij na spletni strani…) Vašo privolitev lahko kadarkoli delno ali v celoti prekličete.  Vaš preklic velja za naprej in ne vpliva na obdelave, ki so bile izvedene do vašega preklica.

 

Uporabniki in kategorije uporabnikov osebnih podatkov ter obdelovalci osebnih podatkov ter druge osebe, ki so jim lahko razkriti vaši osebni podatki:

Na GCC vaše osebne podatke obdelujejo osebe, ki so zadolžene za izpolnjevanje pogodbenih in zakonskih obveznosti (zaposleni). Med uporabniki osebnih podatkov so v skladu s predpisi tudi druge kategorije uporabnikov, ki so navedene na Seznamu kategorij uporabnikov osebnih podatkov:

Uporabnik	Pravna podlaga	Namen
Ministrstvo, pristojno za šolstvo	Zakon o organizaciji in financiranju izobraževanja	vodenje evidenc
Državni izpitni center	Zakon o poklicnem in strokovnem izobraževanju,  Zakon o gimnazijah, Zakon o maturi	vodenje evidenc, izvajanje vpisa
Sodišča	Zakon o sodiščih, procesni in materialni predpisi	za vodenje postopkov
Sodni izvedenci	Zakon o sodiščih	za podajanje mnenj glede strokovnih vprašanj, za katera tako določa zakon
Policija, tožilstva	Zakon o nalogah in pooblastilih policije, Zakon o kazenskem postopku, Zakon o državnem tožilstvu	izvajanje policijskih nalog, izvajanje tožilskih nalog
Odvetniki	Zakon o odvetništvu, materialni predpisi	za namene pravnega zastopanja
Fakulteta za šport	Privolitev	spremljanje telesne aktivnosti
Druge osebe, na podlagi privolitve stranke	Privolitev	za namene, navedene v privolitvi
Zunanji izvajalci IT storitev	Legitimni interes	reševanje tehničnih in uporabniških težav
Zunanji izvajalec šolske prehrane	Zakon o šolski prehrani	Izvajanje šolske prehrane
Partnerji za izvajanje izmenjav	privolitev	Izvajanje mednarodnih izmenjav
Inšpektorati	Zakon o inšpekcijskem nadzoru, procesni in materialni predpisi	izvajanje inšpekcijskega nadzora
izvajalci poštnih storitev	Zakon o poštnih storitvah	izvajanje poštnih storitev
Finančna uprava RS	davčna zakonodaja	izpolnjevanje davčnih obveznosti
Ministrstvo, pristojno za delo, družino in socialne zadeve	ZEPDSV	izpolnjevanje pravic zaposlenih
Zavod za pokojninsko in invalidsko zavarovanje	ZPIZ-2	uveljavljanje pravic zaposlenih
Zavod za zdravstveno zavarovanje Slovenije	ZZVZZ	uveljavljanje pravic zaposlenih
Zavod RS za zaposlovanje	ZZZPV	uveljavljanje pravic zaposlenih
Statistični urad RS	ZEPDSV	izvajanje analiz
Storitve tretjih oseb (Google)	Privolitev	prikaz lokacije
Platforme socialnih medijev	Privolitev	predstavitev

 

Vaše osebne podatke lahko obdelujejo tudi naši pogodbeni obdelovalci osebnih podatkov, katerih pogodbene obveznosti v zvezi z obdelovanjem osebnih podatkov skrbno nadzorujemo.

Seznam kategorij obdelovalcev osebnih podatkov:

Zunanji izvajalci IT storitev	izvajanje storitev vzdrževanja sistemov, administracije ter razvoja sistemov
IZUM	izvajanje knjižnične dejavnosti (sistem Cobiss)
Izvajalci uničevanja dokumentacije	izvajalci postopkov odvoza in uničevanja dokumentacije
Pogodbeni partner za izvedbo dogodka	izvajanje aktivnosti v zvezi z izvedbo dogodka
Tiskarji	izvajanje storitev tiskanja dokumentov
Ponudniki storitev plačilnega prometa	izvajanje plačil

Kako dolgo bomo hranili vaše osebne podatke? 

Kadar vaše osebne podatke obdelujemo na podlagi zakonov, jih hranimo do izteka zakonskih rokov hrambe.  Zakon o gimnazijah in Zakon o poklicnem in strokovnem izobraževanju v zvezi z evidencami, ki se vodijo  za vpisane osebe, predpisujeta, da se le-te shranjujejo trajno. Tudi evidence o zaposlenih delavcih se na podlagi Zakona o evidencah na področju dela in socialne varnosti in drugih predpisov trajno hranijo. Kadar vaše osebne podatke obdelujemo na podlagi pogodbe, jih hranimo do izpolnitve obveznosti po pogodbi ter do izteka rokov, ki jih določajo predpisi s področja hrambe poslovne dokumentacije ter s področja davkov. Videoposnetki vstopov/izstopov v prostore se hranijo največ eno leto. Vaše osebne podatke, ki jih obdelujemo na podlagi vaše privolitve in za namene, opredeljene v privolitvah, hranimo do preklica privolitve z vaše strani oz. do roka, opredeljenega v privolitvi.

Ali ima posameznik kakšno obveznost v zvezi z zagotavljanjem osebnih podatkov?

Zagotoviti nam morate podatke, ki jih potrebujemo za sklenitev, izvajanje in izpolnitev pogodbenih obveznosti in tiste podatke, ki jih moramo kot upravljavec zbrati v skladu s predpisanimi obveznostmi (npr. v skladu s predpisi s področja šolstva  delovnih razmerij ipd.).

 

Ali se bodo osebni podatki iznašali v tretje države?

Platforme socialnih medijev vključujejo Facebook, TikTok, Youtube in Instagram. Navedeni nastopajo kot neodvisni upravljavci osebnih podatkov, ki bodo vaše osebne podatke obdelovali v skladu z njihovo politiko zasebnosti  Google je neodvisni upravljavec osebnih podatkov in ponudnik storitev (npr: Google Maps, Google Analytics), ki vaše osebne podatke obdeluje skladno z njihovo politiko zasebnosti.

 

OPOZORILO:

Z uporabo spletne strani  GCC in objavo in uporabo na platformah socialnih medijev, se vaši osebni podatki lahko prenesejo in obdelujejo v ZDA ali tretjo državo oziroma ni mogoče preprečiti takega prenosa in nadejane obdelave s strani platform socialnih medijev. V tem primeru lahko pride do manjšega pravnega varstva vaših osebnih podatkov kot predvideva Splošna uredba o varstvu podatkov (GDPR). Izrecno opozarjamo, da od 16. julija 2020,  tako imenovani “Zasebnostni ščit”, ki je v določenih okoliščinah potrdil ustrezno raven varstva osebnih podatkov v ZDA, ni več veljaven. Tveganja za vas kot uporabnika so v vsakem primeru pooblastila ameriških obveščevalnih služb in pravni položaj v ZDA, ki po mnenju Sodišča EU trenutno ne zagotavlja več ustrezne ravni varstva osebnih podatkov.  Kadar ameriški ponudniki ponujajo to možnost, se odločimo za obdelavo osebnih podatkov na strežnikih v EU. S tem naj bi tehnično zagotovili, da se podatki nahajajo v Evropski uniji in da dostop ameriških organov do njih ni mogoč.

Ali se izvaja avtomatizirano sprejemanje odločitev ter profiliranje? 

Avtomatičnega sprejemanja odločitev ter profiliranja ne izvajamo.

Katere pravice imate v zvezi s svojimi osebnimi podatki? 

Kadarkoli lahko zahtevate:

-dostop do svojih osebnih podatkov (pridobite informacijo o tem ali v zvezi z vami obdelujemo osebne podatke, dostopate do njih oz. pridobite kopijo osebnih podatkov, pridobite informacijo o namenih njihove obdelave, vrstah podatkov, uporabnikih teh podatkov oz. njihovih kategorijah ipd.)

-popravek ali izbris vaših osebnih podatkov (izbrisa ni moč zahtevati za podatke, ki se hranijo oz. obdelujejo na podlagi zakona, v nekaterih primerih pa lahko izbris podatkov hkrati pomeni tudi prenehanje pogodbenega razmerja z nami)

-omejitev obdelave vaših osebnih podatkov (npr. dokler se ne preveri njihova točnost)

-ugovor zoper obdelavo osebnih podatkov v zvezi z vami, ki poteka izključno v legitimnem interesu  ali javnem interesu (v tem primeru prenehamo obdelovati vaše osebne podatke; izjema velja, če izkažemo, da imamo nujne legitimne razloge za njihovo obdelavo, ki prevladujejo nad vašimi interesi, pravicami in svoboščinami, oziroma da jih potrebujemo za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov).

Če vaše osebne podatke obdelujemo na podlagi vaše privolitve, lahko kadarkoli začasno ali trajno prekličete podano privolitev za obdelavo. V tem primeru vaš preklic velja za naprej in ne vpliva na obdelave, ki so bile izvedene do preklica.

Svoje zahtevke uveljavljate s pisno zahtevo, ki jo pošljete po klasični ali elektronski pošti.

Kadar se nam porodi upravičen dvom v zvezi z identiteto tistega, ki poda zahtevo za uveljavljanje katere od njegovih pravic, lahko od njega zahtevamo zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki iz zahteve.

Če so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko GCC zaračuna razumno pristojbino ali zavrne ukrepanje v zvezi z zahtevo.

Nadzor nad zakonitostjo obdelav in varstvom osebnih podatkov na sploh v Republiki Sloveniji izvaja Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana.

 

Obvestilo posameznikom po 14. členu Splošne uredbe o varstvu osebnih podatkov glede obdelave osebnih podatkov 

Ko bomo na GCC pridobili osebne podatke od tretjih oseb vas bomo o tem v skladu s 14. členom Splošne uredbe obvestili s posebnim obrazcem.

Na podlagi Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), Zakona o varstvu osebnih podatkov (ZVOP- 2) in Sklepa o ustanovitvi javnega vzgojno-izobraževalnega zavoda »Gimnazija Celje – Center« sprejme v. d. ravnatelja Gimnazije Celje – Center Rok Lipnik

PRAVILNIK O VAROVANJU OSEBNIH PODATKOV

 

I. SPLOŠNE DOLOČBE

 

1. člen

 S tem pravilnikom se ureja uresničevanje človekove pravice do varstva osebnih podatkov, obveznosti, načela, upravičenja, postopke in ukrepe, s katerimi se zagotavlja ustavna skladnost, zakonitost in upravičenost posegov v zasebnost, dostojanstvo, tajnost osebnih podatkov ter druga vprašanja obdelave in varstva osebnih podatkov, ki jih obdeluje Gimnazija Celje – Center (v nadaljevanju zavod).

 

Zaposleni delavci, ki pri svojem delu obdelujejo osebne podatke, morajo biti seznanjeni z vsebino tega pravilnika.

 

V zadevah, ki jih ne ureja ta pravilnik, se neposredno uporabljajo določbe Splošne uredbe o varstvu

podatkov in Zakona o varstvu osebnih podatkov.

 

2. člen

 V tem pravilniku:

»osebni podatek« pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki);

»posameznik« pomeni določeno ali določljivo fizično osebo, na katero se nanaša osebni podatek; oseba je določljiva, če jo je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto tega posameznika;

»obdelava osebnih podatkov« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali z nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

»nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki ureja Informacijskega pooblaščenca;

»javni sektor« so državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije

in druge osebe javnega prava, ustanovljene z zakonom;

»zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili;

»posebna vrsta osebnih podatkov« pomeni osebne podatke, ki razkrivajo rasno ali etično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;

»uporabnik« pomeni fizično ali pravno osebo, javni organ ali agencijo ali drugo telo, ko so mu bili osebni podatki razkriti;

»privolitev posameznika na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

»kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kak drugače obdelani;

»tretja država« pomeni državo, ki ni članica Evropske unije ali del Evropskega gospodarskega prostora;

»nosilec podatkov« pomeni vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka;

»zaposleni delavec ali delavec« pomeni osebo, ki ima z zavodom sklenjeno pogodbo o zaposlitvi ali opravlja delo na podlagi podjemne ali druge pogodbe, so zaposleni na drugem zavodu in dopolnjujejo svoje delo, opravljajo študentsko delo ali delo zaradi izobraževanja oziroma so na drug način vključeni v delovni proces;

 

Izrazi, katerih pomen v tem pravilniku ni opredeljen, imajo pomen kot je določen v Splošni uredbi o

varstvu osebnih podatkov oziroma Zakonu o varstvu osebnih podatkov.

 

3. člen

 Obdelava osebnih podatkov je prepovedana, če se izvaja na način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, invalidnost, državljanstvo, kraj oziroma vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli drugo osebno okoliščino posameznice in posameznika.

 

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

 

4. člen

 Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

 

5. člen

Zavod za zagotavljanje varnosti ljudi in premoženja ter reda v njenih prostorih ali prostorih, ki jih ima v uporabi (v nadaljnjem besedilu: službeni prostori), od posameznika, ki namerava vstopiti v prostor, zahteva navedbo osebnih podatkov iz drugega odstavka tega člena.

 V zbirki o vstopih in izstopih iz službenih prostorov se lahko o posamezniku obdelujejo naslednji osebni podatki: ime in priimek, obiskana oseba (razlog obiska) in času prihoda/odhoda.

 Osebni podatki iz prejšnjega odstavka se lahko hranijo največ dve leti od konca koledarskega leta po vnosu osebnih podatkov v zbirko, nato se izbrišejo ali na drug način uničijo, če drug zakon ne določa drugače.

 Evidenco vstopov in izstopov vodi oseba, ki jo pooblasti ravnatelj.

 Dostop v varovane prostore je mogoč in dopusten le v delovnem času, izven tega časa pa samo na podlagi dovoljenja ravnatelja.

 

6. člen

 Varovani prostori so zlasti, ne pa izključno: pisarna ravnatelja, tajništvo in prostori računovodstva.

 Dokumentacija, ki vsebuje zbirke osebnih podatkov, se hrani tako, da je onemogočen dostop nepooblaščenim osebam. Izven delovnega časa morajo biti klasični nosilci osebnih podatkov (npr. listine, kartoteke, register, seznam, itd) shranjeni v zaklenjenih omarah v varovanih prostorih. Računalniki ali druga strojna oprema, na kateri se obdelujejo osebni podatki, mora biti izven delovnega časa izklopljena in fizično in/ali programsko zaklenjena.

 

7. člen

 V varovane prostore nezaposlene osebe ali delavci brez ustreznih pooblastil ne smejo vstopati brez spremstva ali prisotnosti delavca z ustreznimi pooblastili (za obdelavo osebnih podatkov, ki se nahajajo v varovanem prostoru). Delavec mora vestno in skrbno nadzorovati prostor in ga ob zapustitvi zakleniti. Ključi se ne smejo puščati v ključavnici v vratih. Delavci so dolžni vestno hraniti ključe zaklenjenih varovanih prostorov.

 Delavec, ki pri svojem delu obdeluje osebne podatke, ne sme med delovnim časom puščati nosilcev podatkov na vidnem mestu ali jih kako drugače izpostavljati nevarnosti vpogleda nepooblaščenim osebam.

 V prostorih, kjer se zadržujejo obiskovalci, morajo biti nosilci osebnih podatkov in računalniški prikazovalniki nameščeni tako, da nepooblaščene osebe nimajo možnosti dostopa oziroma vpogleda vanje.

 

8. člen

Tehnično-vzdrževalno osebje in čistilke se lahko zunaj delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

 

9. člen

 Obdelovanje osebnih podatkov je dovoljeno le v prostorih zavoda, izven prostorov zavoda pa samo na podlagi dovoljenja ravnatelja.

 Nosilcev osebnih podatkov brez dovoljenja ni dovoljeno iznašati izven prostorov zavoda, če za to ni ustrezne podlage v zakonskih ali notranjih predpisih oziroma pogodbenih razmerjih. Za iznos prenosnih računalnikov, mobilnih telefonov in drugih prenosnih informacijsko-komunikacijskih naprav in sredstev se za ustrezno podlago v notranjih predpisih šteje dokumentacija o predaji opreme v uporabo.

 

10. člen

S štampiljkami, žigom, papirjem z logotipom zavoda in drugimi pripomočki, s katerimi bi bilo mogoče ponarediti dokumente, se mora ravnati enako kot z osebnimi podatki.

 

11. člen

 Dostop do računalniške programske opreme mora biti varovan na način, da dovoljuje dostop samo določenim vnaprej pooblaščenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

 

12. člen

 Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi izrecne odobritve ravnatelja, izvajajo pa ga lahko samo pooblaščeni uslužbenci zavoda, pravne ali fizične osebe, ki imajo z zavodom sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

 

13. člen

 Delavec, pooblaščen za obdelavo osebnih podatkov na računalniku, mora skrbeti, da se pri servisiranju, popravilu, spreminjanju ali dopolnjevanju sistemske ali aplikativne programske opreme ob morebitnem kopiranju osebnih podatkov po prenehanju potrebe po kopiji, kopija uniči.

 Delavec, pooblaščen za obdelavo osebnih podatkov na računalniku, mora biti ves čas servisiranja računalnika in programske opreme prisoten in mora nadzirati, da ni nedopustnega ravnanja z osebnimi podatki. Ob izkazani potrebi po popravilu računalnika, na katerega disku so osebni podatki, zunaj zavoda in brez nadzora pooblaščenega zaposlenega, se morajo podatki z diska računalnika izbrisati tako, da je onemogočena obnova. Če tak izbris ni mogoč, se mora popravilo opraviti v poslovnih prostorih zavoda v prisotnosti pooblaščenega delavca.

 

14. člen

 Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja z antivirusnimi programi na prisotnost računalniških virusov.

 Ob pojavu računalniškega virusa je potrebno storiti vse, da se s pomočjo strokovnjakov virus odpravi, obenem pa se ugotovi vzrok pojava virusa v računalniškem sistemu.

 Vsi osebni podatki in programska oprema, ki so namenjeni uporabi na računalnikih in v računalniškem informacijskem sistemu in prispejo v zavod na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

 

15. člen

 Zavod za obdelovanje podatkov uporablja le sistemsko in aplikativno programsko opremo, ki jo odobri ravnatelj.

 Delavci ne smejo nepooblaščeno namestiti nobene programske opreme na računalnike ali na druge informacijsko-komunikacijske naprave.

 Delavci ne smejo nepooblaščeno odnašati programske opreme zavoda, prav tako te opreme ne smejo nepooblaščeno posredovati tretjim osebam.

 

16. člen

 Dostop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel in pooblastil uporabnikom.

Ravnatelj določi režim dodeljevanja, hranjenja in spreminjanja gesel oziroma določijo ustrezno osebo, ki po pooblastilu opravlja dodeljevanje, hranjenje in spreminjanje gesel.

 

17. člen

 Za potrebe obnove osebnih podatkov v primeru izrednih dogodkov je potrebno redno izdelovati ustrezne kopije.

 

18. člen

 Zavod vodi dnevnik obdelave, kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka, ki je določena z naslednjim členom Pravilnika, ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: 1. zbiranje; 2. spreminjanje; 3. vpogled; 4. razkritje, vključno s prenosi; 5. izbris; 6. druga dejanja obdelave, ki jih določa zakon.

Dnevnik obdelave iz prejšnjega odstavka mora za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi zavod ob upoštevanju ocene učinka.

 Dnevnik obdelave se uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.

 Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

 Z zasnovo programske opreme se zagotavlja možnost naknadnega ugotavljanja kdo in kdaj je obdeloval posamezne osebne podatke tudi za primere, ko ni potrebno voditi dnevnika obdelave iz gornjih odstavkov tega člena.

 

19. člen

 Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, zavod pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

 

20. člen

 Delavci, ki so zadolženi za sprejem in evidenco pošte, morajo izročiti poštno pošiljko z osebnimi podatki neposredno posamezniku ali službi, na katero je ta pošiljka naslovljena.

 Delavci, ki so zadolženi za sprejem in evidenco pošte, odpirajo in pregledujejo vse poštne pošiljke in pošiljke, ki na drug način prispejo v zavod – prinesejo jih stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena.

 Delavci, ki so zadolženi za sprejem in evidenco pošte, ne odpirajo tistih pošiljk, ki so naslovljene na drugo podjetje in so pomotoma dostavljene ter pošiljk, ki so označene kot osebni podatki ali za katere iz označbe na ovojnici izhaja, da se nanašajo na natečaj ali razpis.

 Delavci, ki so zadolženi za sprejem in evidenco pošte, ne smejo odpirati pošiljk, naslovljenih na zaposlenega, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku ter pošiljk, na katerih je najprej navedeno osebno ime zaposlenega brez označbe njegovega uradnega položaja in šele nato naslov zavoda.

 

21. člen

 Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje in uničevanje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

 Osebni podatki se pošiljajo priporočeno.

 Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna vsebina ovojnice. Ovojnica mora tudi zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.

 Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z gesli za identifikacijo.

 

III. ZAKONITOST OBDELAVE OSEBNIH PODATKOV

 

22. člen

 Obdelava osebnih podatkov je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

• posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
• obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
• obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za zavod;
• obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
• obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene zavodu;
• obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva zavod, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

 Obdelava osebnih podatkov je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.

 V skladu s prvim odstavkom tega člena se lahko obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti.

Za izvrševanje točke e) prvega odstavka tega člena se lahko izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

 

23. člen

 Osebni podatki se obdelujejo zakonito in pošteno in morajo biti točni in ažurni, pri obdelavi pa mora zavod upoštevati načelo sorazmernosti, po katerem morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene za katere se zbirajo in nadalje obdelujejo.

 

24. člen

 Zavod za vsako zbirko podatkov vzpostavi evidenco dejavnosti obdelave osebnih podatkov, ki vsebuje: podatke o upravljavcu osebnih podatkov, podatke o pooblaščeni osebi za varstvo osebnih podatkov, naziv zbirke, namen obdelave osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki v zbirki, vrste osebnih podatkov v zbirki, kategorije uporabnikov osebnih podatkov, ki so jim bili ali jim bodo razkriti osebni podatki, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, rok hrambe, splošen opis zavarovanja osebnih podatkov in pravna podlaga za obdelavo osebnih podatkov.

 Evidenca dejavnosti obdelave se za vsako zbirko osebnih podatkov zagotovi najkasneje 15 dni pred vzpostavitvijo zbirke osebnih podatkov. Evidenca dejavnosti osebnih podatkov se dopolnjuje ob vsaki spremembi vrste osebnih podatkov v posamezni zbirki.

 Zavod za zbirke podatkov vzpostavi seznam evidenc dejavnosti obdelave.

 

25. člen

 Kadar zavod obdeluje osebne podatke na podlagi soglasja, mora pisno soglasje vsebovati:

-jasno opredeljeno voljo za izdajo soglasja,

-navedbo podatkov, ki se zbirajo,

-opredeljen namen zbiranja podatkov,

-zagotovilo, da se bodo podatki uporabljali le za namen, za katerega so zbrani,

-čas shranjevanja podatkov,

-pravice posameznika,

-datum podpisa izjave in

-podpis osebe.

 Posameznik na katerega se nanašajo osebni podatki, lahko kadarkoli prekliče soglasje za obdelavo osebnih podatkov. Preklic soglasja ne vpliva na zakonitost obdelave na podlagi soglasja pred njenim preklicem.

 

IV. PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

 

26. člen

Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, zavod zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

• identiteto in kontaktne podatke zavoda in njegovega predstavnika;
• kontaktne podatke pooblaščene osebe za varstvo podatkov;
• namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
• kadar obdelava temelji na zakonitih interesih, zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
• uporabnike ali kategorije uporabnikov osebnih podatkov;
• kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali

mednarodno organizacijo.

Poleg informacij iz prvega odstavka zavod takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

• obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
• obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
• kadar obdelava temelji na soglasju, obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
• pravico do vložitve pritožbe pri nadzornem organu;
• ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
• obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov in smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

27. člen

 Posameznik, na katerega se nanašajo osebni podatki, ima pravico dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

• namene obdelave;
• vrste zadevnih osebnih podatkov;
• uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
• kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
• obstoj pravice, da se zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
• pravico do vložitve pritožbe pri nadzornem organu;
• kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
• obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih.

 

28. člen

 Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da zavod brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

 Uslužbenec, ki obdeluje osebne podatke,  lahko pred vnosom v zbirko osebnih podatkov preveri točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino.

 

29. člen

 Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da zavod brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, zavod pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

• osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
• posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava, in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

• posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja (za njihovo obdelavo pa neobstajajo nobeni prevladujoči zakoniti razlogi);

• osebni podatki so bili obdelani nezakonito;
• osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravomdržave članice.

Kadar zavod objavi osebne podatke in je v skladu s prvim odstavkom osebne podatke obvezana izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

 Gornja odstavka se ne uporabljata v primerih, določenih v Splošni uredbi o varstvu podatkov.

 

30. člen

 Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da zavod omeji obdelavo,

kadar velja en od naslednjih primerov:

• posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
• je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

• upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
• je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

Kadar je bila obdelava osebnih podatkov omejena v skladu s prvim odstavkom, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa.

 

31. člen

 Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval zavodu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

• obdelava temelji na privolitvi ali na pogodbi, in
• se obdelava izvaja z avtomatiziranimi

 

32. člen

 Kadar zavod obravnava zahtevke posameznika za uveljavljanje pravic iz gornjih členov in druge zahtevke posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu, posameznika seznani z odločitvijo in, če je to predmet zahteve, z osebnimi podatki, ki se nanašajo nanj, v roku 30 dni. Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno.

 Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu.

Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema.

 

33. člen

 Zavod (ali obdelovalec) od prejema zahteve za uveljavitev pravic ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.

 

34. člen

 Zavod posreduje osebne podatke drugim osebam javnega sektorja ali drugim fizičnim ali pravnim osebam, če je za posredovanje dana pravna podlaga ter na podlagi zahteve iz naslednjega odstavka, razen če drug zakon določa drugače. Prejemnik podatkov sme osebne podatke obdelovati samo za namen, za uresničevanje katerega se mu posredujejo, na kar se prejemnika izrecno opozori.

 Če drug zakon ne določa drugače, zahteva za posredovanje osebnih podatkov vsebuje naslednjepodatke:

1. podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;
2. pravno podlago za pridobitev zahtevanih osebnih podatkov;
3. namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
4. predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;

5. vrste osebnih podatkov, ki naj se mu posredujejo;
6. obliko in način pridobitve zahtevanih osebnih

 Zavod vlagatelju zahteve, če drug zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15. dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval. Če zavod ne ravna v skladu s prejšnjim odstavkom, se šteje, da je zahteva zavrnjena.

 Zavod za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave.

 Informacije iz prejšnjega odstavka zavod hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok.

 

35. člen

Za iznos osebnih podatkov v tretje države se neposredno uporabljajo določbe Splošne uredbe o varstvu podatkov.

 

V. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE

 

36. člen

 Zavod lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za varovanje osebnih podatkov.

 Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru danih pooblastil zavodu in osebnih podatkov ne sme obdelovati za noben drug namen.

Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih za varovanje osebnih podatkov.

 Pooblaščena oseba zavoda, ki je podpisala pogodbo o obdelavi osebnih podatkov, mora spremljati izvajanje postopkov in ukrepov za varovanje osebnih podatkov. V primeru spora med zavodom in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec osebne podatke, ki jih je pogodbeno obdeloval, na podlagi zahteve zavoda, nemudoma vrniti zavodu. Morebitne kopije teh podatkov mora takoj uničiti. V primeru prenehanja delovanja pogodbenega obdelovalca se osebni podatki in morebitne kopije teh podatkov brez nepotrebnega odlašanja vrnejo zavodu.

 Pooblaščena pravna ali fizična oseba, ki za zavod opravlja dogovorjene storitve izven prostorov zavoda, mora imeti vsaj enako ustrezen način varovanja osebnih podatkov kakor ga predvideva ta pravilnik.

 

VI. BRISANJE PODATKOV

 

37. člen

 Obdobje hrambe osebnih podatkov je odvisno od podlage in namena obdelave posamezne kategorije osebnih podatkov.

 Po poteku roka hranjenja se osebni in drugi varovani podatki izbrišejo oz. uničijo nosilci podatkov.

 

38. člen

 Brisanje podatkov na računalniških medijih se opravi na način, po postopku in metodi, ki onemogoča obnovo vseh ali dela brisanih podatkov.

 Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, registri, seznami…) se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo/brišejo v prostorih zavoda. V tem primeru se uničevanje in brisanje osebnih podatkov opravi komisijsko. Komisija prisostvuje in protokolira vsak izbris in uničenje nosilcev osebnih podatkov z zapisnikom. Uničenje/brisanje nosilcev podatkov se lahko pogodbeno zaupa tudi organizaciji, ki se ukvarja z uničevanjem zaupne dokumentacije. V tem primeru uničenje in brisanje nadzoruje pooblaščeni delavec, ki protokolira vsak izbris in uničenje nosilcev podatkov z zapisnikom.

 Na enak način se uničuje pomožno gradivo (npr. matrice, grafikone, skice, poizkusne ali neuspešne izpise ipd.). Uničevanje pomožnega gradiva se mora izvajati tekoče in ažurno.

 Ustrezno zavarovanje osebnih podatkov je potrebno zagotoviti tudi pri prenosu nosilcev osebnih podatkov na mesto uničenja.

 

39. člen

 Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.

 

VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

 

40. člen

 Delavci so dolžni izvajati ukrepe za preprečevanje kršitve varstva osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik. Delavec, ki izve ali opazi, da je prišlo do kršitve varstva osebnih podatkov, mora takoj o tem obvestiti pooblaščeno osebo za varstvo osebnih podatkov ali ravnatelja.

 Ravnatelj mora zoper tistega, ki je kršil določbe varstva osebnih podatkov, ustrezno ukrepati.

 

41. člen

 V primeru kršitve varstva osebnih podatkov zavod brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ (Informacijski pooblaščenec), razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.

 Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti zavod.

 Uradno obvestilo vsebuje vsaj:

• opis vrste kršitve varstva osebnih podatkov
• sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo osebnih podatkov
• opis verjetnih posledic kršitve varstva osebnih podatkov
• opis ukrepov, ki jih zavod sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za blažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

 Zavod dokumentira vsako kršitev varstva osebnih podatkov.

 

VIII. VIDEONADZOR

 

42. člen

 Odločitev o uvedbi videonadzora sprejme ravnatelj. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora.

 Zavod o odločitvi iz prejšnjega odstavka objavi obvestilo. Obvestilo se vidno in razločno objavi na način, ki omogoča posamezniku, da se seznani z izvajanjem videonadzora in da se lahko vstopu v nadzorovano območje odpove.

 Obvestilo iz prejšnjega odstavka poleg informacij iz 26. člena predmetnega pravilnika vsebuje naslednje informacije:

1. pisno ali nedvoumno grafično opisano dejstvo, da se izvaja videonadzor;

2. namene obdelave, navedbo upravljavca videonadzornega sistema, telefonsko številko ali naslov elektronske pošte ali spletni naslov za potrebe uveljavljanja pravic posameznika s področja varstva osebnih podatkov;

3. informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave;

4. kontaktne podatke pooblaščene osebe (telefonska številka ali naslov e-pošte);

5. neobičajne nadaljnje obdelave, kot so prenosi subjektom v tretje države, spremljanje dogajanja v živo, možnost zvočne intervencije v primeru spremljanja dogajanja v živo.

 

Namesto objave v obvestilu po tretjem odstavku tega člena se lahko obveščanje posameznika izvede tudi na način, da upravljavec informacije iz 26. člena in informacije iz 3. do 5. točke prejšnjega odstavka objavi na spletnih straneh. V tem primeru mora na obvestilu iz prejšnjega odstavka objaviti spletni naslov, kjer so te informacije dostopne.

 Šteje se, da je z obvestilom posameznik obveščen o obdelavi osebnih podatkov.

 Zbirka posnetkov videonadzornega sistema vsebuje posnetek posameznika (slika), podatek o lokaciji, datum in čas posnetka, izjemoma, če je to posebej nujno potrebno, pa tudi zvok.

 Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan, kot to določata 24. in 32. člen Splošne uredbe.

 Posnetki videonadzora se lahko hranijo največ eno leto od trenutka nastanka posnetka.

 Vpogled, uporaba ali posredovanje posnetkov videonadzornega sistema so dopustni samo za namene, ki so zakonito obstajali ali bili navedeni na obvestilu v času zajema posnetka. Zavod za vsak vpogled ali uporabo posnetkov zagotovi možnost naknadnega ugotavljanja, kateri posnetki so bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani, kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni podlagi. Te podatke hrani v dnevniku obdelave dve leti po koncu leta, ko so nastali.

 

43. člen

 Zavod lahko izvaja videonadzor dostopa v uradne službene oziroma poslovne prostore, če je to potrebno za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa v te prostore ali izstopa iz njih ali če zaradi narave dela obstaja možnost ogrožanja zaposlenih.

 O izvajanju videonadzora in o vsebinah iz prejšnjega člena so pisno obveščeni vsi zaposleni, ki opravljajo delo v nadzorovanem prostoru.

 Zbirka osebnih podatkov po tem členu lahko vsebuje poleg podatkov prejšnjega člena tudi datum in čas vstopa v uradni službeni prostor in izstopa iz njega, osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlog vstopa, če se navedeni osebni podatki zbirajo skupaj s posnetkom videonadzornega sistema.

 

IX. ODGOVORNOST ZA IZVAJANJE UKREPOV ZAVAROVANJA OSEBNIH PODATKOV

 

44. člen

 Za neposredno izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov ter za nadzor nad tem, je odgovoren ravnatelj, ki mora:

-poslovanje organizirati tako, da zagotovijo spoštovanje določb tega pravilnika in drugih predpisov o varstvu osebnih in drugih varovanih podatkov;

-seznaniti uslužbence z dolžnostjo varovati osebne podatke;

-v primeru dejavnosti, ki usmerjena v ogrožanje integritete osebnih podatkov, takoj ukreniti vse, da se tako ogrožanje onemogoči oziroma prepreči.

 Ravnatelj izda delavcu pooblastilo za obdelavo osebnih podatkov v zbirki ali zbirkah osebnih podatkov, s katerim določi obseg pooblastila in vrsto zbirke ali zbirk, za obdelavo katere ali katerih je delavec pooblaščen.

 

45. člen

 Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je izvedel oziroma je bil z njimi seznanjen pri opravljanju svojega dela.

 Pred nastopom dela delavca na delovnem mestu, kjer se obdelujejo osebni podatki ali nosilci osebnih podatkov, mora delavec podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti in ki ga opozarja na posledice kršitve zaveze. Obveza varovanja osebnih podatkov, s katerimi se delavec seznani pri svojem delu, traja tudi po prenehanju delovnega razmerja.

 

46. člen

 Ravnanja uslužbencev, ki so v nasprotju z določili tega pravilnika, pomenijo neizpolnjevanje pogodbenih oziroma drugih obveznosti iz delovnega razmerja, pogodbeni obdelovalci pa za kršitve odgovarjajo na temelju pogodbenih obveznosti.

 Vsako postopanje delavcev v nasprotju z določbami predmetnega Pravilnika predstavlja hujšo kršitev delovne dolžnosti.

 Odgovornost iz prejšnjega odstavka ne izključuje kazenske in odškodninske odgovornosti.

 

47. člen

Zavod določi pooblaščeno osebo za varstvo osebnih podatkov. Naloge pooblaščene osebe za varstvo osebnih podatkov so:

• obveščanje ter svetovanje o obveznostih v zvezi z varstvom osebnih podatkov;
• spremljanje skladnosti obdelave osebnih podatkov s predpisi, vključno z nalogami osveščanja in usposabljanja zaposlenih, ki so vključeni v postopke obdelave osebnih podatkov in s tem povezanih rednih pregledov;
• svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom osebnih podatkov in spremljanje njenega izvajanja;

• sodelovanje z nacionalnim nadzornim organom za varstvo osebnih podatkov;
• kontaktna točka za nacionalni nadzorni organ;
• in druge naloge v skladu z določbami predpisov o varovanju osebnih

 

X. PREHODNE IN KONČNE DOLOČBE

 

48. člen

 Ta pravilnik začne veljati in se uporablja osmi dan po dnevu sprejema.

 

Celje, 3. 5. 2023

Št.: 007-4/2023/1

O upravljavcu zbirke osebnih podatkov:

Gimnazija Celje – Center Kosovelova ulica 1, 3000 Celje

(03) 428 57 00

 

S pooblaščeno osebo za varstvo podatkov lahko stopite v stik:

Kaja Dosedla, odvetnica

Ulica Dušana Kvedra 11, Šentjur 041 981 610

 

Informacije o izvajanju videonadzora, vključno z informacijami po 13. členu Splošne uredbe o varstvu osebnih podatkov, pridobite na tel. (03) 428 57 00 ali na https://www.gcc.si/o- soli/varstvo-osebnih-podatkov (zavihek Obvestilo posameznikom po 13. in 14. členu Splošne uredbe o varstvu osebnih podatkov glede obdelave osebnih podatkov).

 

Namen in pravna podlaga obdelave podatkov videonadzornega sistema:

Upravljalec izvaja videonadzor dostopa v svoje uradne službene oz. poslovne prostore s ciljem zagotavljanja varnosti ljudi in premoženja, zaposlenih, dijakov, poslovnih partnerjev, obiskovalcev in drugih, ki vstopajo v prostore. Upravljalec videonadzor izvaja na podlagi tč. (f) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, v povezavi s 76. in nasl. členi Zakona o varstvu osebnih podatkov (ZVOP-2).

 

Katere osebne podatke v zvezi z vami obdelujemo v okviru izvajanja videonadzora:

Slikovni posnetek posameznika, datum in čas vstopa oz. izstopa iz prostora (območja), nad katerim se izvaja videonadzor.

 

Uporabniki ali kategorije uporabnikov osebnih podatkov:

Pogodbena varnostna služba in pogodbeni vzdrževalec videonadzornega sistema.

 

Hramba posnetkov:

Posnetke videonadzora hranimo največ 1 leto.

 

Pravice, ki jih imate v zvezi s predmetno obdelavo osebnih podatkov:

Posameznik ima pravico izvedeti, ali se v zvezi z njim obdelujejo osebni podatki in dostop do le-teh (pravica do dostopa), da upravljalec brez nepotrebnega odlašanja in najkasneje v enem mesecu po prejemu zahteve popravi netočne osebne podatke v zvezi z njim (pravica do popravka), da upravljalec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim (pravica do pozabe), pravico do ugovora, da upravljalec omeji obdelavo (pravica do omejitve obdelave), da prejme osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljalcu, ne da bi ga upravljalec, ki so

 

mu bili osebni podatki zagotovljeni, pri tem oviral (pravica do prenosljivosti). Posameznik izpolni pisno zahtevo za uveljavitev pravic in jo pošlje na naslov upravljalca ali na elektronski naslov le-tega

 

Pravica do pritožbe:

Pritožbo zoper obdelavo vaših osebnih podatkov vezano na videonadzor, lahko podate pri Informacijskem pooblaščencu (naslov: Dunajska 22, 1000 Ljubljana, e-naslov: telefon: 01 230 97 30, spletna stran: www.ip-rs.si).

 

Posebni vplivi obdelave:

Možnost vpogleda posnetkov za nazaj ter priprave izsekov le-teh za upravičene uporabnike (npr. policija).

 

Neobičajne nadaljnje obdelave:

Neobičajne nadaljnje obdelave se ne izvajajo.