Splošni pogoji o obdelovanju osebnih podatkov

Splošni pogoji o obdelovanju osebnih podatkov

 

  1. člen

 

Splošni pogoji o obdelovanju osebnih podatkov (v  nadaljnjem besedilu: Splošni pogoji) so sestavni del kolektivnih/individualnih učnih pogodb o izvajanju praktičnega usposabljanja z delom (v nadaljnjem besedilu: krovna pogodba).

 

S temi splošnimi pogoji se urejajo odnosi med Šolskim centrom Celje  kot upravljalcem osebnih podatkov in delodajalcem kot obdelovalcem osebnih podatkov v zvezi z obdelavo osebnih podatkov.

 

  1. člen

 

V tej pogodbi:

»osebni podatek«  pomeni  katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki);

»posameznik«  pomeni določeno ali določljivo  fizično osebo, na katero se nanaša osebni podatek;  oseba je določljiva, če jo je mogoče  neposredno ali posredno določiti, zlasti z navedbo identifikatorja kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator,  ali z navedbo  enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto tega posameznika;

»obdelava osebnih podatkov«  pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali z nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

 »zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili;

 »posebna vrsta osebnih podatkov« pomeni osebne podatke, ki razkrivajo rasno ali etično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;

»uporabnik« pomeni  fizično ali pravno osebo, javni organ ali agencijo ali drugo telo, ko so mu bili osebni podatki razkriti;

»privolitev posameznika na katerega se nanašajo osebni podatki« pomeni vsako prostovoljno izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

»kršitev varstva osebnih podatkov« pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje  izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so  poslani, shranjeni ali kako drugače obdelani;

 »tretja država« pomeni državo, ki ni članica Evropske unije ali del Evropskega gospodarskega prostora;

»upravljalec« pomeni Šolski center Celje;

» obdelovalec ali pogodbeni obdelovalec« pomeni delodajalca, ki obdeluje osebne podatke v imenu in za račun upravljalca osebnih podatkov;

»pogodbeni podobdelovalec« pomeni pravno ali fizično osebo, ki je pogodbeni obdelovalec poveri določene naloge s področja obdelovanja osebnih podatkov;

 »pravilnik o varovanju osebnih podatkov« pomeni notranji akt o varovanju osebnih podatkov upravljavca ali pogodbenega obdelovalca osebnih podatkov.

 

PRAVICE IN OBVEZNOSTI UPRAVLJAVCA

 

  1. člen

 

Upravljavec je dolžan zagotoviti, da se osebni podatki obdelujejo zakonito, pošteno in pregledno v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)  in veljavno zakonodajo.

 

Upravljavec mora obdelovalcu dati navodila za obdelavo osebnih podatkov, in sicer glede narave, obsega, namena ter postopkov obdelave osebnih podatkov upravljavca.

 

Med in po poteku veljavnosti te pogodbe ima upravljavec pravico od obdelovalca zahtevati, da ta osebne podatke popravi, izbriše, omeji dostop do njih ali mu jih vrne.

 

Upravljavec ima ves čas pravico nadzorovati obdelavo osebnih podatkov s strani obdelovalca, obdelovalec pa mu je dolžan nadzor omogočiti ter pri njem sodelovati.

 

PRAVICE IN OBVEZNOSTI OBDELOVALCA

 

  1. člen

 

Obdelovalec lahko obdeluje osebne podatke upravljavca izključno v imenu in na osnovi navodil upravljavca. Obdelovalec na podlagi krovne pogodbe ne pridobi nikakršnih pravic glede osebnih podatkov upravljavca ali iz njih pridobljenih drugih podatkov. Obdelovalec ne sme osebnih podatkov upravljavca obdelovati na način, ki je nezdružljiv z osnovnim namenom obdelave osebnih podatkov.

 

  1. člen

 

Obdelovalec mora pri izvrševanju določil krovne  pogodbe v zvezi z osebnimi podatki z organizacijskimi, tehničnimi in  logično-tehničnimi postopki in ukrepi zagotoviti tako varovanje osebnih podatkov, da se preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava, tako da se:

–  varujejo prostori, oprema in programska oprema,

– varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,

– preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem  prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih,

-zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov,

-omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

  1. člen

 

Obdelovalec osebnih podatkov mora zagotoviti integriteto (nespremenljivost), zaupnost, dostopnost in sledljivost osebnih podatkov  ter mora (kadar to izhaja iz narave obdelave) pomagati upravljavcu osebnih podatkov pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki kot je na primer posredovanje informacij, ki jih je potrebno zagotoviti posamezniku, pravica do izbrisa, pravica do popravka, pravica do omejitve obdelave, obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave ter pravica do prenosljivosti obdelave.

 

  1. člen

 

Pogodbeni obdelovalec mora dati upravljavcu na voljo vse informacije, ki dokazujejo izpolnjevanje obveznosti iz pogodbe ter mora upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec omogočiti izvajanje revizij, tudi pregledov ter pri njih sodelovati.

 

  1. člen

 

Prostori, v katerih se nahajajo zbirke osebnih podatkov in strojna ter programska oprema, ki omogoča dostop do teh podatkov, morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

 

  1. člen

 

Prostori pogodbenega obdelovalca, v katerih se obdelujejo osebni podatki upravljavca, morajo biti fizično varovani, npr. z zaklepanjem, s kontrolo vstopa z vstopno kartico, videonadzorom vstopa, alarmom gibanja po prostorih, fizičnim varovanjem varnostnika itd.

 

  1. člen

 

Dostop v varovane prostore je dovoljen le tistim zaposlenim, katerih pravica do vstopa v posamezni prostor izhaja iz sistemizacije delovnih mest oz. drugega notranjega akta pogodbenega obdelovalca.

 

  1. člen

 

Dostop do sistemske in aplikativne programske opreme mora biti varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov,  ki omogoča dostop  samo določenim pooblaščenim delavcem.

 

Program oziroma aplikacija mora biti sestavljen tako, da je obdelava podatkov ponovljiva, ter da ob prekinitvi obdelav ne pride do izgube, uničenja ali sprememb podatkov.

  1. člen

 

Nosilci osebnih podatkov morajo biti hranjeni v varovanih prostorih.

 

  1. člen

 

Osebni podatki morajo biti pri prenosu po telekomunikacijskih sredstvih in omrežjih zaščiteni. Posebne vrste osebni podatki morajo biti pri prenosu po telekomunikacijskih sredstvih in omrežjih zaščiteni z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost.

 

  1. člen

 

Pogodbeni obdelovalec osebnih podatkov v aktu o sistemizaciji delovnih mest oz. aktu določi:

 -vsebinske sklope pravic oz. dolžnosti v zvezi z obdelavo podatkov iz posameznih evidenc ter

 -delovna mesta oz. osebe, ki so nosilci teh pravic oz. dolžnosti v zvezi z obdelavo podatkov iz posameznih evidenc.

 

  1. člen

 

Pri pogodbenem obdelovalcu lahko osebne podatke obdelujejo le osebe, določene v aktu iz prejšnjega člena.

 

Obdelovalec mora od svojih zaposlenih in vseh drugih oseb, povezanih z obdelavo osebnih podatkov upravljavca, pridobiti pisno zavezo, da bodo upoštevali dolžnost zagotavljanja zaupnosti osebnih podatkov upravljavca, ki bo, v izogib dvomu, veljala tudi po prenehanju njihovega pogodbenega razmerja med obdelovalcem in zaposlenimi ali drugimi osebami.

 

  1. člen

 

Obdelovalec ne sme osebnih podatkov upravljavca kopirati, razen če je to potrebno za zagotovitev ustrezne obdelave, nudenja storitev po krovni pogodbi ali zaradi skladnosti z obvezno hrambo osebnih podatkov po Splošni uredbi in/ali veljavni zakonodaji.

 

Obdelovalec mora redno izvajati preglede in poskrbeti, da je obdelava osebnih podatkov skladna z navodili,  splošnimi pogoji in krovno pogodbo ter da se predpisani tehnični in organizacijski ukrepi izvajajo.

 

  1. člen

 

Pogodbeni obdelovalec mora zagotoviti integriteto osebnih podatkov, ki jih obdeluje.

 

  1. člen

 

Pogodbeni obdelovalec mora zagotoviti dostopnost osebnih podatkov, ki jih obdeluje.

 

  1. člen

 

Pogodbeni obdelovalec mora zagotoviti sledljivost operacij pri obdelovanju osebnih podatkov.

 

  1. člen

 

Pogodbeni obdelovalec mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.

 

Pogodbeni obdelovalec je dolžan voditi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca in vsebuje: naziv in kontaktne podatke obdelovalca in pooblaščene osebe za varstvo podatkov, vrste obdelave, ki se izvajajo v imenu upravljavca, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije in dokumentacijo o ustreznih zaščitnih ukrepih ter splošni opis tehničnih in organizacijskih varnostnih ukrepov pri obdelovalcu.

 

OBVESTILO O KRŠITVI VARSTVA OSEBNIH PODATKOV

 

  1. člen

 

Obdelovalec mora upravljavca brez nepotrebnega odlašanja obvestiti, če zazna kršitev varstva osebnih podatkov ali morebitno kršitev varstva osebnih podatkov.

 

Informacije o kršitvi varstva osebnih podatkov ali morebitni kršitvi varstva osebnih podatkov morajo obsegati informacije o času in naravi kršitve (vključno z informacijo o posameznikih, na katere se osebni podatki nanašajo, in prizadetimi osebnimi podatki upravljavca, oceno števila prizadetih posameznikov, na katere se osebni podatki nanašajo, in osebnih podatkov upravljavca), prizadetem sistemu, času odkritja, vseh morebitnih posledicah kršitve varnosti osebnih podatkov ter o ukrepih, ki jih je obdelovalec sprejel ali jih predlaga za odpravo ali ublažitev kršitve varstva osebnih podatkov.

 

Prvo obvestilo upravljavcu je treba poslati brez nepotrebnega odlašanja, najkasneje v 24 urah po odkritju kršitve varstva osebnih podatkov ali morebitne kršitve varstva osebnih podatkov. Dodatna in podrobnejša obvestila z vsemi ustreznimi informacijami glede kršitve varstva osebnih podatkov iz prejšnjega odstavka, je treba upravljavcu redno pošiljati, takoj ko se pojavijo nove informacije.

 

Obdelovalec mora na prvo zahtevo upravljavca v razumnem obsegu upravljavcu nuditi vso potrebno ali zahtevano podporo glede izpolnjevanja zakonskih ali drugih pogodbenih obveznosti upravljavca v povezavi s kršitvami varstva osebnih podatkov. Zlasti mora obdelovalec brez nepotrebnega odlašanja vzpostaviti vse razumne ukrepe za zmanjšanje in odpravljanje groženj nedotakljivosti in zaupnosti osebnih podatkov upravljavca, zavarovanje osebnih podatkov upravljavca in preprečitev vseh morebitnih negativnih posledic za posameznike, na katere se nanašajo osebni podatki oz. za zmanjšanje njihovih učinkov na najmanjšo možno mero.

 

Obdelovalec mora narediti in dokumentirati analizo osnovnega vzroka, takoj ko se zave kršitve varstva osebnih podatkov, in dokumentacijo upravljavcu na zahtevo posredovati.

 

POGODBENI PODOBDELOVALCI OSEBNIH PODATKOV

 

  1. člen

 

Pogodbeni obdelovalec osebnih podatkov lahko samo po predhodnem pisnem soglasju upravljavca poveri posamezna opravila v zvezi z obdelavo osebnih podatkov pogodbenemu podobdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe za varovanje osebnih podatkov.

 

Če je pogodbeni obdelovalec opravljanje teh dejanj upravičeno poveril tretji osebi (pogodbenemu podobdelovalcu) mora zagotoviti, da tretja oseba v celoti spoštuje določila te pogodbe. Za izvršitev obveznosti iz te pogodbe odgovarja pogodbeni obdelovalec tako, kot da bi jih opravil sam ter v celoti odgovarja upravljavcu osebnih podatkov za izpolnjevanje obveznosti pogodbenega podobdelovalca na področju varstva osebnih podatkov ter izpolnjevanje drugih obveznosti pogodbenega podobdelovalca.

 

  1. člen

 

Za vsakega pogodbenega podobdelovalca osebnih podatkov določi pogodbeni obdelovalec osebnih podatkov v pisni pogodbi o procesiranju do katerih zbirk oz. do katerih  vrst osebnih podatkov v posamezni zbirki osebnih podatkov ima pogodbeni podobdelovalec dostop, kategorije posameznikov, na katere se nanašajo osebni podatki, kakšna pooblastila ima pogodbeni podobdelovalec na teh zbirkah oz. vrstah podatkov (dostop, pregledovanje, spreminjanje, brisanje, posredovanje) ter kakšne ukrepe in postopke mora pogodbeni podobdelovalec sprejeti oz. izvajati za varstvo teh podatkov. Pogodbeni podobdelovalec mora za vsako obdelavo osebnih podatkov zagotoviti postopke in ukrepe za varstvo osebnih podatkov, ki so enako strogi ali strožji kot tisti, ki jih v skladu s to pogodbo izvaja pogodbeni obdelovalec osebnih podatkov.

 

24 člen

 

Pogodbeni podobdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru pooblastil pogodbenega obdelovalca in osebnih podatkov ne sme obdelovati za drug namen. Pogodbeni obdelovalec osebnih podatkov nadzoruje izvajanje teh postopkov in ukrepov pri pogodbenem podobdelovalcu.

 

  1. člen

 

V primeru spora med pogodbenim obdelovalcem osebnih podatkov in pogodbenim podobdelovalcem je dolžan pogodbeni podobdelovalec na podlagi zahteve pogodbenega obdelovalca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti pogodbenemu obdelovalcu oz. upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. V primeru prenehanja pogodbenega podobdelovalca se osebni podatki brez nepotrebnega odlašanja vrnejo pogodbenemu obdelovalcu osebnih podatkov.

 

PRENOS IN RAZKRITJE OSEBNIH PODATKOV

 

26.člen

 

Obdelovalec osebnih podatkov upravljavca ne sme prenesti v tretje države, mednarodne organizacije ali jih razkriti tretjim osebam brez predhodne pridobitve pisnih navodil ali odobritve upravljavca, razen če je to potrebno zaradi skladnosti s Splošno uredbo ali veljavno zakonodajo (v tem primeru mora obdelovalec upravljavca predhodno obvestiti o nameravanem prenosu).

 

PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

 

27.člen

 

Če se posameznik, na katerega se nanašajo osebni podatki, obrne neposredno na obdelovalca zaradi uveljavljanja pravic, ki jih ima kot posameznik, na katerega se nanašajo osebni podatki (npr. zahteve po dostopu do osebnih podatkov, popravku, omejitvi obdelave itd. osebnih podatkov), mora obdelovalec brez nepotrebnega odlašanja zahtevo posredovati upravljavcu. Obdelovalec s posameznikom, na katerega se nanašajo osebni podatki, ne sme vzpostaviti neposrednega stika, razen če mu upravljavec da drugačna navodila.

 

Obdelovalec mora takoj po prejemu tovrstnih navodil s strani upravljavca ta navodila upoštevati (npr. podatke upravljavca popraviti, izbrisati, omejiti njihovo obdelavo itd.). Dokumentirane evidence izvršitve zahteve je treba predložiti upravljavcu brez nepotrebnega odlašanja.

 

ODŠKODNINSKA ODGOVORNOST

 

  1. člen

 

Pogodbeni obdelovalec je dolžan pri izpolnjevanju predmeta te pogodbe ravnati s skrbnostjo dobrega strokovnjaka.

 

Obdelovalec skladno z veljavnimi predpisi odškodninsko odgovarja za vsako kršitev dolžnosti varovanja osebnih podatkov, neupoštevanja navodil upravljavca ali določb krovne pogodbe in splošnih pogojev.

 

Pogodbeni stranki sta sporazumni, da je obdelovalec, ki krši dolžnost varovanja osebnih podatkov, dolžan oškodovanemu upravljavcu povrniti vso nastalo škodo, ki ji je nastala zaradi kršitve varovanja osebnih podatkov.

 

Obdelovalec je dolžan upravljavcu povrniti tudi vsako globo, kazen, nadomestilo ali podobno, ki bi ga bil dolžan plačati upravljavec zaradi kršitev obdelovalca, in sicer v roku 15. dni od prejema pisne zahteve upravljavca.

 

Dolžnost varovanja osebnih podatkov ne preneha niti po prenehanju poslovnega odnosa pogodbenih strank.

 

TRAJANJE IN ODPOVED POGODBE

 

  1. člen

 

Splošni pogoji začnejo veljati in se uporabljati z dnem podpisa krovne pogodbe s strani obeh pogodbenih strank oz. njihovih zakonitih zastopnikov, pri čemer velja za dan začetka njene veljavnosti datum zadnjega podpisa.

 

VRAČILO IN IZBRIS OSEBNIH PODATKOV

 

  1. člen

 

Po poteku veljavnosti krovne pogodbe je obdelovalec dolžan na zahtevo upravljavca izbrisati ali upravljavcu vrniti vse osebne podatke upravljavca ali druge osebne podatke, pridobljene iz njih. To obsega vse obstoječe kopije osebnih podatkov, ki so v posesti obdelovalca, razen če upravljavec ali veljavna zakonodaja ne zahtevata drugače. Obdelovalec mora pisno dokumentirati vsak izbris in uničenje osebnih podatkov upravljavca in tovrstno dokumentacijo upravljavcu na zahtevo posredovati. Isto velja tudi za vse kopije osebnih podatkov upravljavca v vseh sistemih obdelovalca ter za preizkusne in odvečne podatke.

 

Dokumentacijo z evidencami ustrezne obdelave osebnih podatkov upravljavca, skladne z navodili, Splošno uredbo in veljavno zakonodajo, mora obdelovalec hraniti 10 let po prenehanju te pogodbe in jih mora po prenehanju te pogodbe posredovati upravljavcu na njegovo zahtevo.