Защита персональных данных
На основании статей 24 и 25 Закона о защите персональных данных (Официальный вестник Республики Словения, № 86/04, 113/05, 51/07 и 67/07) директор компании VILA PORTOROŽ d.o.o., Обала 114b, 6320 Порторож, Власта Прешерен (в дальнейшем: директор) издает этот регламент.
ПРАВИЛА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Содержание и цель правил
1.1.1. Настоящими правилами устанавливаются организационные, технические и логико-технические процедуры и меры по защите персональных данных в Vila Portorož d.o.o. с целью предотвращения случайного или преднамеренного несанкционированного уничтожения данных, их изменения или утраты, а также несанкционированного доступа, обработки, использования или раскрытия персональных данных.
1.1.2. Сотрудники и внешние сотрудники, которые обрабатывают и используют персональные данные в своей работе, должны быть ознакомлены с Законом о защите персональных данных, с соответствующим законодательством, регулирующим их конкретную область работы, и с содержанием настоящих правил.
Значение терминов
Термины, используемые в настоящих правилах, имеют следующие значения:
1.2.1. ZVOP-1 - Закон о защите персональных данных (Официальный вестник Республики Словения, № 86/04, 113/05, 51/07 и 67/07).
1.2.2. Персональные данные - любые данные, относящиеся к индивиду, независимо от формы, в которой они выражены.
1.2.3. Индивидуум - это определенное или определяемое физическое лицо, к которому относятся персональные данные; физическое лицо считается определяемым, если его можно идентифицировать непосредственно или косвенно, прежде всего ссылаясь на идентификационный номер или на один или несколько факторов, специфичных для его физической, физиологической, психической, экономической, культурной или социальной идентичности, при этом способ идентификации не должен вызывать значительных затрат или требовать много времени.
1.2.4. Сбор персональных данных - это любой структурированный набор данных, который содержит хотя бы один персональный данные, доступный на основе критериев, позволяющих использовать или объединять данные, независимо от того, централизован ли набор, децентрализован или распределен на функциональной или географической основе; структурированный набор данных - это набор данных, организованный таким образом, чтобы определить или позволить идентифицируемость индивидуумов.
1.2.5. Обработка персональных данных - это любое действие или набор действий, выполняемых в отношении персональных данных, которые обрабатываются автоматически или которые являются частью сбора персональных данных при ручной обработке или предназначены для включения в сбор персональных данных, в частности сбор, получение, ввод, редактирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространение или иное предоставление, классификация или связывание, блокировка, анонимизация, удаление или уничтожение; обработка может быть ручной или автоматизированной (средства обработки).
1.2.6. Контролер данных - это физическое или юридическое лицо или другое лицо в государственном или частном секторе, которое само или совместно с другими определяет цели и средства обработки персональных данных или лицо, назначенное законом, которое также определяет цели и средства обработки.
1.2.7. Чувствительные персональные данные - это данные о расовом или этническом происхождении, политических, религиозных или философских убеждениях, членстве в профсоюзе, состоянии здоровья, сексуальной жизни, записи или удаления из уголовных или административных записей, а также биометрические характеристики.
1.2.8. Пользователь персональных данных - это физическое или юридическое лицо или другое лицо в государственном или частном секторе, которому передаются или раскрываются персональные данные.
1.2.9. Носитель данных - это все виды средств, на которых записаны или сохранены данные (документы, акты, материалы, файлы, компьютерное оборудование, включая магнитные, оптические или другие компьютерные носители, фотокопии, аудио- и видеоматериалы, микрофильмы, устройства для передачи данных и т. д.).
1.2.10. Информационная система - это программное, аппаратное, коммуникационное и другое оборудование, управляемое Vila Portorož d.o.o., которое работает самостоятельно или в сети и предназначено для сбора, обработки, распределения, использования и другой обработки данных в электронном виде.
1.2.11. Вредоносное программное обеспечение включает в себя компьютерные вирусы, черви, троянские кони и аналогичное программное обеспечение, которое устанавливается в информационную систему или ее часть без ведома владельца или управляющего и вмешивается в целостность информационной системы.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Каждый сбор персональных данных в конкретной рабочей области Vila Portorož d.o.o. устанавливается ответственным лицом за этот конкретный сбор данных (в дальнейшем: ответственное лицо), назначенным директором Vila Portorož d.o.o..
2.1. Обработка персональных данных
2.1.1. В сборе данных могут обрабатываться только те персональные данные, которые имеют соответствующую основу в ZVOP-1.
2.1.2. Индивидуум должен быть проинформирован об обработке в соответствии с положением статьи 19 ZVOP-1.
2.1.3. Ответственные лица и лица, которые могут обрабатывать определенные персональные данные из-за характера своей работы, должны быть ознакомлены с положениями ZVOP-1 и содержанием настоящих правил до обработки персональных данных.
2.2. Каталог сборов персональных данных
2.2.1. Vila Portorož d.o.o. предоставляет каталог для каждого сбора персональных данных, который включает:
2.2.2. Описание сборов персональных данных, контролером которых является Kabi, ведется в каталоге сборов персональных данных (описание сборов персональных данных), который ведется в соответствии с положениями статьи 26 ZVOP-1. Данные из пунктов 1, 2, 4, 5, 6, 9, 10, 11 и 12 каталогов сборов персональных данных передаются государственному органу, ответственному за ведение Реестра сборов персональных данных. Каталог сбора персональных данных должен быть предоставлен для каждого сбора персональных данных не позднее чем за 15 дней до создания сбора персональных данных, а данные из каталога также должны быть переданы компетентному государственному органу в тот же срок. Каталог сборов персональных данных обновляется при каждом изменении типа персональных данных в отдельном сборе, а изменения также должны быть переданы компетентному государственному органу в течение 8 дней.
2.2.3. Сотрудники, которые обрабатывают персональные данные, должны быть ознакомлены с каталогом сборов персональных данных, а доступ к каталогу также должен быть предоставлен любому, кто его запрашивает.
2.2.4. Vila Portorož d.o.o. обязана вести актуальный список, из которого ясно видно, для каждого сбора персональных данных, кто отвечает за отдельный сбор персональных данных и какие лица могут обрабатывать персональные данные, относящиеся к отдельному сбору персональных данных из-за характера своей работы. В список вносятся следующие данные: название сбора персональных данных, личное имя и должность лица, ответственного за сбор персональных данных, а также личное имя и должность лиц, которые могут обрабатывать персональные данные, относящиеся к сбору персональных данных из-за характера своей работы.
2.3. Раскрытие данных по запросу пользователя
Персональные данные раскрываются только тем пользователям, которые предоставляют соответствующую правовую основу или письменный запрос или согласие индивидуумов, к которым относятся данные.
Для каждого раскрытия персональных данных уполномоченное лицо должно подать письменное заявление, в котором четко указано положение закона, которое уполномочивает пользователя на получение персональных данных, или к заявлению должно быть приложено письменное требование или согласие индивидуумов, к которым относятся данные.
Конверт, в котором раскрываются персональные данные, должен быть изготовлен таким образом, чтобы содержимое конверта не было видно при нормальном освещении или при освещении обычным светом. Конверт также должен обеспечить, чтобы открытие конверта и доступ к его содержимому не могли быть выполнены без видимых следов открытия конверта.
Персональные данные могут передаваться только с помощью информационных, телекоммуникационных и других средств, если реализованы процедуры и меры, которые предотвращают несанкционированный доступ или уничтожение данных и несанкционированный доступ к их содержимому.
Чувствительные персональные данные могут передаваться по телекоммуникационным сетям только в том случае, если они специально защищены криптографическими методами и электронными подписями, чтобы данные оставались нечитаемыми во время передачи.
Оригиналы документов никогда не раскрываются, за исключением случаев письменного приказа суда.
Оригинальный документ должен быть заменен копией в случае отсутствия.
2.4. Учет раскрытий
2.4.1. Vila Portorož d.o.o. ведет учет всех раскрытий персональных данных из пункта 2.3, указывая следующие данные:
2.4.2. Список из пункта 2.4.1 ведется в электронном виде, а запись делает обработчик данных, который раскрыл персональные данные пользователю.
2.5. Раскрытие данных внутри Vila Portorož d.o.o.
Персональные данные сотрудников Vila Portorož d.o.o. и других лиц могут быть раскрыты внутри Kabi
d.o.o. тем лицам, которые нуждаются в них в рамках выполнения своих обязанностей и задач. Сотрудник, который передает содержание сборов данных внутри компании любым способом, должен обеспечить безопасную передачу данных.
2.6. Прием персональных данных
Сотрудник, ответственный за прием и учет почты, должен передать почтовую отправку с персональными данными непосредственно индивидууму или службе, на которую эта отправка адресована.
Сотрудник, ответственный за прием и учет почты, открывает и проверяет все почтовые отправления и посылки, которые поступают в Vila Portorož d.o.o. - приносят их клиенты или курьеры, за исключением посылок из третьего и четвертого абзацев этой статьи.
Сотрудник, ответственный за прием и учет почты, не открывает те посылки, которые адресованы другому органу или организации и были доставлены по ошибке, а также посылки, помеченные как персональные данные или для которых из пометок на конверте видно, что они относятся к конкурсу или тендеру.
Сотрудник, ответственный за прием и учет почты, не должен открывать посылки, адресованные сотруднику, на которых на конверте указано, что они должны быть вручены лично адресату, а также посылки, на которых сначала указано личное имя сотрудника без обозначения его должности, а затем адрес Vila Portorož d.o.o..
2.7. Хранение и удаление персональных данных
Персональные данные могут храниться только на срок, установленный в пункте 6 каталога отдельного сбора персональных данных.
По истечении срока хранения персональные данные должны быть удалены, уничтожены, заблокированы или анонимизированы.
Для удаления персональных данных в электронном виде должен использоваться метод, который предотвращает восстановление всех или части удаленных данных.
Персональные данные в физической форме должны быть уничтожены таким образом, чтобы обеспечить, что персональные данные становятся неразличимыми и не подлежат восстановлению (например, резак бумаги или организация, занимающаяся уничтожением конфиденциальных документов).
Отходные носители данных, содержащие персональные данные, должны быть обработаны перед утилизацией таким образом, чтобы восстановление или распознавание персональных данных было невозможно.
Регулярно и своевременно необходимо удалять и уничтожать вспомогательную документацию или компьютерные продукты или шаблоны, содержащие персональные данные, срок хранения которых истек.
2.8. Договорная обработка персональных данных
С юридическими или физическими лицами, которые выполняют задачи, связанные со сбором, обработкой, хранением и раскрытием персональных данных (договорными обработчиками), Vila Portorož d.o.o. заключает письменный договор в соответствии со вторым абзацем статьи 11 ZVOP-1.
Внешние юридические или физические лица могут выполнять услуги по обработке персональных данных только в рамках полномочий заказчика и не могут обрабатывать или иным образом использовать данные для каких-либо других целей.
Уполномоченное юридическое или физическое лицо, выполняющее согласованные услуги вне помещений контролера, должно обеспечить эквивалентный или более строгий способ защиты персональных данных, чем тот, который предусмотрен настоящими правилами.
ЗАЩИТА ПОМЕЩЕНИЙ, КОМПЬЮТЕРНОГО ОБОРУДОВАНИЯ И ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ С ПОМОЩЬЮ КОМПЬЮТЕРНОГО ОБОРУДОВАНИЯ
3.1. Защита помещений
3.1.1. Вход в здание охраняется охранником, а бизнес-помещения защищены охранными дверями, которые допускают вход только на основании идентификационного средства.
3.1.2. Помещения, в которых находятся носители секретных или персональных данных, аппаратное и программное обеспечение (защищенные помещения), должны быть защищены организационными, физическими и техническими мерами, которые предотвращают доступ несанкционированных лиц к данным.
3.1.3. Директор Vila Portorož d.o.o. определяет или утверждает временной режим разрешений доступа к бизнес- и защищенным помещениям, который предписывает, какие лица могут получать доступ к конкретным зонам в рабочее время и вне его. Режим доступа реализуется на основе идентификационных средств, без которых вход невозможен.
3.1.4. Шкафы в защищенных помещениях, содержащие носители данных с персональными данными, должны быть заперты вне рабочего времени.
3.1.5. Шкафы с носителями данных, содержащими персональные данные и находящиеся вне защищенных помещений, должны быть постоянно заперты. Ключи хранятся у сотрудника, который контролирует отдельный шкаф.
3.1.6. В рабочее время работники по обслуживанию и оборудования, клиенты и другие посетители могут перемещаться в защищенных помещениях только в присутствии ответственного сотрудника. 3.1.7. Вне рабочего времени технические работники и уборщицы могут перемещаться в защищенных помещениях только в том случае, если носители данных хранятся таким образом, как это предусмотрено настоящими правилами на время вне рабочего времени.
3.2. Защита носителей персональных данных
3.2.1. Сотрудники не должны оставлять носители конфиденциальных или персональных данных на столах в
присутствии лиц, не имеющих права на их просмотр.
3.2.2. Носители персональных данных, находящиеся вне защищенных помещений (общие помещения), должны быть заперты.
3.2.3. Бумажные носители персональных данных, которые служат для ввода персональных данных в компьютерную управляемую базу данных, должны храниться в шкафах. Также должны храниться и запираться носители персональных данных других форм.
3.2.4. В помещениях, куда имеют доступ клиенты или лица, не работающие в компании, носители данных и компьютерные дисплеи должны быть размещены во время обработки или работы с ними так, чтобы клиентам не был предоставлен доступ к ним.
3.2.5. Ответственные сотрудники не должны выносить носители персональных данных из Vila Portorož d.o.o. без явного разрешения директора.
3.2.6. Раскрытие персональных данных уполномоченным учреждениям и другим, которые представляют законное основание для получения персональных данных, разрешается только компетентным директором или руководителем соответствующей службы.
3.3. Защита аппаратного и программного обеспечения
3.3.1. Сборы персональных данных, находящиеся в информационной системе, защищены системой паролей для авторизации и идентификации пользователей программ и пользователей.
3.3.2. Для хранения и защиты прикладного программного обеспечения действуют те же положения, что и для других данных из настоящих правил.
3.3.3. Изготовление и хранение архивных и резервных копий должно быть должным образом задокументировано.
3.3.4. Ответственный сотрудник должен следить за тем, чтобы в случае обслуживания, ремонта, изменения или дополнения системного или прикладного программного обеспечения при возможном копировании персональных данных после прекращения необходимости в копии, копия была должным образом уничтожена.
3.3.5. Ответственный сотрудник должен быть постоянно присутствовать во время обслуживания компьютеров и программного обеспечения и следить за тем, чтобы не произошло кражи, изменения или уничтожения персональных данных.
3.3.6. Если необходимо отремонтировать устройство, содержащее носители данных с персональными данными, вне компании, ответственное лицо должно совместно с профессионально подготовленным работником обеспечить надлежащее удаление персональных данных с носителя или удаление самого носителя данных из устройства.
3.3.7. Все компоненты информационной системы, используемые для ввода, обработки и хранения персональных данных, должны быть должным образом защищены от несанкционированного доступа и вторжений. В информационной системе должен быть установлен комплексный защитный механизм от вредоносного программного обеспечения.
3.3.8. Все данные и программное обеспечение, предназначенные для использования на компьютерах в информационной системе Vila Portorož d.o.o. и поступающие в Vila Portorož d.o.o. на носителях для передачи компьютерных данных или через телекоммуникационные средства, должны быть проверены на наличие вредоносного программного обеспечения перед использованием.
3.3.9. Система паролей для авторизации и идентификации пользователей и программ защищает доступ к данным через прикладное программное обеспечение. Лица, ответственные за функционирование информационной системы, определяют режим назначения, хранения и изменения паролей, который должен быть утвержден директором Vila Portorož d.o.o..
3.3.10. Все важные пароли для доступа и администрирования общей информационной технологии хранятся в запечатанных конвертах в огнеупорных шкафах.
3.3.11. С точки зрения доступности и целостности персональных данных, персональные данные должны храниться безопасно надлежащим и предписанным образом.
3.3.12. Вывоз изготовленных резервных копий записей может быть разрешен только директором Vila Portorož d.o.o. по обоснованным причинам.
3.3.13. Компьютерные копии содержимого сборов персональных данных хранятся в месте, которое должно быть защищено от огня, наводнений и электромагнитных помех, в рамках предписанных климатических условий и должным образом заперто.
ОСОБЫЕ ПОЛОЖЕНИЯ О ВИДЕОНАДЗОРЕ
4.0.1. Для обеспечения контроля доступа и выхода в серверные помещения Vila Portorož d.o.o. осуществляется видеонаблюдение с визуальной записью входной зоны.
4.0.2. В месте, где осуществляется видеонаблюдение, размещается уведомление со следующим содержанием: "Область находится под видеонаблюдением. Видеонаблюдение осуществляется Vila Portorož d.o.o., телефон 01-280-5080."
4.1. Хранение записей видеонаблюдения
Записи видеонаблюдения хранятся как учет видеонаблюдательной системы в течение 1 месяца. Записи могут храниться дольше, если это требует закон, по запросу компетентного государственного органа или для защиты законных интересов ARNES, если эти данные являются предметом судебного, уголовного или административного разбирательства.
4.2. Учет видеонаблюдательной системы
4.2.1. Директор назначает ответственное лицо за учет видеонаблюдательной системы по решению. Персональные данные в учете видеонаблюдательной системы могут обрабатываться только директором и назначенным ответственным лицом.
4.2.2. Документация о доступе, использовании и обработке персональных данных в учете видеонаблюдательной системы хранится в течение периода, в течение которого возможно законное защиту прав индивидуумов из-за несанкционированного раскрытия или обработки персональных данных.
ДЕЙСТВИЯ ПРИ ВЫЯВЛЕНИИ ЗЛОУПОТРЕБЛЕНИЯ ПЕРСОНАЛЬНЫМИ ДАННЫМИ ИЛИ ВДОРА В СБОРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.0.1. Сотрудник, который узнает или замечает, что произошло злоупотребление персональными данными (раскрытие персональных данных, несанкционированное уничтожение, несанкционированное изменение, повреждение сбора, присвоение персональных данных) или вторжение в сбор персональных данных, должен немедленно уведомить ответственного сотрудника или директора и попытаться предотвратить такое действие.
5.0.2. Директор должен принять соответствующие меры против сотрудника, который злоупотребил персональными данными или незаконно вторгся в сбор персональных данных. Любое злоупотребление персональными данными в целях, не соответствующих целям сбора, установленным законом, на основании которого собираются данные, или целям, установленным в каталоге сборов персональных данных, считается злоупотреблением персональными данными.
5.0.3. Если правонарушителем является сотрудник компании, компетентный директор должен инициировать дисциплинарное производство и сообщить о вторжении или злоупотреблении правоохранительным органам в случаях:
если есть подозрение на вторжение, которое должно было быть совершено с намерением и целью злоупотребления персональными данными или их использования в противоречии с целями, для которых они были собраны
если уже произошло злоупотребление персональными данными
5.0.4. О злоупотреблении или подозрении на злоупотребление персональными данными, находящимися в сборах персональных данных Kabi
d.o.o. со стороны лиц, не являющихся сотрудниками Vila Portorož d.o.o., уведомляет компетентные органы.
ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Реализация процедур и мер
6.1.1. Каждый, кто обрабатывает персональные данные, обязан выполнять процедуры и меры, предписанные настоящими правилами для защиты персональных данных и защищать персональные данные, с которыми он был ознакомлен при выполнении своей работы. Обязанность защиты не прекращается с прекращением трудовых отношений.
6.1.2. Перед началом работы на должности, где обрабатываются персональные данные, сотрудник должен подписать заявление, обязывающее его к защите персональных данных.
6.2. Ответственность за реализацию и контроль за реализацией
6.2.1. За реализацию процедур и мер по защите персональных данных отвечают руководители организационных единиц и уполномоченные лица, назначенные директором Arnesa.
6.2.2. Контроль за реализацией процедур и мер, установленных настоящими правилами, осуществляет директор Vila Portorož d.o.o. совместно с техническим директором Vila Portorož d.o.o..
6.2.3. За нарушение положений статьи 17 сотрудники несут дисциплинарную ответственность, а остальные отвечают на основании своих договорных обязательств.
ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ
Настоящие правила вступают в силу на 8-й день после подписания директором и публикуются на веб-сайтах Vila Portorož d.o.o.
В Лукии, 29.08.2019
VILA PORTOROŽ d.o.o.
Власта Прешерен
Телефон: +386 31 670 395
Электронная почта: [email protected]