ZASEBNA FIZIOTERAPEVTSKA AMBULANTA HELENA SOK, matična številka: 2215403000 (v

nadaljevanju: Podjetje), na podlagi Zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP-2) in

Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov

pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive

95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: GDPR), sprejema naslednji

PRAVILNIK O VAROVANJU OSEBNIH PODATKOV

I. UVODNE DOLOČBE

1. člen

S tem pravilnikom se določajo organizacijski, tehnični in drugi ukrepi za varstvo osebnih podatkov, ki

so namenjeni preprečevanju izgube, namernega ali nenamernega nepooblaščenega uničevanja ali

spreminjanja osebnih podatkov ter preprečevanju nepooblaščenega dostopa, obdelave, uporabe ali

posredovanja osebnih podatkov.

Določbe tega pravilnika se smiselno uporabljajo tudi za obdelovalce, s katerimi ima Podjetje

sklenjeno pogodbo.

2. člen

V tem pravilniku uporabljeni izrazi, ki so zapisani v moški slovnični obliki, se uporabljajo kot nevtralni

za moške in ženske.

3. člen

Izrazi, uporabljeni v tem pravilniku, imajo naslednji pomen:

1. “nosilec osebnih podatkov” so vsa sredstva, na katerih so zapisani ali posneti osebni podatki

(kot npr. listine, elektronske naprave, zvočno in slikovno gradivo, mikrofilmi, računalniška

oprema, pripomočki, dodatki in mediji, ipd.);

2. “delavec “ je oseba, ki v Podjetju opravlja delo na podlagi pogodbe o zaposlitvi oziroma ki

opravlja študentsko ali dijaško delo ali delo zaradi usposabljanja;

3. “nepooblaščena oseba” je oseba, ki nima pooblastila za obdelavo določenih osebnih

podatkov.

Drugi izrazi, ki so uporabljeni v tem pravilniku, imajo enak pomen, kot je določen v ZVOP-2 in GDPR.

II. OBDELAVA OSEBNIH PODATKOV

4. člen

Podjetje po načelu sorazmernosti in upoštevajoč vsebino delavčevih delovnih nalog in obveznosti

določi, katere osebne podatke lahko posamezen delavec obdeluje pri opravljanju svojega dela ter

hkrati določi dopusten obseg oziroma način obdelave.

Pravica do obdelave osebnih podatkov se posameznemu delavcu podeli s pooblastilom, v katerem so

navedeni podatki iz prejšnjega odstavka tega člena.

Podjetje vodi evidenco izdanih pooblastil za obdelavo osebnih podatkov, ki vsebuje naslednje

podatke:

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

- ime, priimek in datum rojstva delavca, kateremu je bilo izdano pooblastilo za obdelavo

osebnih podatkov,

- datum podelitve pooblastila za obdelavo osebnih podatkov,

- datum prenehanja veljavnosti pooblastila za obdelavo osebnih podatkov,

- navedba podatkov, ki jih delavec lahko obdeluje pri opravljanju svojega dela,

- dopusten obseg oziroma način obdelave osebnih podatkov.

5. člen

Delavci morajo biti seznanjeni z vsebino tega pravilnika in z veljavno zakonodajo s področja varstva

osebnih podatkov ter ažurno spremljati novosti in spremembe zakonodaje s tega področja.

Podjetje mora delavcem na ustrezen način zagotavljati možnost vpogleda v predmetni pravilnik in po

potrebi tudi ustrezna izobraževanja. Prav tako mora Podjetje delavce seznanjati z novostmi in

spremembami zakonodaje s področja varstva osebnih podatkov.

Delavci so dolžni z osebnimi podatki ravnati vestno in skrbno, na način in po postopku, kot ga določa

ta pravilnik ter v skladu z navodili Podjetja.

Delavci so odgovorni za kršitve obveznosti, navedene v 1. in 3. odstavku tega člena.

6. člen

Osebni podatki se lahko obdelujejo le, če je podana podlaga za zakonito obdelavo osebnih podatkov,

kot jo določa ZVOP-2 oziroma GDPR.

Osebni podatki se lahko obdelujejo le v skladu z namenom, za katerega so bili zbrani.

7. člen

Posebne vrste osebnih podatkov, kot so podatki o rasnem, etničnem ali narodnostnem poreklu,

političnem mnenju, verskem ali filozofskem prepričanju, članstvu v sindikatu, genetski ali biometrični

podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem,

posameznikovim spolnim življenjem ali spolno usmerjenostjo, uživajo posebno stopnjo varstva in se

lahko obdelujejo le v izrecnih primerih, ki so določeni v ZVOP-2 oziroma GDPR.

Podjetje pri opravljanju svoje dejavnosti obdeluje tudi posebne vrste osebnih podatkov, v zvezi s

katerimi se od delavcev, ki bodo pooblaščeni za njihovo obdelavo, in samega Podjetja zahteva

posebej skrbno ravnanje.

Podatke iz 1. odstavka tega člena so delavci in Podjetje dolžni varovati kot poklicno skrivnost.

8. člen

Podjetje vodi evidenco dejavnosti obdelave osebnih podatkov, ki vsebuje naslednje informacije:

- pravno podlago za obdelavo osebnih podatkov;

- naziv ali ime in kontaktne podatke upravljavca in, kadar obstaja, pooblaščene osebe za

varstvo podatkov;

- namen obdelave;

- opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

- kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z

uporabniki v tretjih državah ali mednarodnih organizacijah;

- kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno

organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

prenosov iz drugega pododstavka člena 49(1) GDPR pa tudi dokumentacijo o ustreznih

zaščitnih ukrepih;

- kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

- kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1)

GDPR.

Evidenca dejavnosti obdelave osebnih podatkov je priloga tega pravilnika.

Evidenca dejavnosti obdelave osebnih podatkov se vzpostavi hkrati z vzpostavitvijo nove zbirke

osebnih podatkov in se ob vsakokratni spremembi zbirke osebnih podatkov ali spremembi dejavnosti

obdelave nemudoma ustrezno spremeni.

9. člen

V zbirki osebnih podatkov, ki se vodijo na podlagi privolitve posameznika, se hranijo tudi pisne

privolitve posameznikov oziroma drugi podatki, iz katerih izhaja, da je posameznik privolil v obdelavo

osebnih podatkov.

10. člen

Podjetje ažurno vodi seznam pogodbenih obdelovalcev in obdelav osebnih podatkov.

III. VAROVANJE PROSTOROV, RAČUNALNIKOV, APARATOV IN DRUGIH NOSILCEV OSEBNIH

PODATKOV TER PROGRAMSKE OPREME

11. člen

Prostori, v katerih se nahajajo nosilci osebnih podatkov, morajo biti varovani na način, ki

nepooblaščenim osebam onemogoča dostop do osebnih podatkov (v nadaljevanju: varovani

prostori), za dosego česar mora Podjetje izvesti vse ustrezne ukrepe, med katere poleg fizičnih

omejitev dostopa, primeroma sodijo tudi časovne omejitve dostopa, nadzorovan dostop itd.

Če je to mogoče zagotoviti, se morajo fizični nosilci osebnih podatkov praviloma hraniti v prostorih, ki

so ločeni od prostorov, namenjenih poslovanju s strankami.

12. člen

Podjetje določi režim dodeljevanja gesel, kod oziroma dostopov do varovanih prostorov, pri čemer

upošteva izdana pooblastila za obdelavo osebnih podatkov.

13. člen

Računalniki in drugi elektronski nosilci osebnih podatkov morajo biti vselej, ko delavci nimajo nadzora

nad njimi, shranjeni v varovanem prostoru in zaščiteni z ustreznim geslom oziroma zakodirani.

Delavci so dolžni vestno in skrbno varovati gesla in kode, tako da se nepooblaščene osebe z njimi ne

morejo seznaniti.

Razkrivanje gesel in kod nepooblaščenim osebam je strogo prepovedano.

Ravnanje v nasprotju z določbo 2. in 3. odstavka tega člena pomeni kršitev delovnih obveznosti ter

lahko predstavlja podlago za disciplinsko, odškodninsko in kazensko odgovornost delavca.

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

14. člen

Delavci so dolžni vestno in skrbno hraniti sredstva, s katerimi dostopajo do varovanih prostorov, tako

da je nepooblaščenim osebam onemogočeno razpolaganje z njimi.

Ravnanje v nasprotju z določbo prejšnjega odstavka tega člena pomeni kršitev delovnih obveznosti

ter lahko predstavlja podlago za disciplinsko, odškodninsko in kazensko odgovornost delavca.

16. člen

Delavci morajo skrbno varovati nosilce osebnih podatkov, tako da se nepooblaščenim osebam

onemogoči seznanitev z osebnimi podatki oziroma vpogled vanje.

Računalniki in drugi elektronski nosilci osebnih podatkov morajo biti postavljeni oziroma opremljeni

tako, da nepooblaščenim osebam ni omogočen vpogled vanje.

Posredovanje osebnih podatkov z uporabo storitev, ki niso v upravljanju Podjetja oziroma odobreni s

strani Podjetja, je prepovedano.

Obdelovanje osebnih podatkov s strani nepooblaščenih oseb ali omogočanje obdelovanja osebnih

podatkov nepooblaščenim osebam je prepovedano.

17. člen

Odnašanje nosilcev osebnih podatkov in obdelava osebnih podatkov izven poslovnih prostorov

Podjetja je prepovedana, razen če so podane utemeljene okoliščine in Podjetje to predhodno pisno

odobri.

Pred iznosom nosilcev osebnih podatkov iz poslovnih prostorov Podjetja, mora Podjetje v evidenci

iznosa navesti naslednje podatke:

- ime, priimek ter datum rojstva delavca, ki mu je odobren iznos nosilcev osebnih podatkov,

- opis oziroma navedba nosilcev osebnih podatkov, ki so oziroma bodo odneseni iz poslovnih

prostorov Podjetja,

- datum iznosa nosilcev osebnih podatkov,

- namen oziroma razlog iznosa nosilcev osebnih podatkov.

Po vrnitvi nosilcev osebnih podatkov pa mora Podjetje v evidenci iznosa navesti še datum vrnitve

nosilcev osebnih podatkov.

18. člen

V primeru iznosa nosilcev osebnih podatkov in obdelave osebnih podatkov izven poslovnih prostorov

Podjetja, mora delavec smiselno upoštevati določbe tega pravilnika in storiti vse kar je potrebno in

primerno, da se nepooblaščenim osebam onemogoči vpogled oziroma dostop do osebnih podatkov.

19. člen

Vzdrževanje in popravilo računalnikov, aparatov oziroma drugih nosilcev osebnih podatkov ter

programske opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo na podlagi predhodne

pisne odobritve Podjetja.

Vzdrževanje in popravilo iz prejšnjega odstavka tega člena lahko izvajajo le tisti subjekti, ki imajo s

Podjetjem sklenjeno ustrezno pogodbo in ki se zavežejo, da:

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

- ne bodo vpogledali oziroma drugače obdelovali osebne podatke, če to ne bo nujno potrebno

za izvedbo vzdrževanja oziroma popravila,

- bodo osebne podatke, s katerimi se bodo morebiti seznanili pri izvedbi vzdrževanja oziroma

popravila, varovali v skladu z določbami tega pravilnika.

Subjekti iz prejšnjega odstavka tega člena morajo spremembe in dopolnitve, ki imajo oziroma bi

lahko imele kakršenkoli vpliv na osebne podatke, ustrezno dokumentirati.

20. člen

Če se ob vzdrževanju, popravilu, spreminjanju ali dopolnjevanju programske opreme, računalnikov,

aparatov oziroma drugih nosilcev osebnih podatkov naredi kopija osebnih podatkov, je Podjetje

takoj, ko preneha potreba po obstoju teh kopij, dolžno začeti postopek uničenja kopij.

21. člen

Računalniki in drugi elektronski nosilci osebnih podatkov morajo biti zaščiteni s programi, ki

preprečujejo nepooblaščen dostop do osebnih podatkov oziroma njihovo obdelavo.

Ob morebitnem pojavu nepooblaščenega dostopa oziroma obdelave mora Podjetje ravnati v skladu z

2. odstavkom 30. člena tega pravilnika in storiti vse kar je potrebno, da se nepooblaščen dostop

oziroma obdelava prekine in onemogoči, ugotovi in odpravi vzrok ter sprejeti dodatne zaščitne

ukrepe.

22. člen

Nalaganje programske opreme na računalnik oziroma drug elektronski nosilec osebnih podatkov je

dovoljeno le na podlagi predhodne pisne odobritve Podjetja.

23. člen

Če se osebni podatki nahajajo na računalniku oziroma drugem elektronskem nosilcu osebnih

podatkov, mora Podjetje, za potrebe zagotavljanja možnosti restavriranja osebnih podatkov, redno

izdelovati kopije zbirk osebnih podatkov.

Morebitne kopije zbirk osebnih podatkov morajo biti vpisane v zbirki osebnih podatkov.

IV. MANIPULACIJA Z OSEBNIMI PODATKI IN ZBIRKAMI OSEBNIH PODATKOV

24. člen

Osebne podatke je ob prenosu oziroma posredovanju potrebno ustrezno zaščititi tako, da ne pride

do zlorabe, poškodbe, uničenja ali kraje.

Dokumentacija, ki vsebuje osebne podatke in se pošilja v fizični obliki, mora imeti oznako »ZAUPNO«

in biti naslovniku poslana s priporočeno pošiljko s povratnico oziroma na način, ki zagotavlja, da lahko

pošiljko prevzame zgolj naslovnik osebno.

Pred pošiljanjem osebnih podatkov v fizični obliki morajo delavci preveriti in se ustrezno prepričati,

da osebni podatki niso vidni skozi ovojnico in da je ovojnica zaprta tako, da je ni mogoče odpreti brez

vidne sledi odpiranja.

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

Osebni podatki morajo biti pri pošiljanju po elektronskih poteh ustrezno zavarovani, tako da je do

njih mogoče dostopati le z ustreznim geslom.

25. člen

Posredovanje osebnih podatkov tretjim osebam je dovoljeno le v primerih, ki jih določa GDPR, ZVOP-

2 ali drug zakon.

Podjetje oziroma s strani Podjetja pooblaščena oseba preveri, ali je v konkretnem primeru izkazana

podlaga in ali so izpolnjeni drugi pogoji za posredovanje osebnih podatkov.

V primeru posredovanja osebnih podatkov se v zbirko osebnih podatkov vpišejo naslednje

informacije:

- kateri osebni podatki so bili posredovani,

- ime, priimek ter datum rojstva delavca, ki je posredoval osebne podatke,

- naslov ter ime in priimek ali naziv subjekta, kateremu so bili osebni podatki posredovani,

- datum posredovanje osebnih podatkov,

- podlaga za posredovanje osebnih podatkov.

26. člen

Pravice posameznika, katerega osebni podatki se obdelujejo osebni podatki, so podrobneje določene

v ZVOP-2 in GDPR.

V. BRISANJE PODATKOV

27. člen

Osebni podatki se lahko hranijo le toliko časa, dokler je to potrebno za dosego namena obdelave

osebnih podatkov.

Podjetje občasno, na dokumentiran način, preverja, ali so roki hrambe osebnih podatkov ustrezno

upoštevani.

28. člen

Po izpolnitvi namena obdelave, se osebni podatki izbrišejo, uničijo, blokirajo ali anonimizirajo (v

nadaljevanju: brisanje), če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot

arhivsko gradivo oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

Brisanje osebnih podatkov, ki se nahajajo na fizičnih nosilcih osebnih podatkov, se izvede s fizičnim

uničenjem nosilcev osebnih podatkov.

Brisanje osebnih podatkov, ki se nahajajo na računalnikih, aparatih oziroma drugih elektronskih

nosilcih osebnih podatkov, se izvede na način in po postopku, ki onemogoča restavriranje izbrisanih

osebnih podatkov.

O brisanju osebnih podatkov se sestavi zapisnik.

Brisanje osebnih podatkov izvajajo za to pooblaščeni delavci Podjetja oziroma zunanji izvajalci.

VI. ODGOVORNOST ZA IZVAJANJE UKREPOV VAROVANJA OSEBNIH PODATKOV

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

29. člen

Delavci morajo pred začetkom opravljanja dela podpisati izjavo o varstvu osebnih podatkov, s katero:

- potrjujejo, da so seznanjeni z določbami tega pravilnika in veljavno zakonodajo s področja

varstva osebnih podatkov;

- se zavezujejo k varovanju osebnih podatkov, skladno z določbami tega pravilnika in veljavne

zakonodaje s področja varstva osebnih podatkov.

Izjava iz prejšnjega odstavka tega člena je lahko podana ločeno ali pa je vključena v pogodbo.

Obveza varovanja osebnih podatkov velja tudi po prenehanju pogodbe.

30. člen

V primeru zlorabe ali suma zlorabe osebnih podatkov oziroma vdora ali suma vdora v zbirko osebnih

podatkov, mora delavec o tem nemudoma obvestiti Podjetje in storiti vse, kar je potrebno za

zavarovanje sledi oziroma drugih podatkov, na podlagi katerih je možno ugotoviti relevantna dejstva

v zvezi z morebitno kršitvijo.

V primeru iz prejšnjega odstavka tega člena morata delavec in Podjetje ravnati skladno z določbami

GDPR in ZVOP-2.

31. člen

V primeru kršitev oziroma suma kršitev določb tega pravilnika, mora delavec o tem nemudoma

obvestiti Podjetje.

Kršitev določb tega pravilnika in veljavne zakonodaje s področja varstva osebnih podatkov se šteje za

kršitev obveznosti iz delovnega razmerja in lahko predstavlja podlago za disciplinsko, odškodninsko in

kazensko odgovornost.

32. člen

Podjetje mora v zbirki osebnih podatkov zabeležiti vsako kršitev varstva osebnih podatkov in navesti

dejstva v zvezi s kršitvijo, njene učinke in sprejete popravljalne ukrepe.

Prav tako mora Podjetje voditi seznam obvestil o ugotovljenih kršitvah varstva osebnih podatkov.

VII. PREHODNE IN KONČNE DOLOČBE

33. člen

Podjetje oziroma s strani Podjetja pooblaščena oseba opravlja nadzor nad izvajanjem in

upoštevanjem določb tega pravilnika.

34. člen

Glede zadev, ki jih ta pravilnik ne ureja, se uporabljajo določbe GDPR in ZVOP-2.

35. člen

Podjetje mora delavce seznaniti z določbami tega pravilnika na v Podjetju običajen način.

Ta pravilnik predstavlja avtorsko delo Odvetniške družbe Grešak o.p., d.o.o. Vsakršno nepooblaščeno kopiranje ali

reproduciranje tega pravilnika je prepovedano.

Delavci morajo najkasneje v roku 15 dni od dneva sprejema tega pravilnika oziroma ob sklenitvi

pogodbe s Podjetjem podpisati izjavo o varstvu osebnih podatkov.

36. člen

Ta pravilnik je bil sprejet in objavljen dne 17.3.2025 in začne veljati osmi dan od

sprejema.

Z dnem uveljavitve tega pravilnika prenehajo veljati vsi pravilnik, ki so do sedaj urejali to področje.

Murska Sobota, 17.3.2025

Priloga:

- Evidenca dejavnosti obdelave osebnih podatkov.