Pravilnik o varstvu zasebnih in zaupnih podatkov

Pravilnik v datoteki je na voljo tukaj.

Pooblaščenec za varstvo osebnih podatkov je Matej Verbajs, pišete mu lahko na pooblascenec@zveza-pacientov.si.

Na podlagi 19. člena Statuta Zveze organizacij pacientov ter uporabnikov zdravstvenih in socialno varstvenih storitev Slovenije z dne 30. 9. 2022 je Skupščina Zveze organizacij pacientov ter uporabnikov zdravstvenih in socialno varstvenih storitev Slovenije dne 16.12.2025 sprejela sledeči:

 

 

PRAVILNIK

O VARSTVU OSEBNIH IN ZAUPNIH PODATKOV

ZVEZE ORGANIZACIJ PACIENTOV TER UPORABNIKOV ZDRAVSTVENIH IN SOCIALNO VARSTVENIH STORITEV SLOVENIJE

 

 

I.                SPLOŠNE DOLOČBE

 

1.      člen

(predmet urejanja)

(1)   Ta pravilnik ureja tehnične in organizacijske ukrepe za zavarovanje osebnih in zaupnih podatkov v Zvezi organizacij pacientov ter uporabnikov zdravstvenih in socialno varstvenih storitev Slovenije; matična številka: 2705923000 (v nadaljevanju: Zveza) z namenom, da se prepreči nepooblaščena obdelava osebnih ali zaupnih podatkov v Zvezi.

 

(2)   Ta pravilnik določa tudi sprejem evidenc obdelav osebnih podatkov, način določitve oseb, ki so v Zvezi odgovorne za zagotavljanje varnosti osebnih podatkov in oseb, ki imajo zaradi narave dela pravico do obdelave osebnih podatkov.

 

2.      člen

(osebni in zaupni podatki)

(1)   Osebni podatki po tem pravilniku so osebni podatki, kot jih določajo predpisi, ki urejajo varstvo osebnih podatkov in ki Zvezo zavezujejo.

 

(2)   Zaupni podatki po tem pravilniku so:

 

-        podatki, ki so tako pomembni, da bi z njihovim razkritjem nepooblaščeni osebi, Zvezi nastala ali lahko nastala škoda ali bi bilo njihovo razkritje kako drugače v nasprotju z interesi Zveze,

-        podatki, ki so poslovna skrivnost po zakonu, ki ureja poslovno skrivnost,

-        predlogi projektov in programov, vključno z njihovo finančno konstrukcijo in

-        podatki, ki jih kot zaupne označi predsednica oziroma predsednik Zveze (v nadaljevanju predsednik) ali upravni odbor.

 

3.      člen

(načela pri obdelavi osebnih podatkov)

(1)   Zveza obdeluje osebne podatke, če za to obstaja ustrezna pravna podlaga (npr. privolitev posameznika, zakon, zakoniti interes Zveze).

 

(2)   Zveza obdeluje osebne podatke zakonito, pravično in pregledno.

 

(3)   Osebni podatki v Zvezi, morajo biti točni in po obsegu omejeni na to, kar je potrebno za namene, za katere se obdelujejo, če predpis ne določa drugače.

 

 

 

4.      člen

(odgovornost za izvajanje pravilnika)

(1)   Za izvajanje tega pravilnika glede osebnih in zaupnih podatkov, ki se obdelujejo znotraj določenega programa, projekta ali druge dejavnosti Zveze (v nadaljevanju dejavnost) je odgovoren generalni sekretar.

 

(2)   Nadzor nad izvajanjem tega pravilnika opravlja nadzorni odbor.

 

II.              UKREPI ZA VAROVANJE OSEBNIH IN ZAUPNIH PODATKOV

 

5.      člen

(splošna obveznost delavca glede varovanja osebnih in zaupnih podatkov)

(1)   Vsaka delavka oziroma delavec, ki opravlja delo za Zvezo na podlagi pogodbe o zaposlitvi, pogodbe civilnega prava, kot samozaposlena oseba ali prostovoljec in vsak član organa Zveze (v nadaljevanju delavec), izvaja predpisane ukrepe za zavarovanje osebnih in zaupnih podatkov po tem pravilniku in varuje osebne in zaupne podatke, s katerimi se seznani pri opravljanju dela za Zvezo. Obveza varovanja osebnih in zaupnih podatkov ne preneha s prenehanjem delovnega ali drugega pogodbenega razmerja z Zvezo ali s prenehanjem članstva v organu Zveze.

 

(2)   Delavec pri opravljanju dela za Zvezo, ki zajema obdelavo osebnih ali zaupnih podatkov, te podatke lahko obdeluje samo v skladu z navodili Zveze kot delodajalca ali odredbodajalca in lastnika osebnih ali zaupnih podatkov, jih obdeluje v skladu z veljavnimi predpisi in sam ne določa namenov njihove obdelave.

 

(3)   Predsednik ali generalni sekretar lahko izdata podrobnejša ustna ali pisna navodila za izvajanje tega pravilnika, ki so za delavca zavezujoča.

 

 

6.      člen

(razvrščanje gradiva)

Delavec pri opravljanju dela za Zvezo hrani in razvršča dokumentarno gradivo, ki pri tem nastaja ali ki ga prejme (npr. dokumenti Zveze, dopisi, seznami, kopije listin, datoteke, slike) z logičnimi nazivi in po posameznih mapah, tako da jo lahko po potrebi v njegovi odsotnosti ali po prenehanju njegovega dela za Zvezo, enostavno najde drug delavec.

 

 

7.      člen

(varovanje prostorov)

(1)   Prostori, v katerih se nahajajo nosilci osebnih ali zaupnih podatkov v fizični ali elektronski obliki (v nadaljevanju varovani prostori), so zavarovani s ključavnico. Delavec ključa za dostop do varovanih prostorov ali do posameznega dela varovanih prostorov (npr. do posamezne pisarne) ne hrani na mestu, kjer je lahko dostopen drugemu delavcu ali osebi, ki ni pooblaščena za obdelavo osebnih ali zaupnih podatkov (npr. ključev ne pušča v ključavnici ali na drugem dostopnem mestu).

 

(2)   Delavec dostopa do varovanih prostorov samo v času, ki se šteje za njegov redni delovni čas, izven tega časa, pa samo na podlagi dovoljenja predsednika ali generalnega sekretarja.

 

(3)   Delavec prisotnost v varovanih prostorih izven rednega delovnega časa evidentira v okviru že obstoječih evidenc o opravljenem delu (npr. v evidenci o izrabi delovnega časa, v poročilu o delu).

 

(4)   Delavec v času opravljanja dela v varovanih prostorih skrbi, da nepooblaščene osebe nimajo dostopa do nosilcev osebnih ali zaupnih podatkov.

 

(5)   V varovanih prostorih je prepovedano kaditi, uporabljati odprt ogenj ali uporabljati začasno električno napeljavo brez nadzora. V takšnih prostorih se lahko hranijo gorljivi materiali samo v količinah, ki so nujno potrebni za delovanje Zveze.

 

 

8.      člen

(varovanje nosilcev osebnih in zaupnih podatkov)

(1)   Delavec nosilca osebnih ali zaupnih podatkov v fizični obliki (npr. listinska dokumentacija, mapa) v času, ko podatkov na njem ne obdeluje (npr. v času odmora, odhod domov) hrani v zaklenjeni omari znotraj varovanih prostorov.

 

(2)   Delavec nosilca osebnih ali zaupnih podatkov v fizični obliki ne iznaša iz varovanih prostorov, razen če je to potrebno zaradi delovnega procesa in če to vnaprej odobri predsednik ali generalni sekretar.

 

(3)   Računalnik ali podobna elektronska naprava (v nadaljevanju računalnik), na kateri se obdelujejo osebni ali zaupni podatki Zveze ali s katero se dostopa do takšnih podatkov, ima sledeče nastavitve oziroma lastnosti:

-        zagon računalnika ali dostop do osebnih ali zaupnih podatkov na njem je mogoč z vnosom uporabniškega imena in močnega gesla, ki se zamenja, ko pride do nepooblaščenega dostopa ali do suma, da bi do tega lahko prišlo (npr. poskus vdora, razkritje gesla),

-        vsak delavec, ki uporablja računalnik, ima svoje geslo, ki ga lahko spremeni sam,

-        računalnik ima vključeno beleženje, kdaj je bil določen uporabnik (delavec) prijavljen v operacijski sistem računalnika,

-        operacijski sistem računalnika je nastavljen tako, da se samodejno posodablja,

-        računalnik ima nameščen program za odkrivanje nezaželene programske opreme, ki je nastavljen tako, da se samodejno posodablja, da redno pregleduje računalnik in da ob priključitvi zunanje podatkovne enote na računalnik (npr. USB ključa, prenosnega diska), le-to preveri za prisotnost nezaželene programske opreme in

-        operacijski sistem se v primeru neaktivnosti zaklene in za nadaljevanje dela zahteva vnos gesla.

 

(4)   Delavec računalnik, na katerem obdeluje osebne ali zaupne podatke, v času svoje odsotnosti iz prostora, kjer se takšen računalnik nahaja (npr. v času odmora, odhod domov), ugasne ali programsko zaklene.

 

(5)   Popravljanje, spreminjanje, vzdrževalna dela ali nameščanje programske opreme na računalniku, na katerem se obdelujejo osebni ali zaupni podatki, je dovoljeno samo, če to vnaprej ustno ali pisno odobri predsednik ali generalni sekretar.

 

(6)   Delavec uporablja računalnik in drugo elektronsko opremo, ki je v lasti Zveze, samo za opravljanje delovnih nalog, ki jih ima do Zveze.

 

(7)   Nosilec osebnih ali zaupnih podatkov v elektronski obliki (npr. USB ključ, prenosni disk) se varuje in hrani na enak način kot nosilec osebnih ali zaupnih podatkov v fizični obliki.

 

 

9.      člen

(varovanje osebnih in zaupnih podatkov pri delu obiskovalci)

(1)     Delavec zagotovi, da se obiskovalec varovanih prostorov (npr. vzdrževalec, serviser, poslovni partner, član, uporabnik), ki ga je sprejel ali ki je prišel k njemu, giba v varovanih prostorih samo z njegovo vednostjo in pod njegovim nadzorom. Delavec pri tem pazi, da ne pride do neupravičenih dostopov ali obdelave osebnih ali zaupnih podatkov.

 

(2)     Delavec pri delu z obiskovalcem ne pušča nosilca osebnih ali zaupnih podatkov na mizi ali kje drugje v njegovi prisotnosti.

 

(3)     V prostoru Zveze, ki je namenjen poslovanju z obiskovalci, so nosilci podatkov in računalniški zasloni nameščeni tako, da obiskovalec nima vpogleda vanje.

 

 

10.   člen

(pošiljanje osebnih podatkov)

(1)   Osebne podatke se posreduje po navadni pošti priporočeno in z uporabo kuverte, ki onemogoča, da bi bila ob osvetlitvi vidna vsebina pošiljke.

 

(2)   Osebne podatke se posreduje po elektronski pošti samo preko zavarovane povezave s poštnim strežnikom, ki tretjim osebam preprečuje, da se ob pošiljanju pošte seznanijo z vsebino sporočila (npr. preko protokola https).

 

 

11.   člen

(način brisanja osebnih podatkov)

(1)   Po poteku roka hrambe osebnih podatkov se osebne podatke izbriše ali anonimizira, kar se dokumentira.

 

(2)   Osebne podatke, shranjene na nosilcu v fizični obliki, se izbriše z nepovratnim uničenjem nosilca (npr. rezanje, sežig, predaja pooblaščeni službi v uničenje). Nosilca z osebnimi ali zaupnimi podatki ni dovoljeno brez uničenja odvreči v koš za smeti.

 

(3)   Osebne podatke, shranjene v elektronski obliki, se izbriše z uporabo metode, ki onemogoča obnovitev podatkov.

 

 

12.   člen

(ukrepanje v primeru kršitve varnosti osebnih ali zaupnih podatkov)

(1)   Delavec v primeru ugotovljene aktivnosti, povezane s kršitvijo varnosti osebnih ali zaupnih podatkov (npr. poskus odtujitve podatkov, razkritje nepooblaščeni osebi, izguba nosilca osebnih ali zaupnih podatkov), stori vse potrebno, da kršitev preneha in o aktivnosti nemudoma obvesti generalnega sekretarja.

 

(2)   Generalni sekretar ob prejemu obvestila iz prejšnjega odstavka preveri, kako je do kršitve prišlo in glede na okoliščine primera ustrezno ukrepa, da kršitev preneha in da do takšne kršitve v prihodnje ne pride.

 

 

13.   člen

(ukrepi v primeru suma vdora v računalniško opremo Zveze)

(1)   Delavec ob pojavu računalniškega virusa ali druge nezaželene programske opreme ali v primeru suma nepooblaščenega dostopa v računalniško strojno ali programsko opremo Zveze (npr. v službeni računalnik, v službeno računalniško mrežo ali mrežni disk, v račun službene elektronske pošte ali drugo programsko opremo, ki jo uporablja pri delu) ali v primeru suma razkritja gesla za dostop do računalniške strojne ali programske opreme Zveze, o tem nemudoma obvesti generalnega sekretarja.

 

(2)   Generalni sekretar nato izvede sledeče ukrepe:

 

-        ugasnejo se vsi službeni računalniki ali se iz njih fizično izklopijo mrežni kabli,

-        generalni sekretar ali od njega pooblaščena oseba (npr. serviser) opravi varnostni pregled z namenom ugotovitve, ali je prišlo do okužbe z virusom ali drugo nezaželeno programsko opremo in na kakšen način, ali je prišlo do nepooblaščenega dostopa in na kakšen način oziroma ali je prišlo do razkritja gesel in na kakšen način,

-        generalni sekretar ali od njega pooblaščena oseba izvede vse potrebno, da se računalniška strojna in programska oprema Zveze zaščiti in da se ranljivosti odpravijo,

-        službeni računalniki se po opravljenem varnostnem pregledu in odstranitvi nevarnosti priklapljajo nazaj v omrežje,

-        generalni sekretar ali od njega pooblaščena oseba pripravi pisno poročilo o varnostnem incidentu in

-        o ugotovitvah se lahko obvesti pristojne organe.

 

(3)   Delavci aktivno sodelujejo pri izvajanju ukrepov iz prejšnjega odstavka.

 

 

14.   člen

(varovanje posebnih osebnih podatkov)

Posebne osebne podatke (npr. osebne podatke o članstvu v sindikatu, o zdravstvenem stanju) se varuje z dodatnimi oziroma strožjimi ukrepi kot ostale osebne podatke in sicer se izvaja še sledeče ukrepe:

 

-        nosilec posebnih osebnih podatkov v fizični obliki je posebej označen (npr. z oznako »zaupno«) ali pa je tako označena omara ali fascikel, v katerem je takšen nosilec,

-        dostop do zbirke osebnih podatkov, ki vsebuje posebne osebne podatke in ki se obdeluje na računalniku, je zaščiten z dodatnim močnim geslom, ki ga imajo samo delavci, ki dostop potrebujejo zaradi narave svojega dela,

-        obdelava zbirke osebnih podatkov v fizični ali elektronski obliki, ki vsebuje posebne osebne podatke, je organizirana tako, da je možno za nazaj ugotoviti, kateri delavec je dostopal in obdeloval določene posebne osebne podatke in kdaj (npr. da se beleži vpoglede in spremembe podatkov),

-        posebni osebni podatki v elektronski obliki se na nosilcu, ki ni računalnik (npr. USB ključ, prenosni disk), hranijo zaščitene z enkripcijo,

-        posebne osebne podatke se posreduje po navadni pošti priporočeno s povratnico in

-        posebne osebne podatke se posreduje preko spleta zaščitene z enkripcijo in geslom, pri čemer se geslo za odklep ne posreduje v istem sporočilu.

 

 

15.   člen

(varnostna kopija)

Zveza izdeluje varnostno kopijo osebnih in zaupnih podatkov, ki se hranijo na računalnikih, najmanj enkrat tedensko. Varnostna kopija se hrani na drugem računalniku kot je računalnik, kjer se osebni oziroma zaupni podatki izvirno hranijo ali na prenosnem nosilcu (npr. na USB ključu, prenosnem disku). Za varnostno kopijo velja enak način varovanja kot za izvirne nosilce osebnih podatkov.

 

 

16.   člen

(ravnanje s prejeto pošto)

(1)   Delavec, zadolžen za sprejem in dodelitev pošte, pregleda vso prejeto pošto samo z namenom ugotovitve, za katerega delavca je, in jo izroči neposredno temu delavcu.

 

(2)   Ne glede na prejšnji odstavek delavec, zadolžen za sprejem in dodelitev pošte, pošte ne odpre, če je na njej navedeno, da se vroči osebno drugemu delavcu, če je naslovljena na delavca brez označbe delovnega mesta, če je šele pod njegovim imenom ime ali naslov Zveze, če je pošta naslovljena na drugo organizacijo ali če gre za razpis ali natečaj.

 

 

17.    člen

(posredovanje osebnih podatkov tretjim osebam)

(1)   Osebne podatke se pošilja tretjim osebam, s katerimi Zveza ni v pogodbenem razmerju, samo na podlagi prošnje in če izkažejo za to ustrezno pravno podlago (npr. privolitev posameznika, na katerega se podatki nanašajo, konkretno zakonsko podlago). O takšnem pošiljanju odloči generalni sekretar.

 

(2)   Tretjim osebam se ne posreduje izvirnika nosilca z osebnimi podatki, razen če je Zveza k temu zavezana na podlagi zakona.

 

(3)   V primeru posredovanja osebnih podatkov tretjim osebam po tem členu Zveza zagotavlja podatek o tem, kateri osebni podatki so bili posredovani, komu in kdaj. Te podatke se lahko zagotavlja v okviru drugih evidenc (npr. v knjigi izhodne pošte ali v zbirki poslane el. pošte).

 

 

18.   člen

(urejanje razmerji z obdelovalci osebnih podatkov)

Druga oseba lahko v imenu Zveze obdeluje osebne podatke Zveze (npr. računovodski servis, vzdrževalci računalniške opreme), če ima z Zvezo sklenjeno pisno pogodbo, v kateri so v skladu s predpisi urejene pravice in obveznosti takšne osebe glede varovanja osebnih podatkov.

   

   

19.   člen

(dostop do osebnih podatkov na elektronski pošti delavca)

(1)     Zveza lahko od osebe, ki Zvezi zagotavlja uporabo elektronske pošte, zahteva, da se geslo delavca nastavi na novo in ga sporoči Zvezi, če je dostop do elektronske pošte delavca nujen zaradi varovanja interesov Zveze, ki jih ni mogoče doseči drugače, kot npr. zaradi grozeče poslovne škode, zaradi nenadne ali daljše odsotnosti delavca, ugotavljanja kršitev ali v drugih izjemnih situacijah. O takšni ponastavitvi gesla in vpogledu v podatke na računalniku ali v el. pošti odloči predsednik ali generalni sekretar. Odločitev se dokumentira in obrazloži. Geslo se lahko ponastavi in vpogleda v podatke na računalniku ali v el. pošti delavca tudi če delavec s tem soglaša. O vpogledu v elektronsko pošto generalnega sekretarja odloči predsednik.

 

(2)     Vpogled Zveze v osebne podatke v elektronski pošti delavca je omejen na razloge, ki so bili podlaga za ponastavitev gesla in vpogled. Pri vpogledu ali obdelavi osebnih podatkov v elektronski pošti delavca sta prisotna predsednik ali generalni sekretar in vsaj še en delavec. O vpogledu se izdela zapisnik in se o tem obvesti delavca, katerega geslo se je ponastavilo.

 

(3)     Ob prenehanju delovnega ali drugega pogodbenega razmerja delavca, se njegov elektronski naslov, ki mu ga je zagotavljala Zveza, izbriše.

 

 

III.            EVIDENCE OBDELAV OSEBNIH PODATKOV

 

20.   člen

(sprejetje in vsebine evidence obdelave osebnih podatkov)

(1)     Upravni odbor za vsako zbirko osebnih podatkov sprejme v skladu s predpisi evidenco dejavnosti obdelave osebnih podatkov, če Zveza te podatke obdeluje redno, če zbirka vsebuje posebne osebne podatke ali če obdelava osebnih podatkov v zbirki predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

 

(2)     Evidenca dejavnosti obdelave osebnih podatkov vsebuje najmanj namen obdelave, opis kategorij posameznikov, na katere se nanašajo osebni podatki, vrste osebnih podatkov, uporabnike, ki so jim bili ali jim bodo razkriti osebni podatki, rok hrambe osebnih podatkov ter opis tehničnih in organizacijskih varnostnih ukrepov za zavarovanje osebnih podatkov.

 

(3)     Če obdelava osebnih podatkov temelji na zakonitem interesu, se v evidenci obdelave osebnih podatkov dokumentira tudi test tehtanja zakonitega interesa Zveze.

 

 

IV.            DOLOČITEV OSEB, ODGOVORNIH ZA DOLOČENO ZBIRKO OSEBNIH PODATKOV IN OSEB, KI LAHKO OBDELUJEJO OSEBNE PODATKE V ZBIRKI

 

21.   člen

(določitev odgovornih oseb za zbirko osebnih podatkov)

(1)   Upravni odbor za vsako zbirko osebnih podatkov iz prvega odstavka prejšnjega člena s sklepom določi:

 

-        osebo, ki je odgovorna, da se osebni podatki v zbirki obdelujejo v skladu s tem pravilnikom in predpisi ter, da se prepreči nepooblaščeno razkritje ali druga nezakonita obdelava osebnih podatkov v zbirki in

-        osebo ali osebe, ki lahko zaradi narave svojega dela, obdelujejo osebne podatke v zbirki, pri čemer se v sklepu posebej opredeli, ali lahko pri tem obdeluje tudi posebne osebne podatke, če jih zbirka vključuje.

 

(2)   Oseba iz prve alineje prejšnjega odstavka je v zvezi z zbirko, za katero je odgovorna, odgovorna tudi za:

 

-        informiranje posameznikov o obdelavi njihovih osebnih podatkov v zbirki,

-        reševanje zahtevkov posameznika, ki se nanaša na njegove pravice glede osebnih podatkov (npr. na pravico do vpogleda, popravka) in

-        obveščanje nadzornih organov in posameznikov v primeru kršitev varnosti osebnih podatkov v tej zbirki v skladu s predpisi.

 

 

V.              KONČNA DOLOČBA

 

22.   člen

(veljavnost pravilnika)

(1)   Ta pravilnik prične veljati in se uporabljati naslednji dan po sprejemu.

 

(2)   Ta pravilnik se posreduje vsem delavcem in jim je tudi kasneje na voljo v prostorih na poslovnem naslovu Zveze ali se delavcu pošlje kopija na njegovo zahtevo.

 

Ljubljana, 16.12.2025

 

 

Štefanija Lukič Zlobec, predsednica