I. SPLOŠNE DOLOČBE
II. HRAMBA DOKUMENTOV IN VAROVANJE RAČUNALNIŠKE OPREME
III. VAROVANJE SISTEMSKE OBDELAVE PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
IV. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
V. BRISANJE PODATKOV
VI. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA IN POSREDOVANJA PODATKOV TZS
VII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
VIII. KONČNE DOLOČBE
Na podlagi 24. in 25. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007) ter v skladu s Statutom TZS, ter upoštevajo podatkovno bazo registriranih športnikov NPŠZ – TZS je Izvršni odbor TZS na svoji 2. redni seji dne 05.05.2010 sprejel Pravilnik o varstvu osebnih podatkov.
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo organizacijski, tehnični in logistično – tehnični postopki in ukrepi za zavarovanje osebnih podatkov na Twirling zvezi Slovenije ( v nadaljevanju: TZS) z namenom, da se varujejo osebni podatki, prepeči, da posameznik ne pooblačeno izdaja ali posreduje podatke TZS, članic TZS, namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba, kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.
Zaposleni, funkcionarji, ki svoje naloge opravljajo volontersko, in zunanji sodelavci, ki pri svojem delu obdelujejo in/ali uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela in z vsebino tega pravilnika.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. ZVOP–1–UPB1 – Zakon o varstvu osebnih podatkov (uradno prečiščeno besedilo), objavljen v Uradnem listu RS, št. 94/2007.
2. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
3. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v TZS z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
4. Avtomatizirana obdelava – je obdelava osebnih podatkov s sredstvi informacijske tehnologije.
5. Zbirka osebnih podatkov – vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
6. Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.
7. Osebna privolitev posameznika – je prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem pravilniku; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika.
8. Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške (v nadaljnjem besedilu: prekrškovne evidence); občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v TZS s kakšno od prej navedenih okoliščin.
9. Nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti,
gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi
Računalniškim mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos
podatkov, ipd.).
10. Funkcionar – je oseba, ki je v TZS voljena ali imenovana za izvajanje nalog, vezanih na mandatno obdobje.
11. Osnovne organizacije zveze – so društva in zveze, ki so včlanjene v TZS.
3. člen
V skladu z 2. odstavkom 7. člena ZVOP–1 –UPB1, TZS, kot upravljavec osebnih podatkov, ne vodi kataloga osebnih podatkov in tako ne obvešča državni nadzorni organ za varstvo osebnih podatkov o vzpostavitvi zbirke osebnih podatkov.
4. člen
TZS lahko obdeluje samo tiste osebne podatke in za tiste namene, za katere ima osebno privolitev posameznika oziroma so osebno privolitev posameznika pridobile osnovne organizacije zveze.
5. člen
Opis zbirke osebnih podatkov, katere upravljavec je TZS, vsebuje naziv zbirke, vrsto osebnih podatkov v zbirki, namen obdelave, rok hrambe, uporabnike ali kategorijo uporabnikov osebnih podatkov in splošen opis zavarovanja osebnih podatkov. Pred vzpostavitvijo zbirke osebnih podatkov vsak opis zbirke osebnih podatkov potrdi predsednik TZS.
V sklopu opisa zbirke osebnih podatkov je zveza dolžna voditi ažuren seznam, iz katerega je jasno razvidno, katera oseba je odgovorna za zbirko osebnih podatkov ter katere osebe lahko zaradi narave svojega dela obdelujejo osebne podatke iz zbirke osebnih podatkov. V seznam se vpišejo sledeči podatki:
– ime in priimek ter delovno mesto ali funkcija osebe na zvezi, ki je odgovorna za zbirko osebnih podatkov in
– ime in priimek ter delovno mesto ali funkcija oseb, ki lahko zaradi narave svojega dela obdelujejo osebne podatke iz zbirke osebnih podatkov.
6. člen
Zveza, kot upravljavec osebnih podatkov, vodi sledeče zbirke osebnih podatkov:
– seznam članov organov in delovnih teles zveze ter članov komisij in odborov zveze,
– seznam zaposlenih oseb na zvezi,
– seznam osnovnih organizacij zveze (člani zveze),
– seznam registriranih oseb zveze (športniki, trenerji, sodniki, funkcionarji in podporni člani),
– seznam udeležencev izobraževanj, usposabljanj in drugih akcij zveze,
– računovodske evidence in
– avdio – video, fotografski in tekstovni arhiv.
7. člen
Zbirke osebnih podatkov lahko vsebujejo:
a.) ime in priimek,
b.) datum rojstva,
c.) kraj rojstva,
d.) spol
e.) državljanstvo,
f.) enotno matično številko (EMŠO),
g.) naslov stalnega in začasnega prebivališča,
h.) pošto in poštno številko,
i.) telefonsko številko,
j.) naslov elektronske pošte,
k.) številko transakcijskega računa,
l.) podatke o plačniku članarine in storitev zveze,
m.) davčna številka,
n.) številko kartice zdravstvenega zavarovanja,
o.) usposobljenost,
p.) funkcijo v organih zveze ali njenih osnovnih organizacijah,
r.) registracijsko številko pri zvezi,
s.) stopnjo končane izobrazbe,
t.) članstvo v društvu in
u.) avdio – video in fotografije.
Podatki a, o, p, r in t so javni podatki, se lahko tudi objavijo na spletni strani zveze. Drugi podatki so dostopni le osebam v delovnem razmerju na zvezi in vodjem akcij zveze in se praviloma ne posredujejo tretjim osebam.
Na spletnih straneh zveze se objavlja, glede na odločitev urejevalca spletne strani in z podpisano izjavo registriranih tekmovalcev, avdio – video, fotografski in tekstovni material (t). Osebne fotografije posameznikov se objavijo le z njegovo privolitvijo. Pri fotografskem materialu, posnetem na javnih mestih, se pri objavi upoštevajo merila dobrega okusa in se ne objavi fotografij, ki bi žalile dostojanstvo prikazanih oseb.
II. HRAMBA DOKUMENTOV IN VAROVANJE RAČUNALNIŠKE OPREME
8. člen
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema, morajo biti varovani, ki onemogočajo nepooblaščenih osebam dostop do podatkov.
Dostop v prostore sedeža zveze je mogoč le v rednem delovnem času oziroma v okviru objavljenih uradnih ur, izven tega časa pa samo na podlagi predhodnega dovoljenja predsednika TZS.
Izven delovnega časa oziroma uradnih ur morajo biti omare in/ali pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki ali druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.
Zaposleni, funkcionarji in zunanji sodelavci ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice do vpogleda vanje.
9. člen
V prostorih, ki so namenjeni poslovanju s strankami in so dostopni širši javnosti, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo možnosti vpogleda in/ali dostopa vanje.
10. člen
Vzdrževanje in popravila strojne, računalniške in druge opreme je dovoljeno samo z vednostjo predsednika TZS, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z zvezo sklenjeno ustrezno pogodbo.
11. člen
Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati na sedežu zveze samo z vednostjo TZS in v času uradnih ur TZS.
Osebe, kot so čistilke, vzdrževalci, hišnik idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).
III. VAROVANJE SISTEMSKE OBDELAVE PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO
12. člen
Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo vnaprej določenim zaposlenim osebam, funkcionarjem in zunanjim sodelavcem, ki v skladu s pogodbo opravljajo dogovorjene storitve.
13. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve odgovorne osebe oz. predsednika TZS, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z zvezo sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.
14. člen
Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za druge podatke iz tega pravilnika.
15. člen
Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hrani v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira.
V primeru kršitev in po potrebi se določi nova vsebina gesel.
IV. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV
16. člen
Oseba, ki je zadolžena za sprejem in evidenco pošte na zvezi, mora poštno pošiljko z osebnimi podatki izročiti osebi, ki je na zvezi odgovorna za vodenje posameznega projekta, pri katerem je potrebno pridobiti osebne podatke oseb.
Oseba iz prejšnjega odstavka odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo na zvezo (prinesejo jih stranke ali kurirji), razen pošiljk iz tretjega in četrtega odstavka tega člena.
Oseba iz prvega odstavka tega člena ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena, ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na natečaj ali razpis.
Oseba, ki je zadolžena za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na osebo, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime brez označbe njegovega uradnega položaja in šele nato naslov zveze.
17. člen
Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Osebni podatki, ki niso opredeljeni v drugem odstavku 7. člena tega pravilnika, se pošiljajo priporočeno, v ovojnici, ki zagotavlja, da odprtje ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice.
18. člen
Osebni podatki, ki niso opredeljeni v drugem odstavku 7. člena tega pravilnika, se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo.
Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, v kateri mora biti jasno navedena
določba zakona, ki uporabnika pooblašča za pridobitev osebnih podatkov, ali pa pisno zahtevo oziroma privolitev posameznika, na katerega se podatki nanašajo.
Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, iz katere mora biti razvidno, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi (22. člen ZVOP‐1).
Nikoli se ne posreduje originalnih dokumentov, razen v primeru pisne odredbe sodišča. Originalni dokument se mora v času odsotnosti nadomestiti s kopijo.
V. BRISANJE PODATKOV
19. člen
Po preteku roka hranjenja se osebne podatke zbriše, uniči, blokira ali anonimizira, razen če zakon ali drug akt ne določa drugače.
Roki, po katerih se osebne podatke izbriše iz zbirke podatkov, uniči, blokira ali anonimizira, so razvidni iz opisa zbirke osebnih podatkov.
20. člen
Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela izbrisanih podatkov.
Podatki na klasičnih medijih (listine, kartoteke, register, seznami ipd.) se uniči na način, ki onemogoča branje vseh ali dela uničenih podatkov.
Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti.
Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik.
VI. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA IN POSREDOVANJA PODATKOV TZS
21. člen
Zaposlene osebe pri zvezi, funkcionarji in drugi zunanji sodelavci so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem varovanih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju, takoj obvestiti odgovorno ali za področje varovanja podatkov pooblaščeno osebo, sami pa poskušajo takšno aktivnost preprečiti.
Zaposlene osebe pri zvezi, funkcionarji in drugi posamezniki, ki nepooblaščeno posredujejo kakršni koli podatek TZS brez soglasja odgovorne osebe v TZS ( predsednika zveze), se mu omeji dostop do informacij v zvezi in sodelovanje na sejah.
VII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
22. člen
Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov je odgovoren predsednika zveze.
Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja Izvršilni in Nadzorni odbor zveze.
23. člen
Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja, opravljanja funkcije na zvezi ali prenehanja pogodbenega razmerja.
Iz podpisane pristopne izjave twirling organizacije je vsebinsko razvidno, da se z včlanitvijo twirling organizacija
( klub) zaveže s podpisom spoštovati Statut zveze , vse akte zveze oz. pravilnike zveze in sprejete sklepe zveze.
V primeru nespoštovanja Statuta in Pravilnikov zveze, ter ne spoštovanje Statuta in pravil ZTVUTS in ZTSS je posledično odgovorna za kršitve zaposlena oseba, funkcionar ali posamezni član twirling organizacije ( športnik, vaditelj, učitelj, trener, sodnik) in tudi posledično odgovorni za kršitve z določbami tega pravilnika ter določbami ZVOP-1-UPB1.
24. člen
Za kršitev določil iz prejšnjega člena so funkcionarji in zaposleni pri zvezi disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti.
VIII. KONČNE DOLOČBE
25. člen
Ta pravilnik je sprejel Izvršilni odbor zveze, dne 05.05.2010 in dan po sprejetju.
IZVRŠILNI ODBOR ZVEZE
Marta Pernat
Predsednica
Twirling zveze Slovenije
