Pravilnik SFD o varstvu osebnih podatkov

V skladu z Zakonom o varstvu osebnih podatkov in splošno uredbo EU o varstvu podatkov (GDPR), je izvršni odbor na 6. seji, 4. 10. 2018 sprejel Pravilnik SFD o varstvu osebnih podatkov.

I. Splošne določbe

1. člen
S tem pravilnikom se določajo tehnični in organizacijski varnostni ukrepi za zavarovanje in varnost obdelave osebnih podatkov pri Slovenskem farmacevtskem društvu z namenom, da se prepreči nameren ali nenameren nepooblaščen izbris osebnih podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen oziroma nezakonit dostop, obdelavo, uporabo ali posredovanje osebnih podatkov.

2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. Zakon o varstvu osebnih podatkov pomeni trenutno veljaven zakon v Republiki Sloveniji, ki ureja področje varstva osebnih podatkov;
2. Splošna uredba o varstvu podatkov pomeni trenutno veljavno uredbo Evropske unije, ki ureja področje varstva osebnih podatkov;
3. osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom;
4. določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
5. obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
6. zbirka pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
7. upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
8. obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
9. uporabnik pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;
10. tretja oseba pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na
katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
11. privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno,
konkretno, informirano in nedvoumno ravnanje v obliki izjave ali drugačnega jasnega aktivnega
delovanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni
podatki, s katero izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
12. posebne vrste osebnih podatkov so osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s
posameznikovim spolnim življenjem ali spolno usmerjenostjo;
13. nosilci osebnih podatkov so vse vrste fizičnih, elektronskih in drugih sredstev, na katerih so zapisani osebni podatki kot npr. listine, trdi diski, USB ključi, CD-ROM-i, DVD-ji, spominske kartice, mikrofilmi, fotografije ipd.;
14. zaposleni so vsi delavci, ki so v delovnem razmerju na podlagi sklenjene pogodbe o zaposlitvi, ali na kakršnikoli drugi pravni podlagi opravljajo delo za Slovensko farmacevtsko društvo in osebe, ki opravljajo delo zaradi usposabljanja;
15. odgovorna oseba za zbirko osebnih podatkov je zaposleni, ki je dolžen skrbeti, da obdelava osebnih podatkov iz zbirke poteka skladno z Zakonom o varstvu osebnih podatkov in Splošno uredbo o varstvu podatkov;
16. pooblaščena oseba za obdelavo osebnih podatkov je zaposleni, ki ima Pooblastilo za obdelavo osebnih podatkov iz posameznih zbirk osebnih podatkov.

3. člen
Vsi zaposleni morajo biti ob nastopu dela pri Slovenskem farmacevtskem društvu oziroma ob sprejetju tega pravilnika seznanjeni z ukrepi za zagotavljanje varstva osebnih podatkov in morajo ob njihovi seznanitvi podpisati Izjavo o seznanjenosti z ukrepi za zagotavljanje varstva osebnih podatkov. Seznanjeni morajo biti s tem pravilnikom, z Zakonom o varstvu osebnih podatkov in Splošno uredbo o varstvu podatkov.

II. Splošni pogoji obdelave osebnih podatkov

4. člen
Osebne podatke se mora zbirati in obdelovati zakonito, na osnovi ustrezne pravne podlage; zakona, pravilnika, uredbe, privolitve posameznika ipd. Pravno podlago se navede v Evidenci dejavnosti obdelave.
Privolitev posameznika, ki je mladoletna oseba, mlajša od 15 let, za uporabo storitev informacijske družbe, je veljavna le, če jo poda ali odobri eden od staršev mladoletne osebe oziroma njen rejnik ali skrbnik.
Osebni podatki se morajo zbirati v najmanjšem možnem obsegu, ki je potreben za namene, za katere se obdelujejo. Posebnih vrst osebnih podatkov se ne zbira.
Osebne podatke se lahko obdeluje samo za namene, ki so v skladu s pravno podlago. Namene obdelave se navede v Evidenci dejavnosti obdelave.
Rok hrambe zbranih osebnih podatkov mora biti najkrajši možni, ki ga še dopušča pravna podlaga in zadostuje za dosego namena obdelave. Rok hrambe se navede v Evidenci dejavnosti obdelave.
Osebne podatke se obdeluje na način, ki s tehničnimi in organizacijskimi varnostnimi ukrepi zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti. Tehnični in organizacijski varnostni ukrepi so predpisani s tem pravilnikom, v Evidenci dejavnosti obdelave pa je naveden njihov splošni opis.

III. Postopki in dokumentiranje obdelave osebnih podatkov

5. člen
Za vse zbirke osebnih podatkov, katerih upravljavec ali obdelovalec je Slovensko farmacevtsko društvo, se vodi Evidenca dejavnosti obdelave. Evidenca dejavnosti obdelave vsebuje naslednje podatke o zbirki osebnih podatkov: ime zbirke; naziv ali ime in kontaktni podatki upravljavca, skupnih upravljavcev, predstavnika upravljavca in pooblaščene osebe za varstvo osebnih podatkov; opis kategorij posameznikov, na katere se nanašajo osebni podatki; opis vrst osebnih podatkov; pravna podlaga; način hrambe; namen obdelave; kategorije uporabnikov; informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo; rok hrambe; splošni opis tehničnih in organizacijskih varnostnih ukrepov.
Odgovorna oseba za posamezno zbirko osebnih podatkov je dolžna ažurirati Evidenco dejavnosti obdelave ob vsaki spremembi podatkov o posamezni zbirki.
Zaposleni, ki obdelujejo osebne podatke iz posamezne zbirke osebnih podatkov, morajo biti seznanjeni z Evidenco dejavnosti obdelave za posamezno zbirko.

6. člen
Vsaki zbirki osebnih podatkov, katere upravljavec ali obdelovalec je Slovensko farmacevtsko društvo, se z Aktom o določitvi odgovorne osebe za zbirko osebnih podatkov določi odgovorno osebo za zbirko osebnih podatkov, ki je dolžna skrbeti, da obdelava osebnih podatkov iz zbirke poteka skladno z Zakonom o varstvu osebnih podatkov in Splošno uredbo o varstvu podatkov.
Odgovorna oseba za zbirko osebnih podatkov je dolžna posameznikom, na katere se nanašajo osebni podatki, zagotavljati uveljavljanje njihovih pravic in jih ustrezno dokumentirati. Posamezniki, na katere se nanašajo osebni podatki, imajo pravico do vseh informacij iz Evidence dejavnosti obdelave, do pridobitve svojih osebnih podatkov iz zbirke osebnih podatkov, do njihovega popravka, do njihovega izbrisa, do omejitve njihove obdelave ter do pozabe.

7. člen
Vsakega zaposlenega, ki obdeluje osebne podatke iz zbirk osebnih podatkov, katerih upravljavec ali obdelovalec je Slovensko farmacevtsko društvo, se s Pooblastilom za obdelavo osebnih podatkov pooblasti za obdelavo osebnih podatkov posamezne zbirke in s tem postane pooblaščena oseba za obdelavo osebnih podatkov. Pooblaščena oseba za obdelavo osebnih podatkov je dolžna osebne podatke obdelovati skladno z Zakonom o varstvu osebnih podatkov in Splošno uredbo o varstvu podatkov.

Zaposlenemu, ki ni pooblaščen za obdelavo osebnih podatkov iz posamezne zbirke, se tehnično in organizacijsko onemogoči dostop do osebnih podatkov iz posamezne zbirke.

Pooblaščeni osebi za obdelavo osebnih podatkov s preklicem Pooblastila za obdelavo osebnih podatkov, prenehanjem zaposlitve, prenehanjem opravljanja del ali prenehanjem opravljanja nalog ne preneha obveznost varstva osebnih podatkov, ki so ji bili razkriti pri njihovi obdelavi.

8. člen
Za vse zbirke osebnih podatkov, katerih upravljavec ali obdelovalec je Slovensko farmacevtsko društvo, se vodi Seznam zbirk osebnih podatkov. Seznam zbirk osebnih podatkov vsebuje naslednje podatke o zbirkah osebnih podatkov: ime zbirke; podatek o tem ali je Slovensko farmacevtsko društvo upravljavec ali obdelovalec zbirke; odgovorna oseba za zbirko osebnih podatkov; pooblaščene osebe za obdelavo osebnih podatkov; obdelovalci po pogodbi in ostali uporabniki zbirke.

Odgovorna oseba za posamezno zbirko osebnih podatkov je dolžna ažurirati Seznam zbirk osebnih podatkov ob vsaki spremembi podatkov o posamezni zbirki.

9. člen
Vsako posredovanje osebnih podatkov uporabniku ali upravljavcu, s katerim ni sklenjena pogodba, ki opredeljuje posredovanje oziroma obdelavo osebnih podatkov in njihovo varstvo, je treba evidentirati v Evidenci izrednih posredovanj osebnih podatkov. Osebne podatke se lahko v skladu z Zakonom o varstvu osebnih podatkov posreduje le na podlagi popolne zahteve za posredovanje.

Odgovorna oseba za posamezno zbirko osebnih podatkov je dolžna voditi Evidenco izrednih posredovanj osebnih podatkov in vso korespondenco povezano s posredovanjem osebnih podatkov.

IV. Brisanje, uničenje, blokiranje ali aninomiziranje osebnih podatkov

10. člen
Po preteku roka hrambe oziroma izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če zakon za posamezne vrste osebnih podatkov ne določa drugače. Rok hrambe je za vsako zbirko naveden v Evidenci dejavnosti obdelave.

11. člen
Za brisanje osebnih podatkov na elektronskih nosilcih (npr. trdi diski, spominske kartice ipd.) se uporabi takšna metoda brisanja, da je zbrisane osebne podatke nemogoče restavrirati.
Osebne podatke na fizičnih nosilcih (npr. papir, mikrofilm, DVD ipd.) se briše z uničenjem fizičnih nosilcev, tako da je osebne podatke nemogoče restavrirati, npr. z uničevalnikom dokumentov. Na enak način se sproti uničuje pomožno gradivo, npr. poskusne izpise, neuspešne izpise ipd.

12. člen
Uničenje osebnih podatkov se lahko vrši le v varovanih prostorih.

13. člen
Osebne podatke se blokira ali anonimizira tako, da jih je praktično nemogoče pripisati določljivemu posamezniku brez nesorazmerno velikega napora, sredstev ali časa, npr. s šifriranjem osebnih podatkov.

14. člen
Odgovorna oseba za posamezno zbirko osebnih podatkov je dolžna poskrbeti za ažurno brisanje, uničenje, blokiranje ali anonimiziranje osebnih podatkov po preteku roka hrambe.

V. Pogodbena obdelava

15. člen
Posamezna opravila v zvezi z obdelavo osebnih podatkov se lahko s pogodbo zaupa obdelovalcu. Slovensko farmacevtsko društvo sme kot upravljavec na podlagi pogodbe sodelovati samo s tistimi obdelovalci, ki zagotovijo zadostna jamstva o tem, da bodo izvajali ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave z Zakonom o varstvu osebnih podatkov in s Splošno uredbo o varstvu podatkov.

16. člen
Slovensko farmacevtsko društvo lahko kot obdelovalec obdeluje osebne podatke drugih upravljavcev samo na podlagi pogodbe in pri tem mora upoštevati vse pogodbene obveznosti, ta pravilnik, Zakon o varstvu osebnih podatkov in Splošno uredbo o varstvu podatkov.

17. člen
Pogodba med upravljavcem in obdelovalcem mora določati, da obdelovalec:
1. osebne podatke obdeluje samo po izkazanih navodilih upravljavca, kar vključuje tudi prenos osebnih podatkov tretji državi ali mednarodni organizaciji, če ni drugačne zakonske obveznosti, ki velja tudi za obdelovalca, vendar mora v takšnem primeru obdelovalec upravljavcu sporočiti obstoj teh pravnih podlag še pred začetkom izvajanja pogodbene obdelave, razen, če zakon ureja drugače zaradi bistvenega javnega interesa;
2. zagotovi, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k varovanju tajnosti ali zaupnosti ali da za njih velja ustrezna zakonska dolžnost varovanja tajnosti;
3. izvede vse potrebne ukrepe za varnost osebnih podatkov;
4. upošteva pogoje za uporabo storitev drugega obdelovalca;
5. glede na vrsto obdelave pri tej po možnosti podpira upravljavca s primernimi tehničnimi in organizacijskimi ukrepi, da izpolni svojo obveznost odgovorov na zahtevke posameznikov, na katere se nanašajo osebni podatki;
6. ob upoštevanju vrste obdelave in razpoložljivih informacij upravljavcu pomaga pri izpolnjevanju obveznosti pooblaščene osebe za varstvo osebnih podatkov, pri pritožbah posameznikov, na katere se nanašajo osebni podatki, in pri obveznosti do nadzornih organov;
7. po koncu zagotavljanja storitev pogodbene obdelave vse podatke po navodilu upravljavca vrne ali izbriše, če ne obstaja pravna obveznost glede hrambe osebnih podatkov;
8. upravljavcu zagotovi vse potrebne informacije, ki dokazujejo izpolnjevanje vseh njegovih obveznosti ter omogoči preverjanja, vključno s kontrolami, ki jih izvede upravljavec ali z njegove strani pooblaščena oseba ter sodeluje pri njihovi izvedbi;
9. vedno pravočasno obvesti upravljavca, če meni, da je določeno navodilo iz pogodbe ali dogovora ali na njuni podlagi v nasprotju z določbami Zakona o varstvu osebnih podatkov;
10. vodi Evidenco dejavnosti obdelave za zbirke osebnih podatkov, ki jih obdeluje v imenu upravljavca, zanje določi odgovorno osebo in ustrezno pooblasti osebe, ki lahko obdelujejo osebne podatke iz teh zbirk osebnih podatkov;
11. ne sme v obdelavo vključiti drugih obdelovalcev brez pisnega soglasja upravljavca;
12. ob vsaki zaznani kršitvi varstva osebnih podatkov posameznikov, če je verjetno, da bo kršitev povzročila tveganje za posege v človekove pravice in temeljne svoboščine posameznikov, brez nepotrebnega odlašanja obvesti upravljavca, Informacijskega pooblaščenca in posameznike, katerih varstvo osebnih podatkov je bilo kršeno.

Pogodba med upravljavcem in obdelovalcem mora določati tudi:
1. predmet,
2. trajanje,
3. vrsto in namen obdelave,
4. vrsto osebnih podatkov,
5. kategorije posameznikov, na katere se nanašajo osebni podatki, ter
6. pravice in obveznosti upravljavca.

18. člen
Če obdelovalec uporablja tudi storitve drugega obdelovalca, da v imenu upravljavca izvede določena delovanja obdelave, mora obdelovalec drugemu obdelovalcu s pogodbo naložiti enake dolžnosti varstva osebnih podatkov, kot veljajo za obdelovalca po pogodbi, sklenjeni med upravljavcem in obdelovalcem.

VI. Varovanje prostorov in računalniške opreme

19. člen
Prostori, v katerih se nahajajo nosilci osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do osebnih podatkov.

Slovensko farmacevtsko društvo ima sledeče varovane prostore:

  • sprejemna pisarna
  • pisarna generalne sekretarke
  • sejna soba,
  • arhiv.

Prostori so varovani z alarmnim sistemom, dostop je dovoljen samo zaposlenim.
Dostop v varovane prostore je mogoč in dopusten zaposlenim.
Vsak zaposleni ima svoj ključ za dostop v varovane prostore.
Ključi se ne puščajo v ključavnici v vratih varovanih prostorov od zunanje strani.
Varovani prostori ne smejo ostajati nenadzorovani oziroma se morajo zaklepati ob odsotnosti zaposlenih, ki jih nadzorujejo.
Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema pa izklopljeni oziroma fizično ali programsko zaklenjeni.
Nosilci osebnih podatkov, hranjeni izven varovanih prostorov (hodniki, skupni prostori), morajo biti stalno zaklenjeni.
Posebnih vrst osebnih podatkov se ne sme hraniti izven varovanih prostorov.

20. člen
Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma zaposlenim.

21. člen
V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

22. člen
Vzdrževanje in popravila nosilcev osebnih podatkov (strojne računalniške in druge opreme je dovoljeno samo izvajalcem, s katerimi je sklenjena pogodba o pogodbeni obdelavi osebnih podatkov (pogodbeni obdelovalci).

23. člen
Vzdrževalci prostorov in opreme, poslovni partnerji in drugi obiskovalci se smejo gibati v varovanih prostorih le ob prisotnosti zaposlenih.

Zaposleni vzdrževalci, čistilke, varnostniki ipd. se lahko izven delovnega časa gibljejo le v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci osebnih podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema pa so izklopljeni oziroma fizično ali programsko zaklenjeni).

24. člen
Zaposleni lahko zaradi narave svojega dela osebne podatke obdelujejo tudi izven varovanih prostorov, vendar jih morajo v najkrajšem možnem času prenesti v varovane prostore. Pri tem ne smejo nosilcev osebnih podatkov izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam in jih morajo ustrezno varovati pred njihovo izgubo.

VII. Varaovanj sistemske in aplikativne programske računalniške opreme ter podatkov, ki se obdelujejo z računalniško opremo

25. člen
Dostop do sistemske in aplikativne programske opreme mora biti varovan tako, da dovoljuje dostop samo pooblaščenim osebam za obdelavo osebnih podatkov in izvajalcem, s katerimi je sklenjena pogodba o pogodbeni obdelavi osebnih podatkov (pogodbeni obdelovalci).

26. člen
Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo izvajalcem, s katerimi je sklenjena pogodba o pogodbeni obdelavi osebnih podatkov (pogodbeni obdelovalci). Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

27. člen
Vsebina elektronskih nosilcev osebnih podatkov na strežnikih in delovnih postajah (trdi diski, USB ključi ipd.) se sprotno preverja glede prisotnosti računalniških virusov.
Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo pooblaščenega serviserja, obenem pa se ugotovi vzrok pojava virusa in se ga poizkuša odpraviti.
Vsi osebni podatki in aplikativna programska oprema, ki prispejo v varovane prostore na elektronskih nosilcih oziroma preko telekomunikacijskih kanalov, morajo biti pred njihovo uporabo preverjeni glede prisotnosti računalniških virusov.

28. člen
Obdelava osebnih podatkov z uporabo aplikativne programske opreme se varuje s sistemom gesel na nivoju operacijskega sistema, omrežja ter aplikativne programske opreme z avtorizacijo in identifikacijo pooblaščenih oseb za obdelavo osebnih podatkov.
Skrb za spreminjanje gesel je odgovornost vsakega posameznega uporabnika računalniške opreme. Vsak posamezni uporabnik mora svoja gesla spreminjati najmanj enkrat mesečno.

29. člen
Vsa administratorska gesla za dostop do delovnih postaj in omrežja hrani pooblaščeni serviser v spominu.

30. člen
Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se tedensko izdeluje varnostne kopije vsebine strežnikov in lokalnih postaj, na katerih se nahajajo osebni podatki.
Varnostne kopije se periodično hranijo na prenosni trdi disk, ki je shranjen v zaklenjeni omari v skladu z sprejetimi pravili hranjenja arhivov.

VIII. Sprejem in posredovanje osebnih podatkov

31. člen
Tajništvo sprejema, odpira in razdeljuje vso prejeto pošto. Napačno naslovljene pošte se ne sme odpirati in se mora vrniti pošiljatelju.

32. člen
Osebne podatke je dovoljeno prenašati s poštnimi, informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje osebnih podatkov ter neupravičeno seznanjanje z njihovo vsebino.

33. člen
Pri posredovanju osebnih podatkov po pošti je treba osebne podatke vstaviti v ovojnico, ki mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnice z običajno lučjo vidna njena vsebina. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice. Pošto, ki vsebuje osebne podatke, je treba poslati priporočeno. Pošto, ki vsebuje tudi posebne vrste osebnih podatkov, pa je treba poslati priporočeno s povratnico.

34. člen
Osebne podatke, ki se jih posreduje z informacijskimi ali telekomunikacijskimi sredstvi, je treba posebej zavarovati s kriptografskimi metodami ali elektronskim podpisom tako, da je zagotovljena nečitljivost osebnih podatkov med njihovim prenosom.

35. člen
Osebne podatke se lahko posreduje samo uporabnikom, ki so navedeni v Evidenci dejavnosti obdelave za posamezno zbirko osebnih podatkov. Osebne podatke se lahko na podlagi popolne zahteve za posredovanje posreduje tudi uporabniku ali upravljavcu, s katerim ni sklenjena pogodba, ki opredeljuje posredovanje oziroma obdelavo osebnih podatkov, vendar je vsako tako posredovanje osebnih podatkov treba evidentirati v Evidenci izrednih posredovanj osebnih podatkov.

36. člen
Pri posredovanju osebnih podatkov je treba vedno ohraniti izvirnik, na katerem so zavedeni osebni podatki, in posredovati osebne podatke s kopijo izvirnika.

IX. Ukrepanje ob sumu nepooblaščenega dostopa

37. člen
Zaposleni so dolžni o vsaki zaznani kršitvi varstva osebnih podatkov posameznikov obvestiti ustrezno odgovorno osebo za zbirko osebnih podatkov. Odgovorna oseba za zbirko osebnih podatkov mora v primeru verjetnosti, da bo kršitev povzročila tveganje za posege v človekove pravice in temeljne svoboščine posameznikov, brez nepotrebnega odlašanja obvestiti Informacijskega pooblaščenca in posameznike, katerih varstvo osebnih podatkov je bilo kršeno.

X. Odgovornost za izvajanje varstva osebnih podatkov

38. člen
Za vzpostavitev in nadzor, s tem pravilnikom določenih, tehničnih in organizacijskih varnostnih ukrepov za zavarovanje in varnost obdelave osebnih podatkov je odgovoren predsednik društva.

39. člen
Vsi zaposleni so dolžni spoštovati, s tem pravilnikom določene, tehnične in organizacijske varnostne ukrepe za zavarovanje in varnost obdelave osebnih podatkov. Ta obveza ne preneha s prenehanjem opravljanja dela za Slovensko farmacevtsko društvo.

40. člen
Za kršitev določil iz prejšnjih dveh členov so zaposleni disciplinsko odgovorni, ostali pa na temelju njihovih pogodbenih obveznosti.

XI. Končne določbe

41. člen
Ta pravilnik je treba spreminjati oziroma dopolnjevati ob vsaki spremembi v poslovanju, ki vpliva na varstvo osebnih podatkov.

42. člen
Ta pravilnik, Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov morajo biti brez kakršnihkoli omejitev na voljo vsem zaposlenim.

43. člen
Ta pravilnik prične veljati z dnem, ko ga sprejme izvršni odbor SFD.

Matjaž Tuš
Predsednik društva