Na podlagi drugega odstavka 25. člena Zakona o varstvu osebnih podatkov (v nadaljevanju ZVOP-1; Ur. l. RS, št. 94/07), 4. člena Pravilnika o zbiranju in varstvu osebnih podatkov na področju osnovnošolskega izobraževanja (Ur. l. RS, št. 80/04, 76/08) ravnateljica OŠ Toneta Šraja Aljoše
izdaja naslednji
PRAVILNIK O ZAVAROVANJU OSEBNIH PODATKOV
V OSNOVNI ŠOLI TONETA ŠRAJA ALJOŠE
I. SPLOŠNE DOLOČBE
1. člen
Z namenom preprečitve slučajnega ali namernega nepooblaščenega uničevanja, spreminjanja ali izgube, nepooblaščenega dostopa, obdelave, uporabe ali posredovanja osebnih podatkov ta pravilnik določa podrobnejša navodila o zbiranju osebnih podatkov, vodenju zbirk osebnih podatkov, določitvi oseb, ki so za zbirke osebnih podatkov odgovorne, in oseb, ki osebne podatke iz zbirk osebnih podatkov lahko obdelujejo. Določa obveznost vzpostavitve kataloga zbirke osebnih podatkov za vsako zbirko osebnih podatkov, varovanje prostorov, v katerih se nahajajo osebni podatki oziroma nosilci osebnih podatkov, strojna in programska oprema, ter računalniška oprema. Urejajo se sprejem, posredovanje in uničenje osebnih podatkov ter uresničevanje pravic staršev.
- člen
(pomen uporabljenih izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
- obdelava osebnih podatkov je delovanje ali niz delovanj, ki se izvajajo v zvezi z osebnimi podatki; zlasti zbiranje, pridobivanje, vpisovanje, urejanje, shranjevanje, prilagajanje, spreminjanje, uporaba, vpogled, širjenje, razvrščanje, blokiranje, anonimiziranje, brisanje, uničevanje ipd.;
- zaposleni so vse osebe, ki imajo v OŠ Toneta Šraja Aljoše sklenjeno pogodbo o zaposlitvi ali opravljajo delo na podlagi podjemne ali druge pogodbe, opravljajo študentsko delo ali delo zaradi izobraževanja oziroma so na drug način vključeni v delovni proces;
- zunanji izvajalci so pravne osebe, ki osebne podatke obdelujejo na podlagi pogodbenega sodelovanja OŠ Toneta Šraja Aljoše ter so za opravljanje takšne dejavnosti tudi ustrezno registrirane.
- člen
Zaposleni in zunanji izvajalci, ki pri svojem delu obdelujejo ali uporabljajo osebne podatke, morajo pri tem spoštovati določbe ZVOP-1, Pravilnika o zbiranju in varstvu osebnih podatkov na področju osnovnošolskega izobraževanja ter tega pravilnika.
- člen
Osebni podatki o otrocih in njihovih starših se obdelujejo le na podlagi zakona ali pisne privolitve staršev.
II. ZBIRKE IN KATALOG ZBIRK
5. člen
Na podlagi in v skladu z zakonom zavod obdeluje osebne podatke, vsebovane v dokumentaciji v materializirani in/ali elektronski obliki, in sicer v zvezi z naslednjimi zbirkami osebnih podatkov:
- zbirka podatkov o učencih, vpisanih v osnovno šolo, in njihovih starših;
- zbirka podatkov o napredovanju učencev, izdanih spričevalih, vzgojnih opominih in drugih listinah;
- zbirka podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev;
- zbirka podatkov o učencih, ki potrebujejo pomoč oziroma svetovanje;
- evidenca o zaposlenih delavcih;
- evidenca o stroških dela;
- evidenca o izrabi delovnega časa;
- evidenca o poškodbah pri delu;
- zbirka podatkov o članih organov zavoda;
- evidenca plačil staršev;
- evidenca o opravljenih preventivnih zdravstvenih pregledih zaposlenih;
- evidenca o opravljenih usposabljanjih za varno delo in preskusih praktičnega znanja;
- člen
(zbiranje osebnih podatkov na podlagi pisne privolitve staršev)
Na podlagi pisnega soglasja staršev se obdelujejo osebni podatki, ki jih vsebujejo zbirke:
- soglasij v zvezi z udeležbo in rezultati učencev na šolskih in izven šolskih tekmovanjih ipd.;
- soglasij v zvezi s skupinskimi posnetki učencev na fotografijah, videoposnetkih ipd.;
- osebnih podatkov v zvezi s pridobitvijo posebnih statusov učencev (npr. statusa športnika);
- osebnih podatkov v zvezi z uveljavljanjem pravice do subvencioniranja šole v naravi;
- člen
(pooblaščene osebe)
Za osebne podatke, ki se vodijo v zvezi z zbirko podatkov o učencih, vpisanih v osnovno šolo, in njihovih starših, je odgovoren ravnatelj. Osebne podatke, ki se v zvezi s to evidenco vodijo, lahko obdelujejo ravnatelj, šolska svetovalna delavka, administratorka programa za elektronsko vodenje dokumentacije.
Za osebne podatke, ki se vodijo v zvezi z zbirko podatkov o napredovanju učencev, izdanih spričevalih, vzgojnih opominih in drugih listinah, je odgovoren ravnatelj šole. Osebne podatke, ki se v zvezi s to evidenco vodijo, lahko obdelujejo ravnatelj, šolska svetovalna delavka in razredniki.
Za osebne podatke, ki se vodijo v zvezi z zbirko podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev, je odgovoren ravnatelj šole. Osebne podatke, ki se v zvezi s to evidenco vodijo, lahko obdeluje profesor športa.
Za osebne podatke, ki se vodijo v zvezi z zbirko podatkov o učencih, ki potrebujejo pomoč oziroma svetovanje, je odgovoren ravnatelj šole. Osebne podatke, ki se v zvezi s to evidenco vodijo, lahko obdeluje šolska svetovalna delavka.
Poslovna sekretarka je pooblaščena za vodenje evidenc o zaposlenih, poškodbah učencev in evidenc članov organov zavoda.
Računovodja je pooblaščena za vodenje evidenc o plačah zaposlenih in finančno poslovanje.
Pooblaščena oseba za varstvo podatkov (DPO)
Upravljavec je imenoval pooblaščeno osebo za varstvo podatkov, in sicer dr. Klemna Poharja, LL.M.. Posameznik lahko vprašanja, vezana na obdelavo in varovanje osebnih podatkov, posreduje upravljavcu na zgoraj navedene kontaktne podatke, ali pooblaščeni osebi za varstvo podatkov na e-naslov dpo@narus.si ali na tel. št. 031-352-669 .
- člen
(katalog zbirk osebnih podatkov)
Opisi zbirk osebnih podatkov, katerih upravljavec je OŠ Toneta Šraja Aljoše, se vodijo v katalogu zbirk osebnih podatkov, vse v skladu z določbami ZVOP-1.
Katalog zbirk osebnih podatkov je priloga k temu pravilniku (priloga 1).
- člen
(spremembe osebnih podatkov o učencih in njihovih starših)
Razrednik na prvi razredni uri v novem šolskem letu in/ali na prvem roditeljskem sestanku preveri, ali ostajajo podatki o učencih, vpisanih v osnovno šolo in njihovih starših, ki so vpisani v šolski dokumentaciji, glede na podatke iz prejšnjega šolskega leta, nespremenjeni. Spremembe podatkov vnese v ustrezno dokumentacijo (matični list, dnevnik, redovalnica …).
- člen
(posredovanje nujnih sporočil)
Seznami učencev s podatkom o telefonski številki, na katero je mogoče posredovati nujna sporočila v času, ko je učenec v šoli, se hranijo v elektronski obliki v programu, s pomočjo katerega šola izvaja elektronsko vodenje dokumentacije.
- člen
(hranjenje dokumentacije)
Dokumentacija, ki vsebuje zbirke osebnih podatkov, se hrani tako, da je onemogočen dostop nepooblaščenim osebam. Ključe prostorov, omar, predalnikov ipd., kjer se ta dokumentacija hrani, imajo le pooblaščene osebe, določene s 7. členom tega pravilnika.
- člen
(hranjenje redovalnice)
Redovalnice so dostopne v elektronski obliki v programu, s katerim šola vodi in ureja elektronsko vodenje dokumentacije. Dostop in vpogled v redovalnice oddelkov imajo razredniki in strokovni delavci, ki oddelek poučujejo. Slednji imajo dostop do vpogleda v redovalnico le za predmet, ki ga poučujejo.
- člen
(prenašanje redovalnice)
Zaradi uporabe elektronske redovalnice, učitelj redovalnice v fizični obliki v učilnico ne prinaša.
- člen
(matični listi in matične knjige)
Matični listi in matične knjige se hranijo v zavarovani omari v pisarni ravnateljice.
- člen
(zapisniki o popravnih in predmetnih izpitih ter ocenjevanju učencev, ki se izobražujejo na domu)
Zapisniki o popravnih in predmetnih izpitih in zapisniki o ocenjevanju učencev, ki se izobražujejo na domu, se, pregledno po posameznih šolskih letih, razrednih in oddelkih, hranijo v zavarovani omari v pisarni ravnateljice, in sicer jih razrednik vloži k matičnemu listu učenca.
- člen
(hranjenje športno-vzgojnih kartonov)
Športno-vzgojni kartoni se hranijo v ognjevarni omari v kabinetu učitelja športa.
III.VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME
- člen
Prostori, v katerih se nahajajo osebni podatki oziroma nosilci osebnih podatkov, strojna in programska oprema (v nadaljevanju prostori), so varovani z organizacijskimi, fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo dostop do teh podatkov nepooblaščenim osebam.
Dostop do prostorov je dovoljen le osebam, ki imajo za to utemeljen razlog, in sicer le v okviru delovnega časa, izven delovnega časa pa samo s posebnim dovoljenem ravnatelja.
Ključi prostorov se hranijo skladno z navodili ravnatelja.
- člen
Osebni podatki, shranjeni v materializirani obliki, morajo biti shranjeni in zaklenjeni v posebnih omarah oziroma predalnikih, do katerih je dostop omogočen samo osebam, ki so, kot je razvidno iz določb tega pravilnika, osebne podatke iz posameznih zbirk upravičene obdelovati.
Računalniki ter drugi nosilci osebnih podatkov morajo biti zaščiteni pred računalniškimi virusi in nepooblaščenim vdorom v sistem. Ob pojavu računalniškega virusa oziroma vdora v sistem se le-tega s pomočjo ustrezne strokovne službe čim prej odpravi, obenem pa se ugotovi vzrok.
Osebe, ki na kakršen koli način obdelujejo osebne podatke, morajo pri svojem delu upoštevati pravilo čim manjše izpostavljenosti osebnih podatkov nevarnosti neupravičene obdelave osebnih podatkov s strani nepooblaščenih oseb.
Zaposleni ali zunanji izvajalci ne smejo puščati nosilcev osebnih podatkov na mizah ob prisotnosti oseb, ki nimajo pravice vpogleda vanje oziroma jih na kakršen koli drug način izpostavljati nevarnosti nenadzorovanega vpogleda. Skladno s tem se osebni podatki, shranjeni v materializirani obliki, v času, ko jih zaposleni ali zunanji sodelavci pri svojem delu ne potrebujejo oziroma zaradi njihove odsotnosti ni zagotovljeno ustrezno zavarovanje, shranjujejo v skladu z določbami iz prejšnjega odstavka tega člena. Programska orodja, s pomočjo katerih se obdelujejo osebni podatki, shranjeni v elektronski obliki, se v času, ko jih pooblaščene osebe pri svojem delu ne potrebujejo oziroma zaradi njihove odsotnosti ni zagotovljeno ustrezno zavarovanje, prenehajo uporabljati.
Med delovnim časom prostori ne smejo ostati nenadzorovani, zato se ob odsotnosti zaposlenih zaklepajo. Ključi se ne puščajo v ključavnici na zunanji strani vrat. Po koncu delovnega dne se prostori zaklepajo. Omare in pisalne mize z nosilci osebnih podatkov so zaklenjene, računalniki in druga strojna oprema pa izklopljeni.
- člen
Zagotavlja se evidentiranje dela (obdelovanje osebnih podatkov z aplikativno programsko opremo) na zbirkah osebnih podatkov.
Za potrebe ohranitve baz osebnih podatkov v primeru okvar, izgub podatkov ali drugih izjemnih situacij se zagotavlja redna izdelava varnostnih kopij vsebine strežnika (programov in zbirk podatkov).
- člen
(sistem gesel)
Dostop do baz podatkov in programske opreme mora biti varovan tako, da je dostop do posameznih zbirk osebnih podatkov omogočen samo za to v naprej določenim zaposlenim, kot je razvidno iz 7. člena tega pravilnika.
Dostop do osebnih podatkov s pomočjo aplikativne programske opreme je urejen s sistemom gesel za avtorizacijo in identifikacijo. Zagotavlja se možnost učinkovitega blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov.
Sistem dodeljevanja, hranjenja in spreminjanja gesel določi ravnatelj.
- člen
(načelo sledljivosti)
Zagotavlja se sledljivost obdelave osebnih podatkov. Omogočeno je naknadno ugotavljanje, kdaj so bili posamezni osebni podatki v zbirko osebnih podatkov vneseni, uporabljeni ali drugače obdelani ter kdo je to storil.
- člen
(prenašanje osebnih podatkov znotraj šole)
Nosilce osebnih podatkov (dokumentacijo, diske …) je znotraj šole dovoljeno prenašati le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje osebnih podatkov ter neupravičeno seznanjanje z njihovo vsebino. Nosilce podatkov lahko znotraj šole prenašajo le pooblačene osebe, kot je navedeno v 7. členu tega pravilnika.
IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJI IZVAJALCI
23. člen
Z zunanjimi izvajalci se skladno z določili ZVOP-1 sklene pisna pogodba. Vsebina pogodbe mora določati ukrepe za zavarovanje osebnih podatkov. Določitev teh ukrepov je obvezna tako za zunanje izvajalce, ki izvajajo dogovorjene storitve v zvezi z obdelavo osebnih podatkov, kot tudi za zunanje izvajalce, ki nameščajo ali vzdržujejo strojno ali programsko opremo.
Zunanji izvajalci smejo opravljati storitve v zvezi z obdelavo osebnih podatkov samo v okviru, pogodbeno dogovorjenem s šolo. Podatkov ne smejo obdelovati za noben drug namen.
V. SPREJEM OSEBNIH PODATKOV
24. člen
Osebni podatki se dostavljajo osebno ali pošiljajo s priporočeno pisemsko pošiljko.
Delavec, ki je zadolžen za sprejem in evidentiranje pošte, pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo naslovniku osebno oziroma na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov zavoda, ne sme odpreti.
VI. POSREDOVANJE OSEBNIH PODATKOV
25. člen
Osebni podatki se posredujejo oziroma razkrijejo samo uporabnikom, ki imajo za to ustrezno zakonsko podlago ali pisno privolitev posameznika, na katerega se podatki nanašajo.
- člen
(posredovanje osebnih podatkov zunanjim uporabnikom)
Zunanji uporabnik (npr. center za socialno delo, organizacijska enota Zavoda Republike Slovenije za šolstvo, sodišče, zdravstveni zavod …), ki želi, da mu šola posreduje osebne podatke, je dolžan navesti pravno podlago za pridobitev osebnih podatkov.
Šola mora posredovanje osebnih podatkov iz zbirke osebnih podatkov vpisati v evidenco posredovanja osebnih podatkov (priloga 2), in sicer tako, da je razvidno, kateri osebni podatki so bili posredovani, komu, na kakšni podlagi, kdaj in za kakšen namen.
- člen
Izvirniki dokumentov se posredujejo zgolj na podlagi pisne odredbe sodišča. V tem primeru se izvirni dokument v času odsotnosti nadomesti s kopijo.
VII. UNIČENJE OSEBNIH PODATKOV
- člen
Skladno z določbami ZVOP-1 se osebni podatki po preteku roka hrambe komisijsko zbrišejo, uničijo, blokirajo ali anonimizirajo.
Odmetavanje odpadnih nosilcev podatkov z osebnimi podatki v koše za smeti je prepovedano.
VIII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA
- člen
Zaposleni in zunanji izvajalci so dolžni o aktivnostih, povezanih z nepooblaščeno obdelavo, uporabo, brisanjem ali uničenjem osebnih podatkov, takoj obvestiti ravnateljico, sami pa poskušajo takšno aktivnost preprečiti.
IX. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
30. člen
Vsak, ki osebne podatke na kakršen koli način obdeluje, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje osebnih podatkov, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Dolžnost varovanja osebnih podatkov s prenehanjem delovnega razmerja ne preneha.
- člen
Za kršitev določil iz prejšnjega člena so zaposleni odgovorni disciplinsko, ostali pa na temelju pogodbenih obveznosti.
X. URESNIČEVANJE PRAVIC STARŠEV
32. člen
Pravice staršev v zvezi z zbirkami osebnih podatkov se uresničujejo tako, da vzgojno delo v šoli ni ovirano. Starši na ravnatelja naslovijo pisno vlogo. Ravnatelj vlogo po pregledu posreduje osebi, pooblaščeni, da v skladu z navodili ravnatelja zagotovi uresničitev pravice staršev do vpogleda v zbirke osebnih podatkov, ki se nanašajo na njihovega otroka (npr. zagotovitev pregledovanja, prepisovanja, kopiranja), vse skladno s predpisi.
XI. KONČNA DOLOČBA
33. člen
Spremembe pravil začnejo veljati po obravnavi na pedagoški konferenci oz. 18. 10. 2022.
Milena Mišič
ravnateljica OŠ Toneta Šraja Aljoše
Nova vas, 18. 10. 2022