PRAVNI PODATKI

VODOPIVEC POLONA

URADNI NAZIV: FIZIOTERAPIJA MOTUS, fizioterapija Polona Vodopivec, s.p., Branik 47, 5295 Branik; PE Ulica Gradnikove brigade 61, 5000 Nova Gorica

MATIČNA ŠTEVILKA SUBJEKTA: 9365788000

DAVČNA ŠTEVILKA: 37429221

TRR: SI56 6400 0000 0479 482

MARUŠIČ SUZANA

URADNI NAZIV: FIZIOTERAPIJA MOTUS, fizioterapija Suzana Marušič, s.p., Med ogradami 17, 5250 Solkan; PE Ulica Gradnikove brigade 61, 5000 Nova Gorica

MATIČNA ŠTEVILKA SUBJEKTA: 7225792000

DAVČNA ŠTEVILKA: 61840033

TRR: SI56 0400 1004 9234 861

POLITIKA ZASEBNOSTI

Na podlagi Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22) in v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) je FIZIOTERAPIJA MOTUS: Fizioterapija, Suzana Marušič s.p., Med ogradami 17, 5250 Solkan, matična številka: 7225792000 in Fizioterapija, Polona Vodopivec, Branik 47, 5295 Branik, matična številka 9365788000, dne 1.4.2023 sprejela naslednji PRAVILNIK O ZAVAROVANJU OSEBNIH PODATKOV I. SPLOŠNE DOLOČBE 1. člen S tem pravilnikom se določajo organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov v FIZIOTERAPIJA MOTUS (v nadaljevanju subjekt) z namenom, da se prepreči vsakršno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov. Zunanji sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela ter z vsebino tega pravilnika. 2. člen V tem pravilniku uporabljeni izrazi imajo naslednji pomen: ZVOP-2 - Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22); GDPR - Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov Osebni podatek - je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen; Posameznik - je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njegovo fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa; Zbirka osebnih podatkov - je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika; Obdelava osebnih podatkov - pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave); Upravljavec osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave; Občutljivi osebni podatki - so podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti; Uporabnik osebnih podatkov - je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki; Nosilec podatkov - so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema vključno s magnetni, optični ali drugi računalniški mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov, ipd.) člen Osebi, ki obdelujeta osebne podatke sta Suzana Marušič in Polona Vodopivec, ki sta seznanjeni z zbirkami osebnih podatkov. Vrste posameznih zbirk osebnih podatkov so razvidne iz Priloge št. I tega pravilnika. II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME 4. člen Prostori, v katerih se nahajajo omare z mapami z osebni podatki, nosilci osebnih podatkov, strojna in programska oprema (v nadaljevanju varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov. Dostop je mogoč le v rednem delovnem času, izven tega časa pa samo na podlagi dovoljenja pooblaščene osebe. Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnici v vratih od zunanje strani. Varovani prostori ne smejo ostajati nenadzorovani, oziroma se morajo zaklepati ob odsotnosti zaposlenih. Izven delovnega časa morajo biti omare in pisalne mize z nosilci osebnih podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni. Zaposleni ne smejo puščati nosilcev osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje. Nosilci osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni. Občutljivi osebni podatki se ne smejo hraniti izven varovanih prostorov. 5. člen V prostorih, ki so namenjeni poslovanju s strankami, morajo biti mape z osebnimi podatki, nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje. 6. člen Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z družbo sklenjeno ustrezno pogodbo. 7. člen Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v zavarovanih prostorih samo z vednostjo pooblaščene osebe. Zaposleni, kot so čistilke, varnostniki idr., se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v osebne podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni). III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO 8. člen Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve. 9. člen Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije in posamezniki, ki imajo z družbo sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati. 10. člen Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika. 11. člen Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo osebni podatki, se sprotno preverja glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo ustrezne strokovne službe ali pooblaščenega servisa, ki imajo z družbo sklenjeno ustrezno pogodbo, obenem pa se ugotovi vzrok pojava virusa v računalniškem informacijskem sistemu. Vsi osebni podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo k subljektu na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov. 12. člen Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. Prav tako ne smejo odnašati programske opreme iz prostorov subjekta brez odobritve pooblaščene osebe in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema. 13. člen Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov, sistem gesel pa mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelovani ter kdo je to storil. Pooblaščena oseba določi režim dodeljevanja, hranjenja in spreminjanja gesel. 14. člen Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska oz. nadzorna gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel. 15. člen Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki tam nahajajo. Te kopije se hranijo v zato določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavami in elektromagnetnimi motnjami, v okviru predpisanih klimatskih pogojev ter zaklenjena. IV. STORITVE, KI JIH OPRAVLJAJO ZUNANJE PRAVNE ALI FIZIČNE OSEBE 16. člen Z vsako zunanjo pravno ali fizično osebo, ki opravlja posamezna opravila v zvezi z zbiranjem, obdelovanjem, shranjevanjem ali posredovanjem osebnih podatkov in je registrirana za opravljanje takšne dejavnosti (pogodbeni obdelovalec), se sklene pisna pogodba. V takšni pogodbi morajo biti obvezno predpisani tudi pogoji in ukrepi za zagotovitev varstva osebnih podatkov in njihovega zavarovanja. Omenjeno velja tudi za zunanje osebe, ki vzdržujejo strojno in programsko opremo ter izdelujejo in instalirajo novo strojno ali programsko opremo. Zunanje pravne ali fizične osebe smejo opravljati storitve obdelave osebnih podatkov samo v okviru naročnikovih pooblastil in podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen. Pooblaščena pravna ali fizična oseba, ki za subjekt opravlja dogovorjene storitve izven prostorov upravljavca, mora imeti vsaj enako strog način varovanja osebnih podatkov, kakor ga predvideva ta pravilnik. V. SPREJEM IN POSREDOVANJE OSEBNIH PODATKOV 17. člen Delavec, ki je zadolžen za sprejem in evidenco pošte, mora izročiti poštno pošiljko z osebnimi podatki direktno posamezniku, ali službi, na katero je ta pošiljka naslovljena. Delavec, ki je zadolžen za sprejem in evidenco pošte, odpira in pregleduje vse poštne pošiljke in pošiljke, ki na drug način prispejo v družbo - prinesejo jih stranke ali kurirji, razen pošiljk iz tretjega in četrtega odstavka tega člena. Delavec, ki je zadolžen za sprejem in evidenco pošte, ne odpira tistih pošiljk, ki so naslovljene na drug organ ali organizacijo in so pomotoma dostavljena ter pošiljk, ki so označene kot osebni podatki ali za katere iz označb na ovojnici izhaja, da se nanašajo na razpis. Delavec, ki je zadolžen za sprejem in evidenco pošte, ne sme odpirati pošiljk, naslovljenih na delavca, na katerih je na ovojnici navedeno, da se vročijo osebno naslovniku, ter pošiljk, na katerih je najprej navedeno osebno ime delavca brez označbe njegovega uradnega položaja in šele nato naslov družbe. 18. člen Osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino. Občutljivi osebni podatki se pošiljajo naslovnikom v zaprtih ovojnicah proti podpisu v dostavni knjigi ali z vročilnico. Osebni podatki se pošiljajo priporočeno. Ovojnica, v kateri se posredujejo osebni podatki, mora biti izdelana na takšen način, da ovojnica ne omogoča, da bi bila ob normalni svetlobi ali pri osvetlitvi ovojnic z običajno lučjo vidna vsebina ovojnice. Prav tako mora ovojnica zagotoviti, da odprtja ovojnice in seznanitve z njeno vsebino ni mogoče opraviti brez vidne sledi odpiranja ovojnice. 19. člen Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko podlago ali s pisno zahtevo oziroma privolitvijo posameznika, na katerega se podatki nanašajo. VI. BRISANJE PODATKOV 20. člen Po preteku roka hranjenja se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, razen če zakon ali drug akt ne določa drugače. Roki, po katerih se osebni podatki izbrišejo iz zbirke podatkov, so razvidni iz priloge št. I tega pravilnika. 21. člen Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov. Podatki na klasičnih medijih (listine, kartoteke, register, seznam, ...) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov. Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.). Prepovedano je odmetavati odpadne nosilce podatkov z osebnimi podatki v koše za smeti. Pri prenosu nosilcev osebnih podatkov na mesto uničenja je potrebno zagotoviti ustrezno zavarovanje tudi v času prenosa. Prenos nosilcev podatkov na mesto uničenja ter uničevanje nosilcev osebnih podatkov nadzoruje posebna komisija, ki o uničenju sestavi tudi ustrezen zapisnik. VII. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA 22. člen Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti pooblaščeno osebo, sami pa poskušajo takšno aktivnost preprečiti. VIII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV 23. člen Za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov je odgovorna pooblaščena oseba. Nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, opravlja Suzana Marušič. 24. člen Vsak, ki obdeluje osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja. Pred nastopom dela na delovno mesto, kjer se obdelujejo osebni podatki, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju osebnih podatkov. Iz podpisane izjave mora biti razvidno, da je podpisnik seznanjen z določbami tega pravilnika ter določbami ZVOP-2, izjava pa mora vsebovati tudi pouk o posledicah kršitve. 25. člen Za kršitev določil iz prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti. IX. KONČNE DOLOČBE: 29. člen Ta pravilnik prične veljati s podpisom odgovorne osebe subjekta. V Novi Gorici, dne 1.4.2023 ______________________ Priloga št. I ZBIRKA OSEBNIH PODATKOV 1. Naziv zbirke: Evidenca pacientov in strank 2. Podatki o upravljavcu osebnih podatkov: Ime: FIZIOTERAPIJA MOTUS, Fizioterapija, Suzana Marušič s.p. Sedež: Med ogradami 17, 5250 Solkan Matična št.: 7225792000 Ime: FIZIOTERAPIJA MOTUS, Fizioterapija, Polona Vodopivec s.p. Sedež: Branik 47, 5295 Branik Matična št.: 9365788000 3. Pravna podlaga: Osebna privolitev posameznika 4. Kategorije posameznikov na katere se nanašajo osebni podatki v zbirki: Osebe, ki so se odločile za fizioterapevtsko obravnavo in so podale soglasje in osebe, ki so bile na fizioterapevtsko obravnavo napotene s strani zavarovalnic. 5. Vrste osebnih podatkov v zbirki: Ime in priimek, naslov stalnega in/ali začasnega prebivališča, EMŠO, datum rojstva, telefonska številka – mobilni, stacionarni telefon, številka zavarovalne police ali zavarovanja, zdravstvena dokumentacija, podatki o zdravstvenem stanju pacienta, ki jih posreduje sam. 6. Namen obdelave osebnih podatkov: Za opravljanje dejavnosti subjekta, za izdajo računov strankam. 7. Rok hrambe: Trajno oz. do konca obravnave oz. zdravljenja oz. do preklica osebne privolitve posameznika. 8. Omejitve pravic posameznikov glede osebnih podatkov, vsebovanih v zbirki OP: Ni omejitev pravic. 9. Uporabniki ali kategorije uporabnikov osebnih podatkov iz zbirke: Pooblaščene osebe pri subjektu FIZIOTERAPIJA MOTUS, Fizioterapija, Suzana Marušič s.p. v okviru delovnega procesa. Pooblaščene osebe pri subjektu FIZIOTERAPIJA MOTUS, Fizioterapija, Polona Vodopivec s.p. v okviru delovnega procesa. 10. Dejstvo ali se osebni podatki iznašajo v tretje države: Osebni podatki se ne iznašajo v tretje države. 11. Splošen opis varovanja zbirke osebnih podatkov: Osebni podatki se hranijo v pisni in nekateri v elektronski obliki skladno s Pravilnikom o zavarovanju osebnih podatkov. Osebni podatki v pisni obliki se hranijo v mapi, ki se nanaša na posameznega pacienta ali stranko. Spis se hrani v poslovnih prostorih subjekta, v zaklenjenih omarah ali predalih, do katerih imajo dostop le zaposleni. Nepooblaščenim strankam vstop v poslovne prostore subjekta ni mogoč oziroma vanjo vstopajo po predhodnem naročilu. V elektronski obliki se osebni podatki hranijo v računalniškem sistemu. Dostop do računalniškega sistema je mogoč le preko posamezne računalniške enote in preko osebnega gesla zaposlenega. 12. Podatki o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig (s katero zbirko se povečuje točno ta registrirana zbirka): Zbirke se ne povezujejo z uradnimi evidencami ter javnimi knjigami.