Na podlagi Splošne Uredbe o varstvu osebnih podatkov ADCO & DIXI, varovanje okolja d.o.o., Meljska cesta 103, 2000 Maribor sprejema naslednji

 

PRAVILNIK

 O VARSTVU OSEBNIH PODATKOV

 

I. SPLOŠNE DOLOČBE

 

1. člen

 

Ta pravilnik določa ukrepe za varovanje pri zbiranju, obdelavi, shranjevanju, posredovanju in uporabi osebnih podatkov v podjetju.

Pravilnik se sprejema z namenom, da se prepreči naključno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba kakor tudi nepooblaščen dostop, obdelava, uporaba ali posredovanje osebnih podatkov.

Zaposleni in pogodbeni sodelavci, ki pri svojem delu obdelujejo in uporabljajo osebne podatke, morajo biti seznanjeni z Zakonom o varstvu osebnih podatkov, s področno zakonodajo, ki ureja posamezno področje njihovega dela, in z vsebino tega pravilnika.

V zadevah, ki jih ta pravilnik ne ureja, se neposredno uporabljajo določbe veljavnega Zakona o varstvu osebnih podatkov in Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju: uredba).

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

  1. ZVOP – Vsakokrat veljavni zakon s področja varovanja osebnih podatkov.
  2. osebni podatek – je kateri koli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
  3. posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali organizacijsko identiteto, pri čemer način identifikacije ne povzroča velikih stroškov ali ne zahteva veliko časa.
  4. zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran tako, da določi posameznika ali omogoči njegovo določljivost.
  5. obdelava osebnih podatkov – pomeni kakršno koli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
  6. upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov, oz. oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.
  7. obdelovalec – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
  8. nosilec podatkov – so vse vrste sredstev, na katerih so zapisani ali posneti podatki (listine, akti, gradiva, spisi, računalniška oprema, vključno z magnetnimi, optičnimi ali drugimi računalniškimi mediji, fotokopije, zvočno in slikovno gradivo, mikrofilmi, naprave za prenos podatkov ipd.).
  9. Uredba – Uredba (EU) 2016/679 Evropskega Parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

 

3. člen

Obdelava in zavarovanje posebnih vrst osebnih podatkov, med katere sodijo podatki o članstvu v sindikatu, zdravstvenem stanju, vpisu ali izbrisu v ali iz kazenske evidence ali drugih evidenc in biometrične značilnosti, mora biti izvajano posebno vestno in skrbno.

Posebne vrste osebnih podatkov morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam prepreči dostop do njih.

4. člen

Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

  • varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  • zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  • omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.

Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.

Zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati zaupnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.

 

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

5. člen

Prostori, kjer se nahajajo nosilci varovanih osebnih podatkov – vsak dokument, na katerem je zapisan osebni podatek in vsak drug računalniški ali elektronski nosilec podatka – in strojna ter programska oprema (v nadaljevanju besedila: varovani prostori) morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop v prostore iz prvega odstavka tega člena je mogoč in dopusten le v delovnem času, izven delovnega časa pa le na podlagi dovoljenja od pooblaščene osebe.

Nosilci osebnih podatkov, hranjeni izven aktivnih delovnih prostorov oziroma izven varovanih prostorov (hodniki, skupni prostori ipd.), morajo biti stalno zaklenjeni v omari.

Ključi varovanih prostorov se uporabljajo in hranijo v skladu z internim navodilom o uporabi ključev.

6. člen

Izven delovnega časa morajo biti nosilci osebnih podatkov shranjeni v zaklenjenih omarah v delovnih prostorih.

Računalniki ali druga strojna oprema, na kateri se obdelujejo ali hranijo osebni podatki, morajo biti izven delovnega časa izklopljeni in fizično ali programsko zaklenjeni, dostop do osebnih podatkov, hranjenih na disku računalnika, pa kodiran.

7. člen

V varovane prostore nezaposlene osebe ne smejo vstopati brez spremstva ali prisotnosti zaposlenega delavca. Delavec, ki dela v varovanih prostorih, mora vestno in skrbno nadzorovati prostor in ob zapustitvi prostora le-tega zakleniti.

Delavec, ki pri svojem delu uporablja osebne podatke ali jih kakorkoli obdeluje, ne sme med delovnim časom puščati nosilcev osebnih podatkov na pisalnih mizah ali jih kako drugače izpostavljati nevarnosti vpogleda vanje nepooblaščenim osebam oziroma delavcem.

V prostorih, kjer imajo vstop stranke oziroma osebe, ki niso zaposlene v podjetju, morajo biti nosilci podatkov in računalniški prikazovalniki v času obdelave ali dela na njih nameščeni tako, da strankam ni omogočen pogled vanje.

8. člen

Nosilcev osebnih podatkov delavci podjetja ne smejo odnašati izven podjetja brez izrecnega dovoljenja od pooblaščene osebe.

Zastopnik, direktor Boris Volmajer ali od njega pooblaščena oseba lahko dovoli iznos nosilcev osebnih podatkov iz podjetja.

Posredovanje osebnih podatkov pooblaščenim zunanjim institucijam in drugim, ki kažejo zakonsko podlago za pridobitev osebnih podatkov, dovoli pooblaščena oseba.

9. člen

Vzdrževanje in popravilo strojne, računalniške in druge opreme, s katero se obdelujejo osebni podatki, je dovoljeno samo z vednostjo in odobritvijo pooblaščene osebe, izvajajo pa ga lahko samo pooblaščeni servisi in njihovi vzdrževalci, ki imajo s podjetjem sklenjeno pogodbo o servisiranju računalniške oziroma strojne opreme.

10. člen

Vzdrževalci prostorov in druge opreme v varovanih prostorih, poslovni partnerji in drugi obiskovalci, se smejo gibati v varovanih prostorih le ob prisotnosti delavca podjetja.

Zaposleni tehnično-vzdrževalni delavci in čistilke se lahko gibljejo v varovanih prostorih izven delovnega časa in brez prisotnosti odgovorne osebe le, če so nosilci podatkov shranjeni na način, ki ga določa ta pravilnik za čas izven delovnega časa.

11. člen

Pooblaščenim in odgovornim osebam, je dodeljeno uporabniško ime, geslo in elektronski poštni naslov, ki ga uporablja za potrebe dela v podjetju. S tem geslom lahko dostopa do poslovnih aplikacij, kjer se mu na nivoju uporabnika dodeli posamezne pravice glede na delovno mesto in tip aplikacije do katere dostopa.

 

III. OBDELAVA OSEBNIH PODATKOV IN ZBIRKE OSEBNIH PODATKOV

12. člen

Pisemske pošiljke, ki vsebujejo osebne podatke, se pošiljajo naslovniku z navadno pošiljko po pošti.

Prenašanje osebnih podatkov prek telekomunikacijskih sredstev ali drugih računalniških medijev izven podjetja mora biti zavarovano s postopki in ukrepi na način, ki nepooblaščenim osebam preprečuje prilaščanje, uničenje ali nedovoljeno seznanjanje z njihovo vsebino.

Prenos osebnih podatkov po elektronski pošti mora biti zavarovan z geslom za identifikacijo.

13. člen

Vsebino zbirke ali zbirk podatkov, ki se prenašajo po komunikacijskih kanalih ali fizično na računalniških medijih izven podjetja, se mora med prenosom napraviti nečitljivo, z ustreznimi standardnimi kriptografskimi metodami.

14. člen

Podjetje vodi osebne podatke v zbirkah osebnih podatkov, ki jih vzpostavi na podlagi zakona in osebne podatke, ki jih vodi v okviru zakonsko določenih zbirk na podlagi soglasja osebe, na katero se podatki nanašajo.

Vrste zbirk osebnih podatkov, ki jih podjetje vodi, so določene s evidenco obdelave zbirk osebnih podatkov, ki je priloga tega pravilnika.

15. člen

Delavec oziroma oseba, o kateri se vodijo osebni podatki, oziroma pooblaščenec delavca ali osebe ali zakoniti zastopnik osebe, o kateri se v zbirki osebnih podatkov vodijo njegovi osebni podatki, lahko vpogleda v osebne podatke, vodene o njem oziroma o zastopancu in jih ima pravico prepisati. Vpogled in prepis osebnih podatkov mora biti osebi omogočen v roku 7 dni od dneva, ko je bila dostavljena pisna zahteva na podjetje.

Osebe iz 1. odstavka tega člena imajo pravico zahtevati, da jim podjetje posreduje izpis osebnih podatkov iz zbirke osebnih podatkov, ki se nanašajo nanj. Izpis je potrebno osebi zagotoviti v roku 15 dni od dneva prejema pisne zahteve. Stroške izpisa nosi upravljavec.

16. člen

Osebni podatki, vodeni v zbirki osebnih podatkov podjetja, se lahko posredujejo drugim uporabnikom samo, če so za njihovo pridobitev in uporabo pooblaščeni z zakonom ali na podlagi pisne zahteve ali privolitve osebe, na katero se osebni podatki nanašajo.

Na zahtevo osebe, o kateri so bili posredovani osebni podatki, mora delavec, ki je osebne podatke posredoval, izročiti osebi seznam subjektov, katerim so bili v določenem obdobju posredovani podatki, ki so vsebovani v zbirki podatkov podjetja in se nanašajo nanj.

 

IV. BRISANJE PODATKOV OZIROMA UNIČENJE NOSILCEV OSEBNIH PODATKOV

17. člen

Osebni podatki se lahko vodijo v zbirki osebnih podatkov le toliko časa, kolikor je potrebno oz. je zakonsko določeno, da se doseže namen, za katerega se zbirajo in vodijo.

Po prenehanju potrebe po vodenju osebnih podatkov, se podatki zbrišejo oziroma uničijo nosilci podatkov.

18. člen

Brisanje osebnih podatkov na računalniških medijih se opravi na način, po postopku in metodi, ki onemogoča restavriranje brisanih podatkov.

Osebni podatki, vsebovani na klasičnih nosilcih (listine, kartoteke, register, seznam), se brišejo z uničenjem nosilcev. Nosilci se fizično uničijo (skurijo, razrežejo) v prostorih podjetja ali pod nadzorom pooblaščenega delavca podjetja pri organizaciji, ki se ukvarja z uničevanjem zaupne dokumentacije.

Vodi se evidenca o uničenju.

19. člen

Z vestnostjo in skrbnostjo, določeno z navodili za uničevanje osebnih podatkov, vodenih v zbirkah oziroma na posameznih nosilcih podatkov, se mora brisati in uničevati tudi pomožna dokumentacija ali računalniški produkti oziroma predloge, ki vsebujejo posamezne osebne podatke.

Uničevanje osebnih podatkov na nosilcih iz predhodnega odstavka se mora izvajati tekoče in ažurno.

Uničevanje in brisanje osebnih podatkov se opravi komisijsko. Zastopnik imenuje delavce, ki prisostvuje in protokolira vsak izbris in uničenje nosilcev osebnih podatkov, o čemer se pripravi zapisnik.

V. UKREPANJE OB UGOTOVITVI ZLORABE OSEBNIH PODATKOV ALI VDORU V ZBIRKE OSEBNIH PODATKOV

20. člen

Delavci podjetja so dolžni izvajati ukrepe za preprečevanje zlorabe osebnih podatkov in morajo z osebnimi podatki, s katerimi se seznanijo pri svojem delu, ravnati vestno in skrbno na način in po postopkih, ki jih določa ta pravilnik.

Delavec, ki izve ali opazi, da je prišlo do zlorabe osebnih podatkov (odkrivanje osebnih podatkov, nepooblaščeno uničenje, nepooblaščeno spreminjanje, poškodovanje zbirke, prilaščanje osebnih podatkov) ali do vdora v zbirko osebnih podatkov, mora takoj o tem obvestiti zastopnika ali od njega pooblaščeno osebo, ki vodi in ureja zbirko osebnih podatkov, ki so bili zlorabljeni ali v katero se je vdrlo.

21. člen

Zastopnik ali od njega pooblaščena oseba mora zoper tistega, ki je zlorabil osebne podatke ali je nepooblaščeno vdrl v zbirko osebnih podatkov, ustrezno ukrepati.

Če pri vdoru v zbirko osebnih podatkov obstaja sum, da je ta storjen z naklepom in namenom zlorabiti osebne podatke ali jih uporabiti v nasprotju z nameni, za katere so zbrani, ali če je do zlorabe osebnih podatkov že prišlo, mora zastopnik ali od njega pooblaščena oseba poleg uvedbe disciplinskega postopka zoper storilca ali izreka opomina pred redno odpovedjo pogodbe o zaposlitvi ali poleg redne odpovedi pogodbe o zaposlitvi iz krivdnih razlogov ali poleg izredne odpovedi pogodbe o zaposlitvi, če je ta delavec organizacije, vdor ali zlorabo oziroma poskus zlorabe prijaviti organom pregona.

Za zlorabo osebnih podatkov šteje vsaka uporaba osebnih podatkov v namene, ki niso v skladu z nameni zbiranja, določenimi v zakonu, na podlagi katerega se zbirajo, ali nameni, določenimi v katalogu zbirk osebnih podatkov. Za poskus zlorabe šteje poskus uporabe osebnih podatkov v nedovoljene namene.

VI. ODGOVORNOST ZA IZVAJANJE UKREPOV VARSTVA OSEBNIH PODATKOV

22. člen

Pred nastopom dela delavca na delovnem mestu, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujemo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, mora delavec podpisati izjavo, ki ga zavezuje k varovanju osebnih podatkov kot poklicne skrivnosti ali poslovne skrivnosti in ki ga opozarja na posledice kršitve zaveze.

Obveza varovanja osebnih podatkov, s katerimi se delavec seznani pri svojem delu v podjetju, traja tudi po prenehanju delovnega razmerja v podjetju.

23. člen

Delavec stori lažjo kršitev delovne dolžnosti:

  • če opusti vestno in skrbno nadzorovanje varovanih prostorov,
  • če opusti ravnanja za preprečitev vpogleda v ali na nosilce osebnih podatkov,
  • če ne uniči kopije osebnih podatkov po preteku roka hranjenja,
  • če ni v času izvajanja vzdrževanja in nadgradnje računalnika in programske opreme prisoten,
  • če ne obvesti pristojne službe za informatiko o eventualnih napakah na programski, strojni opremi in ostalo,
  • če ne vodi evidence kopij vsebin zbirk osebnih podatkov v evidenci o manipulaciji z osebnimi podatki, v kolikor to zahteva zakonodaja in
  • če ne obvesti zastopnika ali od njega pooblaščene osebe v primeru zlorabe osebnih podatkov ali vdora v zbirko osebnih podatkov.

24. člen

Delavec stori hujšo kršitev delovne dolžnosti:

  • če sporoča osebne podatke, s katerimi se je seznanil pri svojem delu, sodelavcem ali drugim osebam,
  • če opusti skrb in nadzor nad nosilci osebnih podatkov med delovnim časom in tako dopusti možnost vpogleda vanje nepooblaščenim osebam,
  • če brez izrecnega dovoljenja odnaša iz podjetja nosilce osebnih podatkov,
  • če posreduje osebne podatke pooblaščenim eksternim institucijam brez dovoljenja zastopnika ali od njega pooblaščene osebe,
  • če ne vpiše v evidence o manipulaciji z osebnimi podatki dejstva o posredovanju osebnih podatkov eksternim institucijam,
  • če popravlja, spreminja ali dopolnjuje sistemsko ali aplikativno programsko opremo,
  • če inštalira ali odnese programsko opremo iz podjetja, brez izrecnega zastopnikovega ali od njega pooblaščene osebe dovoljenja,
  • če ne izdeluje redno kopije vsebine osebnih podatkov, v kolikor to zahteva zakonodaja,
  • če ne hrani računalniških kopij, vsebin zbirk osebnih podatkov v zavarovanih, zaklenjenih omarah, v kolikor to zahteva delovni proces in zakonodaja.

25. člen

O zlorabi ali sumu zlorabe osebnih podatkov, vodenih v zbirkah osebnih podatkov podjetja, za osebe, ki niso delavci podjetja, se obvesti organe, pooblaščene za pregon.

V primeru ogrozitve pravic in svoboščin posameznika se seznani tudi posameznika

 

VII. POSEBNE UREDITVE ZA ZBIRKE OSEBNIH PODATKOV, VODENIH V ORGANIZACIJI

26. člen

  1. Odgovorne osebe

Za vzpostavitev, vodenje, ažuriranje in manipulacijo z zbirkami osebnih podatkov in osebnimi podatki, vodenimi v organizaciji je odgovoren zastopnik Boris Volmajer (direktor) ali od njega pooblaščena oseba.

  1. Pooblaščeni delavci

Zastopnik ali od njega pooblaščeni delavci za potrebe dela lahko vpogledajo in uporabijo osebne podatke, vsebovane v vseh zbirkah osebnih podatkov, vodenih v organizaciji.

V katalogu zbirk osebnih podatkov (evidenca dejavnosti obdelave) so zbrani podatki o upravljavcu zbirke, kategorije posameznikov, na katere se nanašajo osebni podatki, vrste osebnih podatkov v zbirki, namena obdelave, roka hrambe, uporabnikov ali kategorij uporabnikov osebnih podatkov, dejstev o iznašanju osebnih podatkov, opisa varovanja osebnih podatkov, podatkov o povezanih zbirkah in podatkov o zastopniku

  1. Zbirka osebnih podatkov, za katere je potrebno pisno soglasje

Pisno soglasje delavcev mora organizacija pridobiti za vzpostavitev in vodenje zbirke osebnih podatkov ali osebnega podatka, ki jo ali ga namerava organizacija voditi, pa taka zbirka ali podatek ni predpisana oziroma predpisan z zakonom.

Pisno soglasje iz predhodnega člena mora vsebovati:

  • jasno opredeljeno voljo za izdajo soglasja,
  • navedbo podatkov, ki se zbirajo,
  • natančno opredeljen namen zbiranja podatkov,
  • zagotovilo, da se bodo podatki uporabljali le za namen, za katerega so zbrani,
  • čas shranjevanja podatkov,
  • seznanitev z možnostjo preklica soglasja,
  • datum podpisa izjave in podpis osebe.
  1. Vodenje in ažuriranje zbirk osebnih podatkov

 

Zbirke osebnih podatkov delavcev se vzpostavijo ob sklenitvi delovnega razmerja z delavcem oziroma ažurirajo ob vsaki spremembi, ki jo javi delavec. Osebne podatke v zbirki osebnih podatkov delavcev vzpostavi oziroma ažuriran odgovorna oseba.

  1. Hramba in roki hrambe zbirk osebnih podatkov

Za hrambo zbirk osebnih podatkov so odgovorne osebe.

Zbirke osebnih podatkov delavcev organizacije in druge zbirke osebnih podatkov, vodene v organizaciji, se hranijo v zaklenjeni omari.

Roki hranjenja zbirk osebnih podatkov se določijo za vsako zbirko osebnih podatkov s katalogom zbirke osebnih podatkov.

Katalogi zbirk osebnih podatkov, združeni v interni seznam katalogov zbirk osebnih podatkov, so priloga tega pravilnika.

 

VII. PREHODNE IN KONČNE DOLOČBE

27. člen

Evidenca zbirk in zbirke osebnih podatkov, organizacija varstva osebnih podatkov in ureditev drugih zadev, določenih s tem pravilnikom, se mora uskladiti z Zakonom o varstvu osebnih podatkov in določbami tega pravilnika, v roku 15 dni od dneva sprejetja tega pravilnika.

28. člen

Ta pravilnik sprejme zastopnik Boris Volmajer.

Spremembe in dopolnitve tega pravilnika sprejme zastopnik po postopku in na način, kot velja za sprejem pravilnika.

29. člen

Z določbami tega pravilnika morajo biti seznanjeni vsi delavci podjetja.

Ta pravilnik prejmejo delavci, katerih delovne obveznosti zajemajo tudi zbiranje, urejanje, obdelavo, spremljanje, shranjevanje, posredovanje ali uporabo osebnih podatkov ali nosilcev osebnih podatkov, proti podpisu prejema.

 

Maribor, 10. 5. 2021

Zadnja sprememba: 10.55.2021

 

Boris Volmajer, direktor