PRAVILNIK O OBRADI I ZAŠTITI OSOBNIH PODATAKA

trgovačkog društva Opereta d.o.o.

Na temelju odredbi Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Službeni list Europske unije, L 119/1, 04.05.2016.) nadalje „Opća uredba o zaštiti podataka“ ili „Uredba“) i Zakona o provedbi Opće uredbe o zaštiti osobnih podataka (NN 42/2018, nadalje „Zakon“) uprava trgovačkog društva Opereta d.o.o., sa sjedištem u Zagrebu, Božidara Magovca 63, OIB: 24059421894 (nadalje: „Društvo“) zastupano po direktoru Borislavu Vujoviću, koji zastupa Društvo samostalno i pojedinačno, donosi dana 12.05.2018. godine sljedeći

 

I.  TEMELJNE ODREDBE

Članak 1.

(1) Ovim Pravilnikom o obradi podataka (nadalje: „Pravilnik“) uređuju se i utvrđuju prava pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka vezano uz osobne podatke koje Društvo prikuplja, obrađuje, pohranjuje i prosljeđuje.

(2) Ovim Pravilnikom se utvrđuju postupci obrade osobnih podataka u smislu pojma obrade kako je određen ovim Pravilnikom, a u vezi s konkretnim postupcima obrade koje vezano uz osobne podatke provodi Društvo.

(3) Odredbe ovog Pravilnika primjenjuju se potpuno i neposredno na sve osobne podatke pojedinaca čiji se osobni podaci obrađuju od strane Društva.

 

II. DEFINICIJE

Članak 2.

(1) Sljedeći pojmovi u smislu ovog Pravilnika imaju sljedeća značenja:

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi

„ispitanik” znači pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice, a u smislu ovog Pravilnika predstavljaju Društvo;

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade, a imenovan je od strane Društva kao voditelja obrade podataka u posebno propisane svrhe poput obračuna plaće, evidencije zaštite na radu, itd.;

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27. Uredbe, a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju Uredbe;

„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;

„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;

„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;

„nadzorno tijelo” znači Agencija za zaštitu osobnih podataka ili drugo neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska, a koje je odgovorno za praćenje primjene Uredbe i Zakona kako bi se zaštitila temeljna prava i slobodne pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Europske Unije.

„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:

a) voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela;

b) obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili

c) podnesena je pritužba tom nadzornom tijelu.

„prekogranična obrada” znači ili:

a) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili

b) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.

„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije;

„radnik“ svaka osoba zaposlena u Društvu temeljem ugovora o radu ili menadžerskog ugovora

(2) Ostali pojmovi korišteni u ovom Pravilniku imaju značenje sukladno Uredbi i Zakonu.

 

 

III.     VRSTE PODATAKA

Članak 3.

(1) Osobne podatke dijelimo prema kategorijama osoba na:

  • osobne podatke zaposlenika;
  • osobne podatke potencijalnih zaposlenika
  • osobne podatke fizičkih osoba dobavljača i/ili predstavnika dobavljača
  • osobne podatke fizičkih osoba korisnika usluga i/ili predstavnika korisnika usluga

(2) Osobni podaci prema vrstama osobnih podataka posebno podrazumijevaju no neograničavajući se samo na:

  • ime i prezime,
  • matični broj upisa, OIB;
  • datum rođenja;
  • broj osobne iskaznice;
  • broj putovnice;
  • ime oca ili majke;
  • prebivalište i adresa;
  • mjesto rođenja;
  • broj zdravstvenog osiguranja;
  • broj MIO osiguranja;
  • osiguranje MIO II;
  • vrsta radnog odnosa (određeno, neodređeno, ugovor o djelu);
  • radno mjesto;
  • stručna sprema (SSS, VŠS, VSS);
  • zvanje ispitanika;
  • broj bankovnog računa;
  • radni staž prije poslodavca;
  • datum zasnivanja radnog odnosa;
  • datum raskida radnog odnosa;
  • razlog prestanka radnog odnosa (mirovina, otkaz, itd);
  • radno vrijeme zaposlenika;
  • podaci o ostvarenim pravima iz radnog odnosa (npr. porodiljini dopust, bolovanje itd.);
  • status zaposlen/nezaposlen;
  • škola/zanimanje;
  • razred;
  • ime i prezime roditelja (staratelja);
  • broj osobne iskaznice roditelja (staratelja) 

(3) Zabranjeno je prikupljanje i obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka, podataka koji se odnose na zdravlje ili podatka o spolnom životu ili seksualnoj orijentaciji pojedinaca, osim u Uredbom posebno propisanim slučajevima.

Članak 4.

(1) Društvo prikuplja sljedeće osobne podatke:

  1. temeljne osobne podatke: ime i prezime, adresa prebivališta, osobni identifikacijski broj (OIB), datum rođenja, spol, broj mobitela i podaci za kontakt (adresa stanovanja, e-pošta, broj telefona), informacije o vrsti ugovornog odnosa i sadržaju;
  2. ostale osobne podatke, koje ispitanik ili treće osobe stave Društvu na raspolaganje prilikom radnog, poslovnog ili drugog odnosa odnosno tijekom trajanja radnog, poslovnog ili drugog odnosa , kao što su podaci iz osobne iskaznice, bankovni račun, ovlasti potpisivanja, ili zastupanja, pri čemu ovdje ne pripadaju podaci osjetljivi sa strane zaštite podataka, posebno podaci o rasnoj ili etničkoj pripadnosti, političkim ili vjerskim nadzorima ili svjetonazoru, genetički podaci ili podaci o zdravstvenom stanju;
  3. podaci o korištenju proizvoda i usluga Društva i njihovim sadržajima npr. opis kupljenih i korištenih proizvoda i usluga, način korištenja.

(2) Osobni podaci prikupljaju se ili neposredno od ispitanika (usmenim i pisanim putem) ili posredno od trećih osoba.

(3) Ovisno o vrsti i svrsi osobnih podataka, prikupljeni osobni podaci se obrađuju, arhiviraju i eventualno prosljeđuju, a sve u skladu s prikazom danim u Prilogu 1. Pravilnika.

 

IV.  OBRADA PODATAKA

Članak 5.

(1) Osobni podaci ispitanika obrađuju se u sljedeće svrhe:

  1. Zasnivanje radnog odnosa ispitanika – ispunjavanje zakonskih obveza Društva kao poslodavca
  2. Realizacija poslovnih odnosa – sklapanje i izvršenje Ugovora Društva s ispitanicima (kupcima/dobavljačima)
  3. Osiguranje sigurnosti i zaštita imovine Društva – evidencija ulazaka i izlazaka ispitanika u prostor Društva te nadzorne kamere
  4. Rješavanje prigovora ispitanika ( kupaca, dobavljača)

(2) Osobni podaci u Društvu obrađuju se:

  1. temeljem zakonskih i podzakonskih propisa kada je to nužno radi poštovanja pravnih obveza Društva odnosno osobito sukladno važećem Zakonu o radu, Zakonu računovodstvu, Zakonu o trgovini, Zakonu o posredovanju u prometu nekretnina Zakonu o zaštiti potrošača, Zakonu o trgovačkim društvima, Zakonu o uslugama, Zakonu o obveznim odnosima, Općoj uredbi o zaštiti podataka, Pravilnikom o radu Društva i drugim primjenjivim propisima te radi ispunjavanja zadataka koji se izvršavaju u javnom interesu;
  2. temeljem privole ispitanika za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  3. kada je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  4. temeljem internih akata Društva, kada je obrada nužna za potrebe legitimnih interesa Društva;
  5. radi naplate potraživanja i radi kontaktiranja ispitanika – osobni podaci se načelno brišu po prestanku ugovornog odnosa, a najkasnije po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja, sve do konačnog dovršetka postupka odnosno radi kontaktiranja ispitanika za vrijeme ugovornog odnosa, kao i po prestanku ugovornog odnosa, tijekom razdoblja od godine dana, stupanje u odnos putem komunikacijskih kanala za koje je Društvo dobilo privolu ispitanika odnosno putem elektronička pošte (e-mail), društvene mreže i pisanim putem (poštom).

Članak 6.

(1) Društvo osigurava sve pravne, tehničke i organizacijske preduvjete za poštivanje osnovnih načela obrade osobnih podataka.

(2) Osobni podaci moraju biti:

  1. zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika;
  2. prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama pri čemu se daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhu znanstvenog ili povijesnog istraživanja ili u statističke svrhe, ne smatra neusklađenom s prvotnom svrhom;
  3. primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju
  4. točni i po potrebi ažurni, a Društvo poduzima svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
  5. čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju pri čemu se osobni podaci mogu pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, a što podliježe provedbi primjerenih tehničkih i organizacijskih mjera;
  6. obrađivani na način koji se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera 

Članak 7.

(1) Obrada osobnih podataka putem video nadzora odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.

(2) Obrada osobnih podataka putem video nadzora provodi se sukladno Odluci o video nadzoru, i to samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine.

(3) Video nadzorom obuhvaćene su samo prostorije ili dijelovi prostorija čiji je nadzor nužan radi postizanje svrhe iz prethodnog stavka.

(4) Objekt odnosno pojedina prostorija u njemu koja je pod video nadzorom, označena je na način da je oznaka vidljiva najkasnije prilikom ulaska u perimetar snimanja.

(5) Obavijest na oznaci iz prethodnog stavka treba sadržavati sve relevantne informacije sukladno odredbi članka 13. ovog Pravilnika, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

  • da je prostor pod video nadzorom,
  • podatke o Društvu (voditelju obrade),
  • kontakt podatke povjerenika voditelja obrade za zaštitu osobnih podataka putem kojih ispitanik može ostvariti svoja prava.

(6) Pravo pristupa osobnim podacima prikupljenim putem video nadzora ima odgovorna osoba Društva i/ili osoba koju on ovlasti.

(7) Snimke iz sustava video nadzora ne smiju se koristiti suprotno svrsi utvrđenoj u stavku 2. ovog članka.

(8) Sustav video nadzora zaštićen je od pristupa neovlaštenih osoba.

(9) Voditelj obrade dužan je  uspostaviti sustav logova za evidentiranje pristupa snimkama video nadzora koji će sadržavati vrijeme i mjesto pristupa kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem video nadzora.

(10) Snimke dobivene putem video nadzora mogu se čuvati najviše 6 mjeseci sukladno Zakonu o provedbi Opće uredbe o zaštiti podataka, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.

(11) Obrada osobnih podataka radnika putem sustava video nadzora radnih prostorija može se provoditi samo ako su uz uvjete utvrđene Zakonom o provedbi Opće uredbe za zaštitu podataka, ispunjeni i uvjeti utvrđeni propisima koji reguliraju zaštitu na radu i ako su radnici bili unaprijed obaviješteni o takvoj mjeri i ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava video nadzora.

(12) Video nadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.

Članak 8.

(1) Društvo vodi evidenciju aktivnosti obrade elektronskim i pisanim putem.

(2) U evidenciji će za svaku kategoriju ispitanika biti navedena svrha obrade, koji osobni podatak se obrađuje te osnova i način prikupljanja, gdje se čuvaju, razdoblje čuvanja podataka i vrsta zaštite.

(3) Direktor Društva odlukom će odrediti osobu zaduženu za vođenje evidencije aktivnosti obrade.

Članak 9. 

(1) Osobni podaci koji se prikupljaju i obrađuju, načelno se brišu kada prestane svrha zbog koje su prikupljani, a najkasnije po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka.

(2) Osobni podaci ispitanika- radnika čuvaju se u trajanju određenom zakonom, podzakonskim propisima ili internim aktima društva.

(3) Osobni podaci ispitanika zainteresiranih za zapošljavanje u Društvu čuvaju se dok traje aktivnost zbog koje se obrađuju, ali ne dulje od 2 (dvije) godine.

Članak 10.

Privole ispitanika koje su dane za kontaktiranje te druge svrhe, a izvan su okvira zakonom propisanih osnova za prikupljanje osobnih podataka, vrijede do opoziva, a mogu se opozvati u svakom trenutku.

Članak 11.

(1) Ovlaštene osobe za obradu osobnih podataka obrađuju osobne podatke temeljem opisa poslova koje obavljaju. Osobe ovlaštene za obradu osobnih podataka potpisuju Izjavu o povjerljivosti kojom se obvezuju čuvati povjerljivost svih osobnih podataka kojima imaju ovlast pristupa i obrade te da će ih koristiti isključivo u svrhu u koju se obrađuju.

(2) Pri prikupljanju bilo kojih osobnih podataka, radnici Društva dužni su ispitanika informirati o svrsi i pravnoj osnovi obrade za koju se podaci namijenjeni.

 

V.      PRAVA ISPITANIKA

Članak 12.

(1) Pravo na ispravak: ako Društvo obrađuje osobne podatke koji su nepotpuni ili netočni, ispitanik može u bilo kojem trenutku zatražiti od Društva da ih ispravi ili dopuni.

(2) Pravo na brisanje: Ispitanik može zatražiti brisanje svojih osobnih podataka ako ih je Društvo obrađivalo bez valjanje svrhe, protupravno.

(3) Pravo na ograničenje obrade: ispitanik može zatražiti ograničenje obrade svojih podataka u sljedećim slučajevima:

  • ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka;
  • obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
  • voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
  • ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. Uredbe očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

(4) Pravo na mogućnost prijenosa podataka: Ispitanik može zatražiti prijenos svojih osobnih podataka drugom voditelju obrade podataka u strukturiranom i strojno čitljivom formatu i to ako Društvo obrađuje te podatke na temelju privole ispitanika ili radi ispunjenja ugovornih obveza te da se obrada vrši pomoću automatiziranih procesa.

(5) Pravo na prigovor: Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. Društvo više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

(6) Pravo na žalbu: U slučaju da ispitanik smatra da je Društvo prilikom obrade podataka prekršilo hrvatske ili europske propise o zaštiti osobnih podataka, ima pravo dobiti obrazloženje i odgovore na pitanja vezana za zaštitu osobnih podataka od Društva u roku od 15 (petnaest) dana od dostave pisanog prigovora i upita Društvu. U slučaju da ispitanik ne dobije odgovor/obrazloženje u roku danom temeljem ovog stavka ili i nakon dobivenog obrazloženja/odgovora i dalje smatra da Društvo prilikom obrade osobnih podataka krši hrvatske ili europske propise o zaštiti osobnih podataka, ispitanik ima pravo podnijeti pritužbu Agenciji odnosno drugom nadležnom tijelu javne vlasti i nadzornom tijelu unutar Europske unije.

(7) Ostvarivanje prava: Zakonski zastupnik Društva će imenovati povjerenika Društva kao službenika za zaštitu osobnih podataka te osobu koje su osim Društva kao poslodavca ovlaštene za nadziranje, prikupljanje, obrađivanje, korištenje i dostavljanje osobnih podataka. Prije prikupljanja osobnih podataka, zaposlenici Društva informirat će ispitanika o identitetu povjerenika Društva za vođenje zaštite osobnih podataka te o svrsi obrade kojoj su osobni podaci namijenjeni.

Društvo je dužno najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom ispitaniku (odnosno njegovom zakonskom zastupniku ili punomoćniku) pružiti sljedeće informacije:

  • identitet i kontakt podatke voditelja obrade
  • kontakt povjernika
  • voditelja obrade za vođenje zaštite osobnih podataka;
  • svrha obrade i pravna osnova za obradu osobnih podataka;
  • primatelje ili kategorije primatelja osobnih podataka (ako ih ima);
  • ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji na temelju odluke o primjerenosti u skladu s člankom 45. Uredbe

 

VI.    MJERE ZAŠTITE OSOBNIH PODATAKA

Članak 13.

Ispitanik ako želi ostvariti neko od navedenih prava iz čl. 12. ovog Pravilnika, može se obratiti imenovanoj osobi iz članka 12. stavka 7. ovog Pravilnika koja je dužna pisanim putem odgovoriti u roku od 30 dana od dana podnošenja zahtjeva ispitanika.

Članak 14.

 (1) Društvo je dužno provoditi odgovarajuće tehničke, kadrovske i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka, a kako bi se prikupljeni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zloupotrebe.

(2) U slučaju da pojedine osobne podatke u ime Društva obrađuje treća osoba (izvršitelj obrade), s istom se ugovora obveza poštivanja pravila o zaštiti osobnih podataka propisana Zakonom i ovim Pravilnikom.

(3) Obveza poštivanja pravila o zaštiti osobnih podataka iz prethodnog stavka ugovara se sa svakom pravnom ili fizičkom osobom koja ima pristup osobnim podacima, prilikom održavanja aplikacija, odnosno informacijskog sustava Društva.

Članak 15.

 (1) Radnik ovlašten za obradu pojedinog osobnog podatka, odmah po saznanju za povredu podataka dužan je o istome izvijestiti službenika za zaštitu podataka  voditelja obrade osobnih podataka Društva.

(2) U slučaju kada je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca, povjerenika voditelja obrade i/ili direktor Društva ili osoba koju za to ovlasti će bez nepotrebnog odgađanja i ako je izvedivo, najkasnije 72 sata nakon saznanja za povredu, izvijestiti Agenciju za zaštitu osobnih podataka (dalje: Agencija) o povredi osobnih podataka dostavom obrasca Izvješća o povredi osobnih podataka dostavljen kao Prilog 2 ovom Pravilniku. U slučaju da Društvo ne izvijesti Agenciju u roku 72 sata, obrazložiti će razlog za takvo postupanje.

(3) U slučaju kada je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca, direktor Društva  ili osoba koju za to ovlasti, će bez nepotrebnog odgađanja obavijestiti ispitanika o povredi.

(4) Obavješćivanje iz stavka 3. ovog članka nije obavezno ako je Društvo poduzelo odgovarajuće tehničke i organizacijske mjere zaštite i primijenilo ih na osobne podatke koji su povrijeđeni te ako je poduzelo naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika.

(5) Izvršitelj obrade, ako postoji, dužan je bez nepotrebnog odgađanja izvijestiti Društvo nakon što sazna za povredu osobnih podataka.

Članak 16.

(1) Osobni podaci iz članka 3. i članka 4. ovog Pravilnika smatraju se poslovnom tajnom te su radnici koji po bilo kojem osnovu saznaju podatke iz članka 3. i članka 4. ovog Pravilnika ovlašteni koristiti ih isključivo za izvršenje svojih obveza iz radnog odnosa.

(2) Povreda dužnosti čuvanja poslovne tajne iz prethodnog stavka smatra se osobito teškom povredom obveze iz radnoga odnosa koja predstavlja razlog za izvanredni otkaz ugovora o radu.

(3) Ako bi zbog neovlaštenog priopćavanja podataka koji se smatraju poslovnom tajnom Poslodavcu nastala imovinska ili neimovinska šteta, protiv osobe koja je povrijedila dužnost čuvanja tajne Poslodavac će pokrenuti postupak za naknadu štete.

 

VII.  PRIJELAZNE I ZAVRŠNE ODREDBE

Članak 17.

Ovaj Pravilnik o radu se prije stupanja na snagu objavljuje na oglasnoj ploči Društva, a stupa na snagu te se primjenjuje od dana 25.05.2018. godine.