Na temelju čl. 3. st. 1. Opće uredbe o zaštiti podataka (EU) 2016/679) direktor društva ETNO SELO d.o.o. (OIB 00142988705) dana 23.05.2018. , donosi slijedeći

PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA

  1. OPĆE ODREDBE

Članak 1.

  • U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka društvo ETNO SELO d.o.o., (u daljnjem tekstu: Društvo) obveznik je primjene Opće uredbe o zaštiti podataka (EU) 2016/679 (dalje u tekstu: Opća uredba).

Članak 2.

  • Sukladno čl. 4. toč. 7. Opće uredbe Društvo je voditelj obrade osobnih podataka koja određuje svrhu i sredstva obrade osobnih podataka u skladu s nacionalnim zakonodavstvom i/ili pravom EU.
  • U posebnim slučajevima Društvo se, izvršavajući obveze iz Kolektivnog Ugovora ili drugih ugovora može naći i u ulozi izvršitelja obrade.

Članak 3.

  • U skladu sa Općom uredbom pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:

„osobni podatak“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ilistavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

„privola spitanika“ znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

Članak 4.

  • Osobne podatke fizičkih osoba Društvo obrađuje zakonito, pošteno i transparentno. Obrađuju se samo primjereni i relevantni osobni podaci i to isključivo u posebne, izričite i zakonite svrhe, za koje su i prikupljeni te se dalje ne obrađuju na način koji nije u skladu s tim svrhama.
  • Osobni podaci koje Društvo obrađuje su točni te se po potrebi ažuriraju. Osobni podaci koji nisu točni bez odlaganja se brišu ili ispravljaju.
  • Društvo osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.
  • Društvo osobne podatke čuva samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja, ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Društvo u svom radu obrađuje isključivo podatke svojih radnika.
  1. OBRADA OSOBNIH PODATAKA

Članak 5.

  • Društvo osobne podatke obrađuje samo i u onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
  • da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
  • da je obrada nužna radi poštovanja pravnih obveza Društva i radi ispunjavanja zakonskih obveza društva.
  • da je obrada nužna za potrebe legitimnih interesa Društva
  • da je isto temeljeno na ugovornoj obvezi

Članak 6.

  • Kategorije osobnih podataka ispitanika koje se prikupljaju i obrađuju su kako slijedi
  1. Osobni identifikatori
  2. Lokacijski i kontakt podaci
  3. Broj tekućeg računa, financijska institucija kod koje se vodi i posebne okolnosti ovrhe ili ustege na računu
  4. Podaci o obitelji i uzdržavanim osobama
  5. Podaci o radnom vijeku i rezultatima
  6. Podaci o obrazovanju i vještinama
  7. Podaci nužni za prijavu na HZMO

Članak 7.

Osobni podaci se prikupljaju i obrađuju pri postupku obrade plaće i zaštite prava radnika. Pri obradi osobnih podataka obrađuju se slijedeći podaci:

  • osobni podaci zaposlenika Društva
  • osobni podaci o vanjskim suradnicima
  • osobni podaci o kandidatima koji sudjeluju u natječajnom postupku za zasnivanje radnog odnosa
  • osobni podaci za potrebe sigurnosti i tehničke zaštite
  • osobni podaci nužni za provedbe postupaka izvlaštenja kod pripreme i realizacije investicijskih projekata
  • osobni podaci poslovnih partnera iz ugovora o zakupu poslovnih prostora
  • osobni podaci korisnika knjižnice i željezničkog muzeja

Članak 8.

  • Pravo pristupa osobnim podacima koji se prikupljaju i obrađuju imaju samo za to ovlaštene
  • Osobe ovlaštene za prikupljanje i obradu osobnih podatka su direktor društva te ostale osobe koje u slučaju potrebe može imenovati i Uprava Društva. Osobne podatke obrađuje i treća strana kao izvršitelj obrade, odnosno ovlašteni knjigovodstveni servis koji raspolaže podacima radnika, isključivo u zakonskim okvirima, radi isplate i obračuna plaće.
  • Osobe koje mogu biti ovlaštene za prikupljanje i obradu osobnih podataka su osobe koje prema opisu radnog mjesta moraju imati pristup tim podacima kako bi izvršili svoj radni zadatak, pri čemu se osobni podaci moraju koristiti u skladu sa svrhom za koju su prikupljeni.
  • Zabranjeno je učiniti osobni podatak ispitanika dostupnim neovlaštenoj osobi, ili koristiti osobni podatak ispitanika na način koji nije u vezi sa radnim procesom, odnosno koji nije u skladu sa svrhom za koju je prikupljen. Osobne podatke koje Društvo prikuplja ili obrađuje, osobe zadužene za obradu osobnih podataka, mogu otkriti ili učiniti dostupnima drugim zaposlenicima Društva kojima je osobni podatak nužan za njihov radni proces koji je u skladu sa svrhom za koju je osobni podatak i prikupljen.
  • Osobe zadužene za obradu osobnih podataka odgovorne su za zaštitu osobnih podataka od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe

Članak 8.

  • Kod prikupljanja osobnih podataka od ispitanika, zaposlenici Društva dužni su ispitaniku dati sljedeće informacije:
  1. Osnovni podaci o Društvu i kontaktne podatke Društva;
  2. Kontaktni podaci službenika za zaštitu podataka;
  3. Svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
  4. Informaciju o legitimnim interesima Društva, ako se obrada temelji na legitimnim interesima Društva,
  5. Informaciju o primateljima ili kategorijama primatelja osobnih podataka, ako ih ima;

6.Razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

7.Postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

  1. Ako se obrada temelji na privoli, postojanje prava da se u bilo kojem trenutku povuče privolu, kao i da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
  2. postojanje prava na podnošenje prigovora nadzornom tijelu;

10.Informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

Ova informacija se daje u pisanom obliku, uz obvezan potpis ispitanika kojim potvrđuje da je informaciju primio i razumio.

  • Ako osobni podaci nisu prikupljeni od ispitanika, zaposlenici društva koji prikupljaju osobne podatke dužni su u razumnom roku ispitanika informirati sukladno članku 6. ovog Pravilnika, uz dodatno navođenje izvora osobnih podataka o ispitaniku.

Članak 9.

  • Privola kojom ispitanik Društvu daje pristanak za obradu osobnih podataka koji se na njega odnose jest dobrovoljna, u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
  • Za sve radne procese u kojima se osobni podaci prikupljaju i/ili obrađuju temeljem privole ispitanika, privola se mora ishoditi prije prikupljanja novih, odnosno obrade već prikupljanih podataka.

III. PRAVA ISPITANIKA

Članak 10.

  • U slučaju da ispitanik, osobno ili putem punomoćnika ili zakonskog zastupnika postavi upit o obradi njegovih osobnih podataka, Društvo će odmah, a najkasnije u roku od mjesec dana dostaviti pisani odgovor u kojem će:
  • informirati ispitanika o svrsi obrade njegovih osobnih podataka, kategorijama osobnih podataka koji se obrađuju, o primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru
  • dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose
  • ispraviti netočne podatke ili podatke dopuniti
  • provesti brisanje osobnih podataka koji se na ispitanika odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji.
  • Rok iz st. 1. ovog članka može se prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. društvo obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
  • Ako je zahtjev ispitanika podnesen elektroničkim putem, Društvo informaciju pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.
  • O razlozima odbijanja zahtjeva ispitanika iz st. 1. ovog članka. Društvo će bez odgađanja, a najkasnije jedan mjesec od primitka zahtjeva, izvijestiti ispitanika o razlozima odbijanja zahtjeva.
  • Društvo informacije iz ovog članka pruža bez naknade. Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani Društvo će naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti.

Članak 11.

  • Za sve aktivnosti obrade osobnih podataka Društvo vodi evidenciju aktivnosti obrade koja se nalazi u prilogu 2. ovog Pravilnika i smatra se njegovim sastavnim dijelom.
  • Evidencija aktivnosti obrade sadrži najmanje sljedeće podatke:

−          Tvrtku i kontaktne podatke Društva, osobu koja je zadužena za obradu i službenika za zaštitu podataka

−          svrhu obrade

−          opis kategorija ispitanika i kategorija osobnih podataka;

−          kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni

−          predviđene rokove za brisanje različitih kategorija podataka

SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 12.

  • Društvo imenuje službenika za zaštitu podataka.
  • Službenik za zaštitu podataka ima odgovarajuću stručnu spremu, a imenuje se iz redova zaposlenika Društva, uključujući i upravu društva. Kontakt podaci službenika za zaštitu podataka dostupni su na web stranicama Društva.
  • Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja odgovornih osoba Društva i zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili države članice o zaštiti, omoguće prava ispitanika te surađuje s nadzornim tijelom.

 

  • Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.

PROTOKOL IZVJEŠTAVANJA O POVREDI

Članak 13.

  • U slučaju saznanja o povredi osobnog podatka koje prikuplja i obrađuje Društvo, zaposlenici su dužni, bez odgode, o tome obavijestiti službenika za zaštitu osobnih podataka, elektroničkom poštom ili pisanim putem.
  • Službenik za zaštitu osobnih podataka će po zaprimanju ove obavijesti, pisanim putem o povredi osobnih podataka izvijestiti nadzorno tijelo, najkasnije u roku od 72 sata.
  • U izvještaju će:

(a) opisati prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;

(b) navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(c) opisati vjerojatne posljedice povrede osobnih podataka;

(d) opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

  • Službenik za zaštitu osobnih podataka će o povredi osobnih podataka izvijestiti i ispitanika na kojeg se oni odnose, pri čemu će izvještaj sadržavati opis točaka b), c) i d).
  • Službenik za zaštitu osobnih podataka će dokumentirati sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete.
  1. MJERE ZA ZAŠTITU OSOBNIH PODATAKA

Članak 15.

  • Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima zaduženim za obradu podataka.
  • Društvo može poduzeti i druge potrebe mjere potrebne za očuvanje osobnih podataka radnika ili kupaca ukoliko iste smatra potrebnima.

VII. ZAVRŠNE ODREDBE

Članak 16.

  • Ovaj Pravilnik stupa na snagu danom objave.