Na temelju čl. 3. st. 1. Opće uredbe o zaštiti podataka (EU) 2016/679) direktor društva ETNO SELO d.o.o. (OIB 00142988705) dana 23.05.2018. , donosi slijedeći
PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
- OPĆE ODREDBE
Članak 1.
- U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka društvo ETNO SELO d.o.o., (u daljnjem tekstu: Društvo) obveznik je primjene Opće uredbe o zaštiti podataka (EU) 2016/679 (dalje u tekstu: Opća uredba).
Članak 2.
- Sukladno čl. 4. toč. 7. Opće uredbe Društvo je voditelj obrade osobnih podataka koja određuje svrhu i sredstva obrade osobnih podataka u skladu s nacionalnim zakonodavstvom i/ili pravom EU.
- U posebnim slučajevima Društvo se, izvršavajući obveze iz Kolektivnog Ugovora ili drugih ugovora može naći i u ulozi izvršitelja obrade.
Članak 3.
- U skladu sa Općom uredbom pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:
„osobni podatak“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ilistavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
„privola spitanika“ znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
Članak 4.
- Osobne podatke fizičkih osoba Društvo obrađuje zakonito, pošteno i transparentno. Obrađuju se samo primjereni i relevantni osobni podaci i to isključivo u posebne, izričite i zakonite svrhe, za koje su i prikupljeni te se dalje ne obrađuju na način koji nije u skladu s tim svrhama.
- Osobni podaci koje Društvo obrađuje su točni te se po potrebi ažuriraju. Osobni podaci koji nisu točni bez odlaganja se brišu ili ispravljaju.
- Društvo osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.
- Društvo osobne podatke čuva samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja, ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Društvo u svom radu obrađuje isključivo podatke svojih radnika.
- OBRADA OSOBNIH PODATAKA
Članak 5.
Voditelj obrade osobnih podataka je: Etno selo d.o.o., Kolodvorska 99a,31315 Karanac
Službenik za zaštitu osobnih podataka: etno.selo2010@gmail.com
Politika privatnosti se primjenjuje na sve osobne podatke korisnika koje prikupljamo i obrađujemo, izravno ili putem svojih partnera.
Osobni podatak je svaki podatak koji se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi, izravno ili neizravno.
Obrada podataka je bilo koja radnja izvršena na osobnim podacima, poput primjerice prikupljanja, pohrane, upotrebe, uvida i prijenosa osobnih podataka.
Članak 6.
- Kategorije osobnih podataka ispitanika koje se prikupljaju i obrađuju su
- Osobni podaci: ime, prezime, adresa, kontakt broj, email adresa, datum rođenja
- Fotografije i video snimke: prilikom korištenja videonadzora
- Informacije o prodaji i reklamaciji: informacije o kupnji, uključujući korisnički identitet kupca, broj ugovora i informacije o jamstvu, reklamacijama, dostavi, podršci i uslugama, uključujući prigovore i zahtjeve
Članak 7.
- Pravo pristupa osobnim podacima koji se prikupljaju i obrađuju imaju :
- Osobe ovlaštene za prikupljanje i obradu osobnih podatka su direktor društva te ostale osobe koje u slučaju potrebe može imenovati i Uprava Društva Etno selo d.o.o.
- Osobne podatke obrađuje i treća strana kao izvršitelj obrade, odnosno knjigovodstveni servis koja radi obrade raspolaže podacima Agria d.o.o.
- Pružateljima usluga distribucije robe s kojima ima trajni ugovor te u tu svrhu za ispunjavanje narudžbi, isporuku paketa, slanje zemaljske pošte i e-mail pošte. Pružatelj usluga distribucije može od Kupca zatražiti na uvid njegovu osobnu iskaznicu u trenutku isporuke paketa prilikom osobnog preuzimanja robe, a sve u svrhu realizacije usluge isporuke paketa i evidencije o tome tko je preuzeo paket. Ako Kupac odbije dati ove podatke, paket mu neće biti uručen.
- Podatke na uvid ima programerska tvrtka Kliktronik d.o.o. koja održava web
- Zabranjeno je učiniti osobni podatak ispitanika dostupnim neovlaštenoj osobi, ili koristiti osobni podatak ispitanika na način koji nije u vezi sa radnim procesom, odnosno koji nije u skladu sa svrhom za koju je prikupljen. Osobne podatke koje Društvo prikuplja ili obrađuje, osobe zadužene za obradu osobnih podataka, mogu otkriti ili učiniti dostupnima drugim zaposlenicima Društva kojima je osobni podatak nužan za njihov radni proces koji je u skladu sa svrhom za koju je osobni podatak i prikupljen.
- Osobe zadužene za obradu osobnih podataka odgovorne su za zaštitu osobnih podataka od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe
Članak 8.
- Kod prikupljanja osobnih podataka od ispitanika, zaposlenici Društva dužni su ispitaniku dati sljedeće informacije:
- Osnovni podaci o Društvu i kontaktne podatke Društva;
- Kontaktni podaci službenika za zaštitu podataka;
- Svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
- Informaciju o legitimnim interesima Društva, ako se obrada temelji na legitimnim interesima Društva,
- Informaciju o primateljima ili kategorijama primatelja osobnih podataka, ako ih ima;
6.Razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
7.Postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
- Ako se obrada temelji na privoli, postojanje prava da se u bilo kojem trenutku povuče privolu, kao i da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
- postojanje prava na podnošenje prigovora nadzornom tijelu;
10.Informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
Ova informacija se daje u pisanom obliku, uz obvezan potpis ispitanika kojim potvrđuje da je informaciju primio i razumio.
- Ako osobni podaci nisu prikupljeni od ispitanika, zaposlenici društva koji prikupljaju osobne podatke dužni su u razumnom roku ispitanika informirati sukladno članku 6. ovog Pravilnika, uz dodatno navođenje izvora osobnih podataka o ispitaniku.
Članak 9.
- Privola kojom ispitanik Društvu daje pristanak za obradu osobnih podataka koji se na njega odnose jest dobrovoljna, u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
- Za sve radne procese u kojima se osobni podaci prikupljaju i/ili obrađuju temeljem privole ispitanika, privola se mora ishoditi prije prikupljanja novih, odnosno obrade već prikupljanih podataka.
III. PRAVA ISPITANIKA
Članak 10.
- U slučaju da ispitanik, osobno ili putem punomoćnika ili zakonskog zastupnika postavi upit o obradi njegovih osobnih podataka, Društvo će odmah, a najkasnije u roku od mjesec dana dostaviti pisani odgovor u kojem će:
- informirati ispitanika o svrsi obrade njegovih osobnih podataka, kategorijama osobnih podataka koji se obrađuju, o primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru
- dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose
- ispraviti netočne podatke ili podatke dopuniti
- provesti brisanje osobnih podataka koji se na ispitanika odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji.
- Rok iz st. 1. ovog članka može se prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. društvo obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
- Ako je zahtjev ispitanika podnesen elektroničkim putem, Društvo informaciju pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.
- O razlozima odbijanja zahtjeva ispitanika iz st. 1. ovog članka. Društvo će bez odgađanja, a najkasnije jedan mjesec od primitka zahtjeva, izvijestiti ispitanika o razlozima odbijanja zahtjeva.
- Društvo informacije iz ovog članka pruža bez naknade. Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani Društvo će naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti.
Članak 11.
- Za sve aktivnosti obrade osobnih podataka Društvo vodi evidenciju aktivnosti obrade koja se nalazi u prilogu 2. ovog Pravilnika i smatra se njegovim sastavnim dijelom.
- Evidencija aktivnosti obrade sadrži najmanje sljedeće podatke:
− Tvrtku i kontaktne podatke Društva, osobu koja je zadužena za obradu i službenika za zaštitu podataka
− svrhu obrade
− opis kategorija ispitanika i kategorija osobnih podataka;
− kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni
− predviđene rokove za brisanje različitih kategorija podataka
SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak 12.
- Društvo imenuje službenika za zaštitu podataka.
- Službenik za zaštitu podataka ima odgovarajuću stručnu spremu, a imenuje se iz redova zaposlenika Društva, uključujući i upravu društva. Kontakt podaci službenika za zaštitu podataka dostupni su na web stranicama Društva.
- Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja odgovornih osoba Društva i zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili države članice o zaštiti, omoguće prava ispitanika te surađuje s nadzornim tijelom.
- Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.
PROTOKOL IZVJEŠTAVANJA O POVREDI
Članak 13.
- U slučaju saznanja o povredi osobnog podatka koje prikuplja i obrađuje Društvo, zaposlenici su dužni, bez odgode, o tome obavijestiti službenika za zaštitu osobnih podataka, elektroničkom poštom ili pisanim putem.
- Službenik za zaštitu osobnih podataka će po zaprimanju ove obavijesti, pisanim putem o povredi osobnih podataka izvijestiti nadzorno tijelo, najkasnije u roku od 72 sata.
- U izvještaju će:
(a) opisati prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;
(b) navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
(c) opisati vjerojatne posljedice povrede osobnih podataka;
(d) opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.
- Službenik za zaštitu osobnih podataka će o povredi osobnih podataka izvijestiti i ispitanika na kojeg se oni odnose, pri čemu će izvještaj sadržavati opis točaka b), c) i d).
- Službenik za zaštitu osobnih podataka će dokumentirati sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete.
- MJERE ZA ZAŠTITU OSOBNIH PODATAKA
Članak 14.
- Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima zaduženim za obradu podataka.
- Društvo može poduzeti i druge potrebe mjere potrebne za očuvanje osobnih podataka radnika ili kupaca ukoliko iste smatra potrebnima.
VII. ZAVRŠNE ODREDBE
Članak 15.
- Ovaj Pravilnik stupa na snagu danom objave.