PRAVILNIK O OBRABI OSOBNIH PODATAKA
Temeljem UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. g. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka - GDPR), ovime LISCA - ZAGREB d.o.o. sa sjedištem u Zagrebu, Vincenta iz Kastva 14, registrirano pri Trgovačkom sudu u Zagrebu, MBS: 080039392, OIB: 92495669641 (u daljnjem tekstu: Društvo) donosi dana 25.05.2018. godine, slijedeći
1.1. Ciljevi donošenja ovog Pravilnika su određivanje prava i obveza Društva vezanih za obradu osobnih podatka koje Društvo prikuplja u sklopu svojih poslovnih procesa u kojima kao voditelj ili izvršitelj obrade sudjeluje u okviru svoje registrirane djelatnosti, sve u skladu s Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka – GDPR; Službeni list EU L119) te Zakonom o provedbi Opće uredbe o zaštiti podataka (Narodne novine 42/18).
1.2. Sukladno odredbama Opće uredbe o zaštiti podataka:
• „osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
• „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
1.3. Društvo prepoznaje važnost zaštite privatnosti, sigurnosti i zaštite podataka te je cilj Društva ugraditi zaštitu osobnih podataka u sve svoje poslovne aktivnosti te poštivati sva pravna pravila i načela obrade osobnih podataka utvrđena Općom uredbom o zaštiti osobnih podataka, osobito:
• zakonitost, poštenost i transparentnost obrade - znači da obrada treba biti u skladu s određenim pravnim temeljem, te da je pojedinac informiran o postupku obrade i njegovim svrhama I da je voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka,
• ograničavanje svrhe - znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
• smanjenje količine podataka - znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost - znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
• ograničenje pohrane - znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;
• cjelovitost i povjerljivost - znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost - znači da je voditelj/izvršitelj obrade odgovoran za poštovanje načela i da je mora biti u mogućnosti dokazati usklađenost s odredbama Opće uredbe o zaštiti osobnih podataka.
2.1. Društvo ovim Pravilnikom uređuje obradu osobnih podataka fizičkih osoba čije podatke koristi u svom poslovanju.
Društvo se obvezuje na zaštitu osobnih podataka svojih sadašnjih i bivših radnika (zaposlenika), osoba koje se prijavljuju za posao u Društvu, osoba koje obavljaju određene poslove za Društvo temeljem osnova drugačijih od ugovora o radu (kao npr. temeljem ugovora o djelu, učeničkog ili studentskog ugovora i sl.), osoblja poslovnih partnera (kupaca i dobavljača) te ostalih pojedinaca s kojima stupa u kontakt te prikuplja podatke temeljem Opće uredbe (dalje u tekstu: Ispitanici).
2.2. U odnosu na kupce, Društvo je usvojilo posebna pravila o obradi osobnih podataka – „Pravilnik o privatnosti“ dostupan na web-stranici Društva https://www.lisca.hr/pravilnik-o-privatnosti, a koji smisleno nadopunjuje ovaj Pravilnik. Navedena pravila odnose se na obradu osobnih podataka uslijed korištenja mrežnih stranica Društva i on-line trgovine od strane posjetitelja i kupaca te se odredbe na odgovarajući način primjenjuju u situacijama kada se kupci proizvoda koje Društvo nudi pojavljuju u ulozi ispitanika.
3.1. Društvo prikuplja, obrađuje i koristi osobne podatke u svrhu obavljanja svoje registrirane djelatnosti, izvršavanja zakonskih obveza kao i prava i obveza koje je Društvo u obvezi izvršiti u skladu sa zaključenim ugovorima.
3.2. Osobni podatci se prikupljaju, obrađuju i koriste zakonito, pošteno i transparentno i to isključivo u posebne, izričite i zakonite svrhe na način kojim se osigurava odgovarajuća sigurnost osobnih podataka uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.
3.3. Društvo osobne podatke prikuplja i obrađuje samo ako je ispunjen najmanje jedan od sljedeće navedenih uvjeta:
- ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
- obrada je nužna radi poštovanja pravnih obveza Društva
- obrada je nužna kako bi se zaštitili ključni interesi Ispitanika
- obrada je nužna za izvršavanje zadaće od javnog interesa
- obrada je nužna za potrebe legitimnih interesa Društva ili treće strane osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.
3.4. U Društvu je samo iznimno dopuštena obrada posebnih kategorija podataka, odnosno podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, obrada genetskih i biometrijskih podataka, podataka o zdravlju, spolnom životu i seksualnoj orijentaciji pojedinca (vidi više pod točkom 5.2.6.).
Društvo ne obrađuje podatke koji se tiču kažnjivih djela i kaznenih osuda.
U slučaju da se pokaže potreba za obradu posebnih kategorija osobnih podataka, Društvo će uvijek utvrditi pravu osnovu obrade kao i dodatne uvjete obrade koje propisuje Opća uredba.
4.1. Društvo obrađuje sljedeće kategorije osobnih podataka:
4.2.1. Prikupljanje i čuvanje osobnih podataka radnika i drugog Osoblja
• Obrada podataka u svezi radnog odnosa
Društvo obrađuje osobne podatke radnika dostavljene od strane radnika Društva u pisanom obliku, u svrhu sklapanja, izvršenja ili raskida ugovora o radu, odnosno radi ispunjenja obveza Društva propisanih Zakonom o posredovanju pri zapošljavanju i pravima za vrijeme nezaposlenosti. Obrada osobnih podataka radnika temelji se na zakonu i ugovoru o radu.
Osobni podaci koji se obrađuju prilikom sklapanja ili raskida ugovora o radu su: Osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon, OIB); Osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); Zanimanje i zapošljavanje (radni staž, podaci o prethodnim zaposlenjima, poslodavcima; početak i kraj zaposlenja, podaci o razdobljima bez zaposlenja); Obrazovanje i osposobljavanje (stručna sprema, podaci o povijesti i razini obrazovanja; podaci o stečenim znanjima, vještinama, certifikatima i dozvolama); Podaci o financijskoj identifikaciji (broj tekućeg računa); Sastav obitelji (broj djece ili uzdržavanih članova obitelji); Plaća; Trenutno zaposlenje (naziv poslodavca, naziv radnog mjesta, početak zaposlenja, trajanje ugovora).
Osobni podaci zaposlenika čuvaju se trajno, u skladu s Pravilnikom o sadržaju i načinu vođenja evidencije o radnicima, NN 73/2017.
• Evidencija radnog vremena
Društvo obrađuje podatke evidencije radnog vremena radnika, u svrhu organizacije rada i praćenja radnog mjesta, a sve temeljem važećeg Zakona o radu i Pravilnika o sadržaju i načinu vođenja evidencije o radnicima.
Podaci koji se pritom obrađuju su: interna oznaka zaposlenika, ime i prezime, termini ulaza i izlaza iz poslovnog prostora.
Prikupljeni podaci čuvaju se 6 godina, odnosno do okončanja eventualnog sudskog spora, prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima, NN 73/2017.
• Obrada podataka u svrhu upravljanja i sigurnosti sustava
Zbog postojećih zakonskih propisa o sigurnosti podataka, Društvo obrađuje osobne podatke radnika radi administracije i sigurnosti sustava, kao što je upravljanje korisničkim ID-ovima, dodjela hardvera i softvera korisnicima sustava i sigurnost sustava. To uključuje i automatizirane i arhivirane tekstualne dokumente (poput dopisivanja) u svezi navedenog. Obrada podataka ove vrste nužna je za sigurnost rada sustava, a time i radne i dr. odnose u Društvu.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Objavljivanje profesionalnih kontakt podataka
Kako bi suradnici unutar Društva mogli kontaktirate ostale kolege radnike, profesionalni kontakt podaci objavljuju se drugim radnicima interno unutar Društva na primjeren način (putem e-maila). To je nužno radi omogućavanja redovnog poslovanja te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju koliko traje radni odnos radnika kod Društva.
• Obrada podataka u slučaju radnog spora
Ako postoji pravni spor tijekom trajanja ili nakon prestanka radnog odnosa, podaci potrebni za pravilno zastupanje prosljeđuju se pravnim zastupnicima i sudovima, odnosno nadležnim državnim tijelima. Navedeno je nužno radi zaštite i obrane pravnih zahtjeva Društva te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Obrada posebnih kategorija osobnih podataka
Radnik ima pravo obavijestiti Društvo o svojoj vjeroispovijesti, radi ostvarivanja određenih prava iz radnog odnosa sukladno posebnim propisima. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova, a posebni uvjet obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe predstavlja samostalno objavljivanje podataka od strane ispitanika.
Članstvo radnika u sindikatu je dobrovoljno i o toj činjenici radnik ima pravo obavijestiti Društvo, a sve radi ostvarivanja određenih prava iz radnog odnosa sukladno posebnim propisima. Ukoliko radnik želi da Društvo obrađuje navedeni podatak o tome će sam obavijestiti poslodavca. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova, a posebni uvjet obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe predstavlja samostalno objavljivanje podataka od strane ispitanika.
Društvo kao Poslodavac ima legitimni interes obrađivati osobne podatke koji se tiču zdravstvenog stanja radnika, bilo da je takve podatke zahtijeva Društvo radi poštivanja propisa o zaštiti na radu, ili je podatke priopćio Društvu sam radnik ili član njegove najuže obitelji, ili je pak Društvo o zdravstvenom stanju obavijestio nadležni liječnik radnika ili drugo nadležno tijelo. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova ili legitimni interes poslodavca, a posebni uvjeti obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe mogu biti različiti te se procjenjuju od slučaja do slučaja, najčešće će se raditi o zakonskoj osnovi obrade u cilju zaštite socijalnih prava radnika.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Obrada dobrovoljno danih osobnih podataka
Osobni podaci bliskih osoba i njihovi kontakt podaci koje radnik ustupa Društvu radi kontaktiranja tih osoba u hitnim slučajevima, nezgodama ili nesrećama isključivo se prikupljaju i obrađuju na temelju privole radnika. Svrha obrade je obavješćivanje bliskih osoba o hitnim slučajevima, nezgodama ili nesrećama koje se mogu desiti radniku.
Eventualno objavljivanje fotografije radnika na Web stranici ili u bilo kojem internom sustavu uvijek je dobrovoljno te se isključivo prikuplja i obrađuje na temelju privole radnika.
• Obrada osobnih podataka Drugog osoblja
Društvo obrađuje osobne podatke osoba koje obavljaju poslove temeljem osnova drugačijih od ugovora o radu, kao što su ugovor o dijelu, učenički ili studentski ugovor i sl., a koji su dostavljeni od strane navedenih osoba u pisanom obliku, u svrhu sklapanja, izvršenja ili raskida navedenih ugovora, odnosno radi ispunjenja obveza Društva propisanih zakonom.
Osobni podaci koji se obrađuju prilikom sklapanja ili raskida navedenih ugovora su: Osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon, OIB); Osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); informacije o uslugama te uvjeti plaćanja usluga (datum početka i završetka trajanja ugovora sukladno kojem se pružaju usluge Društvu, broj sati pruženih usluga, obrazovanje i kvalifikacije, informacije o naknadama, poput naknada po satu rada, porezni broj za ispostavu računa, detalji bankovnih računa te detalji o ukupno isplaćenim naknadama.
Osobni podaci osoba zaposlenih temeljem studentskog ugovora odnosno učeničkog čuvaju se 6 godina, prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima NN 73/2017, osim ukoliko je riječ o osobnim podacima iz samih ugovora te koji se obrađuju u svrhu isplate naknade iz takvih ugovora, a u kojem slučaju se takvi podaci čuvaju 11 godina sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
Osobni podaci osoba koje s Društvom imaju sklopljene ugovore o djelu te druge ugovore o poslovnoj suradnji, čuvaju se 11 godina sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
4.2.2. Obrada osobnih podataka kandidata za zaposlenje
Na vlastitu inicijative ili u slučaju provedbe natječaja za radno mjesto kandidati dostavljaju svoje osobne podatke radi mogućeg zaposlenja u Društvu. Obrada se provodi u svrhu odabira kandidata koji svojim stručnim kvalifikacijama odgovaraju potrebama Društva, a obrada se vrši s namjerom sklapanja ugovora o radu, ugovora o djelu ili studentskog ugovora, prema Zakonu o radu te Zakonu o posredovanju pri zapošljavanju i pravima za vrijeme nezaposlenosti.
Osobni podaci koji se obrađuju mogu biti: osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon); osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); zanimanje i zapošljavanje (podaci o prethodnim zaposlenjima, poslodavcima i stečenom radnom iskustvu; početak i kraj zaposlenja, sposobnost korištenja tehnologije, podaci o razdobljima bez zaposlenja); podaci o obrazovanju i osposobljavanju (stručna sprema, podaci o povijesti i razini obrazovanja; podaci o stečenim znanjima, vještinama, certifikatima i dozvolama); podaci o slobodnom vremenu i interesima; psihološki detalji (mišljenja o osobnosti ili karakteru); eventualno dodatni podaci dostavljeni prema nahođenju pojedinca.
Osobni podaci kandidata za zaposlenje čuvaju se do okončanja procesa selekcije kandidata, odnosno najduže 5 godine od dana objave oglasa za radno mjesto.
4.2.3. Obrada osobnih podataka osoblja poslovnih partnera Društva:
Društvo može obrađivati podatke osoblja (radnika, osoba ovlaštenih za zastupanje) svojih poslovnih partnera (trgovaca, dobavljača, kupaca i drugih poslovnih partnera pružatelja različitih vrsta usluga, kao što su primjerice bankarske usluge, usluge pružanja interneta, telefonskih i mobilnih usluga te sve druge usluge koje Društvo koristi u svom redovitom poslovanju).
Podaci, kao što su ime i prezime te kontakt podaci, prikupljaju se najčešće putem e-maila ili posebnog obrasca u svrhu omogućavanja komunikacije Društva sa svojim poslovnim partnerima u cilju sklapanja ili izvršenja poslovnog ugovora ili omogućavanja poslovne suradnje.
Pravna osnova obrade osobnih podataka navedenih osoba jest izvršenje ugovora koje je Društvo sklopilo s dobavljačima, kupcima i navedenim poslovnim partnerima različitih djelatnosti, a ponekad i legitimni interes Društva.
Navedeni osobni podaci čuvaju se do izvršenja navedenih ugovora s poslovnim partnerima, odnosno i nakon prestanka ugovora, a najduže 11 godina, sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
4.2.4. Obrada osobnih podataka zaprimljenih putem e-pošte
Kada Društvo prima elektroničku poštu (e‐poštu) s osobnim podacima od osoba po kojima ih je moguće identificirati, bilo putem e‐pošte s pitanjem ili komentarom, ili obrascem koji se dostavlja elektroničkom poštom, Društvo te podatke koristi isključivo u svrhu ispunjenja zahtjeva navedenih osoba.
Društvo može obrađivati podatke individualnih trgovaca, osoba ovlaštenih za zastupanje pravnih osoba te podatke zaposlenika svojih poslovnih partnera i/ili potencijalnih poslovnih partnera, koji se prikupljaju putem e-maila, u svrhu omogućavanja komunikacije Društva sa svojim poslovnim partnerima u cilju sklapanja poslovnog ugovora ili omogućavanja poslovne suradnje, te se takva obrada temelji na legitimnom interesu Društva. Društvo ne obrađuje više podataka nego što je to potrebno (primjerice ime i prezime te kontakt podaci) odnosno one podatke koji su potrebni ta svrhu komunikacije s poslovnim partnerima te potencijalnim poslovnim partnerima te zbog izvršenja ugovora sklopljenih s poslovnim partnerima.
U navedene svrhe obrađuju se sljedeći osobni podaci: ime i prezime, adresa, OIB, potpis, broj telefona, broj mobitela, e-mail adresa.
Svrha obrade podataka je ispunjenje zahtjeva pošiljatelja e-mail pošiljke i druga komunikacija s pošiljateljem e-mail pošiljke.
Podaci se čuvaju tijekom trajanja poslovne suradnje ili dok postoji potencijal za međusobnu suradnju, odnosno do trenutka brisanja e-pošiljke od strane pojedinog radnika Društva koji je primio e-pošiljku, odnosno tijekom zaposlenja pojedinog radnika Društva koji je primio e-pošiljku kao legitimni interes Društva.
4.2.5. Obrada podataka u slučaju sudskih i drugih sporova u kojima Društvo sudjeluje
Ako postoji bilo koji spor u svezi bilo kojeg gore navedenog osobnog podataka, podaci potrebni za pravilno zastupanje prosljeđuju se pravnim zastupnicima i sudovima, odnosno nadležnim državnim tijelima. Navedeno je nužno radi zaštite i obrane pravnih zahtjeva Društva te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju 10 godina od pravomoćnosti odluke nadležnog tijela.
4.2.6. Obrada osobnih podataka putem video nadzora
Društvo obrađuje osobne podatke osoba koje pristupaju poslovnim prostorima Društva i to putem video nadzora postavljenog na odnosno u poslovnim prostorima Društva. Društvo obrađuje osobne podatke navedenih osoba u svrhu zaštite osoba i imovine Društva. Temelj obrade je legitimni interes Društva.
U navedene svrhe obrađuju se sljedeći osobni podaci: video snimka osoba koje pristupaju poslovnim prostorima Društva zajedno sa vremenom pristupa svakoj pojedinoj nadzornoj kameri postavljenoj na odnosno u poslovnim prostorima Društva.
Snimke dobivene putem video nadzora, čuvaju se najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku, a u skladu sa Zakonom o zaštiti podataka.
5.1. Društvo uspostavlja i vodi evidencije osobnih podataka Ispitanika koje sadrže, u mjeri u kojoj je primjenjivo slijedeće podatke:
a) naziv i kontakt - podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
b) svrhu u koju se podaci prikupljaju;
c) opis kategorija Ispitanika i kategorija osobnih podataka;
d) kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
e) prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o eventualnim odgovarajućim zaštitnim mjerama;
f) predviđene rokove za brisanje različitih kategorija podataka;
g) opći opis tehničkih i organizacijskih sigurnosnih mjera.
5.2. Evidencije se vode na propisanom obrascu Agencije za zaštitu osobnih podataka Republike Hrvatske koji je priložen ovom pravilniku kao PRILOG 1 i čini njegov sastavni dio.
7.1. Uz prethodnu privolu, osobni podaci mogu se prikupljati, obrađivati i koristiti i za druge svrhe, osim navedenih u prethodnim člancima.
7.2. Zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. U svrhu pribavljanja privole Društvo koristi obrazac propisan od strane Agencije za zaštitu osobnih podataka koji je priložen ovom Pravilniku kao PRILOG 2 i čini njegov sastavni dio.
7.3. Svi osobni podaci prikupljeni putem privole brisat će se ukoliko Ispitanik povuče privolu, što može učiniti u bilo kojem trenutku. Povlačenje privole ima posljedicu da Društvo više ne obrađuje te podatke u navedene svrhe. Ako Ispitanik želi povući privolu za obradu osobnih podataka, može kontaktirati ovlaštenu osobu Društva putem e-mail adrese: [email protected]
8.1. Osobni podaci koje Društvo prikuplja štite se od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa tehničkim, organizacijskim i kadrovskim mjerama zaštite.
8.2. U svrhu čuvanja povjerljivosti svi zaposlenici Društva potpisuju posebnu Izjavu o povjerljivosti koja je priložena ovom Pravilniku kao PRILOG 3 i čini njegov sastavni dio.
8.3. Osim osoba ovlaštenih za zastupanje Društva, evidencijama osobnih podataka ovlaštene su pristupiti samo osobe koje Društvo odredi posebnom odlukom.
8.4. Tehničke mjere zaštite koje se koriste su:
• Postavljanje lozinki i prava pristupa podacima, programima i opremi
• Redovna nadogradnja operativnog sustava i računalnih programa
• Postavljanje antivirusnog programa na uređaje
• Sigurnosne kopije podataka (Backup)
• Postavljanje vatrozida (firewalla)
• Zaštita pristupa mrežnoj infrastrukturi
• Kriptiranje podataka i prijenosnih uređaja na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
• Zaštita podataka pohranjenih u papirnatom obliku
• Fizička zaštita od nedozvoljenog pristupa
• Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
• Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
9.1. Prikupljeni osobni podaci mogu se proslijediti trećim osobama samo kada to predviđa zakon ili kada isto zahtijeva poslovni interes, u kojem slučaju se sklapaju odgovarajući ugovori ili poduzimaju druge odgovarajuće mjere u svrhu osiguranja daljnje obrade u skladu s mjerodavnim propisima.
9.2. Kada je to potrebno za svrhe obrade navedene u ovom Pravilniku, Društvo može osobne podatke Ispitanika podijeliti s jednom ili više trećih strana, bez obzira na to jesu li udruženi ili ne, za obradu osobnih podataka Ispitanika pod odgovarajućim uputama Društva (u daljnjem tekstu: Izvršitelji obrade).
9.3 U slučaju da Društvo kao voditelj obrade povjeri obradu izvršiteljima obrade, oni su dužni:
- obrađivati podatke samo po nalogu Društva,
- imati potpisane izjave o povjerljivosti,
- čuvati zapise o obradi,
- implementirati odgovarajuću zaštitu,
- dobiti privolu u slučaju podugovaranja,
- surađivati s Društvom kod prijave povrede, zahtjeva za pristup i procjena učinka na zaštitu privatnosti,
9.4. Voditelj obrade obvezan je s izvršiteljima obrade sklopiti pisani ugovor sukladno čl. 28. Opće uredbe o zaštiti osobnih podataka.
10.1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode Ispitanika, Društvo prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
10.2. Takva procjena mora sadržavati:
(a) sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes Društva;
(b) procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
(c) procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i
(d) mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.
11.1. Pod povredom osobnih podataka smatra se kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani od strane Društva.
11.2. Sve osobe koje koji imaju pristup i vrše obradu osobnih podatka, koje Društvo obrađuje u sklopu svoje djelatnosti, dužne su prijaviti sumnjive aktivnosti (incidente) koje mogu dovesti do narušavanja povjerljivosti, integriteta i/ili dostupnosti osobnih podataka, osobi ovlaštenoj za zastupanje Društva kao osobi odgovornoj za upravljanje incidentima koja će nakon primitka prijave istražiti uzrok incidenta ili ovlastiti drugu osobu koja posjeduje posebna stručna znanja za provođenje istrage. Svi zapisi i dokazi o incidentu šalju se i daju na čuvanje izravno osobi odgovornoj za upravljanje incidentima. Tijekom istrage provjerit će se ozbiljnost incidenta i njegov utjecaj na prava i slobode Ispitanika.
11.3. U slučaju kada se nakon provedene istrage ustanovi da je došlo do narušavanja sigurnosti osobnih podataka, Društvo će u najkraćem mogućem roku provesti aktivnosti kako bi se incident ograničio. Ovisno o ozbiljnosti incidenta, osoba odgovorna za upravljanje incidentima će po potrebi uključiti i informirati ostale osobe kako bi se moglo:
- Utvrditi postoji li mogućnost da se napravi oporavak gubitaka i ograničavanje štete koje može uzrokovati incident
- Utvrditi da li je potrebno obavijestiti osobe koje su pogođene incidentom
- Utvrditi da li je potrebno obavijestiti nadležno nadzorno tijelo.
11.4. Društvo će, uz prethodno savjetovanje s osobom koja posjeduje posebna stručna znanja, odrediti koje daljnje aktivnosti je potrebno poduzeti na temelju zaprimljene prijave o incidentu s ciljem ublažavanja posljedica povrede osobnih podataka i sprječavanja ponavljanja incidenta.
11.5. Društvo će bez nepotrebnog odlaganja obavijestiti Ispitanike o povredi njihovih osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za njihova prava i slobode. U navedenoj obavijesti bit će opisana priroda povrede osobnih podataka, kao i preporuke, kako bi Ispitanici mogli ublažiti potencijalne negativne učinke te će predmetna obavijest sadržavati i ime i kontakt podatke osobe zadužene za pitanja zaštite osobnih podataka te opis vjerojatne posljedice povrede osobnih podataka i opis mjera koje je Društvo poduzelo ili predložilo poduzeti za rješavanje problema povrede osobnih podataka, a ista će biti poslana u najkraćem mogućem roku od trenutka spoznaje o povredi osobnih podataka.
11.6. U slučaju povrede osobnih podataka, Društvo će bez nepotrebnog odgađanja, a ako je navedeno izvedivo, najkasnije 72 sata nakon saznanja o određenoj povredi, o istoj izvijestiti nadzorno tijelo. Iznimno, Društvo neće slati obavijest o povredi osobnih podataka nadzornom tijelu u slučaju povrede osobnih podataka koje neće prouzročiti rizik za prava i slobode pojedinaca. Izvješće nadzornom tijelu obvezno sadrži (ali nije ograničeno na):
- prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj korisnika, te kategorije i približan broj evidencija osobnih podataka;
- ime i kontakt podatke osobe odgovorne za upravljanje incidentima;
- opis vjerojatnih posljedica povrede osobnih podataka;
- opis mjera koje je Društvo poduzelo ili planira poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja mogućih štetnih posljedica.
12.1. Svaki Ispitanik ima pravo dobiti obavijest o obradi podataka te ostvariti u bilo kojem trenutku slijedeća prava temeljem pisanog zahtjeva upućenog na adresu Društva ili elektroničkim putem na e-mail adresu: [email protected] u koju svrhu može koristiti obrazac Agencije za zaštitu osobnih podataka koji je priložen ovom Pravilniku kao PRILOG 4 i čini njegov sastavni dio.
(i) PRAVO NA PRISTUP OSOBNIM PODACIMA
Ispitanik može zatražiti bilo koju informaciju vezanu za obradu osobnih podataka;
(ii) PRAVO NA ISPRAVAK OSOBNIH PODATAKA
Ispitanik može zatražiti ispravak ili izmjenu svojih osobnih podataka;
(iii) PRAVO NA BRISANJE OSOBNIH PODATAKA
Ispitanik može zatražiti brisanje osobnih podataka te će Društvo bez odgađanja obrisati podatke obrisati osim u slučaju i u mjeri potrebnoj za ostvarivanje legitimnih interesa Društva u skladu s propisima;
(iv) PRAVO NA OGRANIČAVANJE OBRADE
Ispitanik može zatražiti ograničavanje obrade osobnih podataka te će Društvo u tom slučaju odrediti ograničenje ukoliko se ispuni jedan od sljedećih uvjeta:
- Ispitanik osporava točnost osobnih podataka, u kom slučaju će se obrada ograničiti na razdoblje kojim se Društvu omogućuje provjera točnosti uporabe;
- obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
- Društvo više ne treba osobne podatke za potrebe obrade ali ih Ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
- Ispitanik je uložio prigovor te očekuje potvrdu nadilaze li legitimni razlozi Društva za obradom razloge Ispitanika.
(v) PRAVO NA PRENOSIVOST PODATAKA
Ispitanik može zatražiti da mu se osobni podaci koje je pružio predaju u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja.
(vi) PRAVO NA PRIGOVOR
Ispitanik može iznijeti prigovor nepostojanja legitimnog interesa, zabrane profiliranja i automatiziranog pojedinačnog donošenja odluka.
(vii) PRAVO PODNOŠENJA PRIGOVORA NADZORNOM TIJELU
Ukoliko Ispitanik smatra da se obradom podataka krši mjerodavno pravo može se obratiti i izravno tijelu nadležnom za zaštitu podataka (Agencija za zaštitu osobnih podataka RH) ili nadležnom sudu.
(viii) POVLAČENJE PRIVOLE
Ispitanik u svako doba može povući svoju privolu za obradu osobnih podataka sukladno članku 7. ovog Pravilnika.
12.2. Postupak ostvarivanja prava Ispitanika detaljno je uređen u PRILOGU 5 ovog Pravilnika koji čini njegov sastavni dio.
13.1. Ovaj Pravilnik stupa na snagu osmog dana od dana objave.
___________________________________
LISCA - ZAGREB d.o.o.
PRAVILNIK
O OBRADI OSOBNIH PODATAKA
UVODNE ODREDBE
Članak 1.
1.1. Ciljevi donošenja ovog Pravilnika su određivanje prava i obveza Društva vezanih za obradu osobnih podatka koje Društvo prikuplja u sklopu svojih poslovnih procesa u kojima kao voditelj ili izvršitelj obrade sudjeluje u okviru svoje registrirane djelatnosti, sve u skladu s Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka – GDPR; Službeni list EU L119) te Zakonom o provedbi Opće uredbe o zaštiti podataka (Narodne novine 42/18).
1.2. Sukladno odredbama Opće uredbe o zaštiti podataka:
• „osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
• „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
1.3. Društvo prepoznaje važnost zaštite privatnosti, sigurnosti i zaštite podataka te je cilj Društva ugraditi zaštitu osobnih podataka u sve svoje poslovne aktivnosti te poštivati sva pravna pravila i načela obrade osobnih podataka utvrđena Općom uredbom o zaštiti osobnih podataka, osobito:
• zakonitost, poštenost i transparentnost obrade - znači da obrada treba biti u skladu s određenim pravnim temeljem, te da je pojedinac informiran o postupku obrade i njegovim svrhama I da je voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka,
• ograničavanje svrhe - znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
• smanjenje količine podataka - znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost - znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
• ograničenje pohrane - znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;
• cjelovitost i povjerljivost - znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost - znači da je voditelj/izvršitelj obrade odgovoran za poštovanje načela i da je mora biti u mogućnosti dokazati usklađenost s odredbama Opće uredbe o zaštiti osobnih podataka.
PODRUČJE PRIMJENE
Članak 2.
2.1. Društvo ovim Pravilnikom uređuje obradu osobnih podataka fizičkih osoba čije podatke koristi u svom poslovanju.
Društvo se obvezuje na zaštitu osobnih podataka svojih sadašnjih i bivših radnika (zaposlenika), osoba koje se prijavljuju za posao u Društvu, osoba koje obavljaju određene poslove za Društvo temeljem osnova drugačijih od ugovora o radu (kao npr. temeljem ugovora o djelu, učeničkog ili studentskog ugovora i sl.), osoblja poslovnih partnera (kupaca i dobavljača) te ostalih pojedinaca s kojima stupa u kontakt te prikuplja podatke temeljem Opće uredbe (dalje u tekstu: Ispitanici).
2.2. U odnosu na kupce, Društvo je usvojilo posebna pravila o obradi osobnih podataka – „Pravilnik o privatnosti“ dostupan na web-stranici Društva https://www.lisca.hr/pravilnik-o-privatnosti, a koji smisleno nadopunjuje ovaj Pravilnik. Navedena pravila odnose se na obradu osobnih podataka uslijed korištenja mrežnih stranica Društva i on-line trgovine od strane posjetitelja i kupaca te se odredbe na odgovarajući način primjenjuju u situacijama kada se kupci proizvoda koje Društvo nudi pojavljuju u ulozi ispitanika.
PRAVNA OSNOVA I SVRHA OBRADE
Članak 3.
3.1. Društvo prikuplja, obrađuje i koristi osobne podatke u svrhu obavljanja svoje registrirane djelatnosti, izvršavanja zakonskih obveza kao i prava i obveza koje je Društvo u obvezi izvršiti u skladu sa zaključenim ugovorima.
3.2. Osobni podatci se prikupljaju, obrađuju i koriste zakonito, pošteno i transparentno i to isključivo u posebne, izričite i zakonite svrhe na način kojim se osigurava odgovarajuća sigurnost osobnih podataka uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.
3.3. Društvo osobne podatke prikuplja i obrađuje samo ako je ispunjen najmanje jedan od sljedeće navedenih uvjeta:
- ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
- obrada je nužna radi poštovanja pravnih obveza Društva
- obrada je nužna kako bi se zaštitili ključni interesi Ispitanika
- obrada je nužna za izvršavanje zadaće od javnog interesa
- obrada je nužna za potrebe legitimnih interesa Društva ili treće strane osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.
3.4. U Društvu je samo iznimno dopuštena obrada posebnih kategorija podataka, odnosno podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, obrada genetskih i biometrijskih podataka, podataka o zdravlju, spolnom životu i seksualnoj orijentaciji pojedinca (vidi više pod točkom 5.2.6.).
Društvo ne obrađuje podatke koji se tiču kažnjivih djela i kaznenih osuda.
U slučaju da se pokaže potreba za obradu posebnih kategorija osobnih podataka, Društvo će uvijek utvrditi pravu osnovu obrade kao i dodatne uvjete obrade koje propisuje Opća uredba.
KATEGORIJE OSOBNIH PODATAKA I NJIHOVA OBRADA
Članak 4.
4.1. Društvo obrađuje sljedeće kategorije osobnih podataka:
- Osobni podaci sadašnjih i bivših radnika i osobnih podataka u svezi radnog odnosa – obuhvaća sve osobne podatke osoba koje su sklopile ugovor o radu s Društvom kao poslodavcem;
- Osobni podaci osoba koje se prijavljuju za posao u Društvu – obuhvaća sve osobne podatke osoba koje su se prijavile na natječaj za posao u Društvu;
- Osobni podaci osoba angažiranih temeljem ugovora o djelu, studentskog, učeničkog ili sličnog ugovora – obuhvaća sve osobne podatke osoba koje obavljaju poslove za Društvo temeljem osnova drugačijih od ugovora o radu, kao što su ugovor o djelu, studenski, učenički ili drugi slični ugovor za obavljanje poslova iz djelokruga svoje djelatnosti (u daljnjem tekstu: drugo Osoblje);
- Osobni podaci poslovnih partnera – obuhvaća osobne podatke potencijalnih i postojećih kupaca i dobavljača (uključujući zaposlene u pravnim osobama ili kod drugih trgovaca) s navođenjem njihovih kontakt i profesionalnih podataka, primjerice redovni kupci, distributeri, dobavljači različite robe i usluga i sl;
- Osobni podaci osoba koje pristupaju poslovnim prostorima Društva - obuhvaća video snimku osoba koje pristupaju poslovnim prostorima Društva zajedno sa vremenom pristupa svakoj pojedinoj nadzornoj kameri postavljenoj na odnosno u poslovnim prostorima Društva.
4.2.1. Prikupljanje i čuvanje osobnih podataka radnika i drugog Osoblja
• Obrada podataka u svezi radnog odnosa
Društvo obrađuje osobne podatke radnika dostavljene od strane radnika Društva u pisanom obliku, u svrhu sklapanja, izvršenja ili raskida ugovora o radu, odnosno radi ispunjenja obveza Društva propisanih Zakonom o posredovanju pri zapošljavanju i pravima za vrijeme nezaposlenosti. Obrada osobnih podataka radnika temelji se na zakonu i ugovoru o radu.
Osobni podaci koji se obrađuju prilikom sklapanja ili raskida ugovora o radu su: Osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon, OIB); Osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); Zanimanje i zapošljavanje (radni staž, podaci o prethodnim zaposlenjima, poslodavcima; početak i kraj zaposlenja, podaci o razdobljima bez zaposlenja); Obrazovanje i osposobljavanje (stručna sprema, podaci o povijesti i razini obrazovanja; podaci o stečenim znanjima, vještinama, certifikatima i dozvolama); Podaci o financijskoj identifikaciji (broj tekućeg računa); Sastav obitelji (broj djece ili uzdržavanih članova obitelji); Plaća; Trenutno zaposlenje (naziv poslodavca, naziv radnog mjesta, početak zaposlenja, trajanje ugovora).
Osobni podaci zaposlenika čuvaju se trajno, u skladu s Pravilnikom o sadržaju i načinu vođenja evidencije o radnicima, NN 73/2017.
• Evidencija radnog vremena
Društvo obrađuje podatke evidencije radnog vremena radnika, u svrhu organizacije rada i praćenja radnog mjesta, a sve temeljem važećeg Zakona o radu i Pravilnika o sadržaju i načinu vođenja evidencije o radnicima.
Podaci koji se pritom obrađuju su: interna oznaka zaposlenika, ime i prezime, termini ulaza i izlaza iz poslovnog prostora.
Prikupljeni podaci čuvaju se 6 godina, odnosno do okončanja eventualnog sudskog spora, prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima, NN 73/2017.
• Obrada podataka u svrhu upravljanja i sigurnosti sustava
Zbog postojećih zakonskih propisa o sigurnosti podataka, Društvo obrađuje osobne podatke radnika radi administracije i sigurnosti sustava, kao što je upravljanje korisničkim ID-ovima, dodjela hardvera i softvera korisnicima sustava i sigurnost sustava. To uključuje i automatizirane i arhivirane tekstualne dokumente (poput dopisivanja) u svezi navedenog. Obrada podataka ove vrste nužna je za sigurnost rada sustava, a time i radne i dr. odnose u Društvu.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Objavljivanje profesionalnih kontakt podataka
Kako bi suradnici unutar Društva mogli kontaktirate ostale kolege radnike, profesionalni kontakt podaci objavljuju se drugim radnicima interno unutar Društva na primjeren način (putem e-maila). To je nužno radi omogućavanja redovnog poslovanja te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju koliko traje radni odnos radnika kod Društva.
• Obrada podataka u slučaju radnog spora
Ako postoji pravni spor tijekom trajanja ili nakon prestanka radnog odnosa, podaci potrebni za pravilno zastupanje prosljeđuju se pravnim zastupnicima i sudovima, odnosno nadležnim državnim tijelima. Navedeno je nužno radi zaštite i obrane pravnih zahtjeva Društva te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Obrada posebnih kategorija osobnih podataka
Radnik ima pravo obavijestiti Društvo o svojoj vjeroispovijesti, radi ostvarivanja određenih prava iz radnog odnosa sukladno posebnim propisima. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova, a posebni uvjet obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe predstavlja samostalno objavljivanje podataka od strane ispitanika.
Članstvo radnika u sindikatu je dobrovoljno i o toj činjenici radnik ima pravo obavijestiti Društvo, a sve radi ostvarivanja određenih prava iz radnog odnosa sukladno posebnim propisima. Ukoliko radnik želi da Društvo obrađuje navedeni podatak o tome će sam obavijestiti poslodavca. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova, a posebni uvjet obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe predstavlja samostalno objavljivanje podataka od strane ispitanika.
Društvo kao Poslodavac ima legitimni interes obrađivati osobne podatke koji se tiču zdravstvenog stanja radnika, bilo da je takve podatke zahtijeva Društvo radi poštivanja propisa o zaštiti na radu, ili je podatke priopćio Društvu sam radnik ili član njegove najuže obitelji, ili je pak Društvo o zdravstvenom stanju obavijestio nadležni liječnik radnika ili drugo nadležno tijelo. Temelj obrade ove vrste osobnih podatka je prema članku 6. Opće uredbe zakonska osnova ili legitimni interes poslodavca, a posebni uvjeti obrade posebne kategorije osobnih podataka prema članku 9. Opće uredbe mogu biti različiti te se procjenjuju od slučaja do slučaja, najčešće će se raditi o zakonskoj osnovi obrade u cilju zaštite socijalnih prava radnika.
Navedeni podaci se čuvaju trajno kao sastavni dio radnopravne evidencije radnika.
• Obrada dobrovoljno danih osobnih podataka
Osobni podaci bliskih osoba i njihovi kontakt podaci koje radnik ustupa Društvu radi kontaktiranja tih osoba u hitnim slučajevima, nezgodama ili nesrećama isključivo se prikupljaju i obrađuju na temelju privole radnika. Svrha obrade je obavješćivanje bliskih osoba o hitnim slučajevima, nezgodama ili nesrećama koje se mogu desiti radniku.
Eventualno objavljivanje fotografije radnika na Web stranici ili u bilo kojem internom sustavu uvijek je dobrovoljno te se isključivo prikuplja i obrađuje na temelju privole radnika.
• Obrada osobnih podataka Drugog osoblja
Društvo obrađuje osobne podatke osoba koje obavljaju poslove temeljem osnova drugačijih od ugovora o radu, kao što su ugovor o dijelu, učenički ili studentski ugovor i sl., a koji su dostavljeni od strane navedenih osoba u pisanom obliku, u svrhu sklapanja, izvršenja ili raskida navedenih ugovora, odnosno radi ispunjenja obveza Društva propisanih zakonom.
Osobni podaci koji se obrađuju prilikom sklapanja ili raskida navedenih ugovora su: Osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon, OIB); Osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); informacije o uslugama te uvjeti plaćanja usluga (datum početka i završetka trajanja ugovora sukladno kojem se pružaju usluge Društvu, broj sati pruženih usluga, obrazovanje i kvalifikacije, informacije o naknadama, poput naknada po satu rada, porezni broj za ispostavu računa, detalji bankovnih računa te detalji o ukupno isplaćenim naknadama.
Osobni podaci osoba zaposlenih temeljem studentskog ugovora odnosno učeničkog čuvaju se 6 godina, prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima NN 73/2017, osim ukoliko je riječ o osobnim podacima iz samih ugovora te koji se obrađuju u svrhu isplate naknade iz takvih ugovora, a u kojem slučaju se takvi podaci čuvaju 11 godina sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
Osobni podaci osoba koje s Društvom imaju sklopljene ugovore o djelu te druge ugovore o poslovnoj suradnji, čuvaju se 11 godina sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
4.2.2. Obrada osobnih podataka kandidata za zaposlenje
Na vlastitu inicijative ili u slučaju provedbe natječaja za radno mjesto kandidati dostavljaju svoje osobne podatke radi mogućeg zaposlenja u Društvu. Obrada se provodi u svrhu odabira kandidata koji svojim stručnim kvalifikacijama odgovaraju potrebama Društva, a obrada se vrši s namjerom sklapanja ugovora o radu, ugovora o djelu ili studentskog ugovora, prema Zakonu o radu te Zakonu o posredovanju pri zapošljavanju i pravima za vrijeme nezaposlenosti.
Osobni podaci koji se obrađuju mogu biti: osobno identificirajući podaci (ime, prezime, adresa, datum rođenja, e-mail, telefon); osobni podaci (dob, spol, državljanstvo, datum i mjesto rođenja); zanimanje i zapošljavanje (podaci o prethodnim zaposlenjima, poslodavcima i stečenom radnom iskustvu; početak i kraj zaposlenja, sposobnost korištenja tehnologije, podaci o razdobljima bez zaposlenja); podaci o obrazovanju i osposobljavanju (stručna sprema, podaci o povijesti i razini obrazovanja; podaci o stečenim znanjima, vještinama, certifikatima i dozvolama); podaci o slobodnom vremenu i interesima; psihološki detalji (mišljenja o osobnosti ili karakteru); eventualno dodatni podaci dostavljeni prema nahođenju pojedinca.
Osobni podaci kandidata za zaposlenje čuvaju se do okončanja procesa selekcije kandidata, odnosno najduže 5 godine od dana objave oglasa za radno mjesto.
4.2.3. Obrada osobnih podataka osoblja poslovnih partnera Društva:
Društvo može obrađivati podatke osoblja (radnika, osoba ovlaštenih za zastupanje) svojih poslovnih partnera (trgovaca, dobavljača, kupaca i drugih poslovnih partnera pružatelja različitih vrsta usluga, kao što su primjerice bankarske usluge, usluge pružanja interneta, telefonskih i mobilnih usluga te sve druge usluge koje Društvo koristi u svom redovitom poslovanju).
Podaci, kao što su ime i prezime te kontakt podaci, prikupljaju se najčešće putem e-maila ili posebnog obrasca u svrhu omogućavanja komunikacije Društva sa svojim poslovnim partnerima u cilju sklapanja ili izvršenja poslovnog ugovora ili omogućavanja poslovne suradnje.
Pravna osnova obrade osobnih podataka navedenih osoba jest izvršenje ugovora koje je Društvo sklopilo s dobavljačima, kupcima i navedenim poslovnim partnerima različitih djelatnosti, a ponekad i legitimni interes Društva.
Navedeni osobni podaci čuvaju se do izvršenja navedenih ugovora s poslovnim partnerima, odnosno i nakon prestanka ugovora, a najduže 11 godina, sukladno Zakonu o računovodstvu, osim ukoliko je potrebno duže čuvanje uslijed zaštite i obrane pravnih zahtjeva Društva.
4.2.4. Obrada osobnih podataka zaprimljenih putem e-pošte
Kada Društvo prima elektroničku poštu (e‐poštu) s osobnim podacima od osoba po kojima ih je moguće identificirati, bilo putem e‐pošte s pitanjem ili komentarom, ili obrascem koji se dostavlja elektroničkom poštom, Društvo te podatke koristi isključivo u svrhu ispunjenja zahtjeva navedenih osoba.
Društvo može obrađivati podatke individualnih trgovaca, osoba ovlaštenih za zastupanje pravnih osoba te podatke zaposlenika svojih poslovnih partnera i/ili potencijalnih poslovnih partnera, koji se prikupljaju putem e-maila, u svrhu omogućavanja komunikacije Društva sa svojim poslovnim partnerima u cilju sklapanja poslovnog ugovora ili omogućavanja poslovne suradnje, te se takva obrada temelji na legitimnom interesu Društva. Društvo ne obrađuje više podataka nego što je to potrebno (primjerice ime i prezime te kontakt podaci) odnosno one podatke koji su potrebni ta svrhu komunikacije s poslovnim partnerima te potencijalnim poslovnim partnerima te zbog izvršenja ugovora sklopljenih s poslovnim partnerima.
U navedene svrhe obrađuju se sljedeći osobni podaci: ime i prezime, adresa, OIB, potpis, broj telefona, broj mobitela, e-mail adresa.
Svrha obrade podataka je ispunjenje zahtjeva pošiljatelja e-mail pošiljke i druga komunikacija s pošiljateljem e-mail pošiljke.
Podaci se čuvaju tijekom trajanja poslovne suradnje ili dok postoji potencijal za međusobnu suradnju, odnosno do trenutka brisanja e-pošiljke od strane pojedinog radnika Društva koji je primio e-pošiljku, odnosno tijekom zaposlenja pojedinog radnika Društva koji je primio e-pošiljku kao legitimni interes Društva.
4.2.5. Obrada podataka u slučaju sudskih i drugih sporova u kojima Društvo sudjeluje
Ako postoji bilo koji spor u svezi bilo kojeg gore navedenog osobnog podataka, podaci potrebni za pravilno zastupanje prosljeđuju se pravnim zastupnicima i sudovima, odnosno nadležnim državnim tijelima. Navedeno je nužno radi zaštite i obrane pravnih zahtjeva Društva te takva obrada osobnih podataka predstavlja legitimni interes Društva.
Navedeni podaci se čuvaju 10 godina od pravomoćnosti odluke nadležnog tijela.
4.2.6. Obrada osobnih podataka putem video nadzora
Društvo obrađuje osobne podatke osoba koje pristupaju poslovnim prostorima Društva i to putem video nadzora postavljenog na odnosno u poslovnim prostorima Društva. Društvo obrađuje osobne podatke navedenih osoba u svrhu zaštite osoba i imovine Društva. Temelj obrade je legitimni interes Društva.
U navedene svrhe obrađuju se sljedeći osobni podaci: video snimka osoba koje pristupaju poslovnim prostorima Društva zajedno sa vremenom pristupa svakoj pojedinoj nadzornoj kameri postavljenoj na odnosno u poslovnim prostorima Društva.
Snimke dobivene putem video nadzora, čuvaju se najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku, a u skladu sa Zakonom o zaštiti podataka.
EVIDENCIJE OBRADE
Članak 5.
5.1. Društvo uspostavlja i vodi evidencije osobnih podataka Ispitanika koje sadrže, u mjeri u kojoj je primjenjivo slijedeće podatke:
a) naziv i kontakt - podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
b) svrhu u koju se podaci prikupljaju;
c) opis kategorija Ispitanika i kategorija osobnih podataka;
d) kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
e) prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o eventualnim odgovarajućim zaštitnim mjerama;
f) predviđene rokove za brisanje različitih kategorija podataka;
g) opći opis tehničkih i organizacijskih sigurnosnih mjera.
5.2. Evidencije se vode na propisanom obrascu Agencije za zaštitu osobnih podataka Republike Hrvatske koji je priložen ovom pravilniku kao PRILOG 1 i čini njegov sastavni dio.
PRIVOLA
Članak 7.
7.1. Uz prethodnu privolu, osobni podaci mogu se prikupljati, obrađivati i koristiti i za druge svrhe, osim navedenih u prethodnim člancima.
7.2. Zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. U svrhu pribavljanja privole Društvo koristi obrazac propisan od strane Agencije za zaštitu osobnih podataka koji je priložen ovom Pravilniku kao PRILOG 2 i čini njegov sastavni dio.
7.3. Svi osobni podaci prikupljeni putem privole brisat će se ukoliko Ispitanik povuče privolu, što može učiniti u bilo kojem trenutku. Povlačenje privole ima posljedicu da Društvo više ne obrađuje te podatke u navedene svrhe. Ako Ispitanik želi povući privolu za obradu osobnih podataka, može kontaktirati ovlaštenu osobu Društva putem e-mail adrese: [email protected]
MJERE ZAŠTITE
Članak 8.
8.1. Osobni podaci koje Društvo prikuplja štite se od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa tehničkim, organizacijskim i kadrovskim mjerama zaštite.
8.2. U svrhu čuvanja povjerljivosti svi zaposlenici Društva potpisuju posebnu Izjavu o povjerljivosti koja je priložena ovom Pravilniku kao PRILOG 3 i čini njegov sastavni dio.
8.3. Osim osoba ovlaštenih za zastupanje Društva, evidencijama osobnih podataka ovlaštene su pristupiti samo osobe koje Društvo odredi posebnom odlukom.
8.4. Tehničke mjere zaštite koje se koriste su:
• Postavljanje lozinki i prava pristupa podacima, programima i opremi
• Redovna nadogradnja operativnog sustava i računalnih programa
• Postavljanje antivirusnog programa na uređaje
• Sigurnosne kopije podataka (Backup)
• Postavljanje vatrozida (firewalla)
• Zaštita pristupa mrežnoj infrastrukturi
• Kriptiranje podataka i prijenosnih uređaja na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
• Zaštita podataka pohranjenih u papirnatom obliku
• Fizička zaštita od nedozvoljenog pristupa
• Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
• Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
DAVANJE NA KORIŠTENJE TREĆIM OSOBAMA
Članak 9.
9.1. Prikupljeni osobni podaci mogu se proslijediti trećim osobama samo kada to predviđa zakon ili kada isto zahtijeva poslovni interes, u kojem slučaju se sklapaju odgovarajući ugovori ili poduzimaju druge odgovarajuće mjere u svrhu osiguranja daljnje obrade u skladu s mjerodavnim propisima.
9.2. Kada je to potrebno za svrhe obrade navedene u ovom Pravilniku, Društvo može osobne podatke Ispitanika podijeliti s jednom ili više trećih strana, bez obzira na to jesu li udruženi ili ne, za obradu osobnih podataka Ispitanika pod odgovarajućim uputama Društva (u daljnjem tekstu: Izvršitelji obrade).
9.3 U slučaju da Društvo kao voditelj obrade povjeri obradu izvršiteljima obrade, oni su dužni:
- obrađivati podatke samo po nalogu Društva,
- imati potpisane izjave o povjerljivosti,
- čuvati zapise o obradi,
- implementirati odgovarajuću zaštitu,
- dobiti privolu u slučaju podugovaranja,
- surađivati s Društvom kod prijave povrede, zahtjeva za pristup i procjena učinka na zaštitu privatnosti,
9.4. Voditelj obrade obvezan je s izvršiteljima obrade sklopiti pisani ugovor sukladno čl. 28. Opće uredbe o zaštiti osobnih podataka.
PROCJENA UČINKA NA ZAŠTITU PODATAKA
Članak 10.
10.1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode Ispitanika, Društvo prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
10.2. Takva procjena mora sadržavati:
(a) sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes Društva;
(b) procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
(c) procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i
(d) mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.
POSTUPAK U SLUČAJU POVREDE OSOBNIH PODATAKA
Članak 11.
11.1. Pod povredom osobnih podataka smatra se kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani od strane Društva.
11.2. Sve osobe koje koji imaju pristup i vrše obradu osobnih podatka, koje Društvo obrađuje u sklopu svoje djelatnosti, dužne su prijaviti sumnjive aktivnosti (incidente) koje mogu dovesti do narušavanja povjerljivosti, integriteta i/ili dostupnosti osobnih podataka, osobi ovlaštenoj za zastupanje Društva kao osobi odgovornoj za upravljanje incidentima koja će nakon primitka prijave istražiti uzrok incidenta ili ovlastiti drugu osobu koja posjeduje posebna stručna znanja za provođenje istrage. Svi zapisi i dokazi o incidentu šalju se i daju na čuvanje izravno osobi odgovornoj za upravljanje incidentima. Tijekom istrage provjerit će se ozbiljnost incidenta i njegov utjecaj na prava i slobode Ispitanika.
11.3. U slučaju kada se nakon provedene istrage ustanovi da je došlo do narušavanja sigurnosti osobnih podataka, Društvo će u najkraćem mogućem roku provesti aktivnosti kako bi se incident ograničio. Ovisno o ozbiljnosti incidenta, osoba odgovorna za upravljanje incidentima će po potrebi uključiti i informirati ostale osobe kako bi se moglo:
- Utvrditi postoji li mogućnost da se napravi oporavak gubitaka i ograničavanje štete koje može uzrokovati incident
- Utvrditi da li je potrebno obavijestiti osobe koje su pogođene incidentom
- Utvrditi da li je potrebno obavijestiti nadležno nadzorno tijelo.
11.4. Društvo će, uz prethodno savjetovanje s osobom koja posjeduje posebna stručna znanja, odrediti koje daljnje aktivnosti je potrebno poduzeti na temelju zaprimljene prijave o incidentu s ciljem ublažavanja posljedica povrede osobnih podataka i sprječavanja ponavljanja incidenta.
11.5. Društvo će bez nepotrebnog odlaganja obavijestiti Ispitanike o povredi njihovih osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za njihova prava i slobode. U navedenoj obavijesti bit će opisana priroda povrede osobnih podataka, kao i preporuke, kako bi Ispitanici mogli ublažiti potencijalne negativne učinke te će predmetna obavijest sadržavati i ime i kontakt podatke osobe zadužene za pitanja zaštite osobnih podataka te opis vjerojatne posljedice povrede osobnih podataka i opis mjera koje je Društvo poduzelo ili predložilo poduzeti za rješavanje problema povrede osobnih podataka, a ista će biti poslana u najkraćem mogućem roku od trenutka spoznaje o povredi osobnih podataka.
11.6. U slučaju povrede osobnih podataka, Društvo će bez nepotrebnog odgađanja, a ako je navedeno izvedivo, najkasnije 72 sata nakon saznanja o određenoj povredi, o istoj izvijestiti nadzorno tijelo. Iznimno, Društvo neće slati obavijest o povredi osobnih podataka nadzornom tijelu u slučaju povrede osobnih podataka koje neće prouzročiti rizik za prava i slobode pojedinaca. Izvješće nadzornom tijelu obvezno sadrži (ali nije ograničeno na):
- prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj korisnika, te kategorije i približan broj evidencija osobnih podataka;
- ime i kontakt podatke osobe odgovorne za upravljanje incidentima;
- opis vjerojatnih posljedica povrede osobnih podataka;
- opis mjera koje je Društvo poduzelo ili planira poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja mogućih štetnih posljedica.
PRAVA ISPITANIKA
Članak 12.
12.1. Svaki Ispitanik ima pravo dobiti obavijest o obradi podataka te ostvariti u bilo kojem trenutku slijedeća prava temeljem pisanog zahtjeva upućenog na adresu Društva ili elektroničkim putem na e-mail adresu: [email protected] u koju svrhu može koristiti obrazac Agencije za zaštitu osobnih podataka koji je priložen ovom Pravilniku kao PRILOG 4 i čini njegov sastavni dio.
(i) PRAVO NA PRISTUP OSOBNIM PODACIMA
Ispitanik može zatražiti bilo koju informaciju vezanu za obradu osobnih podataka;
(ii) PRAVO NA ISPRAVAK OSOBNIH PODATAKA
Ispitanik može zatražiti ispravak ili izmjenu svojih osobnih podataka;
(iii) PRAVO NA BRISANJE OSOBNIH PODATAKA
Ispitanik može zatražiti brisanje osobnih podataka te će Društvo bez odgađanja obrisati podatke obrisati osim u slučaju i u mjeri potrebnoj za ostvarivanje legitimnih interesa Društva u skladu s propisima;
(iv) PRAVO NA OGRANIČAVANJE OBRADE
Ispitanik može zatražiti ograničavanje obrade osobnih podataka te će Društvo u tom slučaju odrediti ograničenje ukoliko se ispuni jedan od sljedećih uvjeta:
- Ispitanik osporava točnost osobnih podataka, u kom slučaju će se obrada ograničiti na razdoblje kojim se Društvu omogućuje provjera točnosti uporabe;
- obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
- Društvo više ne treba osobne podatke za potrebe obrade ali ih Ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
- Ispitanik je uložio prigovor te očekuje potvrdu nadilaze li legitimni razlozi Društva za obradom razloge Ispitanika.
(v) PRAVO NA PRENOSIVOST PODATAKA
Ispitanik može zatražiti da mu se osobni podaci koje je pružio predaju u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja.
(vi) PRAVO NA PRIGOVOR
Ispitanik može iznijeti prigovor nepostojanja legitimnog interesa, zabrane profiliranja i automatiziranog pojedinačnog donošenja odluka.
(vii) PRAVO PODNOŠENJA PRIGOVORA NADZORNOM TIJELU
Ukoliko Ispitanik smatra da se obradom podataka krši mjerodavno pravo može se obratiti i izravno tijelu nadležnom za zaštitu podataka (Agencija za zaštitu osobnih podataka RH) ili nadležnom sudu.
(viii) POVLAČENJE PRIVOLE
Ispitanik u svako doba može povući svoju privolu za obradu osobnih podataka sukladno članku 7. ovog Pravilnika.
12.2. Postupak ostvarivanja prava Ispitanika detaljno je uređen u PRILOGU 5 ovog Pravilnika koji čini njegov sastavni dio.
STUPANJE NA SNAGU PRAVILNIKA
Članak 13.
13.1. Ovaj Pravilnik stupa na snagu osmog dana od dana objave.
___________________________________
LISCA - ZAGREB d.o.o.