GDPR
Opća pravila zaštite osobnih podataka u trgovačkom društvu MikroGoran d.o.o. Lokve
Opća pravila zaštite osobnih podataka u trgovačkom društvu MikroGoran d.o.o. (dalje u tekstu: Opća pravila) donijeta su:
– na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Službeni list Europske unije L 119/1 od 4.5.2016., dalje u tekstu: Opća uredba)
– na temelju Zakona o provedbi Opće uredbe o zaštiti podataka (Nar. novine, br. 42/18)
– na temelju Zakona o radu (Nar. novine, br. 93/14 i 127/17)
– na temelju Zakona o računovodstvu (Nar. novine, br. 78/15,134/15 i 120/16)
– na temelju Zakona o zaštiti na radu (Nar. novine, br. 74/14, 118/14 i 154/15)
– na temelju Zakona o privatnoj zaštiti (Nar. novine, br. 68/03,31/10 i 139/10)
– na temelju Pravilnika o načinu i vođenju evidencije o radnicima (Nar. novine, br. 73/17).
Opis zakonske podloge prilaže se ovim Općim pravilima (Prilog 1.)
Opća pravila donijeta su od strane direktora trgovačkog društva MikroGoran d.o.o. dana 25. svibnja 2018. godine.
I. UVOD
Članak 1.
Ovim Općim pravilima zaštite osobnih podataka se u trgovačkom društvu MikroGoran d.o.o. kao voditelju obrade osobnih podataka (dalje u tekstu: Voditelj obrade) u skladu s Općom uredbom uređuje:
– Vođenje strukturiranih skupova osobnih podataka
– Načela obrade osobnih podataka
– Uvjeti privole
– Obrada posebnih kategorija osobnih podataka
– Informacije i pristup osobnim podacima
– Ispravak i brisanje
– Pravo na prigovor i automatizirano pojedinačno donošenje odluka
– Obveze Voditelja obrade u vezi sa sigurnošću obrade i tehnička i integrirana zaštita podataka
– Odnosi Voditelja i izvršitelja obrade
– Prijenosi osobnih podataka
– Pravna sredstva, odgovornost i sankcije
– Obrada u kontekstu zaposlenja
– Obrada osobnih podataka putem Video nadzora
– Završne odredbe
II. VOĐENJE STRUKTURIRANIH SKUPOVA OSOBNIH PODATAKA
Članak 2.
Kod Voditelja obrade vode se slijedeći strukturirani skupovi osobnih podataka koji su dostupni prema posebnim kriterijima (sustavi pohrane), koji se vode automatiziranim ili neautomatiziranim sredstvima:
– Podaci o radnicima i radnom vremenu
– Podaci o plaćama radnika (plaće, uzdržavani članovi obitelji, ovrhe na plaći, zaštićeni računi i dr.)
– Podaci o studentima i učenicima na praksi, te podaci o osobama na stručnom osposobljavanju bez zasnivanja radnog odnosa
– Podaci o poslovnim partnerima koje su fizičke osobe
– Podaci koji se odnose na primatelje ponuda i kupce fizičke osobe
– Podaci koji se odnose na zdravlje radnika
– Podaci dobiveni video nadzorom
– Podaci fizičkih osoba, zaposlenika i predstavnika vanjskih korisnika računalnih usluga i programskih rješenja
– Podaci pohranjeni u bazama podataka računalnih programa koje koriste vanjski korisnici računalnih usluga
– Podaci prikupljeni komunikacijom putem interne web stranice
Popis strukturiranih skupova osobnih podataka prilaže se ovim Općim pravilima. (Prilog 2.)
Članak 3.
Podaci o radnicima i radnom vremenu, o plaćama radnika, o studentima i učenicima na praksi, o osobama na stručnom usavršavanju bez zasnivanja radnog odnosa i podaci koji se odnose na zdravlje radnika vode se u skladu s propisima radnog prava, propisima o zaštiti na radu i prema drugim odgovarajućim propisima.
Podaci iz st. 1. ovog članka vode se automatiziranim ili neautomatiziranim sredstvima.
Članak 4.
Podatke iz prethodnog članka vode osobe koje rade na radnim mjestima: opći poslovi, financije- komercijala, financije- pravo i opći poslovi, programiranje i sistem inženjering.
Članak 5.
Podaci o poslovnim partnerima koji su fizičke osobe, podaci o primateljima ponuda i kupcima koji su fizičke osobe, podaci fizičkih osoba, predstavnika i zaposlenika vanjskih korisnika usluga te podaci prikupljeni komunikacijom putem interne web stranice vode se u skladu s komercijalnim pravilima poslovanja.
Podaci iz st. 1. ovog članka vode se automatiziranim ili neautomatiziranim sredstvima.
Članak 6.
Podatke iz prethodnog članka vode osobe koje rade na radnim mjestima: opći poslovi, financije- komercijala, financije- pravo i opći poslovi, održavanje računalne i mrežne opreme, programiranje i sistem inženjering , trgovina/komercijala.
Članak 7.
Podaci o video nadzornom sustavu vode se u skladu sa propisom koji uređuje pitanje zaštite na radu i propisima koji u RH uređuju provedbu Opće uredbe.
Podaci iz st. 1 ovog članka vode se automatizirano, a pristup tim podacima ima voditelj odjela za održavanje računalne i mrežne opreme.
Članak 8.
Podaci pohranjeni u bazama podataka računalnih programa koje koriste vanjski korisnici računalnih usluga vode se u skladu sa sklopljenim Ugovorom o zaštiti osobnih podataka i sukladno klauzuli o čuvanju povjerljivih podataka iz glavnih ugovora sa komitentima.
Podaci iz st. 1 ovog članka vode se automatizirano, a pristup tim podacima imaju osobe koje rade na radnim mjestima: poslovodstvo, sistem inženjering i programer.
III. NAČELA OBRADE OSOBNIH PODATAKA
Članak 9.
Osobni podaci koji se obrađuju kod Voditelja obrade moraju biti:
– zakonito, pošteno i transparentno obrađeni (zakonitost, poštenost i transparentnost)
– prikupljeni u posebne, izričite i zakonske svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (ograničavanje svrhe)
– primjereni, relevantni i ograničeni na ono što je nužno (smanjenje količine podataka)
– točni i prema potrebi ažurni ( točnost)
– čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (ograničenje pohrane)
– obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka (cjelovitost i povjerljivost).
Članak 10.
Obrada je nužna samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
– ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
– obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
– obrada je nužna radi poštovanja pravnih obveza voditelja obrade
– obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
– obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službenih ovlasti voditelja obrade
– obrada je nužna za potrebe legitimnih interesa Voditelja obrade ili treće strane, osim kad su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.
IV. UVJETI PRIVOLE
Članak 11.
Kada se obrada temelji na privoli, Voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Privola ispitanika se Voditelju obrade daje u vidu pisane izjave.
Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.
Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanik se o tome obavješćuje. Povlačenje privole mora biti jednostavno kao i njezino davanje.
Obrazac privole ispitanika prilaže se ovim Općim pravilima (Prilog 3.)
V. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
Članak 12.
Voditelj obrade obrađuje i posebne kategorije osobnih podataka svojih radnika koji otkrivaju:
– podatke koji se odnose na zdravlje radnika.
Obrada podataka koji se odnose na zdravlje radnika nužna jer u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika.
VI. INFORMACIJE I PRISTUP OSOBNIM PODACIMA
Članak 13.
Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, Voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sljedeće informacije:
– identitet i kontaktne podatke Voditelja obrade
– svrhe obrade radi koji8h se prikupljaju osobni podaci kao i pravnu osnovu za obradu
– legitimne interese Voditelja obrade i treće strane, ako se obrada temelji na tim interesima
– primatelje ili kategorije primatelja osobnih podataka, ako ih ima i
– činjenicu da Voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji ako je primjenjivo.
Osim informacija iz st. 1. ovog članka, Voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku i sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
– razdoblje u kojem će osobni podaci biti pohranjeni
– postojanju prava da se od Voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka
– postojanju prava da se u bilo kojem trenutku povuče privola
– pravo na podnošenje prigovora nadzornom tijelu
– informaciju o tome je li pružanje osobnih podataka zakonska obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže
– postojanju automatiziranog donošenja odluka, što uključuje i izradu profila.
Informacije koje se pružaju ispitaniku navedene su u obrascu koji se prilaže ovim Općim pravilima. (Prilog 4.)
Članak 14.
Ispitanik ima pravo dobiti od Voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
– svrsi obrade
– kategorijama osobnih podataka o kojima je riječ
– primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će biti otkriveni
– predviđenom razdoblju u kojem će osobni podaci biti pohranjeni
– postojanju prava da se od Voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničenje obrade
– pravu na podnošenje pritužbe nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
– ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru
– postojanju automatiziranog donošenja odluka, što uključuje izradu profila.
Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatražim ispitanik Voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova.
VII. ISPRAVAK I BRISANJE
Članak 15.
Ispitanik ima pravo bez nepotrebnoga odgađanja ishoditi od Voditelja obrade ispravak netočnih osobnih podataka koki se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Članak 16.
Ispitanik ima pravo od Voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te Voditelj obrade ima obvezu brisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
– osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni
– ispitanik privuče privolu na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu
– ispitanik uloži prigovor na obradu te ne postoji jači legitimni razlozi za obradu
– osobni podaci nezakonito su obrađeni
– osobni podaci moraju se brisati radi poštivanja pravne obveze iz prava Unije ili prava države članice kojem podliježe Voditelj obrade.
VIII. PRAVO NA PRIGOVOR
Članak 17.
Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. U tom slučaju Voditelj obrade više ne smije obrađivati osobne podatke, osim ako Voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrade pravnih zahtjeva.
IX. OBVEZE VODITELJA OBRADE U VEZI SA SIGURNOŠĆU OBRADE I TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA
Članak 18.
Voditelj obrade provodi slijedeće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti i to:
– osiguranje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava obrade
– osiguranje pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta
Članak 19.
Među organizacijske i tehničke mjere spadaju i mjere fizičke zaštite isprava, ugovora i drugih dokumenata u papirnatom obliku na način da su iste pohranjene na odvojeno, zaštićeno mjesto i zaštićene od neovlaštenog pristupa.
Članak 20.
Među organizacijske i tehničke mjere ubraja se i ograničeni pristup te davanje izjave o povjerljivosti svih osoba koje prikupljaju ili obrađuju osobne podatke ili imaju pravo pristupa tim podacima.
Popis osoba koje su dužne dati izjavu o povjerljivosti utvrđuje direktor Voditelja obrade.
Izjava o povjerljivosti sadržava potvrdu pojedinca koji djeluje pod odgovornošću Voditelja obrade da osobne podatke obrađuje u skladu sa uputama Voditelja obrade, kao i izjavu da prihvaća materijalnu odgovornost i odgovornost zbog povreda radnih obveza za postupanja koja nisu u skladu s uputama nakon prestanka radnog odnosa kod Voditelja obrade.
Tekst izjave o povjerljivosti prilaže se ovim Općim pravilima (Prilog 5.)
Članak 21.
Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade.
Članak 22.
Voditelj obrade osigurava tehničke mjere zaštite podataka u skladu sa Sigurnosnim politikama Voditelja obrade.
Sigurnosne politike Voditelja obrade sadržavaju osobito:
– obuku zaposlenika i administratora prije korištenja IT usluga
– pravila lozinki
– pravila kod korištenja Internet Browsera
– prijenos osjetljivih podataka preuzimanje datoteka
– E- mail adrese zaposlenika
– zaštita od virusa
– ponašanje u slučaju sigurnosnih incidenata
– dodatne odredbe za mobilne uređaje
– sigurnosne mjere.
Sigurnosne politike Voditelja obrade prilažu se ovim Općim pravilima (Prilog 6.)
X. ODNOSI VODITELJA I IZVRŠITELJA OBRADE
Članak 23.
Voditelj obrade koristi izvršitelje obrade za obradu slijedećih osobnih podataka
– za obradu osobnih podataka, radi izvršenja radova i usluga ugovorenih i sukladno međusobnim sklopljenim Ugovorima
Članak 24.
Obrada koju provodi izvršitelj obrade utvrđuje se Ugovorom o obradi osobnih podataka koji se sklapa između Voditelja obrade i izvršitelja obrade, u pisanom obliku.
Ugovor o obradi osobnih podataka vezan je za sklopljeni Ugovor o izvršenju radova i usluga od strane izvršitelja obrade i traje sukladno trajanju tog ugovornog odnosa.
Ogledni primjer Ugovora iz st. 2. ovog članka prilaže se ovim Općim pravilima. (Prilog 7.)
XI. EVIDENCIJA AKTIVNOSTI OBRADE
Članak 25.
Voditelj obrade u skladu sa člankom 30. Opće uredbe nije dužan voditi evidenciju aktivnosti obrade.
XII. IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA
Članak 26.
Voditelj obrade u skladu s člankom 37. Opće uredbe nije dužan imenovati službenika za zaštitu podataka.
XIII. PRAVNA SREDSTVA, ODGOVORNOST I SANKCIJE
Članak 27.
Svaki ispitanik ima pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka. Ispitanik ima pravo na podnošenje tužbe upravnom sudu ako Agencija ne riješi pritužbu ili ne obavijesti ispitanika u roku od tri mjeseca o napretku ili ishodu tužbe.
Članak 28.
Ispitanik ima pravo na učinkoviti pravni lijek (tužbu nadležnom sudu protiv Voditelja obrade ili izvršitelja obrade) ako smatra da su mu zbog obrade njegovih osobnih podataka prekršena prava iz Opće uredbe.
Članak 29.
Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja Opće uredbe ima pravo na naknadu od Voditelja obrade ili izvršitelja obrade za pretrpjele štete.
Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom samo ako nije poštivao obvezu iz Opće uredbe. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštivao obveze iz Opće uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonskih uputa voditelja obrade ili protivno njima.
Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.
Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudom opće nadležnosti.
XIV. OBRADA U KONTEKSTU ZAPOSLENJA
Članak 30.
Osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.
Voditelj obrade će radi ostvarivanja prava i obveza iz radnog odnosa prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo one osobne podatke koji su nužni za navedenu svrhu, a te će podatke dostavljati samo na zahtjev sudova i drugih državnih ili javnih tijela.
Osobne podatke radnika smije prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo Voditelj obrade kao poslodavac ili osoba koju on za to posebno opunomoći.
XV. OBRADA OSOBNIH PODATAKA PUTEM VIDEONADZORA
Članak 31.
Video nadzor se odnosi na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.
Članak 32.
Obrada osobnih podataka putem video nadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine.
Video nadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, čiji je nadzor nužan radi postizanja svrhe iz st. 1. ovog članka.
Voditelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod video nadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.
Obavijest iz st. 1. ovog članka treba sadržavati sve relevantne informacije sukladno odredbi čl. 13. Opće uredbe, a posebno jednostavnu i lako razumljivu sliku uz tekst koji se ispitanicima pružaju slijedeće informacije:
– da je prostor pod video nadzorom
– podatke o voditelju obrade
– podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.
Članak 33.
Sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba.
Voditelj obrade dužan je uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama video nadzora koji će sadržavati vrijeme i mjesto pristupa kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem video nadzora.
Pristup podacima video nadzora imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.
Članak 34.
Snimke dobivene putem video nadzora mogu se čuvati najviše 6 mjeseci osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.
Članak 38.
Kamere video nadzora postavljene su na ulazu u objekt i u unutrašnjosti prodajnog prostora.
Članak 39.
Pravo pristupa osobnim podacima prikupljenim putem video nadzora ima zaposlenik na radnom mjestu voditelja odjela za održavanje računalne i mrežne opreme.
XVI. ZAVRŠNE ODREDBE
Članak 40.
Ova Opća pravila primjenjuju se od 25. svibnja 2018.
Opća pravila sadrže priloge navedene u pojedinim odredbama pravila. Prilozi čine sastavni dio pravila.
Početkom primjene Općih pravila stavljaju se izvan snage svi drugi akti koji pitanja zaštite osobnih podataka kod voditelja obrade uređuju na drukčiji način.
Opća pravila se objavljuju na mrežnoj stranici Voditelja obrade i javno su dostupna.
Direktor:
Josip Jakovac