Izjava o privatnosti

Na temelju odredbi Uredbe (EU) 2016/679 Europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) te Zakona o radu, Uprava METSS d.o.o. donijela je, nakon dobivene prethodne suglasnosti sindikalnog povjerenika (predsjednik Nezavisnog sindikata radnika METSS d.o.o. Čakovec), dana 23. svibnja 2018. godine, sljedeći

Pravilnik o postupanju s osobnim podacima

Članak 1.

METSS d.o.o. kao obveznik primjene Uredbe (EU) 2016/679 Europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka (u daljnjem tekstu: Opća uredba)), ovim Pravilnikom reguliraju zaštitu pojedinaca (fizičkih osoba) u vezi s obradom njihovih osobnih podataka u samom društvu.

Primjenu odredbi ovog Pravilnika, odredbi Opće uredbe kao i odredbi drugih mjerodavnih propisa koji reguliraju zaštitu pojedinaca vezano uz obradu njihovih osobnih podataka, u METSS d.o.o. dužni su osigurati te za isto snose odgovornost upravitelji radnih jedinica (svaki za svoju radnu jedinicu) te rukovoditelji i voditelji službi (svaki za svoju službu).

Ovim se Pravilnikom ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe.

Članak 2.

U skladu sa Općom uredbom pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:

Osobni podatak – svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobni podatak je npr. ime i prezime, OIB i drugi podaci pod kojima je pojedinac registriran, adresa, mrežni identifikatori (IP adresa, identifikator kolačića i sl.) i drugi podaci svojstveni za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet pojedinca. Osobnim podacima smatraju se i podaci o plaći, bankovni račun, porezna prijava, broj putovnice ili broj osobne iskaznice i dr.;

Obrada osobnih podataka – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima (npr. bilježenje, prikupljanje, organizacija, struktu-riranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje);

Sustav pohrane - svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi (npr. dosadašnje zbirke osobnih podataka);

Voditelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. U smislu odredbi ovog Pravilnika voditeljem obrade smatraju se METSS d.o.o. (u daljnjem tekstu: Društvo);

Izvršitelj obrade – onaj tko obrađuje podatke u ime Društva (fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo);

Primatelj – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci (neovisno o tome je li on treća strana);

Treća strana – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, Društvo, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izvravnom nadležnošću Društva ili izvršitelja obrade;

Ispitanik – pojedinac (fizička osoba) čiji je identitet utvrđen ili se može utvrditi;

Identitet pojedinca – istovjetnost pojedinca koja ga, na osnovi oznaka koje ga karakteriziraju (dob, spol, rasa), izdvaja od ostalih pojedinaca. Identitet se najčešće utvrđuje uvidom u javne isprave, ali se može obaviti i na drugi način. Npr. oznaka fizičke osobe je ime i prezime, a njezin se identitet utvrđuje npr. uvidom u osobnu iskaznicu ili putovnicu;

Privola – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka;

Povreda osobnih podataka – kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Članak 3.

Osobne podatke ispitanika Društvo obrađuje pridržavajući se sljedećih osnovnih načela obrade osobnih podataka predviđenih Općom uredbom:

• Zakonitost, poštenost i transparentnost;
• Ograničavanje svrhe;
• Smanjenje količine podataka;
• Točnost;
• Ograničenje pohrane;
• Cjelovitost i povjerljivost;
• Pouzdanost.

Osobne podatke ispitanika Društvo obrađuje zakonito, pošteno i transparentno. Obrađuju se samo primjereni i relevantni osobni podaci i to isključivo u posebne, izričite i zakonite svrhe te se dalje ne obrađuju na način koji nije u skladu s tim svrhama.

Osobne podatke koje Društvo obrađuje su točni te se po potrebi ažuriraju. Osobni podaci koji nisu točni bez odlaganja se brišu ili ispravljaju.

Društvo osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.

Društvo osobne podatke čuva samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja, ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, Društvo periodično vrši provjeru daljnje potrebe pohrane tih podataka obzirom na samu svrhu njihove obrade, a radi poduzimanja od-govarajućih mjera (npr. brisanje osobnih podataka ako nema zakonske prepreke).

Članak 4.

Društvo osobne podatke obrađuje samo i u onoj mjeri u kojoj je ispunjen jedan od sljedećih uvjeta:

− da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha,
− da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora,
− da je obrada nužna radi poštovanja pravnih obveza Društva,
− da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe,
− da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Društva,
− da je obrada nužna za potrebe legitimnih interesa Društva ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Članak 5.

Ako Društvo vrši obradu osobnih podataka za koju je potrebna privola ispitanika, ista privola se može dati na, za to predviđenom, obrascu „Privola za obradu osobnih podataka“ u Službi za opće i pravne poslove, kod upravitelja radne jedinice, rukovoditelja ili voditelja službe (i osoba koje isti ovlaste), a koji obrazac ispitanik potpisuje.

Obrazac privole iz prethodnog stavka sastavljen je na način da osigurava primjenu odredbi Opće uredbe vezanih uz reguliranje davanja privole, a pisani oblik služi u svrhu dokazivanja da je ispitanik dao privolu za obradu svojih osobnih podataka.

Osim navedenog obrasca privolom kao i dokazom davanja iste smatrat će se i svaka izjava ili potvrdna radnja u pisanom ili u elektroničkom obliku dana Društvu od strane ispitanika, a koja po svom sadržaju predstavlja jasno ispitanikovo izražavanje dobrovoljnog, posebnog, informiranog i nedvosmislenog pristanka na obradu osobnih podataka koji se odnose na njega.

Društvo vrši obradu osobnih podataka i na temelju usmene privole (izjave) ispitanika, ali pod uvjetom da Društvo može dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka u tom obliku.

Privola kojom ispitanik Društvu daje pristanak za obradu osobnih podataka koji se na njega odnose mora biti dobrovoljna.

Ispitanik ima pravo u svakom trenutku povući svoju privolu, a povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. O predmetnom se ispitanik obavješćuje prije davanja privole.

Povlačenje privole se može dati na, za to predviđenom, obrascu „Povlačenje privole“ u Službi za opće i pravne poslove, kod upravitelja radne jedinice, rukovoditelja ili voditelja službe (i osoba koje isti ovlaste), a koji obrazac ispitanik potpisuje.

Ako se radi o obradi osobnih podataka maloljetne osobe, privolu te povlačenje privole sukladno prethodnim stavcima ili sukladno odredbama Opće uredbe, daje ili odobrava nositelj roditeljske odgovornosti nad tom osobom (roditelj ili zakonski skrbnik).

Ispitanik ima pravo uskratiti davanje privole.

Članak 6.

Društvo ne vrši obradu posebno osjetljivih podataka kao što su:

• Rasno ili etničko podrijetlo;
• Političko mišljenje;
• Vjersko ili filozofsko uvjerenje;
• Genetski podaci;
• Biometrijski podaci (radi jedinstvene identifikacije pojedinca);
• Spolni život ili seksualna orijentacija pojedinca.

Društvo vrši obradu podataka o članstvu u sindikatu isključivo na temelju dane izričite privole ispitanika za obradu tih osobnih podataka.

Društvo vrši obradu podataka o zdravlju ispitanika, koja obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Društva ili ispitanika, i to na temelju Zakona o obveznom zdravstvenom osiguranju, Zakona o radu, Zakona o zaštiti na radu, Zakona o profesionalnoj rehabilitaciji i zapošljavanju osoba s invaliditetom, Zakona o hrani, Zakona o zaštiti pučanstva od zaraznih bolesti, kao i drugih mjerodavnih propisa iz područja radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti iz nadležnosti Europske unije ili Republike Hrvatske.

Pod podacima koji se odnose na zdravlje, kako je to navedeno u prethodnom stavku, podrazumijevaju se osobni podaci povezani s fizičkim ili mentalnim zdravljem ispitanika.

U slučaju obrade odnosno ukazane potrebe obrade posebno osjetljivih podataka u Društvu, takva obrada se može temeljiti isključivo na osnovama predviđenim Općom uredbom.

Članak 7.

Privole dobivene po prethodnim člancima ove glave Pravilnika odlažu se u personalne dosjee ispitanika u Službi za opće i pravne poslove.

Članak 8.

U postupku obrade osobnih podataka Društvo ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovi za obradu podataka, legitimnim interesima Društva, namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade, pravu na ulaganje prigovora kao i o svim drugim informacijama predviđenim za ispitanika sukladno odredbama Opće uredbe.

Informacije iz prethodnog stavka pružaju se ispitaniku objavom ovog Pravilnika te njegovih izmjena i dopuna na oglasnim pločama Društva i radnih jedinica te neposrednim uručenjem istih akata (u pisanom ili elektroničkom obliku) ispitaniku na njegov zahtjev, kao i objavom na internetskim stranicama Društva. Predmetne informacije mogu se ispitaniku pružati i izravno usmenim putem, ako to zatraži ispitanik, i to u Službi za opće i pravne poslove, kod upravitelja radne jedinice, rukovoditelja ili voditelja službe (i osoba koje isti ovlaste).

Članak 9.

U slučaju da se osobni podaci prikupljaju od ispitanika, Društvo će ispitaniku u trenutku prikupljanja osobnih podataka pružiti informacije navedene u prethodnom članku ovog Pravilnika. Takve informacije će ispitaniku Društvo dati i u slučaju da osobni podaci nisu dobiveni neposredno od njega.

Primitak informacija iz prethodnog stavka ispitanik potvrđuje potpisom na za to predviđenom obrascu „Izjava o pruženim informacijama“ u Službi za opće i pravne poslove, kod upravitelja radne jedinice, rukovoditelja ili voditelja službe (i osoba koje isti ovlaste), a koja se izjava odlaže u personalni dosje radnika u Službi za opće i pravne poslove.

U slučaju da Društvo ne dobiva osobne podatke neposredno od ispitanika, informacije iz stavka 1. pružit će se ispitaniku:

• odmah po primitku, a najkasnije u roku od mjesec dana od dana dobivanja osobnih podataka,
• najkasnije u trenutku prve komunikacije ostvarene s ispitanikom, ako se osobni podaci trebaju upotrebljavati za komunikaciju s tim ispitanikom,
• najkasnije u trenutku kada su osobni podaci prvi put otkriveni, ako je predviđeno otkrivanje podataka drugom primatelju.

Kod prikupljanja osobnih podataka od ispitanika, istoga se obavještava o tome je li obvezan pružiti osobne podatke te o posljedicama koje mogu proizaći iz toga što takve podatke nije pružio.

Članak 10.

U okviru Društva, za obradu osobnih podataka ispitanika ovlašteni su Uprava te osobe koje Uprava Društva ovlasti posebnom odluku.

Članak 11.

Za potrebe ovog Pravilnika, pored pojma iz članka 2. ovog Pravilnika, pod ispitanikom podrazumijeva se osoba koja je zaposlena u Društvu, kao i osoba koja s Društvom ima poslovni odnos izvan radnog odnosa te svaka druga osoba čiji se osobni podaci obrađuju u Društvu po bilo kojoj osnovi.

Članak 12.

Sukladno Općoj uredbi, Društvo osigurava ispitanicima ostvarenje sljedećih prava:

• Pravo na pristup;
• Pravo na ispravak;
• Pravo na brisanje (pravo na zaborav);
• Pravo na ograničenje obrade;
• Pravo na prenosivost podataka;
• Pravo na prigovor.

Članak 13.

Društvo će odmah, a najkasnije u roku od mjesec dana od dana zaprimanja zahtjeva ispitanika ili njegovog zakonskog zastupnika ili punomoćnika:

- omogućiti ispitaniku pristup njegovim osobnim podacima te ga informirati o svrsi obrade njegovih osobnih podataka, kategorijama njegovih osobnih podataka koji se obrađuju, o primateljima ili kategorijama primatelja kojima su njegovi osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju (odnosno kriterijima za utvrđivanje tog razdoblja) u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru,
- informirati ispitanika o njegovom pravu na traženje ispravka ili brisanja osobnih podataka (pravo na zaborav) ili ograničavanja obrade osobnih podataka, pravu na podnošenje pritužbe Agenciji za zaštitu osobnih podataka,
- ispraviti netočne osobne podatke ili uzimajući u obzir svrhe obrade dopunit nepotpune osobne podatke (npr. davanjem dodatne izjave) koji se odnose na ispitanika,
- provesti brisanje osobnih podataka koji se odnose na ispitanika pod uvjetom da osobni podaci više nisu nužni za svrhu radi koje su prikupljeni ili ako ispitanik povuče privolu (ako se obrada vrši na osnovi privole ispitanika) ili ako su podaci nezakonito obrađeni ili je takva obveza određena pravom Europske unije ili Republike Hrvatske,
- ograničiti obradu osobnih podataka ispitanika pod uvjetom da ispitanik osporava točnost osobnih podataka (za razdoblje dok Društvo ne izvrši provjeru točnosti osobnih podataka) ili je obrada nezakonita (ali ispitanik ne traži brisanje nego samo ograničenje uporabe) ili Društvo više ne treba osobne podatke za potrebe obrade (ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva) ili je ispitanik uložio prigovor na obradu,
- dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose ili iste podatke prenijeti ispitaniku na USB stick ili CD ili poslati elektroničkom poštom,
- prestati s obradom osobnih podataka ispitanika koji se obrađuju na osnovi javnog interesa te legitimnog interesa Društva ili treće strane, osim u slučaju kad postoje opravdani razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili u slučaju postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

U slučaju iz alineje 1. prethodnog stavka (pravo na pristup) Društvo predaje ispitaniku presliku njegovih osobnih podataka koji se obrađuju, bez naplate troškova za prvu presliku (za svaku daljnju presliku zaračunat će se naknada sukladno članku 15. ovog Pravilnika). Preslika se podiže u Službi za opće i pravne poslove, kod upravitelja radne jedinice, rukovoditelja ili voditelja službe (i osoba koje isti ovlaste).

Ispitanik ima pravo, u slučaju iz alineje 4. stavka 1. (pravo na brisanje – pravo na zaborav), zahtijevati brisanje svog osobnog podatka (zabilježenog posredno ili neposredno) s interneta ili brisanje svih poveznica s osobnim podacima, preslike ili rekonstrukcije tih osobnih podataka. Pravo na brisanje ograničeno je ako je obrada osobnih podataka ispitanika nužna radi ostvarivanja propisanih obveza Društva ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Kod ograničenja obrade, u slučaju iz alineje 5. stavka 1., Društvo obradu takvih osobnih podataka smije obavljati samo uz privolu ispitanika (danoj sukladno članku 5. ovog Pravilnika) na kojeg se podaci odnose, osim ako je obrada nužna radi zaštite pravnih interesa trećih ili radi javnog interesa Eurospske unije ili Republike Hrvatske. Ograničene podatke Društvo mora premjestiti u drugi sustav obrade, učiniti ih nedostupnim za korisnike te ih ukloniti s internetskih stranica. U slučaju ograničenja obrade Društvo unaprijed izvješćuje (pisanim ili elektronskim putem) ispitanika o ukidanju istog.

U slučaju iz alineje 7. stavka 1. (pravo na prigovor) Društvo provodi test razmjernosti interesa radi ocjene važnosti svojih razloga za obradu i ispitanikovih razloga protiv obrade.

Članak 14.

Rok iz stavka 1. prethodnog članka ovo Pravilnika može se prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Društvo obavješćuje (u pisanom ili elektronskom obliku) ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.

Zahtjev iz stavka 1. prethodnog članka podnosi se pisanim ili elektroničkim putem. Zahtjev se može podnijeti i na za to predviđenim obrascima Društva, a podnosi se Službi za opće i pravne poslove, upravitelju radne jedinice, rukovoditelju ili voditelju službe (i osobi koju isti ovlaste). O poduzetim radnjama povodom navedenog zahtjeva Društvo pruža informacije u pisanom obliku. Ako je zahtjev ispitanika podnesen elektroničkim putem, Društvo infor-maciju pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.

O razlozima nepostupanja po zahtjevu ispitanika iz stavka 1. prethodnog članka ovog Pravilnika, Društvo će bez odgađanja, a najkasnije jedan mjesec od dana primitka zahtjeva, izvijestiti ispitanika (u pisanom ili elektroničkom obliku).

Uvjeti navedeni u odredbama prethodnih stavaka odnose se i na ispitanikovo podnošenje prigovora na obradu njegovih osobnih podataka.

Članak 15.

Društvo informacije pružene u skladu s člankom 13. ovog Pravilnika pruža bez naknade.

Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, Društvo će naplatiti razumnu naknadu uzimajući u obzir ad-ministrativne troškove pružanja informacija ili obavijesti ili postupanja po zahtjevu. Pod istim uvjetima, Društvo može i odbiti da postupi po zahtjevu ispitanika.

Članak 16.

Ispitanik koji smatra da mu je Društvo povrijedilo neko njegovo pravo zajamčeno Općom uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede prava Agenciji za zaštitu osobnih podataka.

Pored prava iz prethodnog stavka, ispitanik ima pravo i na učinkovit pravni lijek protiv Društva ili njegovih izvršitelja obrade ako smatra da mu je zbog obrade njegovih osobnih podataka protivno Općoj uredbi prekršena njegova prava iz iste uredbe.

Ispitanik koji je pretrpio materijalnu ili nematerijalnu štetu zbog kršenja Opće uredbe ima pravo na naknadu od Društva ili njegovih izvršitelja obrade.

Članak 17.

U slučaju povrede osobnih podataka (u smislu članka 2. ovog Pravilnika) Društvo bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata nakon saznanja o toj povredi, izvješćuje Agenciju za zaštitu osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika. U slučaju da navedeno izvješćivanje nije učinjeno unutar 72 sata, isto mora biti popraćeno razlozima za kašnjenje.

Izvješće iz prethodnog stavka mora najmanje sadržavati podatke navedene u članku 20. stavku 2. ovog Pravilnika.

Radi postupanja u skladu s odredbom prethodnog stavka, upravitelji radnih jedinica te rukovoditelji i voditelji služba unutar kojih je došlo do povrede osobnih podatka dužni su, odmah po saznanju o povredi osobnih podataka, o istome obavijestiti (usmeno, u pisanom ili elektroničkom obliku) Službu za opće i pravne poslove, a kako bi se pravodobno poduzele mjere predviđene Općom uredbom.

Prilikom procjene da li postoji ili ne postoji vjerojatnost da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika (vezano uz stavak 1. ovog članka), osobito treba uzeti u obzir da li takva povreda može u konačnici prouzročiti fizičku, materijalnu ili nematerijalnu štetu ispitaniku, kao što je npr. gubitak nadzora nad osobnim podacima, ograničavanje prava, diskriminacija, krađa identiteta ili prijevara, financijski gubitak, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom te bilo koja druga ekonomska ili društvena šteta za ispitanika.

Članak 18.

Izvršitelj obrade (u smislu članka 2. i 22. ovog Pravilnika) dužan je bez nepotrebnog odgađanja izvijestiti Društvo nakon što sazna za povredu osobnih podataka. Izvješće mora sadržavati sve elemente propisane Općom uredbom. Ispunjenje navedenih obveza izvršitelja obrade osigurava se unašanjem odgovarajuće klauzule u ugovor o obradi osobnih podataka koji Društvo sklapa s izvršiteljem obrade.

Članak 19.

Društvo dokumentira sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice kao i mjere poduzete za popravljanje štete, a radi omogućavanja Agenciji za zaštitu osobnih podataka provjere poštovanja Opće uredbe.

Članak 20.

U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinca, Društvo će bez nepotrebnog odgađanja obavijestiti ispitanika (u pisanom ili elektroničkom obliku) o povredi osobnih podataka.

Obavijest iz prethodnog stavka sadržava:

- opis prirode povrede osobnih podataka,
- ime i kontaktne podatke Voditelja općih i pravnih poslova, u svrhu dobivanja dodatnih informacija,
- opis vjerojatne posljedice povrede osobnih podataka,
- opis mjera koje je Društvo poduzelo ili predložilo poduzeti za rješavanje problema povrede osobnih podataka te umanjenje štetnih posljedica povrede.

Obavješćivanje ispitanika sukladno prethodnim stavcima nije obvezno u slučaju ispunjena bilo kojeg od sljedećih uvjeta:

- Društvo je poduzelo odgovarajuće tehničke i organizacijske mjere zaštite koje su primijenjene na osobne podatke pogođene povredom osobnih podataka (npr. enkripcija),
- Društvo je poduzelo naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika,
- time bi se zahtijevao nerazmjeran napor, a u kojem slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

Članak 21.

Društvo nije u obvezi te neće imenovati službenika za zaštitu podataka budući da sukladno odredbi članka 37. Opće uredbe:

- Društvo nije tijelo javne vlasti ili javno tijelo,
- osnovne djelatnosti Društva se ne sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri,
- osnovne djelatnosti Društva se ne sastoje od opsežne obrade posebnih kategorija podataka na temelju članka 9. Opće uredbe i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Opće uredbe.

Članak 22.

U slučaju potrebe da obradu osobnih podataka u ime Društva provodi druga pravna ili fizčka osoba, Društvo će se koristiti jedino izvršiteljima koji u dovoljnoj mjeri jamče provedbu tehničkih i organizacijski mjera na način da je takva obrada u skladu s odredbama Opće uredbe te da se njome osigurava zaštita prava ispitanika.

Obradu koju provodi izvršitelj obrade uređuje se ugovorom o obradi osobnih podataka koji izvršitelja obrade obvezuje prema Društvu, a u kojem su najmanje sadržani:

- predmet obrade,
- trajanje obrade,
- priroda i svrha obrade,
- vrsta osobnih podataka,
- kategorije ispitanika,
- prava i obveze voditelja obrade,
- jamstva izvršitelja obrade,
- obveze izvršitelja obrade.

Ugovor iz prethodnog stavka sklapa se u pisanom obliku.

Članak 23.

Društvo vrši obrade sljedećih vrsta osobnih podatka:

- osobni podaci radnika Društva (evidencije radnika i radnog vremena, plaće radnika i dr.),
- osobni podaci umirovljenika Društva,
- osobni podaci učenika i studenata koji rade ili obavljaju praksu u Društvu temeljem učeni-kih i studentskih ugovora te uputnica škole/fakulteta,
- osobni podaci osoba na stručnom osposobljavanju za rad,
- osobni podaci članova nadzornog i revizorskog odbora Društva,
- osobni podaci kandidata koji sudjeluju u selekcijskom postupku za zasnivanje radnog odnosa,
- osobni podaci dioničara Društva,
- osobni podaci kupaca, dobavljača i poslovnih partnera Društva,
- osobni podaci prikupljeni sustavom video nadzora u Društvu,
- drugi osobni podaci koji se u Društvu prikupljaju u skladu s člankom 6. Opće uredbe.

O osobnim podacima iz prethodnog stavka, kao i o svim drugim osobnim podacima, koji su prikupljeni u skladu s člankom 6. Opće uredbe, Društvo vodi evidencije aktivnosti obrade osobnih podataka, uvid u koje evidencije ispitanici mogu izvršiti u Službi za opće i pravne poslove Društva.

Članak 24.

Vođenje evidencija aktivnosti obrade osobnih podataka iz prethodnog članka raspodijeljeno je po radnim jedincima te po službama i ovlaštenim osobama za obradu podataka.

Evidencija aktivnosti obrade sadrži najmanje sljedeće podatke:
- naziv i kontaktne podatke Društva,
- ovlaštene osobe za zastupanje Društva,
- naziv radne jedinice te službe Društva,
- ovlaštenu osobu za obradu osobnih podataka,
- svrhu obrade,
- kategoriju ispitanika
- kategoriju osobnih podataka,
- kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
- predviđene rokove za brisanje osobnih podataka (ako je to moguće),
- opći opis tehničkih i organizacijskih sigurnosnih mjera za zaštitu podataka (ako je moguće).

Prema potrebi, evidencija aktivnosti obrade osobnih podataka može sadržavati i druge podatke.

Svaka ovlaštena osoba za obradu osobnih podataka u Društvu dužna je odmah po izmjeni postojeće ili uvođenju nove evidencije aktivnosti obrade, bez nepotrebnog odgađanja obavijestiti Službu za opće i pravne poslove kako bi se moglo postupiti u skladu s odredbom članka 8. ovog Pravilnika.

Članak 25.

Osobni podaci ispitanika koji se obrađuju u Društvu moraju biti odgovarajuće zaštićeni od slučajnog ili nezakonitog uništenja, gubitka, izmjena, neovlaštenog otkrivanja ili pristupa.

Osobni podaci obrađuju se uz poštovanje sigurnosti i povjerljivosti osobnih podataka kroz sprečavanje neovlaštenog pistupa osobnim podacima i opremi kojom se Društvo koristi pri obradi podataka ili njihove neovlaštene upotrebe.

Članak 26.

Ovlaštene osobe za obradu osobnih podataka u Društvu iz članka 10. ovog Pravilnika, odgovorne su za zaštitu osobnih podataka ispitanika od slučajnog ili nezakonitog uništenja, gubitka, izmjena, neovlaštenog otkrivanja ili pristupa.

Povreda odredbe prethodnog stavka kao i povreda odredbi Opće uredbe predstavlja povredu obveze iz radnog odnosa radi koje se odgovornim osobama iz prethodnog stavka može otkazati ugovor o radu.

U svrhu osiguranja postupanja sukladno odredbama prethodnih stavaka, osobe navedene u stavku 1. ovog članka, podnose, na za to predviđenom obrascu, izjavu o povjerljivosti u Službi za opće i pravne poslove, koja izjava se odlaže u personalni dosje radnika u Službi za opće i pravne poslove. Uprava može zatražiti i od drugih osoba zaposlenih u Društvu podnošenje izjave o povjerljivosti, a sve u cilju osiguranja pridržavanja odredbi Opće uredbe.

I svi drugi radnici u Društvu koji tijekom radnog odnosa, u obavljanju poslova svog radnog mjesta, izravnim ili neizravnim putem saznaju za osobne podatke nekog ispitanika, dužni su ih čuvati kao strogu tajnu i ne smiju ih na bilo koji način prenijeti trećim (neovlaštenim) osobama.

Ugovorom o obradi osobnih podataka sklopljenim s izvršiteljima obrade osigurava se Društvu podnošenje izjave o povjerljivosti od strane nadležnih osoba izvršitelja obrade.

Članak 27.

Kao jedna od mjeri zaštite osobnih podataka osigurano je da je ulazak u sjedište Društva fizički zaštićen zaposlenicima zaštitarske službe.

Članak 28.

Osobni podaci ispitanika u pisanom obliku čuvaju se u omotima spisa odnosno u registratorima koji se odlažu u zaključane ormare ili se odlažu u prostorije koje se zaključavaju.

Postupanje iz prethodnog stavka primjenjuje se tijekom radnog vremena, uslijed privremenog napuštanja radnog mjesta te po završetku radnog vremena. Pod istim uvjetima mora se osigurati da u radnim prostorijama ne budu izloženi te dostupni neovlaštenim osobama dokumenti koji sadrže osobne podatke (npr. ostavljanjem pisanog dokumenta na radnom stolu prilikom napuštanja kancelarije i sl.).

Ispis dokumenata koji sadrže osobne podatke ispitanika mora se svesti na najmanju moguću mjeru, a isti dokumenti se po prestanku svrhe ili pravne osnove za njihovu pohranu uništavaju.

Ovlaštene osobe za obradu osobnih podataka u Društvu dužne su zaključavati zaslon kad završe s upotrebom svog računala (tijekom radnog vremena) ili isključiti svoje računalo (tijekom i po završetku radnog vremena).

Članak 29.

Osobni podaci ispitanika u računalu zaštićuju se dodjeljivanjem lozinke za ulaz u računalo, koja je poznata samo ovlaštenoj osobi za obradu osobnih podataka u Društvu, a pohranjena u servisu „Active directory“ pod enkripcijom. Daljnja zaštita osigurana je dodjeljivanjem lozinke za ulaz u sustav programa ERP, a koja je također poznata samo ovlaštenoj osobi za obradu osobnih podataka u Društvu.

Lozinka za elektroničku poštu čuva se u programu zaštićenom enkripcijom te lozinkom za ulazak u taj program.

Pristup osobnim podacima u računalnom sustavu bilježi se putem logova.

Osobni podaci ispitanika se preslikavaju radi stvaranja sigurnosnih kopija („back up“).

Računalna oprema na kojoj se pohranjuju podaci („serveri“) nalazi se u ormaru pod ključem (koji se odlaže u prostoriju pod ključem) te je onemogućen pristup neovlaštenim osobama. „Off site“ poslužitelj za sigurnosne kopije nalazi se u zaključanoj prostoriji.
Svi poslužitelji („serveri“) i računala u Društvu međusobno su povezana u lokalnoj mreži koja je zaštićena od vanjske mreže (Internet) s „vatrozidom“ („firewall“) te su zaštićeni i sigur-nosnim rješenjem („endpoint security“).

Članak 30.

Na sve vezano uz obradu osobnih podataka ispitanika u Društvu, a što nije regulirano ovim Pravilnikom, primjenjuju se odredbe Opće uredbe te odredbe drugih mjerodavnih propisa. Društvo će pojedine obrade osobnih podataka regulirati zasebnim pravilnicima (npr. Pravilnik o korištenju sustava video nadzora i dr).

Članak 31.

Ovaj Pravilnik se objavljuje na način propisan Pravilnikom o načinu objave pravilnika o radu.

Zbog dislociranosti radnih jedinica Društva, a temeljem odredbi Pravilnika o načinu objave pravilnika o radu svaki radnik ima pravo uvida u ovaj Pravilnik kod svojeg upravitelja, odnosno rukovoditelja ili voditelja službe radnim danom od 08,00 do 12,00 sati ili u Službi za opće i pravne poslove od 08,00 do 14,00 sati.

Osim gore navedenog, Pravilnik se sukladno članku 8. objavljuje i na internetskim stranicama Društva, a sve s ciljem informiranja ispitanika čiji se osobni podaci obrađuju.

Članak 32.

Izmjene i dopune ovoga Pravilnika donose se na način propisan Zakonom o radu za donošenje pravilnika o radu.

Članak 33.

Ovaj Pravilnik se dostavlja upraviteljima RJ, rukovoditeljima i voditeljima službi i sindikal-nom povjereniku.

Svakome radniku upravitelj RJ, rukovoditelj ili voditelj službe, sindikalni povjerenik i referent općih poslova moraju na njegov zahtjev omogućiti uvid u ovaj Pravilnik.

Članak 34.

Ovaj Pravilnik stupa na snagu i primjenjuje se od 25. svibnja 2018. godine

Član uprave:
Branko Grašić, dipl.iur.

Ovaj Pravilnik objavljen je, dana 23. svibnja 2018 . godine, na oglasnim pločama Društva i radnih jedinica.

TOP