Skip to content

Interni pravilnik

Temeljem Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer, Prugovac, Kolodvorska 28, OIB: 31762396231 donosi

INTERNI PRAVILNIK kojim se utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.

Članak 1. Područje primjene i okvir

Ovaj se Interni pravilnik (u daljnjem tekstu Pravilnik) primjenjuje na obradu osobnih podataka unutar organizacije i unutar svih poslovnih odnosa. Svrha ovog Pravilnika je jasno i konkretno upoznavanje svih osoba unutar organizacije s odredbama Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (u daljnjem tekstu Uredba). Poslovni nastan organizacije je unutar EU u Republici Hrvatskoj te se stoga pozivanje na zakone, uredbe, pravilnike i propise odnosi na zakonodavni sustav Republike Hrvatske i u određenim slučajevima na pravni okvir EU. D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer ni na koji način ne prenosi i ne namjerava prenosti podatke trećim zemljama ili međunarodnim organizacijama pa će se dijelovi i način postupanja u slučaju takvog prijenosa izostaviti iz ovog Pravilnika kao neprimjenjivi. Za ona pravila postupanja koja nisu obuhvaćena ovim Pravilnikom se procjenjuje da nisu primjenjiva unutar organizacije i okvira poslovanja i zato nisu posebno obrađena u Pravilniku. Za sve slučajeve koji nisu pokriveni ovim Pravilnikom i za pojašnjenja članaka Pravilnika, primjenjuju se propisane mjere Uredbe. Sastavni dio ovog Pravilnika su i dodaci: Primijenjene sigurnosne mjere Procedura u slučaju povrede podataka Imenovanje službenika za zaštitu osobnih podataka Procedura procjene učinka na zaštitu osobnih podataka

Članak 2. Definicije

Za potrebe ovog Pravilnika, neki od relevantnih pojmova su definirani na način kako ih definira Uredba. „ispitanik“ – pojedinac čiji je identitet utvrđen ili se može utvrditi „osobni podaci” znači svi podaci koji se odnose na ispitanika koji se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca; „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje; „pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi; „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade; „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana; „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade; „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani; Ostali pojmovi spomenuti u ovom Pravilniku su objašnjeni unutar samih članaka Pravilnika ili unutar same Uredbe. Članak 3. Načela obrade osobnih podataka U slučajevima kada je D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer u ulozi voditelja obrade, svoju pouzdanost će dokazati pridržavajući se svih načela obrade osobnih podataka koje propisuje Uredba:


ZAKONITOST, POŠTENOST I TRANSPARENTNOST

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade:

a) primjenjuje zakonitost obrade propisane člankom 6. Uredbe (odnosno člankom 9. Uredbe za posebne kategorije osobnih podataka) odnosno ima zakonsku osnovu za obradu osobnih podataka;

b) ne obrađuje podatke na načine koji bi imali neopravdane štetne učinke na ispitanika;

c) je transparentan o obradi podataka pri čemu ispitaniku na jednostavan i transparentan način pojašnjava koji podaci se obrađuju, na koji način i u koju svrhu;

d) upravlja osobnim podacima samo na način koji ispitanik razumno očekuje;

e) primjenjuje mjere i procedure kako bi osiguralo da se s podacima ne čini ništa nezakonito.


OGRANIČAVANJE SVRHE

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade osigurava da su osobni podaci prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Ispitanik je upoznat s jasnom, jednoznačnom i izričitom svrhom obrade. Obrada istih podataka u neku drugu svrhu definira se tom drugom svrhom pri čemu je ispitanik ponovno obaviješten o novoj svrsi.


SMANJENJE KOLIČINE PODATAKA

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade osigurava da su osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhu obrade. Za jasno definiranu izričitu svrhu, prikupljaju se samo minimalno potrebni osobni podaci koji su potrebni za izvršenje te izričite svrhe.


TOČNOST

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade poduzima sve razumne mjere kako bi osigurao da su osobni podaci točni i i prema potrebi ažurni te da se podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave. Kako bi se udovoljilo načelu točnosti, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer razumnim mjerama osigurava da je izvor osobnih podataka pouzdan te sukladno svrhama obrade redovito ažurira podatke.


OGRANIČENJE POHRANE

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade čuva osobne podatke u obliku koji omogućuju identifikaciju ispitanika samo onoliko dugo koliko je potrebno obzirom na izričitu svrhu obrade podataka. Kako bi se udovoljilo načelu ograničenja pohrane, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kroz samu svrhu obrade određuje vremenski rok obrade podataka i legitimnost čuvanja podataka nakon obrade.

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer također osigurava da se osobni podaci nakon proteka vremenskog roka obrade podataka čuvaju na siguran način uz korištenje dostupnih mjera zaštite podataka (enkripcija, pseudonimizacija ili korištenje drugih alata kada je takav način zaštite moguć). Nakon isteka roka čuvanja podataka, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer se u razumnoj mjeri obvezuje uništiti podatke na siguran i dokazano pouzdan način kako bi spriječio bilo kakvu povredu osobnih podataka.


CJELOVITOST I POVJERLJIVOST

Obzirom na ispitanika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade ili zajednički voditelj obrade primjenom odgovarajućih tehničkih ili organizacijskih mjera obrađuje osobne podatke na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja.

Sveobuhvatne sigurnosne mjere su opisane u dokumentu „Primijenjene sigurnosne mjere“ koji je sastavni dio ovog Pravilnika. Kako bi se osigurala cjelovitost i povjerljivost podataka, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer osigurava razumnu i prihvatljivu razinu sigurnosti obzirom na prirodu osobnih podataka i štetu koja bi mogla proizaći zbog eventualnih sigurnosnih propusta. U svrhu osiguravanja povjerljivosti podataka, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer ovim Pravilnikom i ostalom dokumentacijom jasno propisuje obvezujuće interne procese te redovito educira osoblje u mjeri primjerenoj za prirodu, obim i načine obrade osobnih podataka. Provedba sveobuhvatne edukacije osoblja je opisana u dokumentu „Interna edukacija osoblja“ koji je sastavni dio ovog Pravilnika. D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer je svjestan da uz sve propisane procedure, educirano osoblje i sigurnosne mjere ipak može doći do povrede osobnih podataka te stoga u posebnom dokumentu „Postupanje u slučaju povrede podataka“ koji je sastavni dio ovog pravilnika propisuje protokole za kontrolu i smanjenje štete nastale povredom osobnih podataka.

Članak 3. Zakonitost obrade

Temeljem članka 3. ovog Pravilnika, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer se bez iznimke pridržava načela zakonitosti pri čemu postupa isključivo prema članku 6. Uredbe koja nalaže da je obrada osobnih podataka zakonita isključivo ako postoji određena zakonska osnova za obradu. Uredba propisuje sedam jednakopravnih i jednakovrijednih zakonskih osnova za obradu osobnih podataka:


PRIVOLA

Privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojom on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer koristi privolu kao zakonsku osnovu obrade podataka samo u slučajevima kada bez sumnje može ustanoviti da će ona biti data dobrovoljno što znači:

a) da nije uvjetovana ugovorom odnosno da se ispitaniku nedavanjem privole ni na koji način nije uskratilo izvršenje ugovora ili pružanje usluge;

b) da nema nesrazmjera u odnosu voditelj – ispitanik odnosno da položaj ispitanika nije bio inferiorniji u odnosu na voditelja obrade i da je ispitanik istinski dobrovoljno dao privolu. D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer za zakonitost obrade koristi privolu samo za izričitu te jasno i nedvosmisleno definiranu svrhu obrade podataka. Ispitaniku će se prije davanja privole svrha objasniti u razumljivom i lako dostupnom obliku uz korištenje jednostavnog i lako razumljivog jezika.

Obrada osobnih podataka djeteta na temelju privole je zakonita ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina privolu mora dati ili odobriti nositelj roditeljske odgovornosti nad djetetom. Kad je zakonska osnova obrade podataka privola, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer osigurava da povlačenje privole bude jednako jednostavno kao i davanje iste. Ispitanik ima pravo u bilo kojem trenutku povući privolu pri čemu svaka daljnja obrada podataka koji su prikupljeni na temelju privole mora prestati. Povlačenje privole ne utječe na zakonitost obrade podataka prije povlačenja.


IZVRŠAVANJE UGOVORA

U kontekstu zakonske osnove za obradu osobnih podataka, ugovorom se smatra:

a) stvarni potpisani ugovor između voditelja obrade i ispitanika gdje su osobni podaci u ugovoru nužni za izvršenje ugovornih obveza;

b) predugovorne radnje koje su nužne kako bi se došlo do obostrane odluke o sklapanju ugovora. Predugovorne radnje podrazumijevaju da još uvijek nema formalno potpisanog dokumenta, ali su i voditelj i ispitanik izrazili jasnu namjeru sklapanja ugovora i osobni podaci su nužni kako bi se ustanovila mogućnost sklapanja ugovora.


POŠTOVANJE PRAVNIH OBVEZA

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer koristi ovu zakonsku osnovu za obradu podataka isključivo kada mora udovoljiti zakonskim okvirima Republike Hrvatske ili pravnim okvirima EU.

Obrada osobnih podataka u svrhu ispunjavanja zakonskih obveza kojima D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer mora udovoljiti nisu ni na koji način povezane s ugovorom koje D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer sklapa s ispitanikom kako bi se udovoljilo načelu zakonitosti odnosno jasnom razgraničenju pojedinačnih zakonitosti obrade.

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer prema ovoj zakonskoj osnovi obrađuje samo one podatke koji su nužni za ispunjenje zakonskih obveza. Ako postoji izbor prema kojem se podaci mogu obrađivati u manjoj ili većoj mjeri, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer odabire onaj zakonski okvir koji zahtijeva najproporcionalniji obim podataka.


ZAŠTITA KLJUČNIH INTERESA ISPITANIKA ILI DRUGE FIZIČKE OSOBE

Ključnim interesom ispitanika smatra se interes neophodan za očuvanje života ispitanika ili druge fizičke osobe.

Obrada osobnih podataka na temelju ključnih interesa ispitanika ili druge fizičke osobe u načelu se koristi samo ako je obrada nužna kako bi se zaštitio život ispitanika pa je stoga D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer nikad neće koristiti kao zakonsku osnovu za obradu osobnih podataka.


IZVRŠAVANJE ZADAĆE OD JAVNOG INTERESA ILI IZVRŠAVANJE SLUŽBENE OVLASTI

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer koristi ovu zakonsku osnovu za obradu podataka isključivo kada mora udovoljiti zakonskim okvirima Republike Hrvatske ili pravnim okvirima EU.

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer pri odluci o prikupljanju podataka za izvršavanje zadaće javnog interesa provjerava zakonsku osnovu prema kojoj se takva obveza nametnula te ako postoji izbor prema kojem se podaci ne moraju obrađivati ili se mogu obrađivati u manjoj mjeri, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer odabire onaj zakonski okvir koji zahtijeva najproporcionalniji obim podataka.


LEGITIMNI INTERES

Pri odabiru ove zakonske osnove, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer uzima u obzir razumna očekivanja ispitanika koja se temelje na relevantnom i odgovarajućem odnosu ispitanika i voditelja obrade (D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer).

Korištenje legitimnog interesa kao zakonske osnove za obradu podataka koristi se samo kada interesi ili temeljna prava i slobode ispitanika nemaju prednost nad samom obradom bez obzira na odnos ispitanika i voditelja. Kako bi se osigurala usklađenost sa svim načelima obrade kako ih propisuje ovaj Pravilnik i sama Uredba, voditelj obrade D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer za svaku primjenu ove zakonske osnove dokumentira odluku o njenoj primjeni pri čemu se detaljnije elaborira potreba, opseg i način obrade podataka.

Članak 4. Obrada posebnih kategorija osobnih podataka

Posebne kategorije osobnih podataka su: osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja te vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetskih podaci, biometrijski podaci u svrhu jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje pojedinca, podaci o spolnom životu ili seksualnoj orijentaciji pojedinca.

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer ne obrađuje posebne kategorije osobnih podataka osim u iznimnim slučajevima propisanim člankom 9. stavkom 2. Uredbe kada je obrada nužna za:

a) potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

b) uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

c) potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

Članak 5. Prava ispitanika

Prava ispitanika su:

-Pravo na informaciju i pristup

-Pravo na ispravak

-Pravo na brisanje

-Pravo na ograničenje obrade

-Pravo na prenosivost podataka

-Pravo na prigovor

-Prava u vezi automatiziranog donošenja odluka i profiliranja

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer u najvećoj mogućoj mjeri olakšava ostvarivanje prava ispitanika te uvijek postupa po zahtjevu ispitanika osim ako razumnim mjerama nije moguće utvrditi identitet ispitanika. D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer kao voditelj obrade podataka pruža informacije o svim poduzetim radnjama bez nepotrebnog odgađanja. Informacija o poduzetim radnjama mora se dostaviti ispitaniku najkasnije u roku mjesec dana, a ako voditelj odbije postupiti po zahtjevu ispitanika, u istom roku mora obavijestiti ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka. Sva djelovanja po zahtjevu ispitanika izvršavaju se bez naknade osim u slučaju kad su zahtjevi ispitanika očito neutemeljeni, pretjerani i naročito učestali. U takvim slučajevima voditelj će prikupiti i dokumentirati dokaze neutemeljenosti, pretjeranosti i preučestalosti te ima pravo naplatiti ispitaniku razumnu naknadu ili odbiti postupiti po zahtjevu ispitanika. Voditelj obrade uz razumne napore osigurava da se o zahtjevu ispitanika obavijeste svi primatelji kojima su ti osobni podaci otkriveni i zahtijeva da i oni djeluju prema pravilima Uredbe. Nakon što se osigura da su podaci izbrisani i kod svih primatelja, voditelj obrade šalje ispitaniku potvrdu obrađenog zahtjeva. Na traženje ispitanika, voditelj obrade informira ispitanika o svim primateljima njegovih osobnih podataka.


INFORMACIJE I PRISTUP OSOBNIM PODACIMA

U trenutku prikupljanja osobnih podataka ili na zahtjev ispitanika, ispitaniku se u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika pružaju sljedeće informacije:

a) identitet i kontaktne podatke voditelja obrade;

b) kontaktne podatke za ostvarivanje prava ispitanika;

c) svrhu obrade osobnih podataka i pravnu osnovu za obradu;

d) ako se obrada temelji na privoli, postojanje prava za povlačenjem privole;

e) ako se obrada temelji na legitimnom interesu, objašnjenje tog legitimnog interesa;

f) ako se obrada temelji na izvršavanju ugovora ili poštivanju pravnih obveza, ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

g) primatelje ili kategorije primatelja osobnih podataka, ako ih ima;

h) razdoblje u kojem će obrađivati osobni podaci te na koji način i koliko dugo će biti pohranjeni te kriterije kojima se utvrdilo to razdoblje;

i) postojanje prava da se od voditelja obrade zatraži: pristup osobnim podacima, ispravak ili brisanje osobnih podataka, ograničavanje ili ulaganje prigovora na obradu podataka, prenosivost podataka;

j) pravo na podnošenje prigovora nadzornom tijelu;

k) ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka;

l) ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji;

m) ako je primjenjivo, postojanje automatiziranog donošenja odluka te smislene informacije otome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Ako osobni podaci koji se odnose na ispitanika nisu prikupljeni od ispitanika, voditelj obrade D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer ispitaniku pored gore navedenih informaciju pruža i informacije o:

a) kategoriji osobnih podataka o kojima je riječ;

b) izvoru osobnih podataka i, prema potrebi, informaciju jesu li podaci prikupljeni iz javno dostupnih izvora i koji su to izvori.

Ako osobni podaci koji se odnose na ispitanika nisu prikupljeni od ispitanika, gore navedene informacije se pružaju ispitaniku u trenutku prve komunikacije ostvarene s tim ispitanikom ili u slučaju daljnjeg otkrivanja podataka, u trenutku kada su osobni podaci prvi put otkriveni drugom primatelju. U ostalim slučajevima, informacije se moraju dati čim prije, a najkasnije u roku od jednog mjeseca. Obveza informiranja ispitanika se ne primjenjuje ako ispitanik već raspolaže tim informacijama ili ako je zakonima Republike Hrvatske i pravima EU dobivanje ili otkrivanje podataka izrijekom propisano te ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne. Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 46. Uredbe. Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži ispitanik voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova. Pravo na dobivanje kopije nikako ne smije negativno utjecati na prava i slobode drugih.


ISPRAVAK

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer na svaki zahtjev ispitanika za ispravkom ili nadopunom podataka reagira u najkraćem mogućem vremenu, a najduže mjesec dana, kako bi osigurao načelo točnosti i ispunio zahtjev ispitanika. Uzimajući u obzir prirodu i svrhu obrade osobnih podataka, voditelj obrade ulaže razumne napore kako bi utvrdio identitet ispitanika i neovisno provjerio točnost podataka.


BRISANJE (PRAVO NA ZABORAV)

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer na svaki zahtjev ispitanika za brisanjem podataka reagira u najkraćem mogućem vremenu, a najduže mjesec dana, kako bi osigurao načelo smanjenja količine podataka, točnost i cjelovitost. Uzimajući u obzir prirodu i svrhu obrade osobnih podataka, voditelj obrade ulaže razumne napore kako bi utvrdio identitet ispitanika.

Pri zahtjevu za brisanjem podataka, voditelj obrade D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer bez nepotrebnog odgađanja udovoljava zahtjevu ispitanika ako je ispunjen jedan od sljedećih uvjeta:

a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;

b) ispitanik povuče privolu na kojoj se obrada temelji te ako ne postoji druga zakonska osnova za obradu;

c) ispitanik uloži prigovor na obradu koja se temelji na legitimnom interesu voditelja obrade u svrhu izravnog marketinga;

d) ispitanik uloži prigovor na obradu koja se temelji na legitimnom interesu voditelja obrade osim ako ne postoje jači legitimni razlozi za obradu;

e) osobni podaci nezakonito su obrađeni;

f) osobni podaci moraju se brisati radi poštovanja zakona Republike Hrvatske ili pravne obveze iz prava EU;

g) osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva djetetu mlađem od 16 godina.

Ako je voditelj obrade javno objavio osobne podatke i dužan je prema gore navedenim uvjetima obrisati te osobne podatke, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer poduzima razumne mjere da i od ostalih voditelja i izvršitelja obrade zatraži da izbrišu te podatke i sve poveznice do tih osobnih podataka.

Pravo ispitanika na brisanje podatka ne primjenjuje se kada je obrada nužna što uključuje sljedeće uvjete:

a) podaci su nužni zbog ostvarivanja prava na slobodu izražavanja i informiranja;

b) podaci su nužni zbog poštovanja pravne obveze proizašle iz zakona Republike Hrvatske ili prava EU;

c) podaci su nužni zbog izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

d) podaci su nužni zbog javnog interesa u području javnog zdravlja kako to propisuje Uredba;

e) podaci su nužni u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe kako to propisuje Uredba;

f) podaci su nužni zbog postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Ako voditelj obrade utvrdi da iz gore navedenih razloga ne može ili ne smije obrisati podatke, o tim razlozima će obavijestiti ispitanika u roku mjesec dana.


OGRANIČENJE OBRADE

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer na svaki zahtjev ispitanika za ograničenjem obrade podataka reagira u najkraćem mogućem vremenu, a najduže mjesec dana. Uzimajući u obzir prirodu i svrhu obrade osobnih podataka, voditelj obrade ulaže razumne napore kako bi utvrdio identitet ispitanika.

Pri zahtjevu za brisanjem podataka, voditelj obrade D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer bez nepotrebnog odgađanja udovoljava zahtjevu ispitanika ako je ispunjen jedan od sljedećih uvjeta:

a) ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka;

b) obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;

c) voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

d) ispitanik je uložio prigovor na obradu na temelju legitimnog interesa očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

Ako se obrada podataka ograniči na zahtjev ispitanika, njegovi osobni podaci se dalje obrađuju samo uz privolu, uz sljedeće iznimke: pohrana podataka; postavljanje, ostvarivanje ili obrana pravnih zahtjeva; zaštita prava druge fizičke ili pravne osobe; važni javni interes Republike Hrvatske ili interesa EU. Ograničenje obrade se može ograničiti određenim vremenskim periodom, a pri ukidanju ograničenja, voditelj će o ukidanju obavijestiti ispitanika.


PRENOSIVOST PODATAKA

Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo izravno prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako se obrada temelji na privoli ili ako se provodi automatiziranim putem.


PRIGOVOR

D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer na svaki prigovor ispitanika na obradu podataka reagira u najkraćem mogućem vremenu, a najduže mjesec dana. Uzimajući u obzir prirodu i svrhu obrade osobnih podataka, voditelj obrade ulaže razumne napore kako bi utvrdio identitet ispitanika. Ako se obrada podataka temelji na legitimnom interesu, voditelj obrade prestaje obrađivati podatke osim ako ne dokaže da postoje legitimni interesi voditelja koji nadilaze legitimne interese ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. U slučaju izravnog marketinga koji se temelji na legitimnom interesu, D & A, Obrt za trgovinu i usluge, vl. Veronika Galjer bez nepotrebnog odlaganja i bez iznimke prestaje obrađivati te podatke uključujući izradu profila. Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito i jasno skreće pažnja na postojanje prava na prigovor. Kad god je moguće, voditelj obrade osigurava da se pravo na prigovor u slučaju izravnog marketinga daje na jednostavan automatizirani način. Ako se obrada podataka temelji na izvršavanju zadaće od javnog interesa ili izvršavanja službene ovlasti ili u svrhu znanstvenog ili povijesnog istraživanja ili u statističke svrhe, voditelj obrade prestaje obrađivati podatke osim ako ne postoje razlozi koji nadilaze interese, prava i slobode ispitanika.


AUTOMATIZIRANO DONOŠENJE ODLUKA I PROFILIRANJE

Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi učinke koji se na njega odnose ili na sličan način značajno na njega utječu. Ovo pravo se ne primjenjuje u sljedećim slučajevima:

a) ako je automatizirano donošenje odluka i profiliranje potrebno za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade;

b) ako je automatizirano donošenje odluka i profiliranje dopušteno zakonima Republike Hrvatske i pravima EU koji jasno propisuju odgovarajuće mjere zaštite prava i sloboda te interesa ispitanika;

c) ako je automatizirano donošenje odluka i profiliranje temeljeno na privoli ispitanika.

U slučajevima (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te interesa ispitanika, a najmanje prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

Članak 6. Ograničenja prava ispitanika

Na temelju zakona Republike Hrvatske i prava EU može se ograničiti opseg obveza i prava iz članka 5. ovog Pravilnika, ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda ispitanika te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu.

Pravo ispitanika se može ograničiti zbog sljedećih mjera:

a) zaštita nacionalne i javne sigurnosti;

b) obrana;

c) sprječavanje, istraga, otkrivanja ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprječavanje;

d) zaštitu važnih ciljeva od općeg javnog, gospodarskog ili financijskog interesa, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost;

e) zaštita neovisnosti pravosuđa i sudskih postupaka;

f) sprječavanje, istraga, otkrivanje i progon kršenja etike za regulirane struke;

g) funkcija praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti;

h) zaštita ispitanika ili prava i sloboda drugih;

i) ostvarivanje potraživanja u građanskim sporovima.

Svaka gore navedena mjera kojom se ograničava pravo ispitanika mora sadržavati posebne odredbe koje uključuju: svrhe obrade ili kategorije obrade; kategorije osobnih podataka; opseg uvedenih ograničenja; zaštitne mjere za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa; specifikaciju voditelja obrade ili kategorije voditelja obrade; razdoblje pohrane i zaštitne mjere koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade; rizike za prava i slobode ispitanika; pravo ispitanika da bude obaviješten o ograničenju, osim ako može biti štetno za svrhu tog ograničenja.

Članak 7. Voditelj obrade

Voditelj obrade je svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Voditelj obrade mora uzeti u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca i s tim u skladu provesti: 1. odgovarajuće politike zaštite podataka kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Uredbom; 2. odgovarajuće organizacijske mjere kako bi osigurao da se obrada provodi u skladu s Uredbom; 3. odgovarajuće tehničke mjere (gdje je moguće pseudonimizaciju) kako bi se osigurala cjelovitost i povjerljivost podataka te odgovarajuća razine zaštite podataka i prava ispitanika; 4. odgovarajuće tehničke mjere koje osiguravaju da se integriranim načinom obrađuju samo osobni podaci nužni za svaku pojedinačnu svrhu obrade odnosno osigurati da svi osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinaca.

Članak 8. Zajednički voditelji obrade

Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Voditelji obrade u ovom slučaju na transparentan način određuju svoje odgovornosti za poštovanje obveza iz Uredbe, osobito s obzirom na ostvarivanje svih prava ispitanika. Zajednički voditelji obrade također utvrđuju zajedničku kontaktnu točku za ispitanike. Odgovornosti za poštovanje obveza iz Uredbe se kod zajedničkih voditelja donosi u pisanom obliku i sadržava jasno određene uloge i odnose zajedničkih voditelja u odnosu na ispitanike. Cijeli pisani dokument koji određuje odgovornosti zajedničkih voditelja ne mora u cijelosti biti dostupan ispitaniku, ali se mora osigurati da je ispitaniku dostupan relevantan sažetak dokumenta. Ispitanik u svakom slučaju može ostvarivati svoja prava u vezi sa svakim pojedinačnim voditeljem ili u vezi s njihovim zajedničkim nastupom.

Članak 9. Izvršitelj obrade

Izvršitelj obrade je svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima obrađuje osobne podatke u ime voditelja obrade. Voditelj obrade smije angažirati samo one izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima Uredbe i da se njome osigurava zaštita prava ispitanika. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavještava voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu sa zakonima Republike Hrvatske ili pravima EU, koji izvršitelja obrade obvezuje prema voditelju obrade.

Sastavni dio takvog ugovora moraju biti:

a) predmet obrade,

b) trajanje obrade,

c) priroda i svrha obrade

d) vrsta odnosno kategorija osobnih podataka,

e) kategoriju ispitanika,

f) obveze i prava voditelja obrade.

Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

a) obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade,

b) ako je primjenjivo, definira i obrazloži prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji,

c) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

d) poduzima sve razumne sigurnosne mjere zaštite osobnih podataka uključujući: pseudonimizaciju i enkripciju, osiguranje povjerljivosti, cjelovitosti i dostupnosti, otpornost sustava i osiguranje u slučaju fizičkog i tehničkog incidenta, redovito testiranje učinkovitosti tehničkih i organizacijskih mjera

e) poštuje obvezu o obavještavanju voditelja obrade pri angažiranju drugog izvršitelja ili podizvršitelja

f) pomaže voditelju obrade da u skladu s propisima ispuni obveze u pogledu odgovaranja na zahtjeve ostvarivanja prava ispitanika

g) pomaže voditelju obrade u osiguravanju sigurnosti podataka, postupaka u vezi povrede osobnih podataka i procjene učinka na zaštitu osobnih podataka

h) po izboru voditelja, briše ili vraća voditelju obrade sve podatke nakon dovršetka pružanja usluge

i) stavlja voditelju obrade na raspolaganje sve informacije koje su bitne za dokazivanje voditeljeve usklađenosti s Uredbom

j) obavještava voditelja obrade ako prema njegovom mišljenju neka uputa voditelja obrade krši Uredbu


PODIZVRŠITELJ

Ako izvršitelj obrade angažira podizvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade nameću se i podizvršitelju obrade ugovorom ili drugim pravnim aktom, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava svim zahtjevima iz Uredbe. Ako podizvršitelj obrade ne ispunjava obveze zaštite podataka, izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog podizvršitelja obrade. Svi ugovori ili drugi pravni akti spomenuti u ovom članku moraju biti u pisanom obliku, uključujući elektronički oblik. Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže zakon Republike Hrvatske ili pravo EU. Članak 10. Evidencija aktivnosti obrade Evidencija aktivnosti obrade je obveza svakog voditelja i izvršitelja obrade koji zadovoljavaju jedan od sljedećih uvjeta:

a) voditelj/izvršitelj zapošljava više od 250 osoba;

b) obrada koja se provodi može prouzročiti visoki rizik za prava i slobode ispitanika;

c) obrada koja se provodi nije povremena;

d) obrada uključuje posebne kategorije podataka;

e) obrada uključuje podatke u vezi s kaznenim osudama i kažnjivim djelima. Evidencija aktivnosti obrade se izrađuje u pisanom obliku i na zahtjev se daje na uvid nadzornom tijelu.


SADRŽAJ EVIDENCIJE ZA VODITELJA OBRADE

Svaki voditelj obrade vodi evidenciju svake aktivnosti obrade za koje je odgovoran.

Evidencija sadržava:

a) ime i kontaktne podatke voditelja obrade;

b) ako je primjenjivo, ime i kontaktne podatke zajedničkog voditelja obrade ili predstavnika voditelja obrade;

c) ako je primjenjivo, ime i kontaktne podatke službenika za zaštitu osobnih podataka;

d) svrhe obrade;

e) opis kategorija ispitanika;

f) opis kategorija osobnih podataka;

g) primatelje ili kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,

h) ako je primjenjivo, podatke o primateljima u trećim zemljama ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama u skladu s člankom 49. stavkom 1. podstavkom 2. Uredbe;

i) predviđene rokove za brisanje različitih kategorija podataka;

j) opći opis primijenjenih tehničkih i organizacijskih sigurnosnih mjera.


SADRŽAJ EVIDENCIJE ZA IZVRŠITELJA OBRADE

Svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje obavlja za voditelja obrade.

Evidencija sadržava:

a) ime i kontaktne podatke izvršitelja obrade;

b) ime i kontaktne podatke svakog voditelja obrade u čije ime djeluje;

c) ako je primjenjivo, ime i kontaktne podatke predstavnika voditelja ili izvršitelja obrade;

d) ako je primjenjivo, ime i kontaktne podatke službenika za zaštitu osobnih podataka;

e) kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

f) ako je primjenjivo, podatke o primateljima u trećim zemljama ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama u skladu s člankom 49. stavkom 1. podstavkom 2. Uredbe;

g) opći opis primijenjenih tehničkih i organizacijskih sigurnosnih mjera. Članak 11. Stupanje na snagu i prijelazne odredbe Ovaj Pravilnik stupa na snagu 25.05.2018. i primjenjuje se na sve zaposlenike, radnje, poslovne procese i poslovne odnose.

Za sva pitanja koja ovim Pravilnikom nisu pokrivena, raspoloživi su dodaci Pravilnika, mjere i odredbe Uredbe, mišljenja Agencije za zaštitu osobnih podataka te mišljenja radnih skupina Europske komisije i mišljenja i smjernice Europskog odbora za zaštitu podataka. Mišljenja i smjernice dobivene iz neslužbenih izvora neće se primjenjivati bez potvrde istoga od strane navedenih službenih izvora.

SVAKO NEOVLAŠTENO KOPIRANJE DIJELA ILI CIJELOG INTERNOG PRAVILNIKA JE STROGO ZABRANJENO I PRIJAVLJUJE SE!!


Prugovac, 25.05.2018. Veronika Galjer