POLITIKA PRIVATNOSTI – ZAŠTITA OSOBNIH PODATAKA

  1. Općenito

 

Trgovačko društvo CanDo d.o.o. za trgovinu i usluge, Oriovac, Zagrebačka 52, OIB: 56531095048 posluje u skladu sa zakonskim propisima o zaštiti osobnih podataka, posebno u skladu s Općom uredbom o zaštiti podataka (Uredba EU 2016/679 Europskog parlamenta i vijeća od 27.04.2016.g.) te Zakonom o provedbi Opće uredbe o zaštiti podataka. U nastavku Vas informiramo koje osobne podatke prikupljamo, u koje svrhe ih koristimo te kako te postupke možete nadzirati i ostvarivati svoja prava.

 

  1. Voditelj i/ili izvršitelj obrade osobnih podataka

 

CanDo d.o.o. za trgovinu i usluge, Oriovac, Zagrebačka 52

OIB: 56531095048

e-mail adresa: mislav.kemec@cando.hr

Odgovorna osoba:

Mislav Kemec, OIB: 65593818248, Oriovac, Braće Radić 38, direktor

 

  1. Svrhe i pravna osnova obrade osobnih podataka

 

3.1. CanDo d.o.o.osobne podatke prikuplja neposredno od Vas u svrhu sklapanja i izvršenja ugovora/kupoprodaje proizvoda i pružanja usluga, kao i prilikom radnji koje prethode sklapanju ugovora (ponude, upiti i/ili zahtjevi u okviru narudžbe proizvoda ili usluga, slanja upita ili zahtjeva vezanih uz naše proizvode ili usluge), ili na temelju druge zakonite osnove.

Osobne podatke upotrebljavamo samo za utvrđene svrhe te ih ne prosljeđujemo i ne koristimo u nepredviđene ili neočekivane svrhe.

Osobne podatke prikupljamo i kada nam ih Vi sami stavite na raspolaganje, npr. slanjem elektroničke pošte, te u sličnim situacijama u kojim ste odabrali dostaviti nam podatke.

3.2. Kada želite sklopiti ugovor s CanDo d.o.o., postavite zahtjev za ponudom, zatražite naše usluge te u svakom slučaju kada ulazite u ugovorni ili poslovni odnos s CanDo d.o.o., obrađujemo Vaše osobne podatke kako bismo Vam pružili uslugu, odnosno omogućili korištenje naših proizvoda u skladu s Vašim zahtjevom ili kako bismo odgovorili na Vaš zahtjev. Prilikom postavljanja Vašeg zahtjeva za kupnju proizvoda ili pružanje usluga, odnosno prilikom ulaska u ugovorni odnos s CanDo d.o.o.  bit ćete upoznati o vrsti podataka koje ste nam obvezni pružiti u svrhu ispunjenja Vašeg zahtjeva, odnosno sklapanja i izvršenja ugovora. Ne prikupljamo i ne obrađujemo podatke koji ne služe izvršenju tražene usluge.

Osobni podaci koje prikupljamo u svrhe iz ove točke mogu uključivati:

– ime i prezime, djevojačko prezime,

– adresa,

– OIB, JMBG,

– datum, mjesto i država rođenja,

– spol, bračno stanje, 

– stručna sprema, zvanje,

– članovi obitelji,

– staž osiguranja,

– stanovanje,

– državljanstvo, nacionalnost,

– datum početka i prestanka radnog odnosa,

– tel. broj,

– biometrijski podaci – otisak prsta radi evidencije radnog vremena zaposlenika (uz privolu).

3.3. CanDo d.o.o. može od Vas zatražiti i privolu za obradu Vaših podataka u jednu ili više posebnih svrha koje nisu po svojoj krajnjoj namjeni uvjet za izvršenje ugovora niti zakonska obveza CanDo d.o.o.  ili nisu nužne za sklapanje i izvršenje ugovora ili nisu u Vašem legitimnom interesu (npr. u svrhu marketinških aktivnosti, nuđenja novih proizvoda i usluga i sl.). Niste dužni dati privolu za takvu obradu, ali ste ju slobodni dati, te ju možete u svako vrijeme povući, s tim da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena. Zahtjev za privolu biti će Vam predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.

3.4. CanDo d.o.o. kao pravna osoba, naravno, podliježe zakonskim obvezama kojima može biti propisana i obveza obrade podataka u svrhu ispunjenja zakonom propisane svrhe. CanDo d.o.o. u tom slučaju obradu Vaših osobnih podataka obavlja temeljem tog zakonom propisanog pravnog temelja.

3.5. Naši su informatički sustavi tehničkim i organizacijskim mjerama zaštićeni od neovlaštenog pristupa, izmjene ili prijenosa Vaših podataka, kao i od eventualnog gubljenja ili brisanja.

 

  1. Primatelji osobnih podataka

 

4.1. Podatke koje smo prikupili od Vas i o Vama ostaju u bazama CanDo d.o.o.

Vaši se podaci mogu dostaviti trećim stranama:

a) kada je to naša zakonska obveza ili kao odgovor na pravni postupak, odnosno na zahtjev nadležnih institucija za provedbu zakona u vezi s prekršajnim, kaznenim ili drugim postupcima
b) radi zaštite naših prava, privatnosti, sigurnosti, imovine ili radi zaštite javnog interesa
c) za administrativnu ili tehničku podršku (npr. našim izvršiteljima računovodstvenih usluga, dostavnim službama i sl.) ili pak za druge poslovne svrhe radi olakšavanja transakcija s Vama
d) za analizu naših podataka, provođenje mobilnih analitičkih usluga ili održavanje i poboljšanje naših usluga (podložno ugovorima o povjerljivosti, ako je prikladno)
e) radi podnošenja odgovarajućih pravnih lijekova i ili odgovora na pravne zahtjeve kojima možemo biti izloženi

f) radi ispunjenja uvjeta bilo kojeg Ugovora ili poslovnog odnosa s Vama

h) u drugim slučajevima, uz Vaš pristanak.

4.2. Osobni podaci mogu se prenijeti drugom pravnom subjektu u slučaju prijenosa, promjene vlasništva, reorganizacije ili spajanja društva ili dijela društva CanDo d.o.o. ili njegove imovine drugom društvu.

4.3. Vaše osobne podatke možemo otkriti članicama grupe trećim stranama, davateljima usluga ili podizvršiteljima usluga. Ti se davatelji usluga mogu nalaziti u zemlji koja se razlikuje od vaše matične zemlje, kao što su Sjedinjene Američke Države ili zemlja članica Europske unije. Ti davatelji usluga ugovorno su obvezani čuvati povjerljivost i sigurnost vaših podataka.

4.4. U slučajevima djeljenja podatka  trećim stranama CanDo d.o.o. će tim stranama zabraniti korištenje Vaših osobnih podataka u drugu svrhu osim ugovorene te će obvezati poslovnog partnera na čuvanje povjerljivosti osobnih podataka.

 

  1. Razdoblje pohrane osobnih podataka

 

5.1. Razdoblje čuvanja i pohrane Vaših podataka ovisi o vrsti/kategoriji podataka, svrsi za koju su isti dani odnosno prikupljeni i zakonima ili pravnim obvezama kojima podliježe CanDo d.o.o. Osobne podatke čuvamo toliko dugo koliko je propisano zakonom ili onoliko koliko je potrebno da se tražena usluga pruži ili da se usluga ili svrha za koju ste dali privolu izvrši, osim ako zakonom nije propisano drukčije (npr. u vezi sa sudskim postupkom koji je u tijeku).

5.2. Podaci koji se odnose na zakonske i pravne obveze CanDo d.o.o. pohranjuju se za razdoblje koje je propisano odnosnim zakonima – npr. obveza i rok čuvanja računa i knjigovodstvenih isprava (na kojima se nalaze i Vaši podaci) propisana je Zakonom o računovodstvu.

5.3. Podaci za koje zakonima ili drugim propisima nije propisan rok pohrane, pohranjuju se za razumno razdoblje imajući u vidu kategoriju podataka i svrhu u koju su isti prikupljeni. Podaci prikupljeni u određenu svrhu koristit će se samo u tu svrhu te nakon isteka razumnog vremenskog razdoblja i nakon što se ta svrha ispuni više neće biti aktivno pohranjeni. Anonimizirani podaci mogu se koristiti u statističke i marketinške svrhe, svrhe arhiviranja i ostale analitičke svrhe. Prilikom davanja ovih podataka bit ćete upoznati s rokom pohrane odnosno kriterijima po kojima se određuje rok pohrane tih podataka.

 

  1. Prava ispitanika

 

6.1. U odnosu na obradu Vaših osobnih podataka, osiguravamo Vam sljedeća prava:

(i) pravo na pristup osobnim podacima

(ii) pravo na ispravak ili dopunu podataka

(iii) pravo na brisanje (zaborav)

(iv) pravo na ograničavanje obrade

(v) pravo na ulaganje prigovora u vezi obrade osobnih podataka

(vi) pravo na prenosivost podataka

6.2. Zahtjev za ostvarivanje svojih prava iz prethodne točke možete postaviti putem e-mail adrese: mislav.kemec@cando.hr ili obraćanjem na adresu CanDo d.o.o. za trgovinu i usluge, Oriovac, Zagrebačka 52.Vaše zahtjeve i upite obradit ćemo bez nepotrebnog odgađanja i u skladu sa zakonskim obvezama te ćemo Vas informirati o mjerama koje smo poduzeli.

6.3. Radi ostvarenja i zaštite svojih prava, korisnik ima pravo podnijeti pritužbu nadzornom tijelu – Agenciji za zaštitu osobnih podataka na adresi Martićeva ulica 14, Zagreb.

 

Temeljem odredbi Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/ EZ (u daljnjem tekstu: Uredba) i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018, dalje u tekstu: Zakon), trgovačko društvo CanDo d.o.o. za trgovinu i usluge, Oriovac, Zagrebačka 52, OIB: 56531095048 (u nastavku teksta: Voditelj obrade), dana 18. 5. 2018. godine donosi sljedeći

 

PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA

 

Opće odredbe

 

Članak 1.

 

(1) Voditelj obrade kao obveznik primjene Uredbe ovim Pravilnikom regulira zaštitu pojedinaca (fizičkih osoba) u vezi s obradom njihovih osobnih podataka.

(2) Ovim se Pravilnikom ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe.

 

Značenje pojmova korištenih u ovom Pravilniku

 

Članak 2.

 

(1) Radi lakšeg razumjevanja Pravilnika i pojmova koji se u njemu koriste, navedene su definicije pojednih izraza u skladu sa Uredbom i Zakonom.

(2) Pojedini izrazi imaju sljedeće značenje:

1) „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2) „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3) „pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

4) „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

5) „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

6) „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

7) „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

8) „privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

9) „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

10) „Službenik za zaštitu osobnih podataka“ je osoba imenovana od strane voditelja obrade osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.

 

SUSTAVI POHRANE

 

Članak 3.

 

Voditelj obrade vrši obrade sljedećih kategorija osobnih podatka:

– osobni podaci radnika Voditelj obrade (evidencije radnog vremena, plaće radnika i dr.),

– osobni podaci kupaca, dobavljača i poslovnih partnera Voditelja obrade,

– drugi osobni podaci koji se prikupljaju u skladu s člankom 6. Uredbe.

 

OBRADA OSOBNIH PODATAKA

 

Članak 4.

 

(1) Osobne  podatke  ispitanika  Voditelj obrade  obrađuje  pridržavajući  se  sljedećih  osnovnih  načela  obrade osobnih podataka predviđenih Uredbom:

  • Zakonitost, poštenost i transparentnost;
  • Ograničavanje svrhe;
  • Smanjenje količine podataka;
  • Točnost;
  • Ograničenje pohrane;
  • Cjelovitost i povjerljivost;

 

(2) Osobne podatke ispitanika Voditelj obrade obrađuje zakonito, pošteno i transparentno. Obrađuju se samo primjereni i relevantni osobni podaci i to isključivo u posebne, izričite i zakonite svrhe te se dalje ne obrađuju na način koji nije u skladu s tim svrhama.

(3) Osobni podaci koje Voditelj obrade obrađuje su točni te se po potrebi ažuriraju. Osobni podaci koji nisu točni bez odlaganja se brišu ili ispravljaju.

(4) Voditelj obrade osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.

(5) Voditelj obrade osobne podatke čuva samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja, ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

(6) Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, Voditelj obrade periodično vrši provjeru daljnje potrebe pohrane tih podataka obzirom na samu svrhu njihove obrade, a radi poduzimanja odgovarajućih mjera (npr. brisanje osobnih podataka ako nema zakonske prepreke).

 

Pravni temelj obrade osobnih podataka

 

Članak 5.

 

Voditelj obrade osobne podatke obrađuje samo i u onoj mjeri u kojoj je ispunjen jedan od sljedećih uvjeta:

− da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha,

− da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora,

− da je obrada nužna radi poštovanja pravnih obveza Voditelj obrade,

− da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe,

− da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Voditelj obrade,

− da je obrada nužna za potrebe legitimnih interesa Voditelj obrade ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

Članak 6.

 

(1) Ako Voditelj obrade vrši obradu osobnih podataka za koju je potrebna privola ispitanika,  privola se može dati na, za to predviđenom, obrascu, a koji obrazac potpisuje ispitanik.

(2) Obrazac privole iz prethodnog stavka sastavljen je na način da osigurava primjenu odredbi Uredbe vezanih uz reguliranje davanja privole, a pisani oblik služi u svrhu dokazivanja da je ispitanik dao privolu za obradu svojih osobnih podataka.

(3) Osim  navedenog  obrasca,  privolom  će  se  smatrati  i  svaka  izjava  ili potvrdna radnja u pisanom ili u elektroničkom obliku dana Voditelju obrade od strane ispitanika, a koja po svom sadržaju predstavlja jasno ispitanikovo izražavanje dobrovoljnog, posebnog, informiranog i nedvosmislenog pristanka na obradu osobnih podataka koji se na njega odnose.

(4) Voditelj obrade vrši obradu osobnih podataka i na temelju usmene privole (izjave) ispitanika, ali pod uvjetom da Voditelj obrade može dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka u tom obliku.

(5) Privola kojom ispitanik Voditelju obrade daje pristanak za obradu osobnih podataka koji se na njega odnose mora biti dobrovoljna.

(6) Ispitanik ima  pravo  u svakom trenutku povući svoju privolu,  a povlačenje privole ne  utječe  na zakonitost obrade na temelju privole prije njezina povlačenja. O predmetnom se ispitanik obavješćuje prije davanja privole.

(7) Povlačenje privole se može poduzeti usmeno, elektronički ili pisanim putem.

(8) Ako se radi o obradi osobnih podataka maloljetne osobe, privolu te povlačenje privole sukladno prethodnim  stavcima  ili  sukladno  odredbama  Uredbe,  daje  ili  odobrava roditelj/zakonski zastupnik.

(9) Ispitanik ima pravo uskratiti davanje privole.

(10) Kada se obrada temelji na privoli, Voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.

 

Obrada posebnih kategorija osobnih podataka

 

Članak 7.

 

(1) Voditelj obrade ne vrši obradu posebno osjetljivih podataka kao što su:

  • Rasno ili etničko podrijetlo;
  • Političko mišljenje;
  • Vjersko ili filozofsko uvjerenje;
  • Genetski podaci;
  • Spolni život ili seksualna orijentacija pojedinca.

 

(2) Voditelj obrade vrši obradu podataka o zdravlju ispitanika, koja obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Voditelj obrade ili ispitanika, i to na temelju Zakona o obveznom zdravstvenom osiguranju, Zakona o radu, Zakona o zaštiti na radu, kao i drugih mjerodavnih propisa iz područja radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti iz nadležnosti Europske unije ili Republike Hrvatske.

(3) Voditelj obrade vrši obradu biometrijskih podataka zaposlenika/otisak prsta u svrhu evidentiranja radnog vremena kao način evidentiranja radnog vremena alternativan upisu u evidencijski list, koji podaci se poslije prenose u službenu evidenciju radnog vremena u društvu. Biometrijski podaci zaposlenika obrađuju se isključivo uz privolu zaposlenika, koji navedenu privolu nisu dužni dati.

(4) U slučaju obrade drugih osobnih podataka iz kategorije posebno osjetljivih podataka, takva se obrada može temeljiti isključivo na osnovama predviđenim Uredbom.

 

PRAVA ISPITANIKA

 

Članak 8.

 

U postupku obrade osobnih podataka Voditelj obrade ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovi za obradu podataka, legitimnim interesima Voditelja obrade, namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade, pravu na ulaganje prigovora kao i o svim drugim informacijama predviđenim za ispitanika sukladno odredbama Uredbe.

 

Članak 9.

 

Sukladno Uredbi, Voditelj obrade osigurava ispitanicima ostvarenje sljedećih prava:

  • Pravo na pristup;
  • Pravo na ispravak;
  • Pravo na brisanje (pravo na zaborav);
  • Pravo na ograničenje obrade;
  • Pravo na prenosivost podataka;
  • Pravo na prigovor.

 

Članak 10.

 

(1) Voditelj obrade će odmah, a najkasnije u roku od mjesec dana od dana zaprimanja zahtjeva ispitanika ili njegovog zakonskog zastupnika ili punomoćnika:

– omogućiti ispitaniku pristup njegovim osobnim podacima te ga  informirati o  svrsi obrade njegovih  osobnih  podataka,  kategorijama  njegovih  osobnih  podataka  koji  se  obrađuju,  o primateljima ili kategorijama primatelja kojima su njegovi osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju (odnosno kriterijima za utvrđivanje tog razdoblja) u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru,

– informirati ispitanika o njegovom pravu na traženje ispravka ili brisanja osobnih podataka (pravo na zaborav) ili ograničavanja obrade osobnih podataka, pravu na podnošenje pritužbe Agenciji za zaštitu osobnih podataka,

– ispraviti netočne osobne podatke ili uzimajući u obzir svrhe obrade dopunit nepotpune osobne podatke (npr. davanjem dodatne izjave) koji se odnose na ispitanika,

– provesti brisanje osobnih podataka koji se odnose na ispitanika pod uvjetom da osobni podaci više nisu nužni za svrhu radi koje su prikupljeni ili ako ispitanik povuče privolu (ako se obrada vrši na osnovi privole ispitanika) ili ako su podaci nezakonito obrađeni ili je takva obveza određena pravom Europske unije ili Republike Hrvatske,

– ograničiti  obradu  osobnih  podataka ispitanika  pod uvjetom da  ispitanik osporava  točnost osobnih podataka (za razdoblje dok Voditelj obrade ne izvrši provjeru točnosti osobnih podataka) ili je  obrada  nezakonita  (ali  ispitanik  ne  traži  brisanje  nego  samo  ograničenje  uporabe)  ili Voditelj obrade više ne treba osobne podatke za potrebe obrade (ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva) ili je ispitanik uložio prigovor na obradu,

– dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose, neposredno ili elektroničkom poštom,

– prestati s obradom osobnih podataka ispitanika koji se obrađuju na osnovi javnog interesa te legitimnog interesa Voditelja obrade ili treće strane, osim u slučaju kad postoje opravdani razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili u slučaju postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

(2) Zahtjevi se podnose pisanim putem Voditelju obrade ili službeniku za zaštitu osobnih podataka ako je imenovan.

 

Članak 11.

 

 Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Uredbom ili Zakonom ima pravo podnijeti zahtjev za utvrđivanje povrede prava Agenciji za zaštitu osobnih podataka.

 

SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

 

Članak 12.

 

(1) Sukladno članku 37. Uredbe Voditelj obrade osobnih podataka može donijeti odluku o imenovanju službenika za zaštitu osobnih podataka.

(2) Odluka o imenovanju službenika za zaštitu osobnih donosi se u pisanom obliku.

(3) U slučaju imenovanja službenika za zaštitu osobnih podataka Voditelj obrade osobnih podataka će o imenovanju izvijestiti Agenciju za zaštitu osobnih podataka u roku od mjesec dana od donošenja odluke o imenovanju, te službene kontakt podatke službenika za zaštitu osobnih podataka učiniti javno dostupnima na svojim web stranicama ili na drugi odgovarajući način.

(4) Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, protiv koje je izrečena mjera povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane Voditelja obrade.

 

Obveze službenika za zaštitu osobnih podataka

 

Članak 13.

 

(1) Službenik za zaštitu osobnih podataka obvezan je:

    1) voditi brigu o primjeni Uredbom propisanih načela obrade osobnih podataka;

    2) upozoravati Voditelja obrade osobnih podataka o nužnosti primjene propisa o zaštiti osobnih podataka

    3) upozoravati sve osobe zaposlene u obradi osobnih podataka o njihovim obvezama u svrhu zaštite osobnih podataka

    4) omogućiti ostvarivanje prava ispitanika

    5) surađivati s Agencijom za zaštitu osobnih podataka

    6) čuvati povjerljivost svih informacija i podataka koje sazna u obavljanju svojih dužnosti što ga obvezuje i nakon prestanka obavljanja dužnosti službenika za zaštitu sobnih podataka.

(2) Pritužbe, zahtjevi za brisanje, ažuriranje i ispravak osobnih podataka te ostala pitanja vezana za obradu osobnih podataka upućuju se službeniku za zaštitu osobnih podataka ili Voditelju obrade ako službenik nije imenovan.

 

TEHNIČKE I ORGANIZACIJSKE MJERE ZAŠTITE OSOBNIH PODATAKA

 

Članak 14.

 

(1) Voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

   1) pseudonimizaciju i enkripciju osobnih podataka;

   2) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

   3) sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

   4) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

(2) Kako bi se izbjegao bilo kakav neovlašteni pristup podacima ili njihov gubitak, podaci pohranjeni u papirnatom obliku čuvaju se u registratorima u zaključanim ormarima i prostorijama kojima mogu pristupiti samo ovlašteni radnici, a podaci pohranjeni u elektronskom obliku čuvaju se na serveru te su zaštićeni sigurnosnim programima i dodjeljivanjem posebnog korisničkog imena i lozinke, poznatim samo radniku koji obrađuje osobne podatke.

 

PRAVNI MEHANIZMI ZAŠTITE OSOBNIH PODATAKA

 

Članak 15.

 

(1) Politikom privatnosti Voditelja obrade, posebno preuzetim obvezama iz radnog odnosa i odredbama ovog Pravilnika, radnici zaposleni kod Voditelja obrade upoznati su s obvezama svrhovite obrade osobnih podataka i o obvezi čuvanja povjerljivosti svih osobnih podataka kojima imaju pravo i ovlast pristupa, a koji se nalaze u bazama podataka koje vodi Voditelj obrade.

(2) Povreda osobnih podataka je razlog za otkaz ugovora o radu, a u slučaju grubih povreda razlog i za izvanredni otkaz ugovora o radu, kao i osnova za naknadu štete.

 

Izvješćivanje o povredi osobnih podataka

 

Članak 16.

 

(1) Ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika, Voditelj obrade mora izvijestiti bez odlaganja Agenciju za zaštitu osobnih podataka o povredi i to najkasnije u roku od 72 sata od saznanja o povredi.

(2) Izvješćivanje treba sadržavati opis povrede uz informacije o ispitanicima i osobnim podacima, opis vjerojatnih posljedica povrede te kontakt  točku voditelja obrade.

(3) Ako je vjerojatno  da će povreda prouzročiti visok rizik za prava i slobode ispitanika, Voditelj obrade dužan je obavijestiti ispitanike o povredi osobnih podataka.

 

Prijelazne i završne odredbe

 

Članak 17.

 

(1) Ovaj Pravilnik stupa na snagu danom donošenja.

(2) Stupanjem na snagu ovog Pravilnika prestaju važiti sve odredbe prijašnjih akata koji na bilo koji način reguliraju u ovom Pravilniku opisanu problematiku.