U skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tesktu: Opća uredba o zaštiti podataka), te Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), BOŽIĆ SANDRA, vlasnica LIFE STYLE, OBRT ZA USLUGE,  OIB: 24346616656, RIJEKA, IVANA ZAJCA 6

dana 20.01.2020.godine donosi

PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA

OPĆE ODREDBE
Voditelj i izvršitelj obrade

Članak 1.

BOŽIĆ SANDRA, vlasnica LIFE STYLE, OBRT ZA USLUGE (u daljnjem tekstu: Obrt) ovim Pravilnikom određuje svrhu i sredstva obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka sukladno Općoj uredbi o zaštiti podataka (EU) 2016/679.  

Temeljem odredbe članka 4. točke 7. Opće uredbe o zaštiti podataka Obrt je voditelj obrade osobnih podataka.

Obrt kao voditelj obrade osobnih podataka određuje svrhu i sredstva obrade osobnih podataka u skladu sa Općom uredbom o zaštiti podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka, zakonodavstvom Republike Hrvatske, pravom Europske Unije te internim aktima Obrta kojima se uređuje zaštita osobnih podataka.

U određenim slučajevima prilikom obavljanja svoje registrirane djelatnosti, Obrt se pojavljuje i kao Izvršitelj obrade osobnih podataka, kada obradu osobnih podataka vrši u ime voditelja obrade podataka, na temelju ugovora o pružanju računovodstvenih i knjigovodstvenih usluga sklopljenog s voditeljem obrade.

Predmet Pravilnika

Članak 2.

Ovaj Pravilnik o zaštiti osobnih podataka (u daljnjem tekstu: Pravilnik) sadrži pravila za zaštitu osobnih podataka u postupku prikupljanja i obrade osobnih podataka koji se odnose na fizičke osobe, a do kojih Obrt dolazi u obavljanju svoje djelatnosti.

Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.

Pravo na zaštitu osobnih podataka pripada svim ispitanicima na jednak način i pod jednakim uvjetima i ispitanici su ravnopravni u njegovu ostvarivanju.

Pojmovi i definicije

Članak 3.

Pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:

”Osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi;

“Posebna kategorija osobnih podataka” znači osobni podaci koji otkrivaju rasno ili etičko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca. Zabranjena je obrada navedenih osobnih podataka, osim u slučajevima dopuštenima Uredbom, Zakonom i ovim Pravilnikom.

”Ispitanik” je svaki pojedinac (fizička osoba) od kojeg Obrt prikuplja i obrađuje osobne podatke u smislu Opće uredbe o zaštiti podataka;

”Voditelj obrade” u smislu ovog Pravilnika je Obrt. Obrt određuje svrhe i sredstva obrade osobnih podataka;

”Izvršitelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja obrade; U slučajevima navedenima u Pravilniku, Obrt se može pojaviti u poziciji izvršitelja obrade osobnih podataka.

”Primatelj” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojima se osobni podaci otkrivaju;

“Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

 ”Sustav pohrane” je zbirka osobnih podataka odnosno svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima;

”Privola ispitanika” je svako dobrovoljno, posebno, informirano i nedvosmisleno očitovanje volje ispitanika kojom on izjavom ili jasnom potvrdnom radnjom izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe;

”Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

II. PROCESI I PRAVILA U OBRADI OSOBNIH PODATAKA

1. NAČELA I OSNOVE OBRADE

Načela obrade osobnih podataka

Članak 4.

Osobni podaci u Obrtu obrađuju se na način da se Obrt kao voditelj ili izvršitelj obrade, striktno pridržava sljedećih načela:

1. zakonitost, poštenost i transparentnost; Obrt obrađuje podatke samo uz uvjete određene Uredbom, Zakonom i ovim Pravilnikom, te ostalim pozitivnim propisima koji uređuju zaštitu osobnih podataka, štiteći sva potrebna prava ispitanika; Obrt će ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka;
2. ograničenje svrhe; podaci će biti prikupljeni u posebne, izričite i zakonite svrhe, s kojom je Obrt dužno upoznati ispitanika, te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
3. smanjenje količine podataka; podaci će biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe za koje se obrađuju
4. točnost; podaci moraju biti točni i prema potrebi ažurni; Obrt će poduzeti razumne mjere radi osiguravanja da se osobni podaci koji nisu točni, bez odlaganja izbrišu ili isprave
5. ograničenje pohrane; podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, osim kada je pozitivnim propisima utvrđen dulji rok čuvanja. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja ako je utvrđen legitiman interes Obrta ili je ispitanik dao privolu.
6. cjelovitost i povjerljivost; podaci će biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
7. pouzdanost; Obrt je odgovorno za usklađenost sa navedenim načelima te je mora biti u mogućnosti dokazati.

Zakonitost obrade – pravne osnove obrade podataka

Članak 5.

Kako bi uspostavilo mehanizme za zakonitu obradu, Obrt je u svom poslovanju jasno identificiralo osnove za prikupljanje i daljnju obradu osobnih podataka, te je obrada dopuštena samo i u mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg:

1. obrada je nužna radi poštivanja pravnih obveza Obrta
2. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
3. obrada je nužna za potrebe legitimnih poslovnih interesa Obrta ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.
4. ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

Obrada osobnih podataka radi poštivanja pravnih obveza Obrta

Članak 6.

Obrt je u svom poslovanju ovlašteno i dužno prikupljati i obrađivati osobne podatke ispitanika kada je to nužno radi ispunjenja pravnih obveza Obrta propisanih pravom Unije ili zakonodavstvom Republike Hrvatske, a osobito poreznim i računovodstvenim propisima, propisima iz oblasti sprečavanja pranja novca i financiranja terorizma,  propisima koji uređuju radno pravne odnose i zaštitu na radu, mirovinsko i zdravstveno osiguranje, te uslijed državnog nadzora i kontrole.

Obrada osobnih podataka nužna za izvršavanje ugovora u kojem je Ispitanik stranka

Članak 7.

Obrt je ovlašteno od ispitanika koji je s Obrtom u ugovornom odnosu, prikupljati osobne podatke kada je to nužno za uspostavu i nastavak ugovornog odnosa s Obrtom i bez kojih Obrt ne bi moglo ispuniti svoje ugovorne obveze prema ispitaniku kao drugoj ugovornoj strani, niti zahtijevati ispunjenje ugovornih obveza na koje se obvezao ispitanik, pri čemu se osobito misli na ugovore o radu sa radnicima Obrta, te ugovore o pružanju knjigovodstvenih i računovodstvenih ugovora s klijentima Obrta.

Obrada osobnih podataka za potrebe legitimnih interesa Obrta ili treće strane

Članak 8.

Obrt je ovlašten u slučajevima kada to zahtijevaju opravdani i posebno obrazloženi poslovni interesi Obrta, prikupljati i obrađivati osobne podatke ispitanika, i onda kada se ta obrada ne temelji na ispunjenju zakonske ili ugovorne obveze, ili na privoli Ispitanika, pod uvjetom da od tih interesa nisu jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.

Obrt u pravilu u okviru svog redovitog poslovanja ne vrši obradu osobnih podataka temeljem ove pravne osnove.

Smatra se da uvijek postoji legitiman interes Obrta za obradu osobnih podataka ispitanika, kada je to nužno radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva Obrta.

Obrada osobnih podataka na temelju privole ispitanika

Članak 9.

Obrada osobnih podataka može se temeljiti na privoli ispitanika samo onda kada davanje podataka nije nužno za uspostavu ili nastavak ugovornog odnosa s ispitanikom. To znači da eventualna uskrata davanja privole ili njezino naknadno povlačenje ne smije dovesti do nemogućnosti sklapanja ugovornog odnosa s Obrtom ili do prestanka postojećeg ugovornog odnosa.

Privola mora biti dobrovoljna, što znači da sklapanje i izvršenje ugovora s Obrtom ne može biti uvjetovano davanjem privole za obradu osobnih podataka koji nisu nužni za izvršenje tog ugovora.

Privola mora biti posebna, što Obrt osigurava na način da točno identificira osobne podatke i svrhe obrade na koje se privola odnosi.

Privola mora biti nedvosmislena i dana jasnom potvrdnom radnjom, što Obrt osigurava time što u pravilu zahtijeva davanje privole u obliku potvrdne izjave u pisanom obliku.

Ispitanik mora biti potpuno informiran o uvjetima privole, što Obrt osigurava na način da svakog ispitanika jasnim i razumljivim jezikom te unaprijed, informira o osobnim podacima i svrsi obrade za koju se privola daje, razdoblju čuvanja osobnih podataka, eventualnim primateljima kojima se podaci šalju, te svim pravima ispitanika u vezi sa zaštitom osobnih podataka koja se jamče Uredbom, Zakonom i ovim Pravilnikom. 

Ispitanika se mora ujedno obavijestiti da u svakom trenutku može povući danu privolu, na jednako jednostavan način na koji je privola i dana, te da navedeno neće utjecati na zakonitost obrade koja se temeljila na privoli prije nego li je ona povučena.

Obrt u pravilu u okviru svog redovitog poslovanja ne vrši obradu osobnih podataka temeljem ove pravne osnove.

2. KATEGORIJE ISPITANIKA I OSOBNIH PODATAKA

Članak 10.

U svom redovitom i uobičajenom poslovanju, Obrt prikuplja i obrađuje osobne podatke sljedećih kategorija ispitanika:

1. Radnici zaposleni u Obrtu                                            
2. osobni podaci klijenata u svrhu pružanja usluga klijentima
3. Poslovni partneri Obrta (obrtnici, nositelji samostalne djelatnosti, zakonski zastupnici pravnih osoba) – s kojima je Obrt u poslovnoj suradnji kako bi moglo obavljati svoju djelatnost (npr. copy servis, informatičari, odvjetnici..)

Obrt može, u slučajevima kada je to nužno radi ispunjenja zakonskih ili ugovornih obveza,  zaštite vlastitih legitimnih interesa, ili temeljem privole pojedinca, obrađivati i osobne podatke drugih pojedinaca čiji se identitet može utvrditi, izravno ili neizravno, pri čemu je u obvezi postupati u svemu sukladno odredbama Uredbe o zaštiti podataka, Zakona, ovog Pravilnika te ostalih pozitivnih propisa koji uređuju područje zaštite osobnih podataka.

Članak 11.

Ovisno o prirodi ugovornog odnosa s Obrtom, zakonskim i ugovornim obvezama Obrta, te svrhama obrade, Obrt obrađuje različite kategorije osobnih podataka ispitanika.

Kategorije osobnih podataka, svrhu njihova prikupljanja te rokove pohrane osobnih podataka,  Obrt utvrđuje i definira u Evidencijama obrade osobnih podataka koje vodi s obzirom na pojedine kategorije ispitanika.

3. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

Članak 12.

Obrt obrađuje posebne kategorije osobnih podataka samo ako je ispunjeno jedno od sljedećeg:

• obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade/izvršitelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava Republike Hrvatske;
• ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha;
• obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva Obrta

Članak 13.

Obrt obrađuje sljedeće posebne kategorije osobnih podataka sukladno zakonskim obvezama iz područja radnog prava, prava socijalne zaštite i zaštite na radu:

• podatak o vjeroispovijesti radnika, u svrhu ostvarenja prava na neradni dan s naknadom plaće za vrijeme vjerskog blagdana sukladno Zakonu o blagdanima, spomendanima i neradnim danima u RH
• podaci o zdravlju radnika – u slučajevima privremene nesposobnosti za rad, ozljede na radu, profesionalne bolesti, profesionalne nesposobnosti za rad, smanjene radne sposobnosti, invalidnosti, trudnoće, u svrhu ostvarenja pojedinih prava iz radnog odnosa ili u vezi s radnim odnosom, sukladno Zakonu o radu te propisima obveznog zdravstvenog i mirovinskog osiguranja

Članak 14.

Obrt je svjesan da obrada posebnih kategorija osobnih podataka, imajući u vidu njihovu osjetljivost i naglašeni aspekt privatnosti koji imaju za ispitanike, zahtijeva posebno pažljiv pristup zaštiti ove kategorije osobnih podataka, te stoga poduzima pojačane organizacijske i tehničke mjere u svrhu postizanja povišene razine sigurnosti navedenih podataka od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja.

4. VREMENSKO RAZDOBLJE ČUVANJA I UPORABE PODATAKA

Članak 15.

Poštujući načelo „ograničenja pohrane“ Obrt je ovlašten čuvati podatke samo onoliko dugo koliko je to potrebno u svrhe radi kojih se osobni podaci obrađuju. Nakon toga svi podaci se moraju brisati, osim ako je zakonom propisan određeni rok pohrane u kojem slučaju će se podaci pohraniti na propisani rok i neće se smjeti upotrebljavati ni u koje druge svrhe osim zakonom propisane.

Zakonodavni okvir kojim podliježe Obrt prilikom utvrđivanja propisanih rokova čuvanja podataka su Zakon o radu i Pravilnik o sadržaju i načinu vođenja evidencija o radnicima u pogledu čuvanja propisanih podataka o radnicima, Zakon o računovodstvu u pogledu čuvanja podataka koje predstavljaju računovodstvene isprave i podataka o plaćama zaposlenika.

Osobni podaci poslovnih partnera i klijenata koji se koriste u svrhu poslovne komunikacije i ispunjenja ugovornih obveza, čuvaju se do prestanka ugovornog odnosa, osim ako za pojedine podatke zakon ne propisuje dulji rok čuvanja.

Podaci pribavljeni temeljem privole ispitanika čuvaju se do isteka, odnosno opoziva privole, nakon čega se moraju trenutno brisati.

U određenim slučajevima Obrt je ovlašten u svrhu zaštite svojih legitimnih interesa, odnosno radi postavljanja i obrane svojih pravnih zahtjeva osobne podatke čuvati do prestanka postojanja navedenih okolnosti.

U odnosu na podatke koje Obrt obrađuje kao Izvršitelj obrade, Obrt po izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako postoji zakonska obveza pohrane osobnih podataka.

Po prestanku roka čuvanja, Obrt primjenjuje odgovarajuće informatičke alate potrebne da se osobni podaci koji se čuvaju u elektronskom obliku trajno brišu iz sustava pohrane Obrta.

Podaci koji se čuvaju u papirnatom obliku uništavaju se koristeći se rezačem za papir.

Obrt će uvijek kada je to primjenjivo, dokumente i isprave koje sadrže osobne podatke vratiti ispitanicima (svojim radnicima, poslovnim partnerima i klijentima).

III. EVIDENCIJE AKTIVNOSTI OBRADE

Članak 16.

Evidencije aktivnosti obrade vode se u pisanom obliku, uključujući elektronički oblik.

Evidencije aktivnosti obrade daju se na uvid tijelu koje provodi nadzor nad zaštitom osobnih podataka u skladu sa propisima RH i EU.

Evidencija aktivnosti obrade čuva se trajno.

IV. ZAŠTITA PRAVA ISPITANIKA

 1. INFORMIRANJE ISPITANIKA

Članak 17.

Obrt u pravilu sve osobne podatke koje obrađuje kao Voditelj obrade prikuplja neposredno od ispitanika (radnika, klijenata i poslovnih partnera).

U svrhu osiguranja zakonite, transparentne i poštene obrade osobnih podataka, Obrt u trenutku prikupljanja osobnih podataka, ispitaniku pruža sve sljedeće informacije:

• identitet i kontaktne podatke voditelja obrade i osobe zadužene za davanje podataka o obradi osobnih podataka
• svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
• postojanje legitimnih interesa Obrta za obradu podataka;
• ustupanje podataka drugim fizičkim i pravnim osobama
• razdoblje u kojem će osobni podaci biti pohranjeni
• postojanje prava da se zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
• ako je primjenjivo, postojanje prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
• pravo na podnošenje prigovora nadzornom tijelu;
• informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za članstvo u Udruzi ili sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

Navedene informacije pružaju se u obliku pisane obavijesti o obradi osobnih podataka, koja je ispitanicima dostupna u poslovnim prostorijama Obrta i koja će im biti uručena prilikom sklapanja ugovora odnosno stupanja u poslovni odnos. Kada i ukoliko Obrt bude imao svoju web stranicu, obavijest o obradi osobnih podataka bit će objavljena na web stranici Obrta.

2. OSTVARIVANJE PRAVA ISPITANIKA

Članak 18.

Pravo ispitanika na pristup

Obrt je dužan na zahtjev ispitanika, ispitaniku dati potvrdu o tome koji se njegovi osobni podaci obrađuju, omogućiti mu pristup osobnim podacima te dati informacije o svrsi obrade, kategorijama osobnih podataka, primateljima kojima se šalju osobni podaci, roku pohrane, pravu ispitanika na ispravak ili brisanje osobnih podataka, pravu na ograničavanje obrade, pravu na prigovor na obradu te pravu na pritužbu nadzornom tijelu.

Pravo na ispravak

Obrt će na zahtjev ispitanika ispraviti netočne i nadopuniti nepotpune osobne podatke koji se na njega odnose. Ispitanici imaju pravo i obvezu ažuriranja svojih osobnih podataka.

Pravo na brisanje („pravo na zaborav”)

Obrt je dužno na zahtjev ispitanika, bez nepotrebnog odgađanja, brisati sve osobne podatke koji se na njega odnose, ako je ispunjen jedan od sljedećih uvjeta:

1. osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni, osim kada je zakonom propisan dulji rok čuvanja
2. obrada se temelji na privoli ispitanika, a ispitanik je povukao privolu, s tim da ne postoji niti druga pravna osnova za obradu;
3. ispitanik je uložio prigovor na obradu koja se temelji na legitimnim interesima Obrta, osim ako Obrt dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika, ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva
4. osobni podaci nezakonito su obrađeni;
5. osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Republike Hrvatske;
   
   

Pravo na ograničenje obrade

Obrt je dužno na zahtjev ispitanika ograničiti obradu u sljedećim slučajevima:

1. kada ispitanik osporava točnost osobnih podataka – sve dok Obrt ne provjeri točnost osobnih podataka
2. obrada je nezakonita ali ispitanik se protivi brisanju osobnih podataka već traži ograničenje obrade
3. ispitanik je uložio prigovor na obradu koja se temelji na legitimnim interesima Obrta, te traži ograničenje obrade sve dok Obrt ne donese Odluku o procjeni prevage legitimnih interesa Obrta nad interesima, slobodama i pravima ispitanika
4. Obrt više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva
   
   

Pravo na prigovor

U slučajevima kada se obrada osobnih podataka ispitanika vrši na temelju legitimnih interesa Obrta, ispitanik ima pravo u svakom trenutku na takvu obradu uložiti prigovor. Obrt će postupajući temeljem uloženog prigovora, u svakom pojedinačnom slučaju, procijeniti pretežu li legitimni interesi Obrta za provođenjem ovakve obrade nad interesima pravima i slobodama ispitanika. Obrt je ovlašten nastaviti s daljnjom obradom jedino ako procijeni da njegovi legitimni razlozi za obradu nadilaze interese prava i slobode ispitanika, u protivnom dužno je obustaviti svaku daljnju obradu.

Pravo na prenosivost podataka

U slučajevima kada Obrt provodi automatiziranu obradu podataka koja se temelji na privoli ispitanika ili je nužna radi ispunjenje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, Obrt je dužan na zahtjev ispitanika dostaviti mu osobne podatke koji se odnose na njega, u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te je dužno na zahtjev ispitanika takve podatke prenijeti drugom voditelju obrade, pod uvjetom da navedeno ne utječe negativno na prava i slobode drugih.

Obrt će prenijeti osobne podatke izravno drugom voditelju obrade, ako je to tehnički izvedivo, pri čemu će se utvrđivanje metode prijenosa izvršiti direktno s drugim voditeljem obrade.

Zahtjev za ostvarivanje prava

Ispitanik svoja prava ostvaruje podnošenjem pisanog zahtjeva upućenog Obrtu, i to:

• poštom na adresu sjedišta Obrta ili
• putem e-maila na kontakt adresu info@houseofbeauty-rijeka.com
  
  

Obrt imenuje osobu koja će biti ovlaštena da postupa sukladno zahtjevima ispitanika u ostvarivanju njihovih prava.

Ovlaštena osoba dužna je postupiti sukladno zahtjevu ispitanika u roku od mjesec dana od zaprimanja zahtjeva.

Svaki ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Zakonom i Uredbom, može nadzornom tijelu podnijeti zahtjev za utvrđivanje povrede prava.

Članak 19.

Kada nastupa kao izvršitelj obrade, Obrt mora odgovarajućim tehničkim i organizacijskim mjerama pomoći voditeljima obrade u ispunjenju njihovih obveza prema ispitanicima u vezi s pravima i zahtjevima ispitanika iz ove glave Pravilnika. Navedena obveza Obrta uređuje se ugovorima koje Obrt kao izvršitelj obrade sklapa s voditeljima obrade.

V. IZVRŠITELJ OBRADE

Članak 20.

U svrhu poštivanja obveza iz Uredbe i osiguranja maksimalne zaštite prava ispitanika, Obrt posebnu pozornost posvećuje izboru izvršitelja obrade zaduženih da provode obradu u ime Obrta kao voditelja obrade, te se koristi isključivo izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera  sukladno zahtjevima Uredbe.

Obveze izvršitelja obrade prema voditelju obrade moraju se ugovoriti pisanim putem, te takav ugovor mora sadržavati: predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade.

VI. SIGURNOST OSOBNIH PODATAKA

 1. TEHNIČKE I ORGANIZACIJSKE MJERE

Članak 21.

Ovisno o prirodi, opsegu, kontekstu i svrhama obrade te mogućim rizicima za prava i slobode pojedinaca, Obrt, uzimajući u obzir najnovija tehnološka dostignuća ali i troškove provedbe, primjereno svojim mogućnostima, poduzima odgovarajuće organizacije i tehničke mjere zaštite osobnih podataka.

Organizacijske mjere zaštite koje provodi Obrt u prvom redu obuhvaća obvezu Obrta da ovim Pravilnikom te ugovorima o radu jasno definira koje osobe unutar Obrta imaju pravo pristupa osobnim podacima te koja im ovlaštenja u vezi s obradom takvih podataka pripadaju, kao i da osigura da sve osobe ovlaštene na obradu osobnih podataka daju Izjavu o povjerljivosti kojom preuzimaju obvezu poštivanja svih propisa iz područja zaštite osobnih podataka i ovog Pravilnika te kojom preuzimaju odgovornost za vlastite propuste koji bi mogli dovesti do slučajnog gubitka ili uništenja, nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i bilo kojeg drugog oblika zlouporabe osobnih podataka.

Obrt je dužan putem kontinuirane edukacije osoba koje provode obradu osobnih podataka, obučiti ih da pravodobno prepoznaju opasnosti od nastupa povrede osobnih podataka te o procedurama u slučaju nastupa povrede.

Tehničke mjere zaštite podrazumijevaju prvenstveno definiranje pravila pohrane i pristupa podacima,  sukladno najmodernijim informatičkim dostignućima i primjereno potrebnoj razini zaštite osobnih podataka.

Zaštitu podataka koji se čuvaju u papirnatom obliku Obrt osigurava time da se takvi podaci čuvaju u zaključanim ormarićima, odnosno u zaključanim prostorijama kojima pristup imaju isključivo osobe ovlaštene obrađivati predmetne osobne podatke.

Zaštitu podataka koji se čuvaju u elektronskom obliku Obrt osigurava korištenjem isključivo licenciranih softvera, uvođenjem sigurnosnih i antivirusnih sustava zaštite (firewall i sl.), korištenjem provjerenih eksternaliziranih sustava pohrane (cloud, Google obrasci), koji zadovoljavaju europske standarde zaštite osobnih podataka, zabranom pohranjivanja podataka na osobnim računalima i prijenosnim memorijama, ograničavanjem pristupa podacima uvođenjem zaštitnih lozinki dostupnih isključivo osobama ovlaštenima obrađivati predmetne podatke te korištenjem čuvara zaslona zaštićenih lozinkom.

2. POSTUPAK U SLUČAJU POVREDE OSOBNIH PODATAKA

Članak 22.

U slučaju da se utvrdi da postoji rizik povrede osobnih podataka, kao i slučaju nastupa povrede, Obrt je dužno bez odgađanja poduzeti odgovarajuće mjera kako bi se spriječio odnosno umanjio rizik nastanka povrede, odnosno kako bi se otklonile ili umanjile  štetne posljedice povrede.

Obrt je dužan najkasnije 72 sata od saznanja, obavijestiti nadzorno tijelo o povredi, ako  je riječ o takvoj naravi povrede osobnih podataka koja može rezultirati ugrožavanjem prava i sloboda ispitanika (npr. novčani gubici, otkrivanje profesionalne tajne, diskriminacija, oštećenje ugleda ili bilo koja druga značajna socijalna i ekonomska šteta).

Obrt je dužan bez nepotrebnog odgađanja obavijestiti sve ugrožene ispitanike o povredi osobnih podataka, ako je vjerojatno da povreda osobnih podataka može dovesti do visokog stupnja rizika za prava i slobode ispitanika, osim ako je Obrt uspjelo poduzeti odgovarajuće tehničke i organizacijske mjere zaštite kojima je osigurano da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika.

U slučaju rizika ili nastupa povrede osobnih podataka koje Obrt obrađuje u ime voditelja obrade, Obrt je dužan bez odgađanja poduzeti mjere iz stavka 1. ovog članka te ujedno o navedenome obavijestiti Voditelja obrade u čije ime vrši obradu, kako bi voditelj obrade mogao postupiti u skladu s čl.33 i 34 Uredbe.

3. PROCJENA UČINKA NA ZAŠTITU PODATAKA

Članak 23.

Obrt je dužan provesti procjenu učinka predviđenih postupka obrade osobnih podataka na zaštitu osobnih podataka, ako je vjerojatno da će takva vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode ispitanika.

Procjena učinka treba sadržavati opis postupaka obrade i njezine svrhe, procjenu nužnosti i proporcionalnosti, procjenu rizičnosti te opis mjera kojima se umanjuje rizičnost obrade.

VII.  PRIJENOS PODATAKA PRIMATELJIMA

Članak 24.

Obrt je ovlašten osobne podatke otkriti i dati na korištenje drugim primateljima, samo pod uvjetima iz ovog Pravilnika.

Prijenos podataka primateljima dozvoljen je samo u sljedećim situacijama:

1. kada to zahtijeva priroda poslovnog procesa – dozvoljen je prijenos internim primateljima – osobama zaposlenima u Obrtu koje su u okviru poslova svoga radnog mjesta te sukladno ugovoru o radu ovlaštene pristupiti i obrađivati osobne podatke
2. kada se prijenos odvija u okviru ugovornog odnosa Obrta kao voditelja obrade s pružateljem usluge kao izvršiteljem obrade, te je potreban radi ispunjenja ugovora (npr.: prijenos podataka knjigovodstvenom servisu, informatičaru)
3. kada je prijenos nužan za ispunjenje zakonskih obveza Obrta (npr. prijenos podataka nadležnim državnim tijelima: HZMO i HZZO u svrhu ispunjenja zakonske obveze prijave radnika na obvezno mirovinsko i zdravstveno osiguranje, Porezna uprava u svrhu ispunjenja obveze slanja JOPPD obrazaca, itd.)
4. kada je prijenos potreban radi postupanja po pisanom i obrazloženom zahtjevu javnih tijela kada djeluju u okviru svojih javnih ovlasti i službenih zadaća (npr. Porezna uprava, Inspekcija rada, Financijski inspektorat, Agencija za zaštitu osobnih podataka, u okviru obavljanja službenog nadzora, policijska tijela u okviru provođenja službene istrage, itd.)
5. kada je prijenos nužan radi zaštite legitimnih interesa Obrta ili postavljanja i obrane pravnih zahtjeva, (npr.: Fina, javni bilježnik, sudovi, državno odvjetništvo, odvjetnici, policija)
   
   

Osim navedenih situacija, prijenos podataka drugim primateljima, može biti dozvoljen samo uz pisanu suglasnost ispitanika, koji mora prethodno biti potpuno informiran o osobnim podacima koji se prenose, svrhama obrade, identitetu primatelja i razlozima prijenosa.

Obrt ne prenosi osobne podatke koje obrađuje izvan teritorija EU.

VIII.  SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

Članak 25.

Obrt sukladno odredbama Opće uredbe za zaštitu podataka nema obvezu imenovanja službenika za zaštitu podataka.

IX. ODGOVORNOST RADNIKA OBRTA

Članak 26.

Svi radnici zaposleni u Obrtu dužni su pažljivo i sukladno odredbama Opće uredbe o zaštiti podataka, Zakona o provedbi opće uredbe, te ovog Pravilnika postupati s osobnim podacima kojima sukladno ovom Pravilniku i ugovoru o radu imaju pravo pristupa, koristiti ih isključivo u propisane svrhe, čuvajući njihovu povjerljivost i štiteći ih od neovlaštenog korištenja.

Svi radnici zaposleni u Obrtu odgovorni su za povrede koje prouzroče svojom krivnjom.

Sve osobe koje sukladno ovom Pravilniku imaju pristup osobnim podacima potpisuju izjavu o povjerljivosti.

Povreda odredbi o zaštiti osobnih podataka predstavlja težu povredu radno pravne obveze koja može dovesti do otkaza ugovora o radu.

X. ZAVRŠNE ODREDBE

Članak 27.

Ovaj Pravilnik stupa na snagu i primjenjuje se s danom njegova donošenja.

BOŽIĆ SANDRA,
Vl. LIFE STYLE, obrta za usluge