Temeljem Uredbe (EU) 2016/679 Europskog parlamenta i vijeća (dalje: GDPR) od 27. travnja 2016. g. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opće uredbe o zaštiti podataka), DESYRE d.o.o., OIB: 29864846378, Poljska 35, Nedeljanec, zastupano po direktoru Marko Hladika (dalje: Društvo) donijela je dana 25. svibnja 2018. godine:
PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
Predmet
Članak 1.
Predmet ovog Pravilnika o zaštiti osobnih podataka (dalje: Pravilnik) je zaštita osobnih podataka pojedinaca.
Korištenjem proizvoda i usluga Društva, podnošenjem zahtjeva za stupanje u radni odnos u Društvo te zasnivanjem ugovornog odnosa sa Društvom povjeravate Društvu svoje osobne podatke, a ovaj Pravilnik opisuje koje podatke Društvo može prikupljati, na koji način se obrađuju, u koje svrhe se upotrebljavaju, kao i koja su prava pojedinaca povezana s njihovim osobnim podacima.
DESYRE d.o.o., OIB: 29864846378, Poljska 35, Nedeljanec, voditelj je obrade osobnih podataka u smislu Opće uredbe o zaštiti osobnih podataka.
I. TEMELJNI POJMOVI
Članak 2.
Temeljni pojmovi u smislu ovog Pravilnika su:
„osobni podaci” – svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi
(„ispitanik”) – pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
„obrada” – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
„ograničavanje obrade” – označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti
„sustav pohrane” – svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
„voditelj obrade” – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice
„izvršitelj obrade” – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade
„primatelj” – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade
„treća strana” – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
„privola” ispitanika – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose
„povreda osobnih podataka” – kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
„biometrijski podaci” – osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci
„nadzorno tijelo” – neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51. Opće uredbe o zaštiti osobnih podataka – u Republici Hrvatskoj – Agencija za zaštitu osobnih podataka
Članak 3.
Trgovačko društvo DESYRE d.o.o., OIB: 29864846378, Poljska 35, Nedeljanec (dalje: Društvo) voditelj je obrade osobnih podataka u smislu Opće uredbe o zaštiti osobnih podataka. Kontakt podaci putem kojih Ispitanik ostvaruje svoja prava iz ovog pravilnika su putem e-mail adrese info@desyre.tcloud.hr ili osobno na adresu sjedišta voditelja obrade ili njegove poslovnice.
II. INFORMACIJE I PRISTUP OSOBNIM PODACIMA
Članak 4.
Obveza davanja informacija
U svakom slučaju u kojem Društvo prikuplja osobne podatke ispitanika, dužan je ispitanika informirati o identitetu i kontaktnim podacima voditelja obrade, kontaktnim podacima službenika za zaštitu osobnih podataka ako ga ima, svrsi obrade u koju su podaci namijenjeni kao i pravnu osnovu obrade te uputiti ispitaniku i sve druge informacije iz čl. 13. i čl. 14. Opće uredbe o zaštiti osobnih podataka, na način i u roku propisanom u navedenim člancima Opće uredbe.
Članak 5.
Informacije koje je voditelj obrade dužan dati:
1.) Opće informacije
Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:
(a) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
(b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
(c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
(d) ako se obrada temelji na članku 6. stavku 1. točki (f) Uredbe EU 2016/679, legitimne interese voditelja obrade ili treće strane;
(e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
(f) ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka Uredbe EU 2016/679 upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.
2) Dodatne informacije
Osim informacija iz stavka 1. ovog članka, voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
(a) razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
(b) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
(c) ako se obrada temelji na članku 6. stavku 1. točki (a) Uredbe EU 2016/679 ili članku 9. stavku 2. točki (a) Uredbe EU 2016/679 (ispitanik je dao izričitu privolu), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
(d) pravo na podnošenje prigovora nadzornom tijelu;
(e) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
(f) postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. Uredbe EU 2016/679, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
3) Dodatna obrada
Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.
4) Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.
III. EVIDENCIJA AKTIVNOSTI OBRADE
Članak 5.
Društvo kao voditelj obrade, sukladno čl. 30. Opće uredbe o zaštiti osobnih podataka uspostavlja i vodi slijedeće evidencije aktivnosti obrade:
1) Evidencija osobnih podataka o radnicima
2) Evidencija o plaćama zaposlenih, službenim putovanjima i ostalim mjesečnim plaćanjima
3) Evidencija podataka o poslovnim partnerima, kupcima i dobavljačima
Uz evidencije iz prethodnog stavka ovog članka Pravilnika, Društvo kao voditelj podataka ovlašteno je uspostaviti dodatne evidencije ovisno o potrebama i aktivnostima Društva.
Evidencije aktivnosti obrade mogu biti u:
papirnom obliku (knjiga, spis, datoteka),
elektroničkom obliku (magnetni disk, vrpce, CD-ROM i drugi nosači elektroničkih zapisa).
Članak 6.
U svakoj pojedinoj evidenciji aktivnosti mogu biti sadržani podaci o:
naziv evidencije aktivnosti obrade osobnih podataka
naziv, odnosno osobno ime voditelja obrade i njegovo sjedište, odnosno adresu
službenika za zaštitu osobnih podataka ako ga ima
izvršitelja obrade
svrhu obrade
pravni temelj uspostave zbirke podataka
kategorije osoba na koje se podaci odnose
vrste podataka sadržanih u zbirci podataka
način prikupljanja i čuvanja podataka
vremensko razdoblje čuvanja i uporabe podataka
osobno ime, odnosno naziv treće strane ili primatelja, njegovu adresu, odnosno sjedište,
naznaku unošenja, odnosno iznošenja podataka u treću zemlju ili međunarodnu organizaciju ako podliježe
naznaku poduzetih mjera zaštite osobnih podataka.
U evidenciji se također može samo uputiti i na odredbe ovog Pravilnika vezano za podatke koje mora sadržavati.
Članak 7.
Voditelj obrade vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve informacije iz članka 6. ovog pravilnika ili se u evidenciji upućuje na odredbe ovog Pravilnika.
Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:
(a) ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
(b) kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
(c) ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h) Uredbe EU 2016/679, dokumentaciju o odgovarajućim zaštitnim mjerama;
(d) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1 Uredbe EU 2016/679.
Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.
IV. KATEGORIJE OSOBA NA KOJE SE PODACI ODNOSE
Članak 8.
Evidencije aktivnosti iz članka 5. ovog Pravilnika, toč. 1.-5. odnose se na sve osobe koje su sklopile ugovore o radu/djelu s Društvom DESYRE d.o.o. kao poslodavcem/naručiteljem djela (ugovor o radu na određeno, ugovor o radu na neodređeno, ugovor o djelu ili ugovor student servisa).
Evidencije aktivnosti iz čl. 5. toč. 6. ovog Pravilnika vode se o kontaktima, e-mailovima i drugim podacima koji se odnose na poslovne partnere, trenutne ili potencijalne kupce i dobavljače. Uz prethodnu privolu, osobni podaci mogu se prikupljati, obrađivati i koristiti i za druge osobe, kao i za postojeće osobe, ali u druge svrhe.
V. VRSTE OSOBNIH PODATAKA KOJI SE OBRAĐUJU
Članak 9.
Društvo može prikupljati i obrađivati slijedeće osobne podatke ispitanika/korisnika/radnika/zastupnika:
1. temeljne osobne podatke: ime i prezime pojedinca, adresu, osobni identifikacijski broj (OIB), datum rođenja, spol, podatke za kontakt (adresa e-pošte, broj telefona i/ili mobitela), informacije o vrsti i sadržaju ugovornog odnosa; video-snimku koja nastaje u prostorijama Društva koje je pod video-nadzorom radi zaštite osoba i imovine;
2. ostale osobne podatke koje ispitanik ili treća osoba stavlja na raspolaganje Društvu prilikom zasnivanja i trajanja ugovornog odnosa (npr. ugovora o radu, ugovora o poslovnoj suradnji, Ugovora o kupoprodaji i dr.): podaci iz osobne iskaznice, bankovni račun, ovlasti potpisivanja i/ili zastupanja, podaci o broju djece te ime i prezime i godina rođenja djece u svrhu poreznih olakšica te u tom smislu podaci o drugim uzdržavanim članovima, podaci o školovanju, podaci o radnom stažu, podaci o zdravstvenoj sposobnosti, i sl.; ali ne podatke osjetljive s aspekta zaštite podataka, što su posebice podaci o rasnoj ili etničkoj pripadnosti, političkim ili vjerskim nazorima ili svjetonazoru, genetički podaci ili podaci o zdravstvenom stanju izuzev podataka koji se prikupljaju temeljem propisa iz oblasti radnog prava (npr. Zakon o radu, Zakon o zaštiti na radu; Zakon o profesionalnoj rehabilitaciji i zapošljavanju osoba sa invaliditetom itd.);
3. podatke o korištenju proizvoda i usluga Društva; npr. vrijeme kupovine, opis kupljenih i korištenih proizvoda i usluga, način korištenja.
Osobni podaci uzimaju se neposredno od ispitanika usmeno ili pismenim putem.
VI. SVRHA OBRADE
Članak 10.
Sve vrste osobnih podataka pojedinaca Društvo može obrađivati isključivo u slijedeće svrhe:
1. Ispunjenje ugovora i zakonskih obaveza Društva
Osobni podaci obrađuju se u svrhu prodaje roba i/ili pružanja usluga, obračuna za izdanu robu ili pružene usluge sukladno važećem propisima (npr. Zakonu o PDV-u, Pravilniku o PDV-u, Zakonu o radu, Pravilniku o radu, Uredbama o evidencijama iz oblasti rada i dr.), u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka ili zakonski zastupnik, te radi ispunjenja obveza propisanih zakonom.
Osobni podaci se također prikupljaju u svrhu ispunjenja zakonskih obveza Društva kao npr. kartice za korištenje zaštitnih sredstva sukladno zakonskim propisima.
Osobne podatke Društvo može prikupljati i obrađivati kod upita Ispitanika u skladu s važećim propisima (npr. Zakonom o zaštiti potrošača, Općoj uredbi o zaštiti podataka itd.), kao i radi obavještavanja koja je Društvo dužno vršiti prema važećim propisima. U svrhu prodaje ili kupovine robe i/ili pružanja usluge Društvo Vam se može obratiti putem podataka za kontakt koje ste mu dali.
Osobne podatke voditelj obrade dostavlja isključivo trećim osobama u svrhu ispunjenja svojih zakonskim obveza (npr. Porezna uprava, HZMO, HZZO itd.), ovlaštenom knjigovodstvenom servisu, kao i po potrebi izvršitelju koji je zadužen za održavanje sustava videonadzora/softwerskih programa na kompjuteru (npr. fiskalna blagajna i sl.).
2. Naplata potraživanja
Ako pojedinac ne ispuni svoje ugovorne obveze, Društvo je ovlašteno osobne podatke pojedinca proslijediti trećim osobama i to odvjetničkim uredima, agenciji za naplatu potraživanja, nadležnim tijelima javne vlasti, a isključivo u svrhu radi naplate potraživanja Društva kao Vjerovnika prema pojedincu kao dužniku.
3. Kontaktiranje
Za vrijeme ugovornog odnosa, kao i po prestanku ugovornog odnosa, tijekom razdoblja od godine dana od prestanka ugovornog odnosa, Društvo je ovlašteno stupiti u kontakt s pojedincem preko komunikacijskih kanala koje je Društvu dalo na raspolaganje: npr. elektronička pošta (e-mail), društvene mreže, pisano (poštom), putem telefona.
4 Ostale svrhe koje su navedene izričito na Privoli
Društvo može na Privoli kojom mu Ispitanik daje svoje osobne podatke, navesti i drugu svrhu obrade od one koja je tu izričito navedena. Potpisom na Privoli smatra se da je Ispitanik dao privolu da Društvo koristi osobne podatke u tu svrhu.
VII. RAZDOBLJE ČUVANJA
Članak 11.
Osobni podaci pojedinca brišu se po isteku ugovornog odnosa ili po prestanku svrhe radi koje su prikupljani, odnosno po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja ili ako je uložen prigovor na proizvod ili uslugu u roku, sve do konačnog dovršetka postupaka po prigovoru u skladu s važećim propisima.
Evidencija zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Podaci o zaposlenicima predstavljaju dokumentaciju trajne vrijednosti koja se čuva po zakonskim osnovama. Po isteku zakonske osnove podaci se brišu iz evidencija.
Evidencije o poslovnim partnerima čuvaju se do završetka poslovnog odnosa, s time da se osobni podaci koji su potrebni radi izdavanja računa čuvaju u za to zakonom propisanom periodu.
Evidencije koje voditelj obrade vodi o ispitanicima koji su dali svoju privolu na obradu svojih osobnih podataka voditelj obrade ovlašten je čuvati sve do isteka svrhe navedene u privoli odnosno do povlačenja privole od strane ispitanika.
VIII. VIDEO NADZOR
Članak 12.
U prostorijama Društva, provodi se video-nadzor, te se ovim Pravilnikom uređuje svrha i opseg podataka koji se prikupljaju, način i vrijeme čuvanja te uporaba snimljenih podataka, te zaštita ispitanika.
Video zapis dobiven video nadzornom kamerom predstavlja osobni podatak u smislu članka 4. stavka 1. Uredbe EU 2016/679 i članka 2. stavka 1. ovog pravilnika. Za prikupljanje i obradu osobnih podataka mora postojati zakonita svrha i valjan pravni temelj. Dozvoljeno je korištenje nadzornih uređaja radi kontrole ulazaka i izlazaka iz prostorija i prostora Društva te radi smanjenja izloženosti radnika i kupaca riziku od razbojstva, provala, nasilja, krađa i sličnih događaja na radu ili u vezi s radom, odnosno u vezi s obavljanjem djelatnosti Društva.
Voditelj obrade dužan je objaviti obavijest o provođenju video nadzora na radnom mjestu.
Obavijest iz prošlog stavka mora obuhvaćati sljedeće informacije:
– da se provodi video nadzor,
– naziv voditelja obrade,
– telefonski broj za informacije gdje i koliko vremena se pohranjuju snimke iz video nadzornog sistema.
3. Video nadzorni sistem mora biti zaštićen od neovlaštenog pristupa.
Članak 13.
Sustav video-nadzora uspostavljen kod Društva koristi se zbog zaštite sigurnosti osobe i imovine Društva, a osobito radnika i svih drugih osoba koje se nađu u prostorijama Društva, bilo u Prostorijama gdje Društvo ima svoje sjedište, bilo gdje se nalazi neka njegova poslovnica, trgovina itd. kao i za sprečavanje protupravnih radnji usmjerenih prema imovini Društva, za zaštitu od krađe, razbojništva, nasilja, oštećenja i sl.
Sukladno članku 43. stavak 1. Zakona o zaštiti na radu video-nadzor iz stavka 1. ovog članka provodi se i radi kontrole ulazaka i izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti radnika riziku od razbojstva, provala, nasilja, krađa, i sličnih događaja na radu ili u vezi s radom. Video-nadzor se provodi i radi smanjenja provala, razbojništva, štete, vandalizma, krađe i svih ostalih štetnih događaja od strane radnika ili trećih osoba, koji mogu nastati na ili u vezi s imovinom Poslodavca.
Osobni podatak koji je prikupljen video-nadzorom, može se koristiti isključivo za svrhu koja je ovdje navedena.
Članak 14.
Sustav video-nadzora snima isključivo prihvatljivi prostor Društva i to ulazak i izlazak iz radnih prostorija, tvornički krug Društva, parkiralište i proizvodne dijelove od vitalnog interesa, poslovnice Društva u kojima Društvo obavlja neku od svojih registriranih djelatnosti. U prostorijama gdje se provodi video-nadzor nalazi se slikovna obavijest da se provodi video-nadzor.
Osobni podaci koji se prikupljaju putem video-nadzora (dalje:video-snimke) su: – snimka ispitanika, datum i vrijeme snimke.
Video-snimke iz ranijeg stavka, a koje se prikupljaju putem video-nadzora, automatski se brišu svakih 30 dana, osim u slučaju nastanka jednog od štetnih događaja iz članka 10. ovog Pravilnika, a radi kojih se sprečavanja provodi video-nadzor.
U slučaju nastanka štetnih događaja radi čije svrhe se provodi video-nadzor, tako prikupljeni osobni podaci mogu se koristiti i dostaviti trećim osobama ako je to potrebno radi vođenja postupka protiv osoba koje su povezane sa jednim od inkriminiranih događaja opisanih u članku 10. Pravilnika i to nadležnim institucijama (nadležno ministarstvo unutarnjih poslova, nadležnom državnog odvjetništva i nadležni sud), a sve isključivo na njihov izričiti nalog. Osobni podaci koji su prikupljeni, a koji su povezani za inkriminiranim događajem čuvaju se u bazi podataka Društva sve do pravomoćnog okončanja svih postupaka u kojima su isti potrebni.
Prilikom provođenja video-nadzora pojedini radnici/ispitanici su pod stalnim dok su drugi radnici/ispitanici pod povremenim video-nadzorom, a sve ovisno o prostoriji i postavljenom uređaju-kameri.
Poslodavac izričito zabranjuje postavljanje nadzornih uređaja i provođenje video-nadzora u prostorijama za osobnu higijenu i presvlačenje radnika.
U prostorijama gdje se provodi video-nadzor nalazi se slikovna obavijest da se provodi video-nadzor, te su svi radnici obaviješteni o provođenju video-nadzora putem odredaba ovog Pravilnika o radu.
Članak 16.
Radna stanica kroz koju se pušta video nadzor nalazi se na računalu voditelja obrade podataka, koji se nalazi u svakoj poslovnici voditelja obrade podataka u kojoj je instaliran video nadzor, a koje računalo se nalazi u posebnoj prostoriji kojoj mogu pristupiti samo ovlašteni djelatnici, dok je pristup sustavu za video nadzor zaštićen posebnom lozinkom. Sustav video nadzora je instaliran na takav način da neovlaštene osobe nemaju pravo pristupa videozapisima.
U prostore iz stavka 1. dopušten je pristup samo zaposlenima Društva na tom radnom mjestu, ovlaštenom serviseru i održavateljima hardverskih i aplikacijskih softvera koji imaju zaključeni Ugovor s Društvom.
Osobni podaci koji se prikupljaju putem video nadzora predstavljaju poslovnu tajnu, te se takvi podaci ne mogu iznositi trećim osobama osim u slučaju članka 13. i 14.
Društvo će posebnom odlukom imenovati osobu koja je ovlaštena nadzirati da li se osobni podaci prikupljaju, obrađuju i koriste sukladno zakonskim odredbama i odredbama ovog članka. Društvo posebnom odlukom imenuje radnika odgovornog za sustav video-nadzora.
Pristup postavkama sustava videonadzora zaštićen je posebnom lozinkom za prijavu. U vlasništvu je samo ovlaštenih osoba koje odredi voditelj obrade podataka.
Članak 17.
O intervencijama u sustavu video nadzora koristi se poseban zapisnik u koji se unosi slijedeće: promjene u postavkama, oštećenja i tehnički problemi u radu, ostale uslužne intervencije, tko je proveo postupak, kada je postupak izveden, način pristupa sustavu ( na mjestu ili na daljinu) ili bilo kakva druga opažanja.
Servisnu knjigu vodi ovlaštena osoba vanjskog izvođača radova.
IX. PRAVA KORISNIKA7ISPITANIKA
Članak 18.
Svaki korisnik/ispitanik čije osobne podatke Društvo obrađuje, ostvaruje prema Društvu prava navedena u nastavku:
1. Pravo na pristup: Pojedinac ima pravo dobiti od Društva potvrdu obrađuju li se osobni podaci koji se odnose na njega, te ako se takvi podaci obrađuju, pristup osobnim podacima i informacijama veznim uz iste.
2. Pravo na ispravak: ako Društvo obrađuje osobne podatke pojedinca koji su nepotpuni ili netočni, u bilo kojem trenutku od Društva može tražiti da iste ispravi ili dopuni.
3. Pravo na brisanje: Pojedinac može od Društva tražiti brisanje osobnih podataka ukoliko više nisu nužni u odnosu na svrhu radi koje su prikupljani ili obrađivani, ako pojedinac povuče privolu a ne postoji druga pravna osnova za obradu, ako pojedinac uloži prigovor na obradu sukladno čl. 21. st. 1. Uredbe te ne postoje jači legitimni razlozi za obradu, ili pojedinac uloži prigovor na obradu u skladu s člankom 21. st. 2. Uredbe, ako su osobni podaci nezakonito obrađeni, ako se isti moraju brisati radi poštivanja pravne obveze iz prava Unije ili hrvatskog zakonodavstva.
Pojedinac ne može tražiti brisanje podataka ukoliko je njihova obrada potrebna radi ostvarivanja prava na slobodu izražavanja i informiranja, radi poštivanja pravnih/zakonskih obveza Društva, radi postavljanja ostvarivanja ili obrane pravnih zahtjeva, te ukoliko zakonski propisi obvezuju Društvo na čuvanje istih u određenom periodu (primjerice kod zakonski propisanih obveza arhiviranja).
4. Pravo na ograničenje obrade: Pojedinac može zatražiti Društvo na ograničenje obrade svojih podataka:
ako pojedinac ospori točnost podataka, na razdoblje u kojem se Društvu omogućuje provjera točnosti osobnih podataka,
ako je obrada podataka bila nezakonita, ali pojedinac se protivi brisanju tih podataka, te umjesto toga traži ograničenje njihove uporabe,
ako Društvo više ne treba osobne podatke za potrebe obrade, ali su isti potrebni radi postavljanje, ostvarivanje ili obrane pravnih zahtjeva, ili
ako je podnio prigovor na obradu podataka temeljem članka 21. st. 1. Uredbe.
5. Pravo na prenosivost podataka: Pojedinac može zaprimiti osobne podatke koji se odnose na njega, a koje je pružio Društvu u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu, te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva, ako:
1. ako te podatke Društvo obrađuje na temelju suglasnosti (privole) i koju može opozvati ili radi ispunjenja ugovornih obveza i
2. ako se obrada vrši pomoću automatiziranih procesa.
6. Pravo na prigovor: Pojedinac ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor ako Društvo osobne podatke obrađuje radi izvršenja zadaća od javnog interesa ili zadaća javnih tijela ili se prilikom njihove obrade poziva na legitimne interese iz članka 6. stavak 1 alineja f. U tom slučaju Društvo više ne smije obrađivati osobne podatke, osim ako Društvo dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode i pojedinaca ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
7. Pravo na žalbu: ako je pojedinac mišljenja da je Društvo prilikom obrade njegovih podataka prekršilo hrvatske ili europske propise o zaštiti podataka, pojedinac se može obratiti Društvu pisanim ili usmenim putem kako bi mu Društvo razjasnilo eventualna pitanja. Svakako Pojedinac ima pravo uložiti pritužbu hrvatskoj Agenciji za zaštitu osobnih podataka, odnosno drugom nadležnom tijelu ili nadzornom tijelu unutar EU.
X. OPOZIV DANIH PRIVOLA
Članak 19.
Privole koje su pojedinci dali za kontaktiranje i druge svrhe, a izvan okvira drugih osnova za prikupljanje podataka, vrijede do opoziva, a pojedinac ih može opozvati u bilo kojem trenutku pisanim putem na adresu sjedišta voditelja obrade ili putem e-mail adrese: info@desyre.tcloud.hr.
XI. OSTVARIVANJE PRAVA I PRISTUP PODACIMA
Članak 20.
Ako pojedinac želi ostvariti neko od prava navedenih u ovom Pravilniku i zajamčenih Uredbom, može se obratiti koristeći sljedeću adresu e-pošte za kontakt: info@desyre.tcloud.hr ili uputiti zahtjev poštom na adresu voditelja obrade.
Zahtjev pojedinca obavezno mora sadržavati ime i prezime te adresu podnositelja. Društvo nije dužno postupiti po zahtjevu ispitanika ako dokaže da nije u mogućnosti utvrditi identitet ispitanika.
Društvo je dužno najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom ispitaniku na njegov zahtjev, odnosno na zahtjev njegovih zakonskih zastupnika ili punomoćnika pružiti sve sljedeće informacije:
Identitet i kontakt podatke Društva kao voditelja obrade
Svrha obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
Ako se obrada temelji na GDPR čl.6. st.1.t.(f), legitimne interese voditelja obrade ili treće strane;
Primatelje ili kategorije primatelja osobnih podataka, ako ih ima;
Ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosa iz GDPR čl. 46., čl. 47. ili čl. 49. st. 1. post. 2. upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.
Ispitanik također ima pravo na uvid u osobne podatke sadržane u evidencijama aktivnosti koji se na njega odnose.
XII. NAČIN PRIKUPLJANJA I MJERE SIGURNOSTI PODATAKA
Članak 21.
Društvo kao voditelj obrade podataka podatke pohranjuje u digitalnom i materijalnom obliku.
a) Društvo kao voditelj obrade uspostavilo je slijedeće mjere zaštite osobnih podataka u digitalnom obliku:
Integracija individualnih lozinka u informatičke uređaje kojima se služe ovlašteni djelatnici voditelja obrade od najmanje 8 znakova, dok se podaci o navedenim lozinkama uz korisničko ime dostavljaju svakom pojedinom ovlaštenom djelatniku u osobni E-mail pretinac
informacija o svakoj pojedinoj lozinki poznata je samo djelatniku kojem Društvo kao voditelj obrade da ovlaštenje za njeno korištenje te se ista iz sigurnosnih razloga periodički mijenja najmanje jednom u tri mjeseca, te u svakom slučaju odmah nakon prestanka radnog odnosa ovlaštenog djelatnika ili bilo kakve vrste povrede osobnih podataka
Aktivacija „stand by“ modaliteta na računalnim sustavima u slučaju neaktivnosti duže od 60 sekundi te automatska aktivacija zabrane pristupa bez uporabe lozinke
b) Društvo kao voditelj obrade uspostavilo je slijedeće mjere zaštite osobnih podataka u materijalnom obliku:
pohrana materijalne dokumentacije u uredskim prostorijama kojima mogu pristupati samo ovlašteni djelatnici
upotreba zatvorenih i pečatiranih omotnica za pojedine strogo povjerljive podatke
upotreba mjesta za pohranu kojima mogu pristupiti samo ovlašteni djelatnici voditelja obrade kojima je povjeren sigurnosni ključ
Stručno i administrativno osoblje Društva koje obrađuje osobne podatke dužno je poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, te utvrditi obveze osoba koje su izvršavaju obradu podataka.
Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje obrađivati u skladu sa GDPR i uz posebne mjere zaštite propisane posebnim zakonima.
Odgovornost za zaštitu svih onih osobnih podataka koje voditelj obrade zbog ugovorne obveze prosljeđuje drugim izvršiteljima obrade, štiti na način da sa trećim osobama sklapa Ugovor kojim se detaljnije određuje svrha i način obrade i sadrži klauzulu o povjerljivosti podataka koji se ustupaju.
ZAŠTITA PROSTORIJA I OPREME
Članak 22.
Voditelj obrade u evidencijama aktivnosti obrade osobnih podataka za svaku fizičku zbirku osobnih podataka određuje u kojoj se prostoriji zbirka nalazi, odnosno u kojim prostorijama je putem telekomunikacijskih sredstava moguć pristup tim zbirkama.
Članak 23.
Voditelj obrade za fizičke zbirke, koje za njega vode izvršitelji obrade angažirani putem ugovora, ne određuje zaštitne mjere u pravilniku o zaštiti osobnih podataka već u ugovoru s izvršiteljem obrade, sukladno zakonu, pravilniku voditelja obrade, te dobrim poslovnim običajima u zaštiti podataka.
Članak 24.
Prostorije u kojima se nalaze zbirke osobnih podataka i oprema i sustavni softver koji omogućuju pristup podacima zaštićeni su organizacijskim te fizičkim i tehničkim mjerama, koje onemogućuju neovlaštenim osobama pristup podacima (u daljnjem tekstu: zaštićene prostorije).
Članak 25.
Voditelj obrade u evidencijama aktivnosti obrade osobnih podataka popisuje zaštitne mjere prostorija u kojima se nalaze fizičke zbirke, odnosno gdje je moguć pristup do njih.
Članak 26.
Voditelj obrade u evidencijama aktivnosti obrade osobnih podataka određuje osobe, odnosno radna mjesta, koja imaju pravo ulaska u prostorije u kojima se nalaze zbirke osobnih podataka, tijekom i van radnog vremena. Pristup u zaštićene prostorije dozvoljen je samo onim zaposlenicima čije pravo ulaska u pojedine prostorije proističe iz evidencije aktivnosti obrade osobnih podataka. Ulazak u zaštićene prostorije voditelja obrade dozvoljen je i onim suradnicima koji su s voditeljem obrade zaključili odgovarajuće ugovore o suradnji, koji uključuju i dužnost zaštite osobnih podataka (izvršitelji obrade angažirani po ugovoru). Pod uvjetima koje određuje ovaj pravilnik, ulazak u zaštićene prostorije voditelja obrade dozvoljen je i nezaposlenim osobama, poslovnim partnerima i drugim posjetiteljima.
Članak 27.
Ulaz u zaštićene prostorije zaposlenicima je dozvoljen tijekom radnog vremena, a izvan radnog vremena samo na osnovu izričite dozvole uprave. Svaki ulazak zaposlenika u prostoriju i korištenje opreme izvan radnog vremena bilježi se na odgovarajući način (datum, sat, osoba, razlog, itd.).
Članak 28.
Izvršitelji obrade koji su angažirani po ugovoru ne smiju tijekom radnog vremena ulaziti ili se zadržavati u zaštićenim prostorijama voditelja obrade bez prisutnosti odgovornog službenika, osim u slučaju da je u ugovoru s voditeljem obrade određena njihova dužnost čuvanja osobnih podataka.
Osoba koje radi u zaštićenoj prostoriji mora savjesno i pozorno nadzirati prostoriju i pri svakom izlasku ju zaključati.
Izvršitelji obrade angažirani po ugovoru mogu se kretati u zaštićenim prostorijama voditelja obrade izvan radnog vremena i bez prisutnosti odgovornog radnika samo ukoliko su nosači podataka spremljeni na način koji određuje ovaj pravilnik za vrijeme izvan radnog vremena.
Članak 29.
1. Osoba koje u svom radu koristi osobne podatke ili ih na bilo koji način obrađuje (ovlaštena osoba za obradu osobnih podataka) ne smije tijekom radnog vremena ostavljati na radnim stolovima nosače osobnih podataka bez nadzora ili ih na neki drugi način izlagati opasnosti uvida od strane neovlaštenih osoba.
2. Ako osoba koje nije zaposlena kod voditelja obrade ima pravo ulaska u zaštićene prostorije, nosači podataka i zasloni računala moraju u trenutku obrade ili rada na njima biti postavljeni tako da toj osobi nije omogućen uvid u njih.
Članak 30.
Treće osobe ne smiju ulaziti ili se zadržavati u zaštićenim prostorijama voditelja obrade u kojima se nalaze osobni podaci koji nisu posebno zaštićeni, bez prisutnosti odgovorne osobe.
Članak 31.
Oprema za prikupljanje, obradu, izradu, preslikavanje, prikazivanje, ispisivanje, skeniranje, prijenos i pohranu podataka koristi se sukladno tehničkim uputama proizvođača opreme, odredbama ovog pravilnika, te standardima i uputama za pojedine ovlasti rada.
Oprema se može nalaziti i koristiti samo u prostorijama koje odgovaraju propisanim uvjetima za rad s tom opremom.
Opremom mogu rukovati samo ovlašteni radnici kod voditelja obrade. Svaki zaposlenik koji ima ovlaštenje za rad s opremom odgovoran je za svoju zaporku i za svaki provedeni postupak ili transakciju.
Zaporku za prijavu u mrežu osobnih računala ovlaštenim osobama za obradu osobnih podataka dodjeljuje +administrator mreže ili administrator sustava.
Prilikom prve prijave u sistem korisnik je dužan promijeniti dostupnu zaporku. U nastavku korisnik je dužan periodički mijenjati zaporku.
POVJERLJIVOST PODATAKA
Članak 32.
Voditelj obrade mora osigurati povjerljivost obrađenih podataka.
Povjerljivost podataka logičko-tehnički se osigurava korisničkim imenima i zaporkama na razini sustavnog i aplikacijskog softvera kojima se obrađuju podaci. Podaci mogu biti kodirani ili šifrirani, ili pak sustav za upravljanje podacima mora osigurati da do njih nemaju pristup neovlaštene osobe. Povjerljivost podataka se može osigurati i kriptografijom (šifriranjem podataka) gdje sam zapis podataka onemogućuje njihovo čitanje od strane neovlaštenih osoba.
Organizacijski se povjerljivost podataka može osigurati aktom o sistematizaciji radnih mjesta, kojim se za svako radno mjesto utvrđuju prava i ovlaštenja za svaku zbirku podataka. Ukoliko to u sistematizaciji radnih mjesta nije detaljnije utvrđeno, spomenuta prava i ovlasti proizlaze iz pojedine Evidencije aktivnosti obrade osobnih podataka. Za svako radno mjesto aktivom voditelja zbirke može se utvrditi i dužnost zaštite povjerljivosti osobnih podataka.
Povjerljivost podataka osigurava se i fizičkom zaštitom prostorija.
Članak 33.
Odgovornost za zaštitu svih onih osobnih podataka koje voditelj obrade zbog ugovorne obveze prosljeđuje drugim izvršiteljima obrade, štiti na način da sa trećim osobama sklapa Ugovor kojim se detaljnije određuje svrha i način obrade i sadrži klauzulu o povjerljivosti podataka koji se ustupaju.
Članak 34.
Stručno i administrativno osoblje koje obrađuje osobne podataka dužno je poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, te utvrditi obvezu osoba koje su zaposlene u obradi podataka.
Xiii. oDGOVORNOST RADNIKA ZA PREUZIMANJE ZAŠTITNIH MJERA OSOBNIH PODATAKA
Članak 35.
Prije stupanja radnika na rad na radnom mjestu gdje se prikupljaju, uređuju, obrađuju, preinačavaju, pohranjuju, prenose ili koriste osobni podaci ili nosači osobnih podataka, on mora potpisati izjavu koja ga obvezuje na zaštitu osobnih podataka kao profesionalnu tajnu i u kojoj je upozoren na posljedice kršenja te dužnosti.
Dužnost zaštite osobnih podataka s kojima se zaposleni upoznaje u svom radu važi i po prestanku radnog odnosa kod voditelja obrade.
Radnici su obvezni pridržavati se svim mjera zaštite osobnih podataka, osobito koristiti lozinku na službenim mobitelima i računalu te redovito (jednom u tri mjeseca promijeniti lozinke, odnosno iste ažurirati), da mobitele ne ostavljaju na vidljivom mjestu kojem mogu pristupiti treće neovlaštene osobe, pri rukovanju osobnim podacima voditi računa da treće neovlaštene osobe ne dođu s njima u doticaj, te kao poduzimati sve mjere da se osigura tajnost i zaštita osobnih podataka, te da se osobni podaci koriste samo u onoj mjeri u kojoj je to nužno za izvršenje njihovih radnih obveza, kao i da računalo i materijalni oblik osobnih podataka ne ostavljaju na vidljivom mjestu na kojem treće osobe mogu doći u doticaj s istima, odnosno da ni na koji način ne omoguće neovlašteno korištenje i pristup osobnim podacima.
Članak 36.
Ovlašteni radnik čini disciplinski prekršaj:
1. ako otkrije osobne podatke s kojima je upoznat u obavljanju svog posla suradnicima koji nisu ovlašteni za rad s osobnim podacima ili trećim osobama;
2. ako propusti radnju za sprječavanje uvida u ili na nosače osobnih podataka, odnosno ako izostavi brigu i nadzor nosača osobnih podataka tijekom radnog vremena i tako dozvoli i neovlaštenim osobama mogućnost uvida u njih, odnosno ako bez dozvole iznosi nosače osobnih podataka izvan prostorija voditelja obrade;
3. ako propusti provođenje postupaka i mjera za osiguravanje integriteta, povjerljivosti i raspoloživosti osobnih podataka koje utvrđuje ovaj pravilnik i ako propusti provođenje postupaka i mjera za evidentiranje svih obrada osobnih podataka;
4. ako ne obavijesti ovlaštenog radnika u slučaju zlouporabe osobnih podataka ili upada u zbirku osobnih podataka;
5. ako propusti savjesno i pozorno nadziranje zaštićenih prostorija;
6. ako na neki drugi način krši odredbe ovog pravilnika.
Članak 37.
O zlouporabi ili o sumnji na zlouporabu osobnih podataka koji se vode u zbirkama osobnih podataka od strane osoba koje nisu radnici poduzeća, voditelj obrade obavještava nadležna tijela sukladno nacionalnom zakonodavstvu.
Xiv. IZVRŠITELJI OBRADE PODATAKA ANGAŽIRANI PREMA UGOVORU
Članak 38.
Voditelj obrade može povjeriti pojedine poslove vezane za obradu osobnih podataka izvršitelju obrade, koji osigurava odgovarajuće postupke i mjere za čuvanje osobnih podataka.
Voditelj obrade u pojedinoj evidenciji aktivnosti obrade popiše izvršitelje obrade podataka prema ugovoru za svaku zbirku podataka pojedinačno.
Članak 39.
Za svakog izvršitelja obrade osobnih podataka angažiranog prema ugovoru voditelj obrade određuje ugovorom do kojih zbirki, odnosno do koje vrste osobnih podataka u zbirci osobnih podataka, ima pristup, kakva ovlaštenja ima na tim zbirkama, odnosno vrstama podataka (pristup, pregled, preinaka, brisanje, prijenos), te koje mjere i postupke mora prihvatiti, odnosno izvoditi s ciljem zaštite tih podataka.
Izvršitelj obrade voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.
Članak 40.
Voditelj obrade u evidencijama aktivnosti obrade evidentira kojim zbirkama, odnosno kojim vrstama osobnih podataka unutar pojedinih zbirki osobnih podataka, imaju pristup izvršitelji obrade osobnih podataka angažirani prema ugovoru, te koja su njihova ovlaštenja za obradu tih podataka.
Članak 41.
Izvršitelj obrade angažiran prema ugovoru smije obavljati pojedine zadatke vezane za obradu osobnih podataka u okviru ovlasti voditelja obrade, te osobne podatke ne smije obrađivati u druge svrhe.
Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.
Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera zaštite podataka. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.4. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom Republike Hrvatske, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
(a) obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo Republike Hrvatske kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;
(b) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
(c) poduzima sve potrebne mjere za sigurnost obrade u skladu s člankom 32. Uredbe EU 2016/679 („sigurnost obrade“);
(d) poštuje uvjete za angažiranje drugog izvršitelja obrade;
(e) uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju XIV (Prava ispitanika);
(f) pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36. Uredbe EU 2016/679, uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;
(g) po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu Republike Hrvatske postoji obveza pohrane osobnih podataka;
(h) voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.
U pogledu prošle točke izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši Opću Uredbu EU 2016/679 ili druge odredbe Unije ili zakone Republike Hrvatske.
xv. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 42.
Izmjene i dopune ovog pravilnika usvaja Uprava društva po postupku i na način za donošenje ovog pravilnika.
S odredbama ovog pravilnika moraju biti upoznati svi zaposlenici kod voditelja obrade koji dolaze u dodir s osobnim podacima.
Primjerak pravilnika imaju svi odjeli, odnosno svi radnici u čije radne obaveze spada prikupljanje, uređivanje, obrada, mijenjanje, pohranjivanje, prijenos ili korištenje osobnih podataka ili nosača osobnih podataka.
Članak 43.
Ovaj pravilnik stupa na snagu odmah. Pravilnik će se objaviti na oglasnoj ploči voditelja obrade koja se nalazi u prostorijama sjedišta, a po potrebi se može objaviti i na web stranici voditelja obrade
http://desyre.hr/ ili na oglasnim pločama pojedinih poslovnica.
U Varaždinu, 25.svibnja 2018. godine
Za Desyre d.o.o., direktor Marko Hladika:
____________________