Pravilnik o zaštiti podataka
I. Opće odredbe
Članak 1.
U postupku zaštite, nadzora nad prikupljanjem, obrade i korištenja osobnih podataka primjenjuju se odredbe Zakona o zaštiti osobnih podataka. Ingpro d.o.o.. obveznik je primjene ovog Zakona te je dužan nadzirati prikupljanje, obradu, korištenje i zaštitu osobnih podataka svih fizičkih osoba čije podatke uzima i koristi.
Članak 2.
Ingpro d.o.o. je voditelj zbirki osobnih podataka koji utvrđuju svrhu i način obrade osobnih podataka.
Članak 3.
U skladu sa Zakonom pojedini izrazi imaju sljedeće značenje:
- Osobni podatak je svaka informacije koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati ( u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja i jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni i socijalni identitet.
- Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.
- Zbirka osobnih podataka je svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to je li sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.
- Voditelj zbirke osobnih podataka je fizička ili pravna osoba, drižavno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka.
- Treća strana je fizička ili pravna osoba, državno ili drugo tijelo, osim ispitanika, voditelja zbirke osobnih podataka ili izvršitelja obrade osobnih podataka i osoba koje voditelj zbirke ili izvršitelj obrade izravno ovlasti na obradu osobnih podataka.
- Primatelj je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci otkrivaju, neovisno o tome je li on ujedno i treća strana ili nije. Međutim džavna tijela koja mogu primati podatke u okviru provodenja istraga ne smatraju se primateljima.
- Izvršitelj obrade je fizička ili pravna osoba, državno ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja osobnih podataka.
- Privola ispitanika je slobodno dano i izričito očitovanje volje ispitanika kojom on izržava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe.
- Službenik za zaštitu osobnih podataka je osoba imenovana od strane voditelja zbirke osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.
II. Službenik za zaštitu osobnih podataka
Članak 4.
Sukladno članku 18a. Zakona voditelj zbirke osobnih podataka dužan je imenovati služhenika za zaštitu osobnih podataka koje mora biti u pisanom obliku. Voditelj zbirke osobnih podataka dužan je o imenovanju službenika za zaštitu osobnih podataka izvijestiti Agenciju za zaštitu osobnih podataka u roku od mjesec dana od donošenja odluke o imenovanju, te službene kontakt podatke službenika za zaštitu osobnih podataka učiniti javno dostupnim na svojim web stranicama ili na drugi odgovarajuć način.
Članak 5.
Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, protiv koje je izrečena mjera povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponaganja donesenih od strane poslodavca.
Članak 6.
Službenik za zaštitu osobnih podataka obvezan je voditi brigu o zakonitosti obrade osobnih podataka, upozoravati voditelja zbirke osobnih podataka o mogućnosti primjene propisa o zaštiti osobnih podataka, upoznavati sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim obvezama u svrhu zaštite osobnih podataka, brinuti o izvršenju obveza iz članka 14. i 17. Zakona, omogućiti ostvarivanje prava ispitanika iz članka 19. i 20. Zakona, surađivati s Agencijom za zaštitu osobnih podataka i čuvati povjerljivost svih informacija i podataka koje sazna u obavljanju svojih duižnosti koje traje i nakon prestanka obavljanja dužnosti službenika za zaštitu osobnih podataka.
Članak 7.
Obveze službenika za zaštitu osobnih podataka bit će propisane pisanim procedurama.
III. Obrada osobnih podataka
Članak 8.
Voditelj zbirke osobnih podataka mora obrađivati osobne podatke pošteno i zakonito. Osobni podaci moraju biti točni, potpuni i Ažurirani i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha. Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju.
Članak 9.
Prikupljanje i obrađivanje osobnih podataka ostvarivo je uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu ili svrhama navedenim u članku 7. Zakona. Osobni podaci koji se odnose na maloljetne osobe prikupljaju se i dalje obrađuju uz suglasnost zakonskih zastupnika ili punomanika. Ispitanik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade njegovih podataka, osim ako se radi o obradi podataka u statističke svrhe kada osobni podaci više ne omogućuju identifikaciju osobe na koju se odnose.
Članak 10.
Način prikupljanja i obrade osobnih podataka bit će propisan pisanom procedurom.
IV. Davanje osobnih podataka
Članak 11.
Voditelj zbirke osobnih podataka ovlašten je osobne podatke dati na korištenje drugim primateljima na temelju pisanog zahtjeva primatelja ako je to potrebno radi obavljanja poslova u okviru zakonom utvrdene djelatnosti primatelja. Pisani zahtjev mora sadržavati svrhu i pravni temelj za korištenje osobnih podataka to vrstu osobnih podataka koji se traže.
Članak 12.
Voditelj zbirke osobnih podataka vodi Evidenciju o osobnim podacima koji su dani na korištenje.
V. Prava i zaštita ispitanika
Članak 13.
Voditelj zbirke osobnih podataka dužan je najkasnije u roku od 30 dana od podnošenja zahtjeva ispitanika ili njegovih zakonskih zastupnika ili punomoćenika:
- Dostaviti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega ili ne,
- Dati obavijest u razumljivom obliku o podacima koji se odnose na njega čija je obrada u tijeku te izvoru tih podataka,
- Omogućiti uvid u evidenciju zbirke osobnih podataka te uvid u osobne podatke sadržane u zbirci osobnih podataka koji se odnose na njega te njihovo pripisivanje, Dostaviti izvatke, potvrde ili ispise osobnih podataka sadržanih u zbirci osobnih podataka koji se na njega odnose, a koji moraju sadržavati i naznaku svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,
- Dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega,
- Dati obavijest o logici bilo koje automatske obrade podataka koja se na njega odnosi.
Članak 14.
Na zahtjev ispitanika, njegovih zakonskih zastupnika ili punomoćnika voditelj zbirke osobnih podataka dužan je dopuniti, izmijeniti ili brisati osobne podatke ako su podaci nepotpuni, netočni, neažurirani ili ako njihova obrada nije u skladu s odredbama Zakona. Zahtjev se podnosi elektronskim putem imenovanom službeniku za zaštitu osobnih podataka.
Članak 15.
Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Zakonom ima pravo podnijeti zahtjev za utvrđivanje povrede prava Agenciji za zaštitu osobnih podataka.
VI. Zbirke osobnih podataka
Članak 16.
Voditelj zbirke osobnih podataka za svaku zbirku osobnih podataka koju vodi, uspostavlja i vodi evidenciju koja sadrii temeljne informacije o zbirci, a osobito slijedeće:
- Naziv zbirke,
- Naziv, odnosno osobno ime voditelja zbirke i njegovo sjedište, odnosno adresu,
- Svrhu obrade,
- Pravni temelj uspostave zbirke podataka,
- Kategorije osoba na koje se podaci odnose,
- Vrste podataka sadranih u zbirci podataka,
- Način prikupljanja i čuvanja podataka,
- Vremensko razdoblje čuvanja i uporabe podataka,
- Osobno ime, odnosno naziv primatelja zbirke, njegovu adresu, odnosno sjedište,
- Naznaku unošenja, odnosno iznošenja podataka iz republike Hrvatske s naznakom države, odnosno međunarodne organizacije i inozemnog primatelja osobnih podataka to svrhe za to unošenje, odnosno iznošenje propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim pristankom osobe na koju se podaci odnose,
- Naznaku poduzetih mjera zaštite osobnih podataka.
Članak 17.
Voditelj zbirke osobnih podataka evidencije vodi na temelju Uredbe o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN 105/04).
Članak 18.
Voditelj zbirke osobnih podataka prije uspostave zbirke osobnih podataka šalje Agenciji za zaštitu osobnih podataka Obavijest o namjeravanoj uspostavi zbirke osobnih podataka. Nakon uspostave ili promjene podataka zbirke osobnih podataka voditelj zbirke osobnih podataka Ingpro d.o.o. najkasnije u roku od 15 dana dužan je dostaviti Agenciji za zaštitu osobnih podataka radi objedinjavanja evidencije u Središnjem registru koje su javno dostupne na web stranici Središnjeg registra.
Članak 19.
Voditelj zbirke osobnih podataka poduzeo je tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka od slučajnog gubitka, uništenja, nedopuštenog pristupa, promjene, objavljivanja ili svake druge zlouporabe podataka.
Članak 20.
Osobni podaci sadržani u zbirkama osobnih podataka pohranjuju se na informatičke medije uporabom metoda koje jamče sigurnost i tajnost tako pohranjenih osobnih podataka.
VII. Prijelazne i završne odredbe
Članak 21.
U dijelu o zaštiti, nadzoru nad prikupljanjem, obradi i korištenju osobnih podataka koji nije uređen ovim Pravilnikom, neposredno se primjenjuje Zakon o zaštiti osobnih podataka.
Članak 22.
Ovaj Pravilnik stupa na snagu osam dana od dana usvajanja, a objavit će se na službenoj web stranici radi dostupnosti javnosti u skladu sa odredbama Zakona o pravu na pristup informacijama (NN, broj 25/13 i 85/15).
Direktor
Tomislav Sušanj