Pula, 05.12.2018.
Urbroj: 02-01-207/18

Temeljem odredbi Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine  (dalje u tekstu: Zakon) i odredbi Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje u tekstu: Uredba), te članka 38. Statuta IDS-a, Istarski demokratski sabor, Splitska 3, Pula (u daljenjem tekstu IDS)  kao voditelj obrade donosi ovaj

PRAVILNIK 

O ZAŠTITI OSOBNIH PODATAKA

Članak 1.

Ovim Pravilnikom uređuje se

  1. zaštita pojedinca-fizičkih osoba u svezi s obradom njegovih osobnih podataka (u daljnjem tekstu: ispitanik) u odnosu na  prikupljanje, obradu, korištenje i čuvanje osobnih podataka,
  2. obveze IDS-a  kao Voditelja obrade (u daljnjem testu: voditelj obrade),
  3. prava ispitanika, te
  4. provedba organizacijskih, kadrovskih i tehničkih mjera zaštite osobnih podataka,

a sve s ciljem osiguravanja provedbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka.

Značenje pojmova bitnih u odnosu na odrednice ovoga pravilnika u odnosu na Uredbu

Članak 2.

“Osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Osobni podatak je ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i bilo koji drugi podaci povezani sa stvarnom osobom, tj. vlasnikom osobnog podatka koji se mogu upotrijebiti za direktno ili indirektno identificiranje točno te osobe.

“Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

“Voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;

“Izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

“Primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;

“Treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

“Privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

“Sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi

Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

“Osoba koja se može identificirati” je osoba čiji se identitet može utvrditi (izravno ili neizravno) posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

“Posebna kategorija osobnih podataka” odnosi se na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku.

Članak 3. 

Voditelj obrade:

  1. obrađuje osobne podatke ispitanika na način da su točni, potpuni i ažurni u svim evidencijama u kojima su podaci pohranjeni, neovisno o njihovu obliku vođenja.
  2. osobne podatke ispitanika:
    • a) prikuplja samo
      • u svrhu sa kojom je ispitanik upoznat, koja je navedena prilikom njegovog prikupljanja, i
      • u svrhu izvršavanja svojih zakonskih i ostalih obveza u skladu sa svojom djelatnošću
    • b) obrađuje samo u svrhu za koju su podaci prikupljeni, odnosno u svrhu koja se podudara sa svrhom njenog prikupljanja.
  3. koristi osobne podatke ispitanika samo u vremenu koje je nužno za ostvarenje određene svrhe, osim ako posebnim zakonom nije određeno duže razdoblje te se protekom vremena istog moraju brisati, ako posebnim zakonom nije što drugo određeno,
  4. mora osigurati tehničke mjere zaštite osobnih podataka,
  5. mora osigurati čuvanje i arhiviranje osobnih podataka na način i u vremenu u skladu s posebnim zakonskim propisima i internim aktima koji određuju vrijeme čuvanja osobnih podataka, njihova brisanja ili uništavanja,  te prostore i uvjete njihova arhiviranja.

Članak 4.

Voditelj obrade može na temelju ugovora, a koji mora biti u pisanom obliku, pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga posla povjeriti njihovu obradu drugoj fizičkoj ili pravnoj osobi (izvršitelju obrade).

Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.

Članak 5.

Voditelj obrade svojom odlukom imenuje odgovornu osobu i njenu zamjenu u svakom pojedinom djelu obrade koji je naveden u prethodnom članku ovog Pravilnika, a koja će odgovarati voditelju obrade za postupanje djelatnika unutar odjela obrade sukladno odredbama ovog Pravilnika i koje će biti odgovorne za komunikaciju i pružanje informacija službeniku za zaštitu osobnih podataka.

Članak 6.

Osobni podaci koje voditelj obrade prikuplja i obrađuje, a gdje neka druga fizička ili pravna osoba može imati ili ima pristup takvim osobnim podacima temeljem Ugovora, takav poslovni odnos mora se urediti posebnim odredbama Ugovora u skladu sa Uredbom u dijelu koji se odnosi na njihovu tajnost, zaštitu probojnosti s uključenim mjerama zaštite.

Članak 7.

Voditelj obrade sakuplja osobne podatke koji se odnose na:

  1. Zaposlenike: ime i prezime, OIB, datum rođenja, adresa broj djece, obrazovanje, broj telefona, e-mail adresa, broj tekućeg računa, dužina radnog staža, matični broj osiguranika na HZZO i HZMO
  2. Sudionici natječaja: ime i prezime, broj telefona, e-mail adresa
  3. Korisnici osnovne djelatnosti: članovi
  4. Vanjski korisnici – poslovni klijenti
  5. Ugovorni korisnici

Osobni podaci koji se prikupljaju koriste se isključivo za odabir kandidata prilikom zapošljavanja.
Brojevi mobitela, fiksnih telefona i e-mail adrese prikupljaju se radi kontaktiranja klijenata, uz privolu istih.
Svi osobni podaci koriste se isključivo u svrhe radi koje su prikupljeni i za koje je dana privola.
Prikupljeni podaci neće se ni na koji način učiniti dostupnim trećim osobama, osim u zakonom propisanu svrhu.
Moguće je da se umjesto brisanja podaci anonimiziraju. U tom se slučaju trajno miču svi podaci povezani s osobom.

Pravna osnova i svrhe obrade osobnih podataka

Sve vrste vaših osobnih podataka obrađuju se u sljedeće svrhe i temeljem:

  1. Zakonskih obveza: Vaše osobne podatke obrađujemo u skladu s važećim propisima (npr. Zakona o radu, Pravilnika o Evidenciji radnika itd.), kao i radi obavještavanja i prijava  koja smo dužni vršiti prema važećim propisima. (npr. prijava na Hrvatski zavod za mirovinsko osiguranje itd)
  2. Realizacija ugovora osobne podatke obrađujemo u svrhu realizacije ugovora i ispunjenja ugovornih obveza koje smo ugovorili,.
  3. Privole kontaktiranja za vrijeme trajanja radnog odnosa, poslovnih i drugih odnosa
  4. Legitimnog interesa Voditelja obrade

Svi osobni podaci koriste se isključivo u svrhe radi koje su prikupljeni i za koje je dana privola.

Sve vrste vaših osobnih podataka obrađuju isključivo radi turističke promocije na Internet stranicama voditelja obrade.

Prikupljeni podaci neće se ni na koji način učiniti dostupnim trećim osobama, osim u zakonom propisanu svrhu.

Članak 8.

Voditelj obrade dužan je postupati u odnosu na osobne podatke u skladu sa pozitivnim zakonskim propisima ( zakoni, pravilnici, kolektivni i ostali obvezujući ugovori, uredbe, i sl. ) kojima se uređuje prikupljanje, obrada i čuvanje osobnih podataka ispitanika.

Članak 9.

U slučajevima kada se osobni podaci ne prikupljaju temeljem važećih zakonskih propisa ili ugovora, voditelj obrade će prilikom prikupljanja osobnih podataka pribaviti privolu od ispitanika za prikupljanje i obradu osobnih podataka.

U slučaju ako voditelj obrade podatke obrađuje temeljem legitimnog interesa u smislu Uredbe, tada je voditelj obrade dužan obaviti test ravnoteže kako bi opravdao legitimni interes.

Članak 10.

Prilikom prvog kontakta sa ispitanikom osobe koje prikupljaju podatke osobne od ispitanika u ime i za račun voditelja obrade dužne su mu predati:

  1. Izjavu o zaštiti osobnih podataka ili
  2. drugi dokument koji opisuje i upoznaje ispitanika sa njegovim pravima, te u slučaju ako je za obradu pojedinog osobnog podatka potreba privola dužni su prije obrade osobnog podataka istu ishoditi, a prema obrascu privole.

Nakon što  je ispitaniku predana izjava o zaštiti osobnih podataka i predana privola, potvrde o primitku Izjave o zaštiti osobnih podataka i potvrde o privoli biti će predane neposredno nadređenoj osobi ili drugoj osobi koju ona odredi na kraju radnog dana radi evidencije u središnjem sustavu dobivenih obrazaca privole i arhiviranja istih.

Privole će se čuvati za vrijeme dok se čuvaju i osobni podaci na koje se ona odnosi, te će se nakon prestanka potrebe za njihovo čuvanje uništiti fizički uz sastavljanje zapisnika o uništenju od strane odgovorne osobe i/ili će se vratiti ispitaniku, sve u skladu s odlukom voditelja obrade.

U slučaju ako ispitanik izjavi da mu nije jasno pojedina pravo ili traži dodatna pojašnjenja, osoba koja prikuplja podatke u ime i za račun voditelja obrade dužna mu ih je dati.

Članak 11.

Ako voditelj obrade nije primio osobne podatke od ispitanika, prilikom prve komunikacije  djelatnici odnosno osobe koje kontaktiraju ispitanika u ime voditelja obrade moraju pružiti ispitaniku slijedeće informacije:

  1. identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, te kontakt podatke službenika za zaštitu osobnih podataka,
  2. svrhu obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu obrade,
  3. kategoriju osobnih podataka koji se obrađuju,
  4. kategorije primatelja,
  5. ako postoji, namjeru o prijenosu podataka u treću zemlju ili međunarodnu organizaciju,
  6. razdoblje pohranjivanja, odnosno kriterije za utvrđivanja razdoblja,
  7. ako se obrada temelji na legitimnim interesima informirati ispitanika o legitimnom interesu voditelja obrade,
  8. postojanje prava na pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka,
  9. pravo na povlačenje privole,
  10. pravo na podnošenja prigovora nadležnom tijelu,
  11. izvor osobnih podataka,
  12. informaciju da li postoji automatizirana obrada osobnih podataka.

Članak 12.

Prilikom obrade osobnih podataka, Voditelj obrade dužan je voditi računa osobito o slijedećim rokovima i obavezama:

  • Kada se obrada temelji na privoli ispitanika, Voditelj obrade dužan je pribaviti privolu za obradu osobnih podataka te mora u svakom trenutku moći dokazati da je ispitanik dao privolu za obradu svojih podataka,
  • Voditelj obrade dužan je bez odgode, a najkasnije u roku od mjesec dana dostaviti ispitaniku sve informacije u vezi obrade njegovih osobnih podataka, a na koje ima pravo sukladno Općoj uredbi. U slučaju složenosti i većeg broja zahtjeva taj se rok može produžiti za dodatna dva mjeseca, a u kojem slučaju je potrebno izvijestiti ispitanika o toj činjenici u roku od mjesec dana od primitka zahtjeva sa obrazloženjem za produženje roka,
  • U slučajevima da informacije nisu dobivene od ispitanika, Voditelj obrade dužan je odmah kod prve komunikacije sa ispitanikom, a najkasnije u roku od mjesec dana od dobivanja osobnih podataka, pružiti ispitaniku informaciju o obradi njegovih osobnih podataka sukladno odredbama Opće uredbe,
  • Voditelj obrade dužan je obavijestiti ispitanika o pravu na prigovor prilikom prve komunikacije sa ispitanikom,
  • U slučaju povrede osobnih podataka, Voditelj obrade dužan je izvijestiti nadzorno tijelo bez odgode, a najkasnije u roku od 72 sata od saznanja za nastalu povredu. U slučaju kašnjenja izvješćivanja, potrebno je dostaviti nadzornom tijelu i razloge kašnjenja,
  • U slučaju povrede osobnih podataka koje će prema procijeni Voditelja obrade vjerojatno prouzročiti visok rizik za prava i slobode pojedinca, Voditelj obrade dužan je o istome bez odgode obavijestiti ispitanika,
  • Kada je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode ispitanika, Voditelj obrade je dužan provesti procjenu učinka na zaštitu podataka prije početka obrade podataka,
  • U slučajevima kada se temeljem provedene procjene učinka na zaštitu podataka utvrdilo da bi obrada bez donošenja dodatnih mjera zaštite za ublažavanje rizika dovela do visokog rizika za prava i slobode pojedinca, Voditelj obrade dužan je prije obrade savjetovati se sa nadzornim tijelom,
  • Voditelj obrade dužan je sve osobne podatke brisati (ili anonimizirati) prestankom svrhe u koju su prikupljeni, povlačenjem privole ispitanika, odnosno prestankom ugovornog odnosa i svim ostalim slučajevima sukladno Općoj uredbi, a najkasnije po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja ili ako je uložen prigovor na proizvod ili uslugu u roku, sve do konačnog dovršetka postupka po prigovoru u skladu s važećim propisima,
  • U slučajevima kada je na zahtjev ispitanika izvršena dopuna, izmjena ili brisanje osobnih podataka, o izvršenom ispravku potrebno je izvijestiti osobu na koju se osobni podaci odnose i primatelje osobnih podataka i to u roku od 30 dana od ispravka.

Članak 13.

Zahtjevi ispitanika kojima ispitanik traži od voditelja obrade neko od svojih prava iz Uredbe moraju biti u pisanom obliku.

Na zahtjeve ispitanika voditelj obrade je dužan odgovoriti  u što kraćem roku, ali najdulje  u roku od mjesec dana od dana primitka zahtjeva.

Prilikom podnošenja zahtjeva potrebno je utvrditi identitet osobe koja podnosi zahtjev uvidom u osobnu iskaznicu, ili uvidom u putovnicu.

Nije moguće postupanje po zahtjevu prije nesumnjivog utvrđivanja identiteta ispitanika.

Voditelj obrade ne smije prenijeti osobi niti jedan osobni podatak prije nego što se utvrdi identitet.

Tehničke mjere zaštite

Članak 14.

Voditelj obrade dužan je voditi računa da pristup osobnim podacima imaju samo ovlaštene osobe i to najmanje na način:

  1. da redovito mijenja lozinke koje služe za otključavanje računala, i to najmanje jednom u tri mjeseca,
  2. da se lozinke za otključavanje kompjutera čuvaju na siguran način i da pristup istima imaju samo osobe koje zaduži Voditelj obrade odlukom,
  3. da lozinke po broju znakova i kompleksnosti osiguraju što veću razinu zaštite,
  4. da se onemogući da se istekle lozinke ponovo koriste,
  5. da postoji sustav koji će upozoriti voditelja obrade u slučaju neovlaštenog pristupa osobnim podacima,
  6. da se nakon određenog broja pokušaja unošenja netočne lozinke računalo automatski zaključa.

Članak 15.

Voditelj obrade je dužan osigurati zaštitu informatičkog sustava, i to na način da osigura da su informatička mreža i sistemi zaštićeni od:

  • požara,
  • poplave,
  • gubitka napajanja,
  • neovlaštenog pristupa,
  • da se koriste antivirusne zaštite,
  • enkripcija i
  • pseudonimizacija podataka kada je moguće kao i druge odgovarajuće  mjere kojima će se osigurati što veća razna informacijske sigurnosti.

Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, u sefovima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima koji obrađuju te podatke, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije i backup na serveru.

Povjerenik/Službenik za zaštitu osobnih podataka

Članak 16.

Voditelj obrade će imenovati povjerenika/službenika za zaštitu osobnih podataka.

Povjerenik/Službenik za zaštitu osobnih podataka može biti i osoba koja nije zaposlenik Voditelja obrade osobnih podataka.

Povjerenik/Službenik za zaštitu osobnih podataka direktno odgovara odgovornoj osobi voditelja obrade i ne smije primati upute od drugih zaposlenika Voditelja obrade podataka i zadužen je za izravan kontakt sa nadležnim nadzornim tijelom.

Voditelj obrade je dužan javno objaviti kontakt podatke povjerenika/službenika za zaštitu osobnih podataka na svojim web stranicama i na svaki drugi prikladan način.

Članak 17.

Povjerenik/Službenik za zaštitu osobnih podataka treba imati vještine i stručnost koje podrazumijevaju:

  1. stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite osobnih podataka, uključujući dubinsko razumijevanje Uredbe,
  2. aktivno razumijevanje u provođenju postupaka obrade,
  3. razumijevanje informacijskih tehnologija i sigurnosti osobnih podataka,
  4. poznavanje sustava poslovne i radne organizacije voditelja obrade,
  5. sposobnost promicanja kulture zaštite osobnih podataka unutar djelatnosti voditelja obrade.

Članak 18.

Ovisno o prirodi postupaka obrade te djelatnosti i veličini voditelja obrade povjereniku/službeniku za zaštitu podataka potrebno je pružiti sljedeće:

  1. aktivnu potporu višeg rukovodstva funkciji povjerenika/službenika za zaštitu osobnih podataka,
  2. dostatno vrijeme kako bi povjerenik/službenik za zaštitu osobnih podataka ispunio svoje dužnosti,
  3. primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti, oprema) i prema potrebi osoblja,
  4. službenu obavijest o imenovanju povjerenika/službenika za zaštitu osobnih podataka upućenu svim osobama,
  5. pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu osobnih podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,
  6. kontinuirano osposobljavanje. 

Članak 19.

Voditelj obrade ne smije:

  1. povjereniku/službeniku za zaštitu osobnih podataka davati upute za izvršavanje zadaća,
  2. povjerenika/službenika za zaštitu osobnih podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
  3. postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti.

Povjerenik/Službenik za zaštitu osobnih podataka ne smije biti:

  1. zakonski zastupnik Voditelja obrade,
  2. osoba koji prikuplja i obrađuje osobne podatke,
  3. voditelj odjela za marketing, javnost,
  4. voditelj ljudskih resursa
  5. voditelj odjela za informacijsku tehnologiju
  6. ili bilo koja druga osoba  koja je pozicionirana u višem rukovodstvu ali i osoba koja na svojem položaju utvrđuje svrhu i način obrade osobnih podataka.

Imenovanje vanjskog povjerenika/službenika za zaštitu osobnih podataka

Članak 20.

Voditelj obrade za Povjerenika/Službenika za zaštitu osobnih podataka može odrediti i imenovati vanjsku fizičku ili pravnu osobu koja nije zaposlena kod Voditelja obrade temeljem Ugovora o izvršavanju poslova službenika za zaštitu osobnih podataka temeljenog na Uredbi i ovom Pravilniku, posebice uvažavajući odredbe prethodnih članka ovoga Pravilnika koji se odnose na Povjerenike/Službenike za zaštitu osobnih podataka.

Vanjski povjerenik/službenik za zaštitu osobnih podataka mora jamčiti voditelju obrade da ima stručna znanja, potrebne resurse i pouzdanost za provedbu tehničkih i organizacijskih mjera koje se, pri obradi osobnih podataka u funkciji izvršenja Ugovora, primjenjuju sukladno propisima iz područja zaštite osobnih podataka, Uredbe i ovoga Pravilnika, neposredno ili posredno putem vanjskih stručnih suradnika.

Evidencija aktivnosti obrade

Članak 21.

Voditelj obrade, kao i Izvršitelj obrade ukoliko on kao takav postoji, temeljem članka 30. Uredbe mora učiniti i voditi Evidenciju aktivnosti obrade gdje će iskazati slijedeće informacije:

  1. ime i kontaktne podatke voditelja obrade
  2. ime i kontaktne podatke službenika za zaštitu podataka;
  3. svrhe obrade;
  4. opis kategorija ispitanika
  5. opis kategorija osobnih podataka;
  6. kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
  7. predviđene rokove za brisanje različitih kategorija podataka;
  8. opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. 2.

Evidencija iz prednjeg stavka ovog članka Pravilnika mora biti u pisanom obliku, uključujući elektronički oblik.

Obveze iz ovog članka Pravilnika primjenjuju se:

  1. na pravnu osobu u kojoj je zaposleno više od 250 osoba,
  2. ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika,
  3. ako obrada nije povremena i kada obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. Uredbe ili
  4. je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivi

Za vođenje evidencije obrade osobnih podataka  osoba ovlaštena na zastupanje voditelja obrade  će imenovati odgovornu osobu.

Procjene učinka na privatnost

Članak  22.

Voditelj obrade u slučaju ispunjenja uvjeta određenih Uredbom kojeg obvezuje izraditi procjenu učinka na privatnost prilikom obrade osobnih podataka posebnih kategorija kao i gdje je utvrdio da osobni podaci mogu prouzročiti visok rizik za prava i slobode pojedinaca, izraditi će predmetnu procjenu

U slučaju novih vrsta obrade koje bi  putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, mogle prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade obvezan je obaviti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

Prilikom procjene učinka na privatnost voditelj obrade je dužan zatražiti savjet od službenika za zaštitu osobnih podataka.

Pohrana i čuvanje osobnih podataka

Članak 23.

Voditelj obrade u odnosu na način i pohranu arhivske građe i vremenu njenog čuvanja uređuje sukladno zakonskim propisima i općim aktom kojem su  obuhvaćeni osobni podaci ispitanika u odnosu na utvrđenje načina i vremena njihova pohranjivanja i čuvanja, tehničkim mjerama zaštite, kao i prostorijama i opremi gdje i kako se čuvaju.

Evidencija zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Osobni podaci o zaposlenicima predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.

Evidenciju od članovima izvršnih i predstavničkih tijela počinje se voditi na dan njihova imenovanja, a prestaje se voditi na dan prestanka njihova mandata. Ovi osobni podaci predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.

Evidencija o građanima i vanjskim suradnicima vodi se od trenutka podnošenja zahtjeva ili od trenutka sklapanja ugovora, a prestaje se voditi ostvarenjem svrhe za koju su podaci prikupljeni. Podaci se čuvaju temeljem zakonskih propisa i općih akata voditelja obrade.

Davanje osobnih podataka na korištenje drugim korisnicima

Članak 24.

Osobni podaci koje prikuplja i obrađuje Voditelj obrade daju se na korištenje na temelju pisanog zahtjeva drugim korisnicima ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti takvog korisnika.

Prije davanja osobnih podataka na korištenje drugim korisnicima Voditelj obrade će o tome obavijestiti ispitanika (usmeno, elektronskim putem).

O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom korisniku i o svrsi za koju su dani podaci vodi se posebna evidencija.

Odgovornost osobe koja prikuplja i obrađuje osobne podatke

Čanak 25.

Stručno i administrativno osoblje Voditelja obrade koje prikuplja i obrađuje osobne podataka (imenovanih i određenih od Voditelja obrade) dužno je:

  1. postupati u skladu s Uredbom, ovim Pravilnikom i ostalim aktima i odlukama koje se odnose na osobne podatke ispitanika,
  2. poduzeti sve mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, koji propust čini osobito tešku povredu radne obveze zbog koje se može izreći izvanredni otkaz radnog odnosa prema osobi počinitelju.

Navedene osobe dužne su potpisati Izjavu o povjerljivosti kojom će se obvezati:

  1. da će  čuvati povjerljivost svih osobnih podataka na kojima ima pravo i ovlast pristupa a koji se nalaze u zbirkama osobnih podataka
  2. da će osobne podatke koristiti isključivo u točno određenu (propisanu) svrhu
  3. da će se s osobnim podacima služiti onoliko vremena koliko je to nužno za ostvarenje svrhe za koju su uzeti te ih neću dalje obrađivati u neku drugu svrhu
  4. da osobne podatke na kojima imam pravo i ovlast pristupa neće dostavljati/davati na korištenje niti na bilo koji drugi način učiniti dostupnima trećim (neovlaštenim) osobama, te
  5. da će povjerljivost osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim podacima.

Ostale odredbe

Članak 26.

Za pitanja koja nisu navedena ovim Pravilnikom primjenjuju se odredbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka,  Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine   i ostali pozitivni zakonski propisi RH koji uređuju provedbu Uredbe ili se odnose na osobne podatke.

Članak 27.

Ovaj Pravilnik stupa na snagu 8 dana od dana objave na oglasnoj ploči.

Predsjednik IDS-a
Boris Miletić

Pula, 05.12.2018.
Urbroj: 02-01-207/18

Temeljem odredbi Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine  (dalje u tekstu: Zakon) i odredbi Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje u tekstu: Uredba), te članka 38. Statuta IDS-a, Istarski demokratski sabor, Splitska 3, Pula (u daljenjem tekstu IDS)  kao voditelj obrade donosi ovaj

PRAVILNIK 

O ZAŠTITI OSOBNIH PODATAKA

Članak 1.

Ovim Pravilnikom uređuje se

  1. zaštita pojedinca-fizičkih osoba u svezi s obradom njegovih osobnih podataka (u daljnjem tekstu: ispitanik) u odnosu na  prikupljanje, obradu, korištenje i čuvanje osobnih podataka,
  2. obveze IDS-a  kao Voditelja obrade (u daljnjem testu: voditelj obrade),
  3. prava ispitanika, te
  4. provedba organizacijskih, kadrovskih i tehničkih mjera zaštite osobnih podataka,

a sve s ciljem osiguravanja provedbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka.

Značenje pojmova bitnih u odnosu na odrednice ovoga pravilnika u odnosu na Uredbu

Članak 2.

“Osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Osobni podatak je ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i bilo koji drugi podaci povezani sa stvarnom osobom, tj. vlasnikom osobnog podatka koji se mogu upotrijebiti za direktno ili indirektno identificiranje točno te osobe.

“Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

“Voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;

“Izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

“Primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;

“Treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

“Privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

“Sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi

Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

“Osoba koja se može identificirati” je osoba čiji se identitet može utvrditi (izravno ili neizravno) posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

“Posebna kategorija osobnih podataka” odnosi se na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku.

Članak 3. 

Voditelj obrade:

  1. obrađuje osobne podatke ispitanika na način da su točni, potpuni i ažurni u svim evidencijama u kojima su podaci pohranjeni, neovisno o njihovu obliku vođenja.
  2. osobne podatke ispitanika:
    • a) prikuplja samo
      • u svrhu sa kojom je ispitanik upoznat, koja je navedena prilikom njegovog prikupljanja, i
      • u svrhu izvršavanja svojih zakonskih i ostalih obveza u skladu sa svojom djelatnošću
    • b) obrađuje samo u svrhu za koju su podaci prikupljeni, odnosno u svrhu koja se podudara sa svrhom njenog prikupljanja.
  3. koristi osobne podatke ispitanika samo u vremenu koje je nužno za ostvarenje određene svrhe, osim ako posebnim zakonom nije određeno duže razdoblje te se protekom vremena istog moraju brisati, ako posebnim zakonom nije što drugo određeno,
  4. mora osigurati tehničke mjere zaštite osobnih podataka,
  5. mora osigurati čuvanje i arhiviranje osobnih podataka na način i u vremenu u skladu s posebnim zakonskim propisima i internim aktima koji određuju vrijeme čuvanja osobnih podataka, njihova brisanja ili uništavanja,  te prostore i uvjete njihova arhiviranja.

Članak 4.

Voditelj obrade može na temelju ugovora, a koji mora biti u pisanom obliku, pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga posla povjeriti njihovu obradu drugoj fizičkoj ili pravnoj osobi (izvršitelju obrade).

Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.

Članak 5.

Voditelj obrade svojom odlukom imenuje odgovornu osobu i njenu zamjenu u svakom pojedinom djelu obrade koji je naveden u prethodnom članku ovog Pravilnika, a koja će odgovarati voditelju obrade za postupanje djelatnika unutar odjela obrade sukladno odredbama ovog Pravilnika i koje će biti odgovorne za komunikaciju i pružanje informacija službeniku za zaštitu osobnih podataka.

Članak 6.

Osobni podaci koje voditelj obrade prikuplja i obrađuje, a gdje neka druga fizička ili pravna osoba može imati ili ima pristup takvim osobnim podacima temeljem Ugovora, takav poslovni odnos mora se urediti posebnim odredbama Ugovora u skladu sa Uredbom u dijelu koji se odnosi na njihovu tajnost, zaštitu probojnosti s uključenim mjerama zaštite.

Članak 7.

Voditelj obrade sakuplja osobne podatke koji se odnose na:

  1. Zaposlenike: ime i prezime, OIB, datum rođenja, adresa broj djece, obrazovanje, broj telefona, e-mail adresa, broj tekućeg računa, dužina radnog staža, matični broj osiguranika na HZZO i HZMO
  2. Sudionici natječaja: ime i prezime, broj telefona, e-mail adresa
  3. Korisnici osnovne djelatnosti: članovi
  4. Vanjski korisnici – poslovni klijenti
  5. Ugovorni korisnici

Osobni podaci koji se prikupljaju koriste se isključivo za odabir kandidata prilikom zapošljavanja.
Brojevi mobitela, fiksnih telefona i e-mail adrese prikupljaju se radi kontaktiranja klijenata, uz privolu istih.
Svi osobni podaci koriste se isključivo u svrhe radi koje su prikupljeni i za koje je dana privola.
Prikupljeni podaci neće se ni na koji način učiniti dostupnim trećim osobama, osim u zakonom propisanu svrhu.
Moguće je da se umjesto brisanja podaci anonimiziraju. U tom se slučaju trajno miču svi podaci povezani s osobom.

Pravna osnova i svrhe obrade osobnih podataka

Sve vrste vaših osobnih podataka obrađuju se u sljedeće svrhe i temeljem:

  1. Zakonskih obveza: Vaše osobne podatke obrađujemo u skladu s važećim propisima (npr. Zakona o radu, Pravilnika o Evidenciji radnika itd.), kao i radi obavještavanja i prijava  koja smo dužni vršiti prema važećim propisima. (npr. prijava na Hrvatski zavod za mirovinsko osiguranje itd)
  2. Realizacija ugovora osobne podatke obrađujemo u svrhu realizacije ugovora i ispunjenja ugovornih obveza koje smo ugovorili,.
  3. Privole kontaktiranja za vrijeme trajanja radnog odnosa, poslovnih i drugih odnosa
  4. Legitimnog interesa Voditelja obrade

Svi osobni podaci koriste se isključivo u svrhe radi koje su prikupljeni i za koje je dana privola.

Sve vrste vaših osobnih podataka obrađuju isključivo radi turističke promocije na Internet stranicama voditelja obrade.

Prikupljeni podaci neće se ni na koji način učiniti dostupnim trećim osobama, osim u zakonom propisanu svrhu.

Članak 8.

Voditelj obrade dužan je postupati u odnosu na osobne podatke u skladu sa pozitivnim zakonskim propisima ( zakoni, pravilnici, kolektivni i ostali obvezujući ugovori, uredbe, i sl. ) kojima se uređuje prikupljanje, obrada i čuvanje osobnih podataka ispitanika.

Članak 9.

U slučajevima kada se osobni podaci ne prikupljaju temeljem važećih zakonskih propisa ili ugovora, voditelj obrade će prilikom prikupljanja osobnih podataka pribaviti privolu od ispitanika za prikupljanje i obradu osobnih podataka.

U slučaju ako voditelj obrade podatke obrađuje temeljem legitimnog interesa u smislu Uredbe, tada je voditelj obrade dužan obaviti test ravnoteže kako bi opravdao legitimni interes.

Članak 10.

Prilikom prvog kontakta sa ispitanikom osobe koje prikupljaju podatke osobne od ispitanika u ime i za račun voditelja obrade dužne su mu predati:

  1. Izjavu o zaštiti osobnih podataka ili
  2. drugi dokument koji opisuje i upoznaje ispitanika sa njegovim pravima, te u slučaju ako je za obradu pojedinog osobnog podatka potreba privola dužni su prije obrade osobnog podataka istu ishoditi, a prema obrascu privole.

Nakon što  je ispitaniku predana izjava o zaštiti osobnih podataka i predana privola, potvrde o primitku Izjave o zaštiti osobnih podataka i potvrde o privoli biti će predane neposredno nadređenoj osobi ili drugoj osobi koju ona odredi na kraju radnog dana radi evidencije u središnjem sustavu dobivenih obrazaca privole i arhiviranja istih.

Privole će se čuvati za vrijeme dok se čuvaju i osobni podaci na koje se ona odnosi, te će se nakon prestanka potrebe za njihovo čuvanje uništiti fizički uz sastavljanje zapisnika o uništenju od strane odgovorne osobe i/ili će se vratiti ispitaniku, sve u skladu s odlukom voditelja obrade.

U slučaju ako ispitanik izjavi da mu nije jasno pojedina pravo ili traži dodatna pojašnjenja, osoba koja prikuplja podatke u ime i za račun voditelja obrade dužna mu ih je dati.

Članak 11.

Ako voditelj obrade nije primio osobne podatke od ispitanika, prilikom prve komunikacije  djelatnici odnosno osobe koje kontaktiraju ispitanika u ime voditelja obrade moraju pružiti ispitaniku slijedeće informacije:

  1. identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, te kontakt podatke službenika za zaštitu osobnih podataka,
  2. svrhu obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu obrade,
  3. kategoriju osobnih podataka koji se obrađuju,
  4. kategorije primatelja,
  5. ako postoji, namjeru o prijenosu podataka u treću zemlju ili međunarodnu organizaciju,
  6. razdoblje pohranjivanja, odnosno kriterije za utvrđivanja razdoblja,
  7. ako se obrada temelji na legitimnim interesima informirati ispitanika o legitimnom interesu voditelja obrade,
  8. postojanje prava na pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka,
  9. pravo na povlačenje privole,
  10. pravo na podnošenja prigovora nadležnom tijelu,
  11. izvor osobnih podataka,
  12. informaciju da li postoji automatizirana obrada osobnih podataka.

Članak 12.

Prilikom obrade osobnih podataka, Voditelj obrade dužan je voditi računa osobito o slijedećim rokovima i obavezama:

  • Kada se obrada temelji na privoli ispitanika, Voditelj obrade dužan je pribaviti privolu za obradu osobnih podataka te mora u svakom trenutku moći dokazati da je ispitanik dao privolu za obradu svojih podataka,
  • Voditelj obrade dužan je bez odgode, a najkasnije u roku od mjesec dana dostaviti ispitaniku sve informacije u vezi obrade njegovih osobnih podataka, a na koje ima pravo sukladno Općoj uredbi. U slučaju složenosti i većeg broja zahtjeva taj se rok može produžiti za dodatna dva mjeseca, a u kojem slučaju je potrebno izvijestiti ispitanika o toj činjenici u roku od mjesec dana od primitka zahtjeva sa obrazloženjem za produženje roka,
  • U slučajevima da informacije nisu dobivene od ispitanika, Voditelj obrade dužan je odmah kod prve komunikacije sa ispitanikom, a najkasnije u roku od mjesec dana od dobivanja osobnih podataka, pružiti ispitaniku informaciju o obradi njegovih osobnih podataka sukladno odredbama Opće uredbe,
  • Voditelj obrade dužan je obavijestiti ispitanika o pravu na prigovor prilikom prve komunikacije sa ispitanikom,
  • U slučaju povrede osobnih podataka, Voditelj obrade dužan je izvijestiti nadzorno tijelo bez odgode, a najkasnije u roku od 72 sata od saznanja za nastalu povredu. U slučaju kašnjenja izvješćivanja, potrebno je dostaviti nadzornom tijelu i razloge kašnjenja,
  • U slučaju povrede osobnih podataka koje će prema procijeni Voditelja obrade vjerojatno prouzročiti visok rizik za prava i slobode pojedinca, Voditelj obrade dužan je o istome bez odgode obavijestiti ispitanika,
  • Kada je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode ispitanika, Voditelj obrade je dužan provesti procjenu učinka na zaštitu podataka prije početka obrade podataka,
  • U slučajevima kada se temeljem provedene procjene učinka na zaštitu podataka utvrdilo da bi obrada bez donošenja dodatnih mjera zaštite za ublažavanje rizika dovela do visokog rizika za prava i slobode pojedinca, Voditelj obrade dužan je prije obrade savjetovati se sa nadzornim tijelom,
  • Voditelj obrade dužan je sve osobne podatke brisati (ili anonimizirati) prestankom svrhe u koju su prikupljeni, povlačenjem privole ispitanika, odnosno prestankom ugovornog odnosa i svim ostalim slučajevima sukladno Općoj uredbi, a najkasnije po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja ili ako je uložen prigovor na proizvod ili uslugu u roku, sve do konačnog dovršetka postupka po prigovoru u skladu s važećim propisima,
  • U slučajevima kada je na zahtjev ispitanika izvršena dopuna, izmjena ili brisanje osobnih podataka, o izvršenom ispravku potrebno je izvijestiti osobu na koju se osobni podaci odnose i primatelje osobnih podataka i to u roku od 30 dana od ispravka.

Članak 13.

Zahtjevi ispitanika kojima ispitanik traži od voditelja obrade neko od svojih prava iz Uredbe moraju biti u pisanom obliku.

Na zahtjeve ispitanika voditelj obrade je dužan odgovoriti  u što kraćem roku, ali najdulje  u roku od mjesec dana od dana primitka zahtjeva.

Prilikom podnošenja zahtjeva potrebno je utvrditi identitet osobe koja podnosi zahtjev uvidom u osobnu iskaznicu, ili uvidom u putovnicu.

Nije moguće postupanje po zahtjevu prije nesumnjivog utvrđivanja identiteta ispitanika.

Voditelj obrade ne smije prenijeti osobi niti jedan osobni podatak prije nego što se utvrdi identitet.

Tehničke mjere zaštite

Članak 14.

Voditelj obrade dužan je voditi računa da pristup osobnim podacima imaju samo ovlaštene osobe i to najmanje na način:

  1. da redovito mijenja lozinke koje služe za otključavanje računala, i to najmanje jednom u tri mjeseca,
  2. da se lozinke za otključavanje kompjutera čuvaju na siguran način i da pristup istima imaju samo osobe koje zaduži Voditelj obrade odlukom,
  3. da lozinke po broju znakova i kompleksnosti osiguraju što veću razinu zaštite,
  4. da se onemogući da se istekle lozinke ponovo koriste,
  5. da postoji sustav koji će upozoriti voditelja obrade u slučaju neovlaštenog pristupa osobnim podacima,
  6. da se nakon određenog broja pokušaja unošenja netočne lozinke računalo automatski zaključa.

Članak 15.

Voditelj obrade je dužan osigurati zaštitu informatičkog sustava, i to na način da osigura da su informatička mreža i sistemi zaštićeni od:

  • požara,
  • poplave,
  • gubitka napajanja,
  • neovlaštenog pristupa,
  • da se koriste antivirusne zaštite,
  • enkripcija i
  • pseudonimizacija podataka kada je moguće kao i druge odgovarajuće  mjere kojima će se osigurati što veća razna informacijske sigurnosti.

Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, u sefovima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima koji obrađuju te podatke, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije i backup na serveru.

Povjerenik/Službenik za zaštitu osobnih podataka

Članak 16.

Voditelj obrade će imenovati povjerenika/službenika za zaštitu osobnih podataka.

Povjerenik/Službenik za zaštitu osobnih podataka može biti i osoba koja nije zaposlenik Voditelja obrade osobnih podataka.

Povjerenik/Službenik za zaštitu osobnih podataka direktno odgovara odgovornoj osobi voditelja obrade i ne smije primati upute od drugih zaposlenika Voditelja obrade podataka i zadužen je za izravan kontakt sa nadležnim nadzornim tijelom.

Voditelj obrade je dužan javno objaviti kontakt podatke povjerenika/službenika za zaštitu osobnih podataka na svojim web stranicama i na svaki drugi prikladan način.

Članak 17.

Povjerenik/Službenik za zaštitu osobnih podataka treba imati vještine i stručnost koje podrazumijevaju:

  1. stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite osobnih podataka, uključujući dubinsko razumijevanje Uredbe,
  2. aktivno razumijevanje u provođenju postupaka obrade,
  3. razumijevanje informacijskih tehnologija i sigurnosti osobnih podataka,
  4. poznavanje sustava poslovne i radne organizacije voditelja obrade,
  5. sposobnost promicanja kulture zaštite osobnih podataka unutar djelatnosti voditelja obrade.

Članak 18.

Ovisno o prirodi postupaka obrade te djelatnosti i veličini voditelja obrade povjereniku/službeniku za zaštitu podataka potrebno je pružiti sljedeće:

  1. aktivnu potporu višeg rukovodstva funkciji povjerenika/službenika za zaštitu osobnih podataka,
  2. dostatno vrijeme kako bi povjerenik/službenik za zaštitu osobnih podataka ispunio svoje dužnosti,
  3. primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti, oprema) i prema potrebi osoblja,
  4. službenu obavijest o imenovanju povjerenika/službenika za zaštitu osobnih podataka upućenu svim osobama,
  5. pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu osobnih podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,
  6. kontinuirano osposobljavanje. 

Članak 19.

Voditelj obrade ne smije:

  1. povjereniku/službeniku za zaštitu osobnih podataka davati upute za izvršavanje zadaća,
  2. povjerenika/službenika za zaštitu osobnih podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
  3. postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti.

Povjerenik/Službenik za zaštitu osobnih podataka ne smije biti:

  1. zakonski zastupnik Voditelja obrade,
  2. osoba koji prikuplja i obrađuje osobne podatke,
  3. voditelj odjela za marketing, javnost,
  4. voditelj ljudskih resursa
  5. voditelj odjela za informacijsku tehnologiju
  6. ili bilo koja druga osoba  koja je pozicionirana u višem rukovodstvu ali i osoba koja na svojem položaju utvrđuje svrhu i način obrade osobnih podataka.

Imenovanje vanjskog povjerenika/službenika za zaštitu osobnih podataka

Članak 20.

Voditelj obrade za Povjerenika/Službenika za zaštitu osobnih podataka može odrediti i imenovati vanjsku fizičku ili pravnu osobu koja nije zaposlena kod Voditelja obrade temeljem Ugovora o izvršavanju poslova službenika za zaštitu osobnih podataka temeljenog na Uredbi i ovom Pravilniku, posebice uvažavajući odredbe prethodnih članka ovoga Pravilnika koji se odnose na Povjerenike/Službenike za zaštitu osobnih podataka.

Vanjski povjerenik/službenik za zaštitu osobnih podataka mora jamčiti voditelju obrade da ima stručna znanja, potrebne resurse i pouzdanost za provedbu tehničkih i organizacijskih mjera koje se, pri obradi osobnih podataka u funkciji izvršenja Ugovora, primjenjuju sukladno propisima iz područja zaštite osobnih podataka, Uredbe i ovoga Pravilnika, neposredno ili posredno putem vanjskih stručnih suradnika.

Evidencija aktivnosti obrade

Članak 21.

Voditelj obrade, kao i Izvršitelj obrade ukoliko on kao takav postoji, temeljem članka 30. Uredbe mora učiniti i voditi Evidenciju aktivnosti obrade gdje će iskazati slijedeće informacije:

  1. ime i kontaktne podatke voditelja obrade
  2. ime i kontaktne podatke službenika za zaštitu podataka;
  3. svrhe obrade;
  4. opis kategorija ispitanika
  5. opis kategorija osobnih podataka;
  6. kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
  7. predviđene rokove za brisanje različitih kategorija podataka;
  8. opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. 2.

Evidencija iz prednjeg stavka ovog članka Pravilnika mora biti u pisanom obliku, uključujući elektronički oblik.

Obveze iz ovog članka Pravilnika primjenjuju se:

  1. na pravnu osobu u kojoj je zaposleno više od 250 osoba,
  2. ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika,
  3. ako obrada nije povremena i kada obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. Uredbe ili
  4. je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivi

Za vođenje evidencije obrade osobnih podataka  osoba ovlaštena na zastupanje voditelja obrade  će imenovati odgovornu osobu.

Procjene učinka na privatnost

Članak  22.

Voditelj obrade u slučaju ispunjenja uvjeta određenih Uredbom kojeg obvezuje izraditi procjenu učinka na privatnost prilikom obrade osobnih podataka posebnih kategorija kao i gdje je utvrdio da osobni podaci mogu prouzročiti visok rizik za prava i slobode pojedinaca, izraditi će predmetnu procjenu

U slučaju novih vrsta obrade koje bi  putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, mogle prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade obvezan je obaviti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

Prilikom procjene učinka na privatnost voditelj obrade je dužan zatražiti savjet od službenika za zaštitu osobnih podataka.

Pohrana i čuvanje osobnih podataka

Članak 23.

Voditelj obrade u odnosu na način i pohranu arhivske građe i vremenu njenog čuvanja uređuje sukladno zakonskim propisima i općim aktom kojem su  obuhvaćeni osobni podaci ispitanika u odnosu na utvrđenje načina i vremena njihova pohranjivanja i čuvanja, tehničkim mjerama zaštite, kao i prostorijama i opremi gdje i kako se čuvaju.

Evidencija zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Osobni podaci o zaposlenicima predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.

Evidenciju od članovima izvršnih i predstavničkih tijela počinje se voditi na dan njihova imenovanja, a prestaje se voditi na dan prestanka njihova mandata. Ovi osobni podaci predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.

Evidencija o građanima i vanjskim suradnicima vodi se od trenutka podnošenja zahtjeva ili od trenutka sklapanja ugovora, a prestaje se voditi ostvarenjem svrhe za koju su podaci prikupljeni. Podaci se čuvaju temeljem zakonskih propisa i općih akata voditelja obrade.

Davanje osobnih podataka na korištenje drugim korisnicima

Članak 24.

Osobni podaci koje prikuplja i obrađuje Voditelj obrade daju se na korištenje na temelju pisanog zahtjeva drugim korisnicima ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti takvog korisnika.

Prije davanja osobnih podataka na korištenje drugim korisnicima Voditelj obrade će o tome obavijestiti ispitanika (usmeno, elektronskim putem).

O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom korisniku i o svrsi za koju su dani podaci vodi se posebna evidencija.

Odgovornost osobe koja prikuplja i obrađuje osobne podatke

Čanak 25.

Stručno i administrativno osoblje Voditelja obrade koje prikuplja i obrađuje osobne podataka (imenovanih i određenih od Voditelja obrade) dužno je:

  1. postupati u skladu s Uredbom, ovim Pravilnikom i ostalim aktima i odlukama koje se odnose na osobne podatke ispitanika,
  2. poduzeti sve mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, koji propust čini osobito tešku povredu radne obveze zbog koje se može izreći izvanredni otkaz radnog odnosa prema osobi počinitelju.

Navedene osobe dužne su potpisati Izjavu o povjerljivosti kojom će se obvezati:

  1. da će  čuvati povjerljivost svih osobnih podataka na kojima ima pravo i ovlast pristupa a koji se nalaze u zbirkama osobnih podataka
  2. da će osobne podatke koristiti isključivo u točno određenu (propisanu) svrhu
  3. da će se s osobnim podacima služiti onoliko vremena koliko je to nužno za ostvarenje svrhe za koju su uzeti te ih neću dalje obrađivati u neku drugu svrhu
  4. da osobne podatke na kojima imam pravo i ovlast pristupa neće dostavljati/davati na korištenje niti na bilo koji drugi način učiniti dostupnima trećim (neovlaštenim) osobama, te
  5. da će povjerljivost osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim podacima.

Ostale odredbe

Članak 26.

Za pitanja koja nisu navedena ovim Pravilnikom primjenjuju se odredbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka,  Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine   i ostali pozitivni zakonski propisi RH koji uređuju provedbu Uredbe ili se odnose na osobne podatke.

Članak 27.

Ovaj Pravilnik stupa na snagu 8 dana od dana objave na oglasnoj ploči.

Predsjednik IDS-a
Boris Miletić