Politika sustava upravljanja osobnim podacima


Predmet

Dokumentom Politika sustava upravljanja osobnim podacima (u daljnjem tekstu Politika) voditelj obrade osobnih podataka daje punu podršku sustavu upravljanja osobnim podacima. Sustav upravljanja osobnim podacima potrebno je u potpunosti uskladiti s Uredbom (EU) 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka. Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka. Osobni podatak je svaka informacija koja se odnosi na fizičku osobu koja je identificirana ili se može identificirati. Ovim se podacima mora pristupati s posebnom pažnjom, te se pri tome mora voditi najvišim etičkim načelima. Nužno je raditi na podizanju svijesti da su osobni podaci vrlo vrijedna i povjerljiva imovina. Potrebno je razviti i provoditi program izgradnje korporativne kulture čuvanja povjerljivosti osobnih podataka.

Referentni dokumenti

  • Uredba (EU) 2016/679
  • Zakon o provedbi Opće uredbe o zaštiti osobnih podataka (NN 42/18)
  • Odluka o prihvaćanju Politike sustava upravljanja osobnim podacima

Prikupljanje i obrada

Prikupljanje i obrada osobnih podataka vrši se isključivo kada za to postoji zakonska obveza, obveza temeljena na ugovornom odnosu ili je obrada nužna za potrebe legitimnih interesa voditelja obrade ili treće strane. Sve ostale obrade osobnih podataka vrše uz jasnu privolu ispitanika ili njihovih opunomoćenika. Prilikom prikupljanja osobnih podataka ispitaniku se pružaju informacije o identitetu i kontakt podacima voditelja obrade, svrhama obrade i pravnoj osnovi za obradu podataka, primateljima, iznošenju u treće zemlje, razdoblju pohrane, kao i o mogućnosti povlačenja privole.

Koriste se samo oni osobni podaci koji su nužni za izvršavanje i odvijanje redovne poslovne djelatnosti, a koji su dobrovoljno dani na raspolaganje, dobiveni od treće strane ili javno dostupnih izvora. Podaci moraju biti točni, potpuni i razmjerni svrsi za koju se obrađuju. Za podatke koji se prikupljaju ne može se sa sigurnošću znati da se odnose na osobe ispod dobne granice od 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.

U okviru poslovanja obrađuju se sljedeće kategorije osobnih podataka:

  • podaci o zaposlenicima – ime i prezime, osobni identifikacijski broj, spol, dan, mjesec i godina rođenja, državljanstvo, prebivalište, odnosno boravište i ostali podaci potrebni za ostvarivanje prava iz radnog odnosa koji su detaljno opisani u evidencijama aktivnosti obrade (Kadrovska evidencija o zaposlenicima, Radno vrijeme odmori i dopusti, Plaće i naknade plaća, Bolovanja, Zdravstveno osiguranje, Mirovinsko osiguranje i dr.). Evidencije aktivnosti obrade koje su vezane za radne odnose daju se na uvid zaposlenicima prilikom potpisivanja ugovora o radu;
  • podaci o korisnicima na web-u – ime i prezime, dan, mjesec i godina rođenja, spol, adresa, grad, poštanski broj, država, državljanstvo, kontakt telefon, e-mail adresa, broj osobne iskaznice, OIB i fotografija;
  • podaci o korisnicima usluga – ime i prezime, ulica i br., poštanski broj, mjesto, broj telefona, broj mobitela, e-mail adresa, datum rođenja, veličina, težina, dijagnoza, ograničenja u komunikaciji, ograničenja u orijentaciji, motoričke sposobnosti, pomoćna pomagala, osobna higijena, izlučevine,  prehrana, spavanje, terapije i slobodno vrijeme;
  • podaci o kontakt osobama – ime i prezime, ulica i br., poštanski broj, mjesto, broj telefona, broj mobitela, e-mail adresa i odnos s korisnikom (srodstvo);
  • podaci o kandidatima za posao – ime i prezime, dan, mjesec i godina rođenja, adresa, mjesto, poštanski broj, e-mail adresa, broj telefona, broj mobitela, visina, težina, vozačka dozvola, aktivan vozač, pušač, radno iskustvo, hobi, rekreacija, sport i fotografija;
  • ostali podaci koji su potrebni za izvršavanje poslovne djelatnosti detaljno su opisani u evidencijama aktivnosti obrade i daju se na uvid ispitanicima prilikom prikupljanja navedenih osobnih podataka.

Vrijeme čuvanja podataka:

Osobni podaci čuvaju se samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, osim ako je zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Vrijeme čuvanja podataka za svaku kategoriju osobnih podataka detaljno je opisano u pojedinim evidencijama aktivnosti obrade.

Primatelji osobnih podataka:

Pristup prikupljenim osobnim podacima imaju zaposlenici koji su potpisali izjavu o povjerljivosti osobnih podataka, te druge osobe koje su na osnovu zakonskih propisa, ugovornih odredbi ili privole, ovlaštene primiti prikupljne osobne podatke. Trećim neovlaštenim stranama prikupljeni osobni podaci neće biti otkriveni. Također, prikupljeni osobni podaci ne daju se na korištenje osobama ili institucijama izvan Europske unije.

Prava ispitanika

  • Ispitaniku je potrebno pružiti sve informacije u vezi s obradom, u sažetom, transparentnom, razumljivom i lako dostupnom obliku.
  • Ispitanik ima pravo uvida u osobne podatke koji se nalaze u evidencijama aktivnosti obrade i koji se na njega odnose.
  • Ispitanik ima pravo ishoditi ispravak netočnih osobnih podataka koji se na njega odnose.
  • Ispitanik ima pravo ishoditi brisanje osobnih podataka koji se na njega odnose i za koje je dao privolu.
  • Ispitanik ima pravo na odustajanje od dane privole za obradu osobnih podataka i traženje prestanka obrade osobnih podataka.
  • Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu.
  • Ispitanik ima pravo na prigovor nadzornom tijelu.

Ispitanik, odnosno njegov zakonski zastupnik, može zatražiti ostvarivanje prava na pristup, ispravak, brisanje, prenosivost, ograničenje obrade, prava na prigovor i  prava na osporavanje odluke koja se temelji isključivo na automatiziranoj obradi osobnih podataka koji se odnose na ispitanika i za koje je dao privolu. Nije predviđeno plaćanje naknade za zahtjeve. Obrasci zahtjeva mogu se preuzeti s web stranice ili na adresi voditelja. Zahtjev se može predati osobno, poštom ili e-mailom.

Centar za pomoć u kući Cura Vita 24

Samoborska cesta 241 A, HR- 10290 Zaprešić

Tel: +385 (0) 1798 87 08, +385 (0) 1798 87 04,

e-mail: gdpr@curavita24.com

web: www.curavita24.com

Evidencija aktivnosti obrade osobnih podataka

Voditelj obrade uspostavlja centralnu evidenciju svih aktivnosti obrade osobnih podataka. Za svaku evidenciju imenovana je osoba zadužena za obradu. Nadalje, svaka evidencija aktivnosti obrade sadrži identitet voditelja s kontakt podacima, svrhu obrade, kategorije ispitanika i kategorije osobnih podataka, primatelje podataka, informacije o prijenosu podataka u treće zemlje te predviđene rokove čuvanja podataka.

Zaštita podataka

Voditelj obrade poduzima sve potrebne tehničke, administrativne i fizičke mjere zaštite osobnih podataka kako bi se podaci zaštitili od neovlaštenih pristupa i moguće zlouporabe. Kod izgradnje novih informacijskih sustava, od samog početka, mora se uzeti u obzir zahtjeve GDPR-a za zaštitu osobnih podataka i osigurati njihovu provedbu.

Upravljanje incidentima

Voditelj obrade uspostavlja:

  • plan odgovora na incidente vezane za narušavanje sigurnosti osobnih podataka.
  • registar incidenata narušavanja sigurnosti osobnih podataka.
  • proces za obavještavanje nadležnog nadzornog tijela i oštećene osobe o incidentima narušavanja sigurnosti osobnih podataka.

U slučaju narušavanja sigurnosti osobnih podataka potrebno je bez odlaganja, a najkasnije u roku od 72 sata po otkrivanju incidenta, o tome izvijestiti nadležno nadzorno tijelo. U slučaju „curenja“ osobnih podataka potrebno je obavijestiti i vlasnike, čiji su podaci kompromitirani, o povredi osobnih podataka koristeći se jasnim i jednostavnim jezikom.

Usklađenost

Voditelj obrade uspostavlja sustav upravljanja osobnim podacima sukladno primjenjivim standardima iz područja zaštite privatnosti i informacijske sigurnosti ISO 27001.

Iznimke

Ako postoje opravdani razlozi, službenik za zaštitu osobnih podataka može odobriti privremeno postupanje s osobnim informacijama koje nije u skladu s ovom Politikom. Službenik za zaštitu osobnih podataka dužan je voditi evidenciju ovakvih odobrenja, odgovornosti i rokova za usklađivanje, te o tome izvještavati Upravu.

Odgovornosti

Svi zaposlenici dužni su pridržavati se mjera definiranih ovom Politikom, kao i treće strane koje u okviru svoje suradnje s voditeljem obrade ostvaruju pristup osobnim podacima.

Službenika za zaštitu osobnih podataka imenuje Uprava i on je za rad odgovaran direktno Upravi. Za uspostavu i održavanje sustava upravljanja osobnim podacima, te koordinaciju svih aktivnosti vezanih uz upravljanje osobnim podacima, odgovoran je službenik za zaštitu osobnih podataka.

Također, službenik za zaštitu osobnih podataka odgovoran je za:

  • obavještavanje i savjetovanje voditelja ili izvršitelja obrade, kao i zaposlenika koji obrađuju osobne podatke o njihovim obavezama iz Uredbe,
  • nadziranje poštivanja Uredbe, internih politika i ostale regulative vezane uz zaštitu osobnih podataka,
  • uspostavu i održavanje evidencija aktivnosti obrade,
  • dodjela odgovornosti za zaštitu osobnih podataka zaposlenicima i trećim stranama uključenima u prikupljanje i obradu osobnih podataka,
  • podizanje svijesti i edukacije iz područja zaštite osobnih podataka,
  • ugrađivanje zaštite privatnosti u poslovne procese i informacijske sustave,
  • ugrađivanje zaštite privatnosti u revizijske procese,
  • savjetovanje kod provedbi procjena učinka na zaštitu podataka,
  • suradnju s nadzornim tijelima,
  • nadziranje procesa upravljanja rizikom u obradama osobnih podataka
  • izvještavanje Uprave o učinkovitosti sustava upravljanja osobnim informacijama.

Ovaj dokument stupa na snagu danom donošenja odluke o prihvaćanju Politike sustava upravljanja osobnim podacima. Politiku sustava upravljanja osobnim podacima potrebno je najmanje jednom godišnje revidirati, te po potrebi preinačiti. Ovaj dokument potrebno je izmijeniti, ako se značajno promijeni broj ili struktura zaposlenih, ili ako voditelj obrade promijeni politiku poslovanja.