Flag of United Kingdom Default

Jezik

Flag of United Kingdom Default Engleski
Flag of Croatia Hrvatski

PREDSTAVLJAMO VAM SENDD

Sustav za rano otkrivanje neurorazvojnih odstupanja


POLITIKA ZAŠTITE OSOBNIH PODATAKA


 

I. UVODNE ODREDBE
 I. I. CILJ AKTA


 

Članak 1.

Politika zaštite osobnih podataka (u daljnjem tekstu: Politika) je temeljni akt koji propisuje svrhu i ciljeve prikupljanja, obrade i upravljanja osobnim podacima unutar projekta. Politika osigurava adekvatnu razinu zaštite podataka u skladu s Općom uredbom o zaštiti podataka i drugim primjenjivim važećim zakonima vezanim uz zaštitu osobnih podataka koji se dodatno osiguravaju kroz ostale interne akte iz ovog područja. Politikom se definiraju osnovna načela i pravila zaštite osobnih podataka u skladu s poslovnim i sigurnosnim zahtjevima društva, kao i zakonskim propisima te najboljim praksama i međunarodno prihvaćenim standardima. Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima klijenata, zaposlenika, poslovnih partnera na projektu i drugih osoba čiji se osobni podaci obrađuju (dalje: ispitanici).
 
 

I. II. OBVEZE PREMA UREDBI
 
 Članak 2.

Odredbi ove Politike se moraju pridržavati svi zaposlenici prilikom pružanja pretplate  za „Digitalni sustav za rano otkrivanje potencijalnih neurorazvojnih odstupanja kod dojenčeta – SENDD“ programski proizvod od strane TIS Grupa d.o.o. (Heinzelova 33, 10 000 Zagreb, Hrvatska) kao izvršitelj obrade i Poliklinika Sabol za dječje bolesti (IV. Cvjetno naselje 21, 10 000 Zagreb) kao voditelj obrade, a koji su uključeni u proces prikupljanja, obrade i upravljanja osobnim podacima. 


 Voditelj obrade sukladno Uredbi na sebe preuzima određene obveze. A Voditelj obrade kontinuirano provode odgovarajuće tehničke i organizacijske mjere zaštite uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.
 
 Spomenute mjere uključuju provedbu odgovarajućih politika zaštite podataka:

  • Osobni podaci ispitanika čuvaju se u skladu s zakonskim obvezama i definiranim standardima sigurnosti voditelja obrade. Voditelj obrade kontinuirano poduzima značajne organizacijske i tehničke mjere kako bi zaštitili osobne, a i sve ostale, podatke ispitanika. Gdje je to primjenjivo, voditelj obrade primjenjuje kriptografske metode zaštite podataka te se kontinuirano rade na unaprjeđenju sigurnosnih mjera na razini društva. Uz navedeno, koriste se napredni alati za zaštitu i sprječavanje curenja podataka, nadziru se kritični sustavi i sl.
  • Voditelj obrade ne dopušta neovlašteno prikupljanje, obradu ili korištenje osobnih podataka. Primjenjuju pravilo ograničavanja pristupa podacima samo na one podatke koji su potrebni za obavljanje pojedinih poslovnih zadataka. U skladu s tim, jasno su definirane uloge i odgovornosti unutar društva. Zaposlenicima je strogo zabranjeno korištenje osobnih podataka ispitanika u bilo koju svrhu koja nije u skladu s uvjetima definiranim u poglavlju III.II Zakonitost obrade.
  • Osobni podaci se štite od neovlaštenog pristupa, korištenja, izmjene te gubitka. Mehanizmi zaštite se primjenjuju na osobne podatke unutar organizacijskih jedinica h voditelja obrade bez obzira u kojem se obliku oni čuvaju – papirnatom ili elektroničkom.
  • Pridržavanje ove Politike te ostalih politika i procedura vezanih uz zaštitu podataka se također redovito provjerava, a provjeru provodi Službenik za zaštitu podataka.

 

 

I. III. UTJECAJ NA POSLOVNI PROCES
 
 Članak 3.

Ova Politika utječe i primjenjuje se na sve obrade osobnih podataka u okviru projekta SENDD, osim u slučajevima gdje se obrađuju anonimizirani podaci ili su obrade takve prirode da se radi o statističkim analizama iz kojih nije moguće identificirati pojedinca.
 
 

II. POJMOVI I ZNAČENJA
 
 Članak 4.

Osobni podataci – svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (,,ispitanik").
 
lspitanik - je osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao sto su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili vise čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
 
Obrada osobnih podatka - svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao sto su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
 
Voditelj obrade - znači fizička ili pravna osoba, koja sama ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
 
Izvršitelj obrade - fizička ili pravna osoba, koja obrađuje osobne podatke u ime voditelja obrade.
 
Nadzorno tijelo - neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska u svrhu kontrole i osiguranja provođenja Uredbe.
 
Privola - svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
 
Povreda osobnih podataka - kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
 
Pseudonimizacija - obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
 
 
 
 

III. NAČELA
 III.I. NAČELA OBRADE OSOBNIH PODATAKA
 
 Članak 5.

Voditelj obrade obrađuju osobne podatke u skladu sa slijedećim načelima obrade:

  1. Zakonito, pošteno i transparentno - s obzirom na ispitanike i njihova prava, voditelj obrade će obrađivati osobne podatke ispitanika sukladno važećim zakonima i uvažavajući sva prava ispitanika. Transparentnost obrada osobnih podataka omogućuje ispitanicima sve potrebne informacije o obradi te osigurava, na njihov zahtjev, uvid u njihove podatke, obrazloženja obrada, temelje i zakonitosti obrade i sl. Ispitanik će biti pravovremeno, odnosno prije samog prikupljanja podataka, upoznat sa svim relevantnim informacijama.
  2. Uz ograničenje svrhe - osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, osim ako postoje druge obrade koje su uvjetovane zakonom ili su neophodne za kvalitetno isporučivanje same usluge.
  3. Uz smanjenje količine podataka – Voditelj obrade prikuplja i obrađuje osobne podatke na način da su primjereni, relevantni i ograničeni na ono sto je nužno u odnosu na svrhe u koje se obrađuju.
  4. Točnost – Voditelj obrade osigurava da su podaci točni i prema potrebi ažurni, što znači da poduzimaju svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, a uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave. Primjenu ovog načela voditelj obrade osiguravaju kroz uspostavu redovite kontrole, ali i kroz otvoren proces komunikacije s ispitanicima kao i izvršiteljem obrade
  5. Uz ograničenje pohrane - Voditelj obrade osigurava da su osobni podaci ispitanika čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Osobni podaci mogu se pohraniti i dulje, ali za to mora postojati jasna svrha, u smislu zakonske obveze ili legitimni interes.
  6. Cjelovitost i povjerljivost - Voditelj obrade prikuplja i obrađuje podatke na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

Sukladno navedenim načelima, podacima ispitanika pristupat će zaposlenici zaposleni kod voditelja obrade i izvršitelja obrade ovisno o njihovim ovlaštenjima i radnim mjestima. Određeni dio usluge za voditelja obrade obavljaju i druge pravne osobe s kojima će podaci ispitanika biti podijeljeni samo ako su oni nužni za potrebe ispunjenja obveza iz zajedničkih Ugovora. Voditelj obrade će podatke ispitanika proslijediti i državnim institucijama ili udruženjima i to u slučaju kada za to postoji zakonska potreba.
 

III.II. ZAKONITOST OBRADE
 
 Članak 6.

Osobne podatke ispitanika voditelj obrade drži njihovim vlasništvom te se prema njima tako i odnosi.
 
 Slijedom navedenog, osobni podaci ispitanika obrađuju se kada je zadovoljen minimalno jedan od navedenih uvjeta:

  1. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  2. obrada je nužna radi poštovanja pravnih obveza društva u odnosu na važeće zakonske propise prema kojima je voditelji obrade dužnan postupati.
  3. obrada je nužna za potrebe legitimnih interesa društva ili treće strane - osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
  4. ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha - privola mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik ima pravo u svakom trenutku povući svoju privolu (povlačenje privole mora biti jednako jednostavno kao i davanje privole).
  5. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  6. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.

Voditelj obrade dužnan je identificirati zakonitost za svaku obradu koja je u njihovoj poslovnoj domeni. Pri identifikaciji zakonitosti obrade konzultirat će se Službenik za zaštitu osobnih podataka koji će prema jasnim i unaprijed definiranim kriterijima savjetovati voditelja obrade prilikom identifikacije zakonitosti obrada.

 

IV. PRAVA ISPITANIKA
 
 Članak 7.

Ispitanici u svakom trenutku zadržavaju određena prava u odnosu na obrade njihovih podataka, a voditelj obrade iste podatke prikuplja i obrađuje samo uz postojanje zakonitosti obrade.
 
 

Članak 8.

U trenutku prikupljanja informacija od ispitanika voditelj obrade obrade će mu pružiti slijedeće informacije:

  • identitet i kontaktne podatke voditelja obrade,
  • identitet i kontaktne podatke izvršitelja obrade,
  • kontaktne podatke službenika za zaštitu osobnih podataka,
  • svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu,
  • legitimne interese,
  • primatelje ili kategorije primatelja osobnih podataka,
  • ako postoji, namjeru prijenosa osobnih podataka trećim zemljama,
  • razdoblje pohrane podataka ili kriterije koji definiraju to razdoblje,
  • prava vezana uz privole,
  • potencijalno postojanje automatiziranog donošenja odluka,
  • prava ispitanika definiranih Uredbom,
  • izvor osobnih podataka u slučaju da se podaci ne prikupljaju izravno od ispitanika.


 
 

Članak 9.

Voditelj obrade obrađuje osobne podatke sukladno pravima ispitanika definiranim u Uredbi, a to se odnosi na:

  1. Pravo na brisanje (,,pravo na zaborav") - ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose, a        voditelji obrade imaju obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
    1. osobni podaci vise nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni,
    2. ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za obradu,
    3. ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje imaju veću težinu od legitimnog interesa društva za obradu i /ili čuvanje osobnih podataka,
    4. osobni podaci nezakonito su obrađeni,
    5. osobni podaci moraju se brisati radi poštovanja pravne obveze.
  2. Pravo na pristup podacima- ispitanik ima pravo od voditelja obrade dobiti potvrdu obrađuju Ii se njegovi osobni podaci, te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni i sl.
  3. Pravo na ispravak - ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od h voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
  4. Pravo na prijenos podataka - ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade. Potrebno je uzeti u obzir da se pravo prijenosa odnosi isključivo na osobne podatke ispitanika.
  5. Pravo na prigovor - ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. U takvom slučaju voditelj obrade više ne smije obrađivati osobne podatke osim ako dokažu da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. U odnosu na obradu osobnih podataka za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga. Ukoliko se donošenje odluka temelji na automatskoj obradi podataka provodi se sukladno Uredbi.
  6. Pravo na ograničenje obrade- ispitanik ima pravo od voditelja obrade tražiti pravo na ograničenje obrade u slučaju da:
  1. osporava točnost osobnih podataka,
  2. smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe, te
  3. u slučaju kada je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze Ii legitimni razlozi voditelja obrade razloge ispitanika.


 
 

V. NAČIN OSTVARENJA PRAVA
 
 Članak 10.

lspitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od prava navedenih u članku 9. ove Politike. Informacije o poduzetim radnjama vezanim uz navedena prava,  voditelj obrade će na zahtjev ispitanika pružiti najkasnije u roku od 1 mjeseca od zaprimanja zahtjeva, a ovisno o količini i kompleksnosti može se produžiti na dodatna 2 mjeseca. Ukoliko  voditelj obrade ne postupe po zahtjevu ispitanika, bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvijestit će ispitanika o razlozima zbog kojih nije postupila. Razlozi za ne postupanje podrazumijevaju postojanje zakonitosti obrade koje društvo priječe u takvom postupanju.
 
 

Članak 11.

lspitanik ima pravo podnijeti pritužbu nadzornom tijelu (Agencija za zaštitu osobnih podataka) u slučaju incidenta koji se tiče njegovih osobnih podataka ili ako smatra da  voditelj obrade krši njegova prava definirana Općom uredbom o zaštiti podataka.
 
 

Članak 12.

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili njegovih izvršitelja obrade za pretrpljenu štetu pred sudom opće nadležnosti. Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima. Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.
 
 

VI. OBRADA OSOBNIH PODATAKA
 
 Članak 13.

Voditelji obrade ne obrađuju podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu ili seksualnoj orijentaciji pojedinca. Posebnu zaštitu ostvaruju osobni podaci djece mlađe od šesnaest godina. Obrada takvih posebnih kategorija osobnih podataka provodit će se samo iznimno i ako je:

  • ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili vise određenih svrha;
  • obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava društva ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti u mjeri u kojoj je to odobreno u okviru prava Europske Unije, prava Republike Hrvatske ili kolektivnog ugovora u skladu s pravom Republike Hrvatske koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
  • obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca;
  • obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
  • obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva.


 
 

VII. PRAVO PRENOSIVOSTI PODATAKA
 
 Članak 14.

Prema potrebi, a isključivo temeljem uvjeta navedenih u članku 6. ove Politike,  voditelj obrade podatke prenose trećim zemljama ili međunarodnim organizacijama. U takvim situacijama se primjenjuju dodatne kontrole i zaštitne mjere za iznošenje osobnih podataka sukladno Uredbi. Te mjere mogu podrazumijevati pravno obvezujući i provedivi instrument, obvezujuća korporativna pravila, certificiranje i sl.
 
 

VIII. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO)
 
 Članak 15.

Voditelj obrade imaj zaduženog Službenika za zaštitu osobnih podataka koji je neovisan i kao takav djeluje u interesu zaštite prava ispitanika i njihovih osobnih podataka. Njegova je odgovornost da se unutar društva primjenjuje Politika zaštite osobnih podataka te ostali interni akti koji definiraju pravila postupanja prilikom prikupljanja i obrade osobnih podataka ispitanika. Službenik za zaštitu osobnih podataka je na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka. Sudjeluje u procesima voditelja obrade koji se odnose na upravljanje promjenama i projektima što mu omogućuje pravovremeni pristup informacijama. Službenik za zaštitu osobnih podataka izravno odgovara Upravi voditelja obrade i obvezan je s tajnošću i povjerljivošću obavljati svoje poslove.
 Službenik za zaštitu osobnih podataka obavlja najmanje:

  • informiranje i savjetovanje Uprave voditelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz Uredbe te drugim odredbama propisa o zaštiti podataka;
  • praćenje i nadziranje poštovanja Uredbe te drugih odredaba Europske Unije ili Republike Hrvatske o zaštiti podataka i Politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade;
  • nadzirati implementaciju politike upravljanja i upravljanje zbirkama osobnih podataka,
  • pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja;
  • suradnja s nadzornim tijelom;
  • djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te savjetovanje, prema potrebi, o svim drugim pitanjima.


 

Članak 16.

Službenik za zaštitu osobnih podataka u svrhu osiguranja svoje neovisnosti ne prima nikakve upute u pogledu izvršenja navedenih zadaća.
 Službenik za zaštitu osobnih podataka je u odnosu na ispitanike zadužen za:

  • ostvarivanje kontakta s ispitanicima koji žele ostvariti svoja prava povezana s obradom osobnih podataka i ostalih prava iz Uredbe,
  • zaprimanje upita i informacija vezanih uz zaštitu osobnih podataka te uz obradu istih,
  • zaprimanje prigovora i ostvarivanje ostalih prava vezano uz zaštitu osobnih podataka.

Voditelj obrade imaju pravo naplatiti razumnu naknadu utemeljenu na administrativnim troškovima i /ili odbiti postupiti po zahtjevu ako se radi o očito neutemeljenim ili nerazumnim zahtjevima ispitanika, posebno ako se oni učestalo ponavljaju. Kontakt podaci Službenika za zaštitu osobnih podataka dostupni su na Internet stranici projekta SENDD www.sendd.eu /privacy, a kontaktirati ga mogu i putem email adrese [email protected].
 
 

IX. OBVEZE VODITELJA OBRADE ZA PROCJENU UČINKA OBRADE NA ZAŠTITU OSOBNIH PODATAKA
 
 Članak 17.

Ako je vjerojatno da će neka vrsta obrade, zbog svoje prirode, opsega, konteksta i svrhe, prouzrokovati visok rizik za prava i slobode ispitanika,  voditelj obrade će prije takve obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Navedena procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike, a   voditelj obrade će, prema potrebi, provesti i procjenu učinka na sve aktivne obrade.
 Voditelj obrade, u suradnji sa Službenikom za zaštitu osobnih podataka, dužan je provoditi procjenu učinka prema navedenim kriterijima i primjenjivim internim aktima društva.
 Službenik za zaštitu osobnih podataka treba osigurati provedbu i podršku ,,procjeni učinka na zaštitu podataka", u slučaju:

  • automatizirane obrade kojom se provodi opsežna procjena osobnih aspekata u vezi s pojedincima, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;
  • opsežne obrade posebnih kategorija osobnih podataka;
  • sustavnog praćenja javno dostupnog područja u velikoj mjeri;
  • u slučajevima obrada koje propiše nadzorno tijelo (Agencija za zaštitu osobnih podataka).


 
 

Članak 18.

Procjena učinka sadrži minimalno:

  • sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući legitimni interes  voditelja obrade;
  • procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
  • procjenu rizika za prava i slobode ispitanika;
  • mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.


 
 

X. EVIDENCIJA AKTIVNOSTI OBRADA (REGISTAR)
 
 Članak 19.

Voditelj obrade vode evidenciju aktivnosti obrada za koje je odgovoran.  Ta evidencija je u elektroničkom obliku i sadržava najmanje sljedeće informacije:

  • ime i kontaktne podatke h voditelja obrade i Službenika za zaštitu osobnih podataka;
  • svrhe obrade;
  • opis kategorija ispitanika i kategorija osobnih podataka;
  • kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  • prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući ime treće zemlje ili naziv međunarodne organizacije;
  • predviđene rokove za brisanje različitih kategorija podataka, ako je to moguće;
  • opći opis tehničkih i organizacijskih sigurnosnih mjera, ako je to moguće.

Službenik za zaštitu osobnih podataka odgovoran je za održavanje registra obrada, a sve organizacijske jedinice voditelja obrade su odgovorne za dostavu točnih i pravovremenih informacija kako bi se registar obrada adekvatno popunio.


XI. OBVEZE IZVRŠITELJA OBRADE

 

Članak 20.

 

  • U odnosu na Osobne podatke Izvršitelj obrade je ovlašten postupati isključivo prema zabilježenim uputama Voditelja obrade.
  • Izvršitelj obrade nije, bez dozvole Voditelja obrade, ovlašten za prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje, kopiranje ili uništavanje Osobnih podataka.
  • Izvršitelj obrade se obvezuje osigurati da sve osobe koje djeluju pod vodstvom Izvršitelja obrade, koje imaju uvid u Osobne podatke, postupaju sukladno ovoj Politici i zabilježenim uputama Voditelja obrade te da se obvežu na čuvanje povjerljivosti Osobnih podataka. 
  • Izvršitelj obrade obvezuje se pružiti Voditelju obrade svu potrebnu pomoć radi ispunjenja obveze Voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika te radi osiguravanja usklađenosti sa zakonskim obvezama Voditelja obrade.
  • Na temelju upute Voditelja obrade, Izvršitelj obrade se obvezuje odmah prestati s aktivnostima koje mogu uključivati uvid u Osobne podatke ili obradu Osobnih podataka. 
  • Izvršitelj obrade obvezuje se osigurati sve potrebne tehničke i organizacijske mjere radi zaštite Osobnih podataka i sprječavanja povrede Osobnih podataka.
  • Mjere za zaštitu sigurnosti Osobnih podataka uključuju zaštitu od neovlaštene i nezakonite obrade, reprodukcije podataka u usmenoj ili pisanoj formi, distribucije neovlaštenoj osobi, slučajnog i nezakonitog uništenja, gubitka ili oštećenja podataka, nezakonite objave i nezakonitog pristupa Osobnim podacima.
  • Osim ako informacija predstavlja poslovnu tajnu ili ako je Izvršitelj iz drugog razloga ne smije otkrivati, na zahtjev Voditelja obrade, Izvršitelj obrade se obvezuje staviti na raspolaganje Voditelju obrade sve informacije i svu dokumentaciju koja je neophodna za dokazivanje usklađenosti s propisima o zaštiti osobnih podataka, u formi prihvatljivoj Voditelju obrade, i koja Voditelju obrade ili trećoj osobi koju je ovlastio Voditelj obrade omogućuje nadzor nad postupanjem u vezi Osobnih podataka. 
  • Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog pisanog odobrenja Voditelja obrade.
  • Ako Izvršitelj obrade angažira drugog Izvršitelja obrade za provođenje posebnih aktivnosti koje mogu uključivati uvid u Osobne podatke, sva prava i obveze Izvršitelja obrade i Voditelja obrade primjenjuju se i u odnosu na drugog Izvršitelja obrade.
  • Izvršitelj obrade odgovara Voditelju obrade za izvršavanje obveza od strane drugog izvršitelja obrade, posebno u vezi povjerljivosti Osobnih podataka, zaštite Osobnih podataka i sigurnosti Osobnih podataka.
  • U slučaju povrede Osobnih podataka, Izvršitelj obrade se obvezuje o tome bez odgađanja obavijestiti Voditelja obrade. Ako je to moguće, u takvoj obavijesti Izvršitelj obrade dužan je izvijestiti Voditelja obrade o vrsti povrede, kategoriji i broju ispitanika u odnosu na koje je nastupila povreda, te o skupu i broju skupova Osobnih podataka koji su zahvaćeni povredom.
  • U slučaju povrede Osobnih podataka, Izvršitelj obrade se obvezuje odmah poduzeti sve potrebne i razumne mjere radi otklanjanja povrede Osobnih podataka te radi ublažavanja negativnih posljedica takve povrede. Izvršitelj obrade obvezuje se u što je moguće kraćem roku obavijestiti Voditelja obrade o svim poduzetim mjerama. 
  • Izvršitelj obrade se obvezuje zabilježiti svaku povredu Osobnih podataka, uključujući i sve okolnosti u vezi povrede Osobnih podataka, posljedice povrede i mjere koje su poduzete radi otklanjanja povrede i ublažavanja štetnih posljedica povrede, kako bi omogućio Voditelju obrade evidentiranje ispunjenja svih obveza u vezi obavještavanja nadzornog tijela i ispitanika o povredi Osobnih podataka.
  • Izvršitelj obrade odgovara Voditelju obrade za svu štetu koja Voditelju obrade može nastati zbog povrede ove Politike od strane Izvršitelja obrade, njegovih zaposlenika ili drugih osoba koje je Izvršitelj obrade angažirao radi ispunjenja obveza iz Politike.
  • Prestankom važenja ove Politike prestaje ovlaštenje Izvršitelja obrade na obradu Osobnih podataka te se Izvršitelj obrade obvezuje, na temelju pisane upute Voditelja obrade, bez odgađanja izbrisati, uništiti ili vratiti Voditelju obrade Osobne podatke. 


 

XII. POVREDA SIGURNOSTI OSOBNIH PODATAKA (INCIDENTI)
 
 Članak 21.

Voditelj obrade poduzima odgovarajuće procesne i tehnološke mjere kako bi zaštitila osobne podatke ispitanika. Svi zaposlenici voditelja obrade imaju dužnost i obvezu obavijestiti odgovorne osobe, a prvenstveno Službenika za zaštitu podataka, u slučaju incidenta vezanog uz zaštitu osobnih podataka, a u slučaju povrede osobnih podataka  voditelj obrade će incident prijaviti Agenciji za zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, ako je to izvedivo.
 
 Isto tako,  voditelj obrade će obavijestiti odgovorne osobe direktno, a ako je u ulozi izvršitelja obrade obavještavanje se provodi putem voditelja obrade.
 
 U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca,  voditelj obrade je obvezan, bez nepotrebnog odgađanja obavijestiti ispitanika o povredi osobnih podataka.
 
 lznimno,  voditelj obrade neće obavijestiti ispitanika u slučaju povreda osobnih podataka ako je ispunjen barem jedan od sljedećih uvjeta:

  • voditelj obrade je  poduzeo odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao sto je enkripcija;
  • voditelj obrade je poduzeo naknadne mjere kojima se osigurava da vise nije vjerojatno da će doci do visokog rizika za prava i slobode ispitanika;
  • Obavještavanje ispitanika bi zahtijevao nerazmjeran napor.  voditelj obrade će putem javne obavijesti ili na sličan, jednako djelotvoran način, obavijestiti ispitanike.


 

XIII. PRIJELAZNE I ZAVRŠNE ODREDBE
 
 Članak 22.

Ova Politika stupa na snagu danom donošenja, a primjenjuje se od 05.09.2024. godine.