Pravilnik o zaštiti osobnih podataka
Sukladno Uredbi (EU) 2016/679 Europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Službeni list Europske unije L 119, 4.5.2016., str. 1., u daljnjem tekstu: Opća uredba o zaštiti podataka), koja je u punoj primjeni od dana 25. svibnja 2018. godine u Republici Hrvatskoj i svim zemljama članicama Europske unije, kao i Zakonu o provedbi Opće uredbe o zaštiti podataka (Narodne novine broj 42/18, u daljnjem tekstu: Zakon) odnosno sukladno pravnom okviru zaštite osobnih podataka u Republici Hrvatskoj i Europskoj uniji te najboljoj europskoj praksi, Motive zastupanje d.o.o., društvo za zastupanje u osiguranju, Ulica Republike Hrvatske br. 1b, 34000 Požega, , matični broj subjekta (MBS): 04748450, osobni identifikacijski broj (OIB): 76491473173 (dalje u tekstu:”Društvo”), usvaja
U Požegi, 20.svibnja 2018.
PRAVILNIK
O ZAŠTITI OSOBNIH PODATAKA
PREAMBULA
Članak 1.
1.1 Društvo je voditelj obrade osobnih podataka radnika i trećih osoba (dalje u
tekstu: „ispitanik“ ili „ispitanici“), čije osobne podatke obrađuje u skladu s
načelima i odredbama Uredbe (EU) 2016/679 Europskog parlamenta i vijeća od 27.
travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o
slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive
95/46/EZ (Opća uredba o zaštiti podataka, dalje u tekstu: „Uredba“), Zakona o
provedbi Opće uredbe o zaštiti podataka i podzakonskih propisa te se navedeni
propisi izravno primjenjuju za sva pitanja koja nisu uređena ovim Pravilnikom.
1.2 Društvo je, kao voditelj obrade osobnih podataka, temeljem članka 24. Uredbe
obvezno provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurao
i mogao dokazati da se obrada provodi u skladu s Uredbom. U svrhu osiguranja
provedbe svih mjera Društvo donosi ovaj Pravilnik o zaštiti osobnih podataka
(dalje u tekstu: „Pravilnik“) koji se primjenjuje od 25. svibnja 2018. godine.
1.3 Ostvarivanjem ugovornog odnosa s Društvom, zaposlenjem u Društvu ili
korištenjem proizvoda i usluga Društva te neizravno, prikupljeno iz drugih
zakonitih izvora, ispitanik povjerava svoje osobne podatke na obradu. Ovaj
Pravilnik opisuje koje podatke Društvo prikuplja, na koji ih način obrađuje te u
koje ih svrhe upotrebljava, kao i koja su prava ispitanika povezana s
obrađivanim podacima i drugo značajno za zaštitu i obradu osobnih podataka.
1.4 Izrazi koji se koriste u ovom Pravilniku, a koji imaju rodno značenje, bez
obzira na to jesu li korišteni u muškom ili ženskom rodu, obuhvaćaju na jednak
način muški i ženski rod. Pojmovi u smislu ovog Pravilnika imaju slijedeće
značenje, jednako kao pojmovi korišteni u Općoj uredbi o zaštiti podataka:
- „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet
utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može
utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito
uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o
lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika
svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili
socijalni identitet tog pojedinca;
- „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim
podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo
neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija,
strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida,
uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na
drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili
uništavanje;
- „Društvo” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili
drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade
osobnih podataka;
- „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti,
agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
- „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili
drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća
strana.
Drugi pojmovi u smislu ovog Pravilnika, koji nisu gore izričito navedeni,
također imaju značenje jednako kao pojmovi korišteni u Općoj uredbi o zaštiti
podataka.
1.5 Društvo će ispitaniku, u trenutku prikupljanja osobnih podataka pružiti sve
informacije sukladno Uredbi, osobito odredbama članaka 13. i 14.
1.6 Društvo može osobne podatke prenijeti trećoj zemlji ili međunarodnoj
organizaciji u skladu s odredbama Uredbe.
1.7 Sve zahtjeve usmjerene na ostvarivanje prava iz područja zaštite osobnih
podataka ispitanici mogu slati pisanim putem na adresu sjedišta Društva ili
putem e-maila na:
szop@motivezastupanje.hr .
NAČELA OBRADE OSOBNIH PODATAKA
Članak 2.
2.1 Društvo u ulozi voditelja obrade osobnih podataka mora obrađivati osobne
podatke pošteno i zakonito. Osobni podaci moraju biti točni, potpuni i ažurni, i
ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla
utvrđena svrha. Osobni podaci moraju se čuvati u obliku koji dopušta
identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se
podaci prikupljaju ili dalje obrađuju.
2.2 Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i
dalje obrađivati u skladu s Uredbom o zaštiti osobnih podataka i uz posebne
mjere zaštite propisane posebnim zakonima.
ORGANIZACIJSKE I TEHNIČKE MJERE ZAŠTITE OSOBNIH PODATAKA
Članak 3.
3.1 Društvo provodi odgovarajuće tehničke i organizacijske mjere za omogućavanje
učinkovite primjene načela zaštite podataka, kao što je smanjenje količine
podataka te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz
Uredbe i zaštitila prava ispitanika.
3.2 Društvo tehničkim i organizacijskim mjerama osigurava da integriranim
načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu
obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka,
opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se
mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca,
dostupni neograničenom broju pojedinaca.
3.3 Stručno i administrativno osoblje Društva koje obrađuje osobne podatke dužno
je poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka
koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili
uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog
objavljivanja i svake druge zlouporabe, te utvrditi obvezu osoba koje su
zaposlene u obradi podataka.
3.4 Tehničke mjere kojima se štite postupci obrade osobnih podataka uključuju
minimalno fizičku kontrolu pristupa, logičku kontrolu pristupa, sigurnost
operativnih sustava i e-mail računa, upotreba antivirusnog softvera, pristup
samo pomoću sigurnih protokola i putem VPN kanala te upotreba sigurnosnih kopija
podataka.
3.5 Ako obradu osobnih podataka bude provodila druga fizička ili pravna osoba u
ime voditelja obrade, Društvo će se koristiti jedino izvršiteljima obrade koji u
dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera
na način da je obrada u skladu sa zahtjevima iz Uredbe i da se njome osigurava
zaštita prava ispitanika, što se uređuje ugovorom ili drugim pravnim aktom.
3.6 Osobni podaci koje Društvo obrađuje daju se na korištenje drugim
primateljima izričito na temelju pisanog zahtjeva primatelja, ako je to potrebno
radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja ili
Društva, odnosno ako je to potrebno radi ispunjenja ugovornih i /ili zakonskih
obveza Društva.
SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak 4.
4.1 Društvo, sukladno odredbama Uredbe ima imenovanog službenika za zaštitu
podataka, čiji su podaci objavljeni na web stranici Društva.
4.2 Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće: (a)
informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te
zaposlenika koji obavljaju obradu o njihovim obvezama iz Uredbe te drugim
odredbama Unije ili države članice o zaštiti podataka; (b) praćenje poštovanja
Uredbe te drugih odredbi Unije ili države članice o zaštiti podataka i politika
voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka,
uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje
osoblja koje sudjeluje u postupcima obrade te povezane revizije; (c) pružanje
savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i
praćenje njezina izvršavanja u skladu s člankom 35. Uredbe; (d) suradnja s
nadzornim tijelom; (e) djelovanje kao kontaktna točka za nadzorno tijelo o
pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36.
Uredbe te savjetovanje, prema potrebi, o svim drugim pitanjima.
4.3 Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o
riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i
svrhe obrade.
ZAKONITOST OBRADE
Članak 5.
5.1 Obrada osobnih podataka od strane Društva vrši se zakonito, na temelju
najmanje jedne od slijedećih pravnih osnova:
a. ispitanik je dao privolu koju za obradu svojih osobnih podataka u jednu ili
više posebnih svrha;
b. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako
bi se poduzele radnje na zahtjev Ispitanika prije i/ili nakon sklapanja ugovora;
c. obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
d. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge
fizičke osobe;
e. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju
službene ovlasti voditelja obrade;
f. obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće
strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode
ispitanika koji zahtijevaju zaštitu osobnih podataka. Legitimni interesi
voditelja obrade uključuju, ali ne ograničavaju se na zaštitu i unapređenje
poslovanja, poboljšanje učinkovitosti i zaštitu imovine voditelja obrade,
potrebu da se mreža te osobni podaci zaposlenika i klijenata sadržani unutar
mreže zaštite od neovlaštenog pristupa ili od curenja podataka, zaštitu osobnih
podataka za koje je Društvo odgovoran kao Društvo podataka, zaštitu sigurnosti
svojih zaposlenika i drugi legitimni interesi o kojima je ispitanik obaviješten
sukladno odredbama Uredbe.
5.2 Obrada posebnih kategorija osobnih podataka navedenih u Uredbi od strane
Društva vrši se zakonito i u skladu s odredbama Uredbe, na temelju najmanje
jedne od slijedećih pravnih osnova:
a. ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili
više određenih svrha, osim ako se pravom Unije ili pravom države članice
propisuje da ispitanik ne može ukinuti zabranu iz stavka obrade posebnih
kategorija osobnih podataka;
b. obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava
voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj
sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava
Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države
članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese
ispitanika;
c. obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog
pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
d. obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim
mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim,
filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi
samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt
s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan
tog tijela bez privole ispitanika;
e. obrada se odnosi na osobne podatke za koje je očito da ih je objavio
ispitanik;
f. obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili
kad god sudovi djeluju u sudbenom svojstvu;
g. obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije
ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje
bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu
temeljnih prava i interesa ispitanika;
h. obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene
radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili
socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim
sustavima i uslugama na temelju prava Unije ili prava države članice ili u
skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim
mjerama iz stavka 3. članka 9. Uredbe;
i. obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je
zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih
standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih
proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju
odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno
čuvanje profesionalne tajne;
j. obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog
ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89.
stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno
cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka
i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa
ispitanika.
VRSTE OSOBNIH PODATAKA KOJE DRUŠTVO OBRAĐUJE
Članak 6.
6.1 Društvo obrađuje sljedeće osobne podatke:
a) Osnovne identifikacijske podatke: ime i prezime, e-mail adresa;
b) Identifikacijske podatke: ime i prezime, osobni identifikacijski broj (OIB),
matični broj osigurane osobe zdravstvenog osiguranja, djevojačko prezime, ime
roditelja, datum rođenja, mjesto rođenja, država rođenja, državljanstvo, spol,
adresa prebivališta, adresa boravišta, kontakt podaci (adresa e-pošte, broj
telefona), dozvole za boravak i mjesto rada, podaci o vlasništvu nad pokretnom
i/ili nepokretnom imovinom;
c) Podatke o kompetencijama zaposlenika: diploma, certifikat, licenca, potvrda
stručnog znanja;
d) Financijske podatke o zaposlenicima: vrsta ugovora, ugovorena plaća,
ugovorena naknada, IBAN, podaci o stažu i mirovinskom osiguranju;
e) Evidencija radnog vremena zaposlenika: datum početka rada, završetak rada,
sati terenskog rada, vrijeme nazočnosti na radu;
f) Podatke koji se odnose na zdravlje ispitanika (npr. profesionalna bolest,
ozljeda na radu, profesionalna nesposobnost za rad, invalidnost, zdravstveno
stanje);
g) Ostale osobne podatke, koje ispitanik ili treća osoba stavlja na raspolaganje
prilikom zasnivanja radnog odnosa ili tijekom sklapanja i izvršenja ugovora, kao
što su podaci iz osobne iskaznice ili drugog osobnog dokumenta, podaci o djeci i
članovima obitelji, podaci o korporativnoj funkciji, bankovni račun, ovlasti
potpisivanja ili zastupanja i dr.
6.2 Osobni podaci prikupljaju se posredno ili neposredno od ispitanika usmeno
ili pisanim putem.
SVRHA OBRADE
Članak 7.
7.1 Društvo osobne podatke prikuplja i obrađuje u određene svrhe, koje
uključuju, ali ne ograničavaju se na:
- omogućavanje i osiguravanje redovnog poslovanja
- pružanje usluga zastupanja osiguranja te savjetovanja vezanih uz ugovore o
osiguranju
- sklapanje i realizacija ugovora o osiguranju
- prijavu ispitanika radi ostvarivanja prava iz mirovinskog i zdravstvenog
osiguranja
- ostvarivanje prava i obveza koje iz radnog ili drugog ugovornog odnosa
proizlaze za voditelja obrade i ispitanike
- ostvarivanje suradnje s vanjskim suradnicima
- ostvarivanje prava ispitanika
- statističke svrhe
- marketinške svrhe
- sudjelovanje na natječajima
- ostvarivanje komunikacije s klijentima i potencijalnim klijentima i drugim
ispitanicima
7.2 Prilikom uvođenja nove svrhe obrade osobnih podataka ili kod izmjene
postojeće svrhe obrade, Društvo je obavezno procijeniti, sukladno članku 35.
Uredbe, potrebu za provođenjem procjena učinka na zaštitu podataka te sagledati
implikacije na sam sustav obrade i njegovu sigurnost. Novu ili izmijenjenu svrhu
potrebno je uvrstiti u Evidenciju aktivnosti obrade i ovaj Pravilnik te ga
odobriti od strane odgovorne osobe Društva.
7.3 Ako društvo namjerava dodatno obrađivati osobne podatke u svrhu koja je
različita od one za koju su osobni podaci prikupljeni, prije te dodatne obrade
će ispitaniku pružiti informacije o toj drugoj svrsi te sve druge relevantne
informacije iz odredbe članka 13. stavka 2. Uredbe.
RAZDOBLJE ČUVANJA
Članak 8.
8.1 Osobne podatke Društvo načelno briše po prestanku ugovornog odnosa ili nakon
što ispitanik od Društva zatraži brisanje podataka, a najkasnije po isteku svih
pravnih, ugovornih i zakonskih obaveza povezanih s čuvanjem osobnih podataka,
osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja
ili ako je uložen prigovor na proizvod ili uslugu u roku, sve do konačnog
dovršetka postupka po prigovoru u skladu s važećim propisima.
8.2 Osobni podaci ispitanika će biti pohranjeni na način koji osigurava da nisu
automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinaca,
i to zaključani u ormaru, a ako su u elektronskom obliku zbirke na kompjutoru
radnika koji se otključava šifrom radnika.
PRAVA ISPITANIKA
Članak 9.
Ispitanik ima pravo od Društva - voditelja obrade zatražiti pristup osobnim
podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji
se odnose na njega, kao i pravo na ulaganje prigovora na obradu takvih podataka
te pravo na prenosivost podataka u skladu s odredbama Uredbe. Ako se obrada
podataka ispitanika temelji na privoli, ispitanik ima pravo u bilo kojem
trenutku povući danu privolu, pri čemu povlačenje ne utječe na zakonitost obrade
koja se temeljila na privoli prije nego što je ona povučena. Društvo priopćuje
svaki provedeni ispravak ili brisanje osobnih podataka ili ograničenje obrade
svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže
nemogućim ili zahtijeva nerazmjeran napor. Društvo obavješćuje ispitanika o tim
primateljima ako to ispitanik zatraži.
Članak 10.
10.1 Ispitanik ima pravo dobiti od Društva - voditelja obrade potvrdu obrađuju
li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci
obrađuju, pristup osobnim podacima i sljedećim informacijama:
(a) svrsi obrade;
(b) kategorijama osobnih podataka o kojima je riječ;
(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni
ili će im biti otkriveni, osobito primateljima u trećim zemljama ili
međunarodnim organizacijama;
(d) ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti
pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog
razdoblja;
(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje
osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na
ispitanika ili prava na prigovor na takvu obradu;
(f) pravu na podnošenje pritužbe nadzornom tijelu;
(g) ako se osobni podaci ne prikupljaju od Ispitanika, svakoj dostupnoj
informaciji o njihovu izvoru;
(h) postojanju automatiziranog donošenja odluka, što uključuje izradu profila
te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici
riječ, kao i važnosti i predviđenim posljedicama takve obrade za Ispitanika.
(i) o odgovarajućim zaštitnim mjerama koje se odnose na prijenos ako se osobni
podaci prenose u treću zemlju ili međunarodnu organizaciju.
10.2 Društvo osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne
kopije koje zatraži ispitanik, Društvo može naplatiti razumnu naknadu na temelju
administrativnih troškova. Ispitanik zahtjev za izdavanje potvrde i pristup
osobnim podacima i informacijama navedenim u ovoj točki podnosi u pisanom obliku
(uključujući elektronički oblik). Ako Ispitanik podnese zahtjev elektroničkim
putem, te osim ako ispitanik zatraži drukčije, informacije se pružaju u
uobičajenom elektroničkom obliku.
Članak 11.
Ispitanik ima pravo, temeljem zahtjeva u pisanom obliku (uključujući
elektronički oblik), bez nepotrebnog odgađanja, ishoditi od Društva - voditelja
obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u
obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među
ostalim i davanjem dodatne izjave.
Članak 12.
12.1 Ispitanik ima pravo, temeljem zahtjeva u pisanom obliku (uključujući
elektronički oblik), od Društva - voditelja obrade ishoditi brisanje osobnih
podataka koji se na njega odnose bez nepotrebnog odgađanja te Društvo ima obvezu
obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od
sljedećih uvjeta:
(a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili
na drugi način obrađeni;
(b) ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga
pravna osnova za obradu;
(c) ispitanik uloži prigovor na obradu osobnih podataka koji se odnose na njega
te ne postoje jači legitimni razlozi za obradu, ili Ispitanik uloži prigovor na
obradu za potrebe izravnog marketinga;
(d) osobni podaci nezakonito su obrađeni;
(e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije
ili prava Republike Hrvatske.
12.2 Ako Društvo javno objavi osobne podatke, a bude ih dužan obrisati u skladu
s gore navedenim, uzimajući u obzir dostupnu tehnologiju i trošak provedbe,
Društvo će poduzeti razumne mjere, uključujući tehničke mjere, kako bi
informirao voditelje obrade koji obrađuju osobne podatke da je ispitanik
zatražio od tih voditelja obrade da izbrišu sve poveznice do njih ili kopiju ili
rekonstrukciju tih osobnih podataka.
12.3 Odredbe o pravu ispitanika na brisanje ne primjenjuju se u mjeri u kojoj je
obrada nužna radi ostvarivanja prava na slobodu izražavanja i informiranja,
poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu
države članice kojem podliježe Društvo ili za izvršavanje zadaće od javnog
interesa ili pri izvršavanju službene ovlasti voditelja obrade, javnog interesa
u području javnog zdravlja, arhiviranja u javnom interesu, u svrhe znanstvenog
ili povijesnog istraživanja ili u statističke svrhe u mjeri u kojoj je
vjerojatno da se pravom na brisanje može onemogućiti ili ozbiljno ugroziti
postizanje ciljeva te obrade ili radi postavljanja, ostvarivanja ili obrane
pravnih zahtjeva.
Članak 13.
13.1 Ispitanik ima pravo, temeljem zahtjeva u pisanom obliku (uključujući
elektronički oblik), od Društva - voditelja obrade ishoditi ograničenje obrade
ako je ispunjeno jedno od sljedećeg:
(a) ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju
obrade omogućuje provjera točnosti osobnih podataka;
(b) obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te
umjesto toga traži ograničenje njihove uporabe;
(c) Društvo više ne treba osobne podatke za potrebe obrade, ali ih ispitanik
traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
(d) ispitanik je uložio prigovor na obradu očekujući potvrdu nadilaze li
legitimni razlozi voditelja obrade razloge ispitanika.
13.2 Ako je obrada ograničena prethodnim stavkom, takvi osobni podaci smiju se
obrađivati samo uz privolu Ispitanika, uz iznimku pohrane, ili za postavljanje,
ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili
pravne osobe ili zbog važnog javnog interesa Unije ili države članice.
13.3 Ispitanika koji je ishodio ograničenje obrade na temelju ove točke Društvo
izvješćuje prije nego što ograničenje obrade bude ukinuto.
Članak 14.
Ispitanik ima pravo, ako to ne utječe negativno na prava i slobode drugih,
temeljem zahtjeva u pisanom obliku (uključujući elektronički oblik) zaprimiti
osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u
strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima
pravo prenijeti te podatke drugom voditelju obrade, ako se obrada temelji na
privoli ili je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka
ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora i
provodi se automatiziranim putem. Prilikom ostvarivanja svojih prava na
prenosivost podataka ispitanik ima pravo na izravni prijenos od jednog voditelja
obrade drugome, ako je to tehnički izvedivo.
Članak 15.
15.1 Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku
uložiti prigovor na obradu osobnih podataka koji se odnose na njega, a koji se
obrađuju temeljem toga da je obrada nužna za izvršavanje zadaće od javnog
interesa ili pri izvršavanju službene ovlasti voditelja obrade ili da je obrada
nužna za potrebe legitimnih interesa voditelja obrade ili treće strane,
uključujući izradu profila koja se temelji na tim odredbama. Društvo više ne
smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni
razlozi za obradu koji nadilaze interese, prava i slobode Ispitanika ili radi
postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Društvo će ispitaniku,
najkasnije u trenutku prve komunikacije s njim, izričito skrenuti pozornost na
pravo na prigovor i to na jasan način i odvojeno od bilo koje druge informacije.
15.2 Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u
svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se
odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u
mjeri koja je povezana s takvim izravnim marketingom, a nakon čega se osobni
podaci više ne smiju obrađivati u takve svrhe.
POSTUPANJE PRILIKOM ISPUNJENJA PRAVA ISPITANIKA
Članak 16.
Društvo je dužno najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom
ispitaniku na njegov zahtjev, odnosno njegovih zakonskih zastupnika ili
punomoćnika pružiti tražene informacije, a koje mogu biti kako slijedi:
1) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo,
predstavnika voditelja obrade;
2) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
3) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osobu za
obradu;
4) kategorije osobnih podataka koje se obrađuju;
5) primatelje ili kategorije primatelja kojima su osobni podaci otkriveni ili će
im biti otkriveni, ako je primjenjivo;
6) predviđeno razdoblje u kojem će osobni podaci biti pohranjeni;
7) postojanje prava ispitanika navedenih u ovom Pravilniku;
8) ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj
informaciji o njihovu izvoru;
9) ako je primjenjivo, činjenicu da Društvo namjerava osobne podatke prenijeti
trećoj zemlji ili međunarodnoj organizaciji, te postojanje ili nepostojanje
odluke Komisije o primjerenosti, ili u slučaju prijenosa iz članaka 46. ili 47.
ili članka 49. stavka 1. drugog podstavka Uredbe upućivanje na prikladne ili
odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na
kojem su stavljene na raspolaganje.
EVIDENCIJA AKTIVNOSTI OBRADE
Članak 17.
Društvo, ako je primjenjivo sukladno odredbama Uredbe, u pisanom obliku vodi
evidenciju aktivnosti obrade za koje je odgovorno. Ta evidencija sadržava sve
sljedeće informacije:
(a) ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog
voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu
podataka;
(b) svrhe obrade;
(c) opis kategorija ispitanika i kategorija osobnih podataka;
(d) kategorije primatelja kojima su osobni podaci otkriveni ili će im biti
otkriveni, uključujući primatelje u trećim zemljama ili međunarodne
organizacije;
(e) ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili
međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili
međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;
(f) ako je to moguće, predviđene rokove za brisanje različitih kategorija
podataka;
(g) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera.
Članak 18.
18.1 U slučaju povrede osobnih podataka Društvo će bez nepotrebnog odgađanja, a
najkasnije 72 sata nakon saznanja o toj povredi, izvijestiti nadležno nadzorno
tijelo o povredi osobnih podataka sukladno odredbama Uredbe, osim ako nije
vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode
pojedinaca.
18.2 Društvo dokumentira sve povrede osobnih podataka, uključujući činjenice
vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za
popravljanje štete.
18.3 U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok
rizik za prava i slobode pojedinaca, Društvo će bez nepotrebnog odgađanja
obavijestiti ispitanika o povredi osobnih podataka, sukladno odredbama Uredbe,
osim ako je Društvo poduzeo je odgovarajuće tehničke i organizacijske mjere
zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih
podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi
koja im nije ovlaštena pristupiti ili je Društvo poduzeo naknadne mjere kojima
se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i
slobode Ispitanika ili bi se time zahtijevao nerazmjeran napor.
Članak 19.
Ispitanik ima pravo na pritužbu nadležnom nadzornom tijelu ako smatra da obrada
osobnih podataka koja se odnosi na njega krši Uredbu, kao i prava na učinkovite
pravne lijekove i druga prava sukladno odredbama Uredbe.
Članak 20.
20.1 Suprotnost neke odredbe ovog Pravilnika s odredbom naknadno donesenog
zakona ili drugog propisa, ne utječe na valjanost ovog Pravilnika u cijelosti,
već će se umjesto odredbe suprotne zakonu ili drugom propisu neposredno
primijeniti odgovarajuća odredba zakona ili drugog propisa.
20.2 Ovaj Pravilnik stupa na snagu 25. Svibnja 2018.
U Požegi, 20. Svibnja 2018.
Motive Zastupanje d.o.o.
Martina Makarević, direktorica