Pravila privatnosti
- Home
- Pravila privatnosti
LINGUA GRUPA d.o.o., Zagreb, Mihanovićeva 20, OIB: 04550695038, koje zastupa
direktorica gđa. Ivana Lieli
(u daljnjem tekstu: Voditelj obrade ili Poslodavac)
Na temelju UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27.
travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom
kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća
uredba o zaštiti podataka), u daljnjem tekstu: Uredba i Zakona o zaštiti osobnih
podataka Voditelj obrade donosi slijedeći:
PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
Članak 1.
Ovim se Pravilnikom o zaštiti osobnih podataka (u daljnjem tekstu: „Pravilnik“)
propisuju pravila o prikupljanju, obradi i korištenju osobnih podataka, kao i pravila i
procedure zaštite osobnih podataka te vođenje evidencije istoj.
Članak 2.
Za potrebe ovog Pravilnika sljedeći pojmovi imaju definirano značenje:
1. „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet
utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest
osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć
identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni
identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki,
genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
2. „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim
podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo
neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija,
strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida,
uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi
način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
3. „pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci
više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod
uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i
organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati
pojedincu čiji je identitet utvrđen ili se može utvrditi;
4. „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo
tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih
podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom
države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se
predvidjeti pravom Unije ili pravom države članice;
5. „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili
drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
6. „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo
kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.
7. „privola” ispitanika znači svako dobrovoljno, posebno, informirano i
nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom
radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
Članak 3.
Prilikom obrade osobnih podataka Voditelj obrade poštuje sljedeća načela:
(a) zakonitosti, poštenosti i transparentnosti;
(b) ograničavanja svrhe;
(c) smanjenja količine podataka;
(d) točnost;
(e) ograničenje pohrane;
(f) cjelovitosti i povjerljivosti;
(g) pouzdanosti.
Članak 4.
Obrada je zakonita samo ako, i u onoj mjeri, u kojoj je ispunjeno najmanje jedno od
sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više
posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se
poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke
osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju
službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane,
osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji
zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Članak 5.
Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne
utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Povlačenje
dostavlja se u pisanom obliku Voditelju obrade.
Članak 6.
Radniku zaposlenom kod Voditelja obrade, u svojstvu ispitanika, se pružaju sljedeće
informacije u smislu odredbe čl. 13. Uredbe:
(a) identitet i kontaktne podatke voditelja obrade: LINGUA GRUPA d.o.o., Zagreb,
Mihanovićeva 20, OIB: 04550695038, Hrvatska, info@linguagrupa.hr, Tel: +385 (0)14576 666
(b) kontaktne podatke službenika za zaštitu podataka: ime i prezime, na adresi
LINGUA GRUPA d.o.o., Zagreb, Mihanovićeva 20, Hrvatska, Tel: +385 (0)1 4576 666
(c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za
obradu: poštivanje pravnih obaveza voditelja obrade, zaštita ključnih interesa
ispitanika, za potrebe legitimnih interesa Voditelja obrade ili treće strane
(d) legitimni interesi voditelja obrade ili treće strane: unaprijeđenje usluga, obrada
podataka u statističke svrhe.
(e) primatelji ili kategorije primatelja osobnih podataka: posrednici i/ili suradnici
Voditelja obrade i/ili treće osobe u ugovornom odnosu sa Voditeljem obrade,
primjerice računovodstvo ili partner kod „on-line“testiranja.
(f) Za slučaj namjere prijenosa osobnih podataka na teritorij treće zemlje ili
međunarodne organizacije, Voditelj obrade će osobne podatke prenijeti trećoj
zemlji ili međunarodnoj organizaciji uz uvjet zadovoljavanja uvjeta i propisa iz
područja obrade osobnih podataka.
(g) razdoblje u kojem će osobni podaci biti pohranjeni/kriteriji kojima se utvrdilo to
razdoblje: 10 godina od pohrane.
(h) ispitanik ima pravo od Voditelja obrade zatražiti pristup osobnim podacima i
ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na
ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost
podataka;
(i) ako se obrada temelji na danoj privoli ispitanika, ispitanik je ovlašten u bilo kojem
trenutku povući privolu, a da to ne utječe na zakonitost obrade koja se temeljila na
privoli prije nego što je ona povučena;
(j) pravo je ispitanika podnijeti prigovor nadzornom tijelu;
(e) Pružanje osobnih podataka je zakonska obveza, te uvjet nužan za sklapanje
ugovora.
(f) ne postoji automatizirano donošenje odluka.
Članak 7.
Ispitanik ima pravo na pristup te posljedično ishoditi od Voditelja obrade potvrdu
obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci
obrađuju, pristup osobnim podacima i propisanim informacijama.
Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik
ima pravo biti informiran o odgovarajućim zaštitnim mjerama koje se odnose na
prijenos.
Članak 8.
Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od Voditelja obrade
ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe
obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i
davanjem dodatne izjave.
Članak 9.
Ispitanik ima pravo od Voditelja obrade ishoditi brisanje osobnih podataka koji se na
njega odnose bez nepotrebnog odgađanja te Voditelj obrade ima obvezu obrisati
osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih
uvjeta:
(a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi
način obrađeni;
(b) ispitanik povuče privolu na kojoj se obrada temelji i ako ne postoji druga pravna
osnova za obradu;
(c) ispitanik uloži propisani prigovor na obradu te ne postoje jači legitimni razlozi za
obradu;
(d) osobni podaci nezakonito su obrađeni;
(e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili
prava države članice kojem podliježe Voditelj obrade;
(f) osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva.
Odredba st. 1. ovog članka se ne primjenjuje u mjeri u kojoj je obrada nužna.
Članak 10.
Ispitanik ima pravo od Voditelja obrade ishoditi ograničenje obrade sukladno
uvjetima koji su propisani pozitivnom legislativom.
Članak 11.
Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje
obrade primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže
nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavještava ispitanika
o tim primateljima ako to ispitanik zatraži.
Članak 12.
Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je
pružio Voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno
čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez
ometanja od strane Voditelja obrade kojem su osobni podaci pruženi, ako:
(a) se obrada temelji na privoli ili na ugovoru u kojem je ispitanik stranka ili kako bi
se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
(b) obrada se provodi automatiziranim putem.
Članak 13.
Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti
prigovor na obradu osobnih podataka koji se odnose na njega, uključujući izradu
profila. Voditelj obrade više ne smije obrađivati osobne podatke osim ako Voditelj
obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese,
prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih
zahtjeva.
Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom
trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na
njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je
povezana s takvim izravnim marketingom.
Članak 14.
Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na
automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji
se na njega odnose ili na sličan način značajno na njega utječu.
Stavak 1. ne primjenjuje se ako je odluka:
(a) potrebna za sklapanje ili izvršenje ugovora između ispitanika i Voditelja obrade
podataka;
(b) dopuštena pravom Unije ili pravom države članice kojem podliježe Voditelj
obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te
legitimnih interesa ispitanika; ili
(c) temeljena na izričitoj privoli ispitanika.
Članak 15.
Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg,
kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava
i slobode pojedinaca, Voditelj obrade provodi odgovarajuće tehničke i
organizacijske mjere kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na
rizik.
Stupanj rizika procjenjuje se sukladno sljedećoj tablici u odmjeravanjima utjecaja na
prava i slobode ispitanika u odnosu na vjerojatnost povrede:
Voditelj obrade u smislu odgovarajućih organizacijskih, tehničkih i kadrovskih mjera
primjenjuje ovisno o stupnju rizika sigurnosti:
minimiziranje obrade osobnih podataka
pseudonimizaciju i enkripciju
praćenje obrade od strane ispitanika
unaprjeđenje informatičke sigurnosti
mjere fizičke zaštite
obuka zaposlenika o zaštiti podataka itd.
Članak 16.
U slučaju povrede osobnih podataka Voditelj obrade bez nepotrebnog odgađanja i,
ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno
tijelo nadležno o povredi osobnih podataka, osim ako nije vjerojatno da će povreda
osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje
nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Članak 17.
U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za
prava i slobode pojedinaca, Voditelj obrade bez nepotrebnog odgađanja
obavješćuje ispitanika o povredi osobnih podataka.
Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od
sljedećih uvjeta:
(a) Voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite
i te su mjere primijenjene na osobne podatke pogođene povredom osobnih
podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi
koja im nije ovlaštena pristupiti, kao što je enkripcija;
(b) Voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije
vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;
(c) time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno
obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran
način.
Članak 18.
Voditelj obrade imenuje službenika za zaštitu podataka.
Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
– vodi brigu o zakonitosti obrade osobnih podataka u smislu poštivanja odredbi
Zakona o zaštiti osobnih podataka;
– upozorava voditelja obrade na nužnost primjene propisa o zaštiti osobnih
podataka u slučajevima planiranja i radnji koje mogu imati utjecaj na pitanje
privatnosti i zaštitu osobnih podataka;
– upoznaje sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim
obvezama u svrhu zaštite osobnih podataka;
– brine o izvršenju obveza iz članka 14. i 17. Zakona o zaštiti osobnih podataka;
– omogućava ostvarivanje prava ispitanika iz članka 19. i 20. Zakona o zaštiti osobnih
podataka;
– surađuje s Agencijom za zaštitu osobnih podataka u vezi s provedbom nadzora nad
obradom osobnih podataka
– obavlja zadaću informiranja i savjetovanja voditelja obrade ili izvršitelja obrade te
zaposlenika koji obavljaju obradu o njihovim obvezama Uredbe te drugim
odredbama Unije ili države članice o zaštiti podataka
– prati poštovanje Uredbe te drugih odredaba Unije ili države članice o zaštiti
podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih
podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje
osoblja koje sudjeluje u postupcima obrade te povezane revizije
– pruža savjete, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka
i praćenje njezina izvršavanja
– surađuje s nadzornim tijelom
– djeluje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što
uključuje i prethodno savjetovanje te savjetovanje, prema potrebi, o svim drugim
pitanjima.
Službenik za zaštitu osobnih podataka dužan je čuvati povjerljivost svih informacija
i podataka koje sazna u obavljanju svojih dužnosti. Ova obveza traje i nakon
prestanka obavljanja dužnosti službenika za zaštitu osobnih podatka.
Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku
povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe
obrade.
Članak 19.
Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon
prijenosa u treću zemlju ili međunarodnu organizaciju odvija se jedino ako Voditelj
obrade djeluju u skladu s uvjetima iz poglavlja V. Uredbe, koji vrijede i za daljnje
prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu
treću zemlju ili međunarodnu organizaciju.
Članak 20.
Svaki ispitanik ima pravo podnijeti pritužbu nadzornom tijelu, ako ispitanik smatra
da obrada osobnih podataka koja se odnosi na njega krši Uredbu.
Ispitanik ima pravo na učinkoviti pravni lijek ako smatra da su mu zbog obrade
njegovih osobnih podataka protivno Uredbi prekršena njegova prava iz Uredbe.
Članak 21.
Podaci se prikupljaju prvenstveno neposredno od ispitanika, a ukoliko to nije
moguće, posrednim putem; usmeno ili pismeno, temeljem javnih isprava ili druge
dokumentacije (prijave, odjave, odluke, ugovori, diplome, uvjerenja i sl.) kojima
ispitanik raspolaže.
Da bi se izbjegao neovlašteni pristup osobnim podacima, dokumenti koje sadrže
osobne podatke, a vode se u pisanom obliku (Platne liste i sl.) čuvaju se u
registratorima, u zaključanim ormarima, kojima pristup ima isključivo ovlaštena
osoba – direktor i eventualno koja druga osoba po pisanom ovlaštenju Voditelja
obrade, a podaci u računalu štite se dodjeljivanjem korisničkog imena i lozinke koja
je poznata isključivo osobama koji obrađuju te podatke, odnosno imaju pristup
predmetnim podacima u sklopu obavljanja posla svog radnog mjesta.
Članak 22.
Evidencija zaposlenika – Zbirka se počinje voditi na dan zasnivanja radnog odnosa, a
prestaje se voditi na dan prestanka radnog odnosa, dok se dokumenti o zaposleniku
za kojeg se prestane voditi evidencija zaposlenika čuvaju kao dokument trajne
vrijednosti sukladno Pravilniku o sadržaju i načinu vođenja evidencije o radnicima.
Članak 23.
Radnici su obvezni Poslodavcu dostaviti sve osobne podatke utvrđene propisima
radi vođenja evidencija, a radi ostvarivanja prava i obveza iz radnog odnosa, što
osobito uključuje: podatke koji se odnose na obračun poreza na dohodak, podatke
o školovanju i određenim specijalističkim znanjima, zdravstvenom stanju, utvrđenoj
invalidnosti, o ugovornoj zabrani utakmice s prethodnim poslodavcem, podatke
vezane uz zaštitu majčinstva i drugo.
Promjene u podacima iz prethodnog stavka moraju se pravodobno dojaviti
ovlaštenoj osobi. Radnici koji ne dostave utvrđene podatke ili obavijest o promjeni
podataka (adresa prebivališta i sl.), snose štetne posljedice tog propusta.
Članak 24.
Osobni podaci Radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim
osobama samo ako je to određeno Zakonom o radu ili drugim zakonom ili prisilnim
propisom, ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa,
odnosno u svezi s radnim odnosom ili uz privolu Radnika.
U slučaju obrađivanja osobnih podataka Radnika na temelju privole, Radnik može
ugovorom o radu ili zasebnim dokumentom dati privolu za obradu osobnih
podataka, primjerice ovlastiti Poslodavca da njegov životopis/CV i/ili certifikat kojeg
je Radnik stekao ili neki drugi dokument na kojem se nalaze osobni podaci Radnika,
Poslodavac dostavlja trećim osobama na području Republike Hrvatske i/ili izvan
područja Republike Hrvatske, i to u svrhu naznačenu u privoli.
Poslodavac posebno imenuje osobu koja smije podatke o radnicima prikupljati,
koristiti i dostavljati trećim osobama, samo radi ostvarivanja prava i obveza iz
radnog odnosa, odnosno u svezi s radnim odnosom.
Članak 25.
Radnici su dužni u tijeku rada postupati sa osobitom pažnjom prilikom obrade (uvid,
prikupljanje, snimanje, spremanje, prilagodba, izmjena, povlačenje, korištenje,
otkrivanje, objavljivanje, prijenos) osobnih podataka (svaki podatak pomoću kojega
je moguće izravno ili neizravno identificirati fizičku osobu).
Obrada osobnih podataka ograničena je samo na najnužnije osobne podatke potrebne za
postizanje dopuštene svrhe. Zabranjeno je svako prikupljanje i obrada osobnih podataka bez
izričite upute/naloga nadređenog radnika ili Poslodavca. Za slučaj potrebe obrade osobnih
podataka u okviru radnog mjesta Radnika, obrada se mora vršiti u skladu sa prisilnim
propisima, internim pravilnicima, odlukama i uputama Poslodavca. Svaka druga obrada osobnih
podataka smatra se neovlaštenom obradom osobnih podataka te predstavlja kazneno djelo.
Radnik je dužan prema potrebi pojedinog projekta, a u skladu sa procjenom Poslodavca,
dodatno potpisati izjavu o tajnosti, među ostalima, i u pogledu čuvanja tajnosti osobnih
podataka.
Članak 26.
Osobni podaci sadržani u zbirkama štite se od slučajne ili namjerne zlouporabe,
uništenja, gubitka, neovlaštenih promjena ili pristupa, tehničkim, organizacijskim i
kadrovskim mjerama zaštite.
Osobne podatke zaposlenika smije prikupljati, obrađivati, koristiti i dostavljati
drugim korisnicima Službenik za zaštitu osobnih podataka ili druga osoba ovlaštena
od strane Voditelja obrade, koja je dužna potpisati izjavu o čuvanju tajnosti
podataka.
Nadzor da li se osobni podaci zaposlenika prikupljaju, obrađuju, koriste i dostavljaju
drugim korisnicima u skladu sa zakonom i ovim Pravilnikom obavlja Službenik za
zaštitu osobnih podataka imenovan od strane Voditelja obrade.
Službenik za zaštitu osobnih podataka mora podatke koje sazna u obavljanju
dužnosti brižljivo čuvati.
Zbirka se čuva u određenim prostorijama Voditelja obrade, na određenom računalu,
a istome može pristupiti isključivo direktor, Službenik za zaštitu osobnih podataka
ili druga osoba ovlaštena od strane Voditelja obrade putem dodijeljenog korisničkog
imena i pripadajuće propusnice.
Članak 27.
Obrađivanje osobnih podataka u okviru rada na način koji je suprotan prisilnim
propisima, pravilnicima ili internim odlukama Poslodavca ili odavanje tajne
predstavlja osobito tešku povredu obveza iz radnog odnosa zbog koje je moguće
izvanredno otkazati Ugovor o radu.
Članak 28.
Ovaj Pravilnik stupa na snagu osmog dana od dana objave na oglasnoj ploči Voditelja
obrade kao poslodavca.
U Zagrebu, 22.05.2018. godine