Politika zaštite podataka

Oznaka dokumenta: ZOP 1.0
Verzija: 1
Datum publiciranja:   01. 07. 2023.
Datum slijedeće revizije:    po potrebi
Vlasnik dokumenta: Službenik za zaštitu osobnih podataka Organizacije
ETERNIUM d.o.o., Ružići 25/i, 51213 Jurdani

 
UVOD
Organizacija  ETERNIUM d.o.o.   poštuje privatnost svojih korisnika, poslovnih partnera, komitenata i suradnika te poslovanje  temelji na uzajamnom povjerenju i transparentnosti. Važan čimbenik izgradnje povjerenja je  zaštita osobnih podataka. Jedna od najboljih praksi zaštite osobnih podataka definirana je Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27.4.2016. godine (u daljnjem tekstu Uredba). Uredba definira koja su prava pojedinaca tj. vlasnika podatka, a u skladu s tim i koje su obveze Organizacije ETERNIUM d.o.o.  kao voditelja obrade osobnih podataka i kao izvršitelja obrade osobnih podataka.

Uredba o zaštiti osobnih podataka iz 2016. godine (u daljnjem tekstu Uredba) zamjenjuje Direktivu o zaštiti osobnih podataka  95/46/EZ iz 1995. godine i supstituira zakone pojedinih država članica koji su kreirani u skladu sa spomenutom Direktivom. Glavna svrha donošenja Uredbe je zaštita prava i sloboda  fizičkih osoba te ograničavanje obrade osobnih podataka pojedinaca bez njihovog znanja. Ona opisuje načine na koje organizacije, uključujući Organizaciju ETERNIUM d.o.o.,  moraju prikupljati, obrađivati u pohranjivati osobne podatke. Pravila definirana Uredbom moraju se primjenjivati neovisno o tome jesu li podaci prikupljeni i pohranjeni u elektronskom obliku, na papiru ili na drugim medijima. Da bi se pridržavala Zakona, Organizacija ETERNIUM d.o.o.  podatke mora prikupljati i koristiti pravično, sigurno ih pohranjivati pri čemu isti ne smiju biti nezakonito otkriveni.

Uredba se primjenjuje na sve, djelomično ili u cijelosti automatizirane, postupke obrade osobnih podataka, te na  obradu ostalih osobnih podataka (npr. u papirnatom obliku) koji su sastavni dio  organizacije.
U teritorijalnom smislu, Uredba se primjenjuje na sve voditelje i izvršitelje obrade osobnih podataka koji su osnovani u Europskoj uniji (EU) i koji obrađuju osobne podatke za potrebe voditelja i/ili izvršitelja obrade osobnih podataka. Osim navedenog, Uredba se primjenjuje  i na sve voditelje obrade izvan EU čija obrada osobnih podataka omogućuju nuđenje robe i usluga i/ili praćenje ponašanja vlasnika osobnih podataka unutar granica EU.
Ovom Politikom uređuju se načela i pravila kojih se Organizacija ETERNIUM d.o.o.  i svi suradnici, ugovorni partneri i druge fizičke i pravne osobe koje rade u ime Organizacije ETERNIUM d.o.o., pridržavaju prilikom prikupljanja, obrade i čuvanja svih skupina osobnih podataka, a kako bi se zadovoljili visoko postavljeni standardi usklađeni sa postojećim zakonskim odredbama.
 
Razlozi postojanja ove Politike
  • Pridržavanje standarda definiranih ovom Politikom osigurava usklađenost prikupljanja, obrade i čuvanja osobnih podataka sa važećim Zakonom i Uredbom
  • Štite se prava zaposlenika, korisnika usluga i ostalih partnera Organizacije ETERNIUM d.o.o.
  • Transparentno se definiraju načini pohrane, obrade i čuvanja podataka pojedinaca
  • Politikom se štiti od rizika nezakonite distribucije povjerenih podataka

Ključni pojmovi

Sjedište – Glavno sjedište voditelja obrade osobnih podataka u EU je mjesto u kojem voditelj obrade osobnih podataka donosi ključne odluke o svrsi i načinu obrade osobnih podataka. Glavno sjedište Izvršitelja obrade osobnih podataka u EU je njegovo administrativno sjedište. Ako je voditelj obrade osobnih podataka registriran izvan granica EU, isti će morati imenovati predstavnika unutar granica EU. Njegove ovlasti i nadležnosti moraju omogućavati djelovanje u ime voditelja obrade osobnih podataka  uključujući sve vrste komunikacije s nadzornim tijelima.
Osobni podaci –  Svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (ispitanik); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički , fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Posebna kategorija osobnih podataka – Oni osobni podaci koji otkrivaju rasno ili etičko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili sindikalno članstvo, genetski podaci, biometrijski podaci prikupljani u svrhu jedinstvene identifikacije fizičke osobe, podaci o zdravlju ili podaci koji se odnose na seksualni život ili seksualnu orijentaciju fizičke osobe.
Voditelj obrade – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhu i način obrade osobnih podataka. Ako su svrha i način obrade određeni zakonom EU ili zakonom države članice, kriteriji za imenovanje voditelja obrade osobnih podataka mogu biti posebno definirani zakonom EU ili posebnim zakonom države članice.
Izvršitelj obrade – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Vlasnik podatka – Svaki živi pojedinac čiji su podaci, koje posjeduje organizacija  predmet neke vrste obrade.
Obrada – Bilo koji postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupu osobnih podataka, neovisno radi li se o automatiziranim sredstvima, kao što je prikupljanje, snimanje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, objavljivanje ili na drugi način stavljanje na raspolaganje, brisanje, uništenje i sl.
Izrada profila (Profiliranje) – svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka, za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.
Povreda osobnih podataka – kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Privola – U kontekstu Uredbe i ove Politike, Privola  predstavlja svaku dobrovoljno danu, specifičnu, informativnu i nedvosmislenu izjavu kojom ispitanik, vlasnik osobnog podatka daje suglasnost na obradu njegovih osobnih podataka ili osobnih podataka osoba koje zastupa.
Dijete – Uredba definira Dijete kao svaku osobu mlađu od 16 godine. Ovisno o zakonima pojedinih članica, dobna granica koja osigurava status djeteta može biti najmanje 16 godine. Obrada osobnih podataka djeteta dopuštena je samo ako je dobiven pristanak roditelja ili skrbnika. voditelj obrade osobnih podataka mora poduzeti razumne napore  kako bi provjerio da pristanak daje nositelj roditeljske odgovornosti nad djetetom.
Treća strana – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
Sustav pohrane – Svaki strukturirani skup osobnih podataka koji je dostupan prema određenim kriterijima, neovisne je li centraliziran, decentraliziran ili raspršen na funkcionalnoj ili zemljopisnoj osnovi.
Rizici
Ova Politika pomaže u zaštiti od realnih sigurnosnih rizika vezanih uz zaštitu osobnih podataka, uključujući
  1. Povredu povjerljivosti (podaci se obrađuju neprimjereno)
  2. Nemogućnost izbora načina obrade podataka (svi pojedinci trebaju biti slobodni odabrati način na koji organizacija ETERNIUM d.o.o. koristi podatke koji se odnose na njih)
  3. Povreda reputacije društva (gubitak reputacije u slučaju uspješnog hakerskog napada)
IZJAVA O POLITICI

Opseg politike
Pravila opisana ovom Politikom odnose se na
  1. Organizaciju ETERNIUM d.o.o.
  2. Sve zaposlenike Organizacije ETERNIUM d.o.o.
  3. Sve suradnike, komitente, ugovorne partnere i druge fizičke i pravne osobe koje rade u ime Organizacije ETERNIUM d.o.o.
Pravila se primjenjuju na sve podatke koje Organizacija ETERNIUM d.o.o. posjeduje u vezi s pojedincima koji se mogu identificirati. To može uključivati:
  • Imena pojedinaca
  • Adrese
  • E-mail adrese
  • Telefonske brojeve
  • Podaci o plaći
  • Podaci o broju djece
  • Podaci o broju uzdržavanih članova  i
  • sve druge podatke  koji se odnose na pojedinca

Izjava
Organizacija ETERNIUM d.o.o., Ružići 25/i, 51213 Jurdani, svi zaposlenici Organizacije ETERNIUM d.o.o.  te fizičke i pravne osobe koje rade za i u ime Organizacije ETERNIUM d.o.o.,  obavezuju se na poštivanje svih relevantnih zakona EU i država članica koji se odnose na osobne podatke i na prava i slobode pojedinaca proizašle iz spomenutih zakona, čije informacije prikuplja i obrađuje u skladu s Općom uredbom o zaštiti osobnih podataka.
Usklađenost s Uredbom opisana je ovom Politikom,  drugim relevantnim politikama te povezanim postupcima i procedurama.
Uredba i ova Politika odnose se na sve aktivnosti koje uključuju obradu osobnih podataka uključujući podatke o korisnicima roba i usluga, klijentima, zaposlenicima, dobavljačima i ostalim partnerima, kao i sve druge osobne podatke koje Organizacija ETERNIUM d.o.o. obrađuje iz bilo kojeg izvora.
Organizacija ETERNIUM d.o.o. definirala je standarde koji opisuju razinu zaštite privatnosti pojedinca i njegovih osobnih podataka, a koji su usklađeni s Uredbom EU o zaštiti osobnih podataka.
Službenik za zaštitu osobnih podataka odgovoran je za godišnju reviziju  evidencije obrade osobnih podataka u kontekstu bilo kakvih promjena u djelatnostima organizacije ETERNIUM d.o.o.  i svih dodatnih zahtjeva utvrđenih procjenom utjecaja na zaštitu podataka. Ova evidencija i procjena utjecaja na zaštitu podataka mora biti dostupna na zahtjev nadzornog tijela.
Pravila opisana ovom Politikom odnose se na sve zaposlenike Organizacije ETERNIUM d.o.o.  i treće strane, fizičke ili pravne osobe koje rade za ili po nalogu Organizacije ETERNIUM d.o.o. kao što su vanjski suradnici, ugovorni partneri i sl. Svako kršenje Uredbe ili pravila opisanih ovom Politikom biti će riješeno u skladu s disciplinskom politikom organizacije ETERNIUM d.o.o.  i može predstavljati kazneno djelo koje će biti prijavljeno odgovarajućim tijelima. Disciplinska politika organizacije u slučaju kršenja Uredbe i/ili pravila opisanih ovom politikom uključuje izvanredan otkaz radnog odnosa u slučaju da povredu učini zaposlenik organizacije ETERNIUM d.o.o., odnosno raskid poslovne suradnje u slučaju da povredu učine fizičke ili pravne osobe koje rade za ili po nalogu Organizacije ETERNIUM d.o.o. kao što su vanjski suradnici, ugovorni partneri i sl. Isto tako i eventualne novčane sankcije koje proizlaze iz kršenja Uredbi, a direktna su posljedica neodgovornog ponašanja zaposlenika organizacije ETERNIUM d.o.o. ili njegovih vanjskih suradnika, ugovornih partnera i sl. morat će nadoknaditi organizaciji ETERNIUM d.o.o.
Očekuje se da partner ili bilo koja treća strana koja radi u ime, po nalogu ili za Organizaciju ETERNIUM d.o.o. i koja bi mogla imati pristup osobnim podacima, pročita, razumije i poštuje pravila opisana ovom Politikom. Niti jedna treća strana ne može pristupiti osobnim podacima koje obrađuje Organizacija ETERNIUM d.o.o.  bez prethodno sklopljenog ugovora o povjerljivosti koji definira obveze trećih strana, u skladu s obvezama koje je preuzela i na koje se obavezala Organizacija ETERNIUM d.o.o. s aspekta zaštite osobnih podataka. Ugovor o povjerljivosti daje pravo odgovornim osobama Organizacije ETERNIUM d.o.o. da provede reviziju poštivanja ugovora o povjerljivosti.
Organizacija ETERNIUM d.o.o.  u ulozi izvršitelja obrade, obrađivati će podatke po nalogu voditelja obrade ili komitenta isključivo u skladu s pravilima koja definira Uredba, zakon pojedine zemlje članice i ova Politika. Organizacija ETERNIUM d.o.o. omogućiti će svakom voditelju obrade po čijem nalogu obrađuje osobne podatke, reviziju poštivanja ugovora o povjerljivosti.

ODGOVORNOSTI I ULOGE U SKLADU S UREDBOM

Voditelj i izvršitelj obrade
Osnovna djelatnost organizacije ETERNIUM d.o.o.  je posredovanje u poslovanju nekretnina, a usluge posredovanja pruža ugovornim klijentima (komitentima). Sklapanjem ugovora o posredovanju, organizacija ETERNIUM d.o.o. preuzima ulogu  izvršitelja obrade podataka. Preuzimanjem uloge izvršitelja obrade podataka, organizacija ETERNIUM d.o.o.  preuzima sve obveze i odgovornosti izvršitelja obrade prema komitentu (voditelju obrade), definirane Uredbom o zaštiti osobnih podataka, zakonom zemlje članice i obveze definirane ovom Politikom te se obvezuje svaku obradu vezanu uz poslovanje komitenta izvršavati isključivo po njegovom nalogu, a kako je definirano ugovorom o poslovnoj suradnji.
Osim funkcije izvršitelja obrade, organizacija ETERNIUM d.o.o.  je i  voditelj obrade osobnih podataka kako je definirano Uredbom. Menadžment i ostale osobe kojima je dodijeljena upravljačka ili nadzorna funkcija u Organizaciji  ETERNIUM d.o.o. odgovorni su za  razvoj i poticanje dobre prakse upravljanja informacijama u Organizaciji ETERNIUM d.o.o.

Službenik za zaštitu osobnih podataka
Kako bi dodatno osnažila sigurnost osobnih  podataka koje obrađuje, organizacija ETERNIUM d.o.o. imenovala je službenika za zaštitu osobnih podataka u skladu sa zahtjevima koje definira Uredba.
Opis poslova Službenika za zaštitu osobnih podataka definiran je dokumentom pod nazivom Obveze službenika za zaštitu osobnih podataka dok su odgovornosti definirane zasebnim dokumentom pod nazivom  Odgovornosti organizacije ETERNIUM d.o.o. vezane uz zaštitu osobnih podataka.  Službenik za zaštitu osobnih podataka trebao bi biti odgovoran upravi Organizacije ETERNIUM d.o.o.  vezano uz osiguravanje poštivanja zakonskih propisa o zaštiti osobnih podataka.
Službenik za zaštitu osobnih podataka, kojeg uprava Organizacije ETERNIUM d.o.o. smatra prikladno kvalificiranim, imenovan je u svrhu preuzimanja odgovornosti za svakodnevnu usklađenost Organizacije ETERNIUM d.o.o.  s ovom Politikom, a posebno sa Uredbom, u segmentu obrade osobnih podataka koja se obavlja unutar Organizacije ETERNIUM d.o.o..
Službenik za zaštitu osobnih podataka ima posebne odgovornosti vezane uz određene postupke kao što je  Postupak zahtjeva Ispitanika za pristup osobnim podacima. Također je obvezan pružiti sve relevantne informacije i odgovore na pitanja zaposlenicima Organizacije ETERNIUM d.o.o. vezana uz ovu Politiku i Uredbu.
Usklađenost sa zakonima o zaštiti osobnih podataka, odgovornost je svih zaposlenika Organizacije ETERNIUM d.o.o.  te fizičkih i pravnih osoba koje rade za i u ime Organizacije ETERNIUM d.o.o., a koji obrađuju osobne podatke.
Zaposlenici Organizacije ETERNIUM d.o.o. odgovorni su za osiguranje točnih i ažurnih podataka o njima samima te su dužni prijaviti svaku izmjenu kako bi podaci o zaposlenicima bili točni i ažurni.

NAČELA ZAŠTITE PODATAKA ORGANIZACIJE ETERNIUM d.o.o.

Svaka obrada osobnih podataka mora se provoditi u skladu s načelima zaštite podataka  minimalno kako je navedeno u Članku 5. Uredbe. Pravila i postupci koji definiraju obradu osobnih podataka u Organizaciji ETERNIUM d.o.o. kreirani su kako bi se osigurala usklađenost s načelima Uredbe i ovom Politikom.
Organizacija ETERNIUM d.o.o. kao izvršitelj obrade osobnih podataka
Organizacija ETERNIUM d.o.o. u skladu sa preuzetim ugovornim obvezama sa komitentom, preuzima ulogu izvršitelja obrade. Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom izvršitelja obrade i ima pristup osobnim podacima, neće obrađivati te podatke ako to ne zatraži komitent, osim ako to nalaže pravo Unije ili pravo države članice. Sklapanjem ugovora organizacija ETERNIUM d.o.o. preuzela je  obveze kao izvršitelj obrade, su kako slijedi:
1.1.1.   Organizacija ETERNIUM d.o.o. ovom politikom i ostalim vezanim politikama jamči provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada povjerenih podataka u skladu sa zahtjevima Uredbe i da se njome osigurava zaštita prava ispitanika.
1.1.2.   Organizacija ETERNIUM d.o.o. neće angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja komitenta. U slučaju općeg pisanog odobrenja, organizacija ETERNIUM d.o.o. će obavijestiti komitenta o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time komitentu omogućila ulaganje prigovora na takve izmjene.
1.1.3.   Obrada koju provodi organizacija ETERNIUM d.o.o. uređena je ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice. Ugovorom ili drugim pravnim aktom Organizacija ETERNIUM d.o.o. se obvezuje prema komitentu koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava komitenta. Tim se ugovorom ili drugim pravnim aktom osobito određuje da organizacija ETERNIUM d.o.o.:

  1. obrađuje osobne podatke samo prema zabilježenim uputama komitenta, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju će organizacija ETERNIUM d.o.o. izvijestiti komitenta  o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;
  2.  osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
  3. poduzima sve potrebne mjere u skladu s člankom 32. Uredbe;
  4. poštuje uvjete iz stavaka 2. i 4. članka 28 Uredbe za angažiranje drugog izvršitelja obrade;
  5. uzimajući u obzir prirodu obrade, organizacija ETERNIUM d.o.o. će pomoći komitentu putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu komitenta u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III. Uredbe;
  6. pomaže komitentu  u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36 Uredbe, uzimajući u obzir prirodu obrade i informacije koje su dostupne organizaciji ETERNIUM d.o.o.;
  7. po izboru voditelja, briše ili vraća komitentu sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;
  8. komitentu stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih člankom 28  Uredbe  i koje omogućuju revizije, uključujući inspekcije, koje provodi komitent ili drugi revizor kojeg je komitent ovlastio, te im doprinose;
  9. u pogledu prethodnih točki, organizacija ETERNIUM d.o.o. odmah obavješćuje komitenta ako prema njegovu mišljenju određena uputa krši Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.
1.1.4.   Ako organizacija ETERNIUM d.o.o. angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime komitenta, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između Organizacija ETERNIUM d.o.o. i komitenta iz prethodne točke,  nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, organizacija ETERNIUM d.o.o. ostaje u cijelosti odgovorna komitentu za izvršavanje obveza tog drugog izvršitelja obrade.
1.1.5.   Ugovor ili drugi pravni akt iz točki 3. i 4. ovog stavka, mora biti upisanom obliku, uključujući elektronički oblik.
1.1.6.   Organizacija ETERNIUM d.o.o. i predstavnik organizacije ETERNIUM d.o.o., vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:
  1. ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
  2. kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
  3. ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama; ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

1.1.7.   Organizacija ETERNIUM d.o.o. neće preispitivati i utvrđivati zakonitost obrade osobnih podataka koju nalaže komitent ili neki drugi voditelj obrade. Takvu obradu neće ni ograničavati, no o svim uočenim nepravilnostima obavijestiti će komitenta ili drugog voditelja obrade po čijem nalogu postupa. Unatoč tome, ukoliko organizacija ETERNIUM d.o.o. procijeni da bi zahtijevana obrada mogla na bilo koji način negativno utjecati na njezin integritet i publicitet te, u konačnici na financijsku stabilnost organizacije ETERNIUM d.o.o., usprotiviti će se traženoj obradi. O mogućim negativnim posljedicama za organizaciju i za komitenta ili drugog voditelja obrade izvijestiti će komitenta ili drugog voditelja obrade.
Organizacija ETERNIUM d.o.o. kao voditelj obrade osobnih podataka
Osobni podaci mogu se prikupljati samo  kada je svrha prikupljanja specifična, eksplicitna i legitimna
Podaci dobiveni samo za određenu svrhu ne smiju biti korišteni u neku drugu svrhu. Postupak zaštite privatnosti Organizacije ETERNIUM d.o.o.  opisan je dokumentom Postupci privatnosti.

Osobni podaci moraju biti:

  1. zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);
  2. prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s Člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);
  3. primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);
  4. točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);
Obrada prema važećem zakonu  podrazumijeva identificiranje zakonske  osnove prije same obrade osobnog podatka. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
  1. ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  2. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  3. obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
  4. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  5. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
  6. obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Poštena obrada podrazumijeva da je voditelj obrade osobnih podataka osigurao ispitaniku dostupnost svih potrebnih informacija. To se posebno odnosi na situacije u kojima se podaci prikupljaju direktno od ispitanika.
 
Transparentna obrada podrazumijeva pružanje svih relevantnih informacija ispitaniku kako je opisano u člancima 12, 13 i 14 Uredbe. Informacije moraju biti pružane u razumljivom obliku, koristeći jasan i razumljiv tekst.
 
Sa svim podacima koje organizacija ETERNIUM d.o.o. obrađuje, postupa se u skladu sa postupkom opisanom u dokumentima Postupci privatnosti  i Obavijesti o privatnosti.
 
Minimalna količina informacija koje moraju biti pružane ispitaniku su kako slijedi:
  1. Identitet i kontaktni podaci voditelja obrade osobnih podataka
  2. Kontakt podaci Službenika za zaštitu osobnih podataka
  3. Svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravna osnova za obradu
  4. Razdoblje  u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrđuje to razdoblje
  5. Postojanje prava Ispitanika da od voditelja obrade traži pristup osobnim podacima i ispravak ili brisanje osobnog podatka ili ograničenje obrade  koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka
  6. Postojanje prava da se u bilo kojem trenutku privola povuče , a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena.
  7. Pravo na podnošenje prigovora nadzornom tijelu
  8. Informaciju u tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže.
  9. Informaciju u postojanju automatizirane obrade podataka, što uključuje izradu profila te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade po ispitanika.
Osobni podaci moraju biti prikladni svrsi, relevantni i ograničeni u skladu s okvirima nužnim za obradu.

Prema definiranim obvezama, odgovornost službenika za zaštitu osobnih podataka je osigurati da Organizacija ETERNIUM d.o.o.  ne prikuplja podatke koji nisu nužno potrebni za ispunjenje svrhe za koju su prikupljani.  
Svi obrasci za prikupljanje osobnih podataka (elektronički ili papirnati) moraju uključivati izjavu o poštenoj obradi ili vezu na izjavu o privatnosti odobrenu od Službenika za zaštitu osobnih podataka.
Kako bi se osigurala adekvatnost, relevantnost i izbjeglo prekomjerno prikupljanje podataka, službenik za zaštitu osobnih podataka na godišnjoj razini revidira sve načine prikupljanja osobnih podataka .
Osobni podaci moraju biti točni i ažurni, a netočni podaci moraju biti brisani bez odgađanja.
Podaci čuvani u od strane voditelja obrade  moraju se redovito ažurirati. Isti ne smiju biti čuvani ukoliko nisu točni i ažurni.
Službenik za zaštitu osobnih podataka mora osigurati obuku zaposlenici Organizacije ETERNIUM d.o.o.  kako bi bili ispravno obučeni te mogli razumjeli važnost skupljanja i čuvanja samo točnih podataka.
Odgovornost je ispitanika Organizaciji ETERNIUM d.o.o.  osigurati točne i ažurne podatke. Ukoliko u procesu prikupljanja osobnih podataka postoji formalan obrazac za evidenciju podataka, isti će uključivati izjavu da su podaci navedeni u njoj točni na datum ispunjavanja obrasca.
Zaposlenici Organizacije ETERNIUM d.o.o. trebaju obavijestiti odgovorne osobe o svim promjenama okolnosti kako bi se omogućilo ažuriranje osobnih podataka. Odgovornost je Organizacije ETERNIUM d.o.o. zabilježiti svaku obavijesti o promjeni okolnosti koja ima utjecaj na točnu i ažurnu evidenciju.
Odgovornost je Službenika za zaštitu osobnih podataka osigurati prikladne postupke i politike kako bi se osigurala točnost i ažurnost osobnih podataka, uzimajući u obzir količinu prikupljenih podataka, brzinu kojom bi se količina podataka mogla mijenjati i druge relevantne čimbenike.
Najmanje jednom godišnje, Službenik za zaštitu osobnih podataka revidirati će datume do kojih se pojedini osobni podaci smiju čuvati. Podaci koje više nije potrebno čuvati moraju se izbrisati, uništiti ili anonimizirati u skladu s definiranim Postupkom za sigurno  odlaganje medija za pohranu podataka.
Službenik za zaštitu osobnih podataka odgovoran je za odgovaranje na zahtjeve Ispitanika u roku ne dužem od 30 dana. Rok može biti produžen za naredna dva mjeseca za složene zahtjeve. Ukoliko odgovorne osobe Organizacije ETERNIUM d.o.o.  odluče ne odgovoriti na zahtjev ispitanika, službenik za zaštitu osobnih podataka mora obrazloženje za ne postupanje dostaviti ispitaniku te obavijestiti istog o njegovom pravu na žalbu  nadzornom tijelu i mogućnost traženja pravnog lijeka.
Osobni podaci moraju se čuvati u obliku koji može identificirati vlasnika podatka samo onoliko dugo koliko je potrebno da bi se izvršila potrebna obrada tj. da bi se ostvarila svrha za koju su osobni podaci prikupljeni.
Kada se osobni podatak  čuva duže od perioda potrebnog za njegovu obradu odnosno nakon ispunjenja svrhe, takvi podaci biti će čuvani u obliku u kojem ih nije moguće na jednostavan način dovesti u vezu s vlasnikom podatka..
Osobni podaci čuvaju se kako je opisano Postupkom čuvanja osobnih podataka. Nakon isteka predviđenog roka čuvanja osobnih podataka, isti se moraju propisno uništiti kako je opisano u spomenutom Postupku čuvanja osobnih podataka.
Svako čuvanje osobnih podataka duže od onog navedenog u Postupku čuvanja osobnih podataka mora biti odobreno od strane Službenika za zaštitu osobnih podataka kako je opisano u pripadajućem postupku. Pri tome razlog za takvo postupanje mora biti jasno utvrđen te ne smije izlaziti iz okvira važećeg Zakona o zaštiti osobnih podataka. Odobrenje mora biti sastavljeno u pisanom obliku.
Osobni podaci moraju biti  obrađivani na siguran način. Službenik za zaštitu osobnih podataka provesti će postupak procjene rizika uzimajući u obzir sve okolnosti koje imaju utjecaj na obradu podataka i sigurnost obrade podataka u organizaciji ETERNIUM d.o.o.

Pri određivanju primjerenosti načina obrade osobnih podataka Službenik za zaštitu osobnih podataka treba u obzir uzeti opseg mogućih šteta koje bi mogle utjecati na pojedince u slučaju da dođe do povrede sigurnosti, kao posljedice bilo kakvog sigurnosnog propusta, uz direktan ili indirektan utjecaj na ugled organizacije i povjerenje korisnika, dobavljača i ostalih zainteresiranih skupina.

Prilikom ocjenjivanja odgovarajućih tehničkih mjera, Službenik za zaštitu osobnih podataka u obzir uzima slijedeće:
  1. Politiku zaštite lozinkom (opisanu dokumentom Politika sigurnosti informatičke infrastrukture)
  2. Automatsko zaključavanje opreme u mirovanju
  3. Ograničavanje korištenja USB i drugih medija (opisano dokumentima Politika sigurnosti informatičke infrastrukture, Politika pristupa i prava pristupa podacima i Upravljanje medijima za pohranu podataka)
  4. Instaliranu antivirusnu zaštitu i vatrozid (opisano dokumentom Politika sigurnosti informatičke infrastrukture)
  5. Pristupna prava temeljena na ulogama, uključujući i ona prava dodijeljena privremenom osoblju i posjetiteljima (opisano dokumentom Politika sigurnosti informatičke infrastrukture i Politika pristupa i prava pristupa podacima)
  6. Enkriptiranje uređaja koji napuštaju prostorije organizacije (prijenosna računala) (opisano dokumentom Politika sigurnosti informatičke infrastrukture)
  7. Sigurnost mrežnog sustava (opisano dokumentom Politika sigurnosti informatičke infrastrukture)
  8. Dodatne mogućnosti zaštite podataka kao što su pseudonimizacija i anonimizacija ukoliko je primjenjivo
  9. Unaprjeđivanje standarda sigurnosti u skladu s razvojem tehnologije

PRAVA ISPITANIKA

Dostupnost informacija
Dostupnost informacija osigurava da pojedinci postanu svjesni da se njihovi podaci obrađuju te da razumiju:

  1. Kako se podaci koriste
  2. Kako mogu ostvariti svoja prava

 Ispitanik ima slijedeća prava u vezi s obradom podataka koji se odnose na ispitanika:
  1. Ispitanik ima pravo od voditelja obrade tražiti pristup podacima koji se o njemu obrađuju
  2. Usprotiviti se obradi osobnih podataka koji se odnose na njega i obradi koja može prouzročiti štetu po ispitanika.
  3. Onemogućiti obradu osobnih podataka koji se odnose na njega, a obrađuju se u marketinške svrhe
  4. Biti informiran o metodama i algoritmima ukoliko se radi o automatskoj obradi podataka
  5. Tražiti naknadu štete sudskim putem ukoliko je ista uzrokovana
  6. Poduzeti aktivnosti koje rezultiraju ispravljanjem, brisanjem ili uništenjem netočnih osobnih podataka ili podataka za koje je uskraćena privola za obradu pri čemu ne postoji druga zakonska osnova da obradu
  7. Tražiti od nadzornog tijela procjenu kršenja neke od odredbi Uredbe
  8. Zahtijevati prijenos podataka kod drugih voditelja obrade
  9. Zaustavljanje bilo kakvog automatiziranog profiliranja, ukoliko za isto nije dan pristanak
 
U svrhu ostvarivanja prava ispitanika:
  1. Ispitanik može zahtijevati pristup osobnim podacima na način opisan u Postupku zahtjeva za pristup osobnim podacima. Postupak opisuje način na koji će Organizacija ETERNIUM d.o.o. osigurati odgovor na zahtjev ispitanika koji udovoljava zahtjevima Uredbe.
  2. Ispitanik ima pravo žalbe Organizaciji ETERNIUM d.o.o. vezane  uz obradu njegovih osobnih podataka i upravljanje zahtjevom za ostvarivanje njegovih prava u skladu s propisanim Postupkom u slučaju pritužbe

PRIVOLA
Organizacija ETERNIUM d.o.o. smatra da Privola  predstavlja svaku dobrovoljno danu, specifičnu, informativnu i nedvosmislenu izjavu kojom ispitanik, vlasnik osobnog podatka daje suglasnost na obradu njegovih osobnih podataka ili osobnih podataka osoba koje zastupa. Privola se može povući u bilo kojem trenutku na približno jednostavan način na koji je i dana.
Za Organizaciju ETERNIUM d.o.o. davanje Privole znači da je ispitanik u potpunosti obaviješten o namjeravanoj obradi osobnih podataka. Svaka Privola dobivena pod prisilom ili na temelju zablude nije važeća i ne može biti osnova za obradu osobnih podataka ispitanika.
Dobivanje Privole od strane ispitanika zahtjeva aktivnu komunikaciju između obje strane  (voditelj obrade i ispitanik). Neodgovaranjem na postavljeni upit od strane ispitanika Privola ne može biti važeća tj. pristanak se ne može pretpostaviti. Voditelj obrade osobnih podataka mora biti u stanju dokazati da je dobio pristanak na obradu osobnih podatka.
Kada se radi o posebnim podacima, privola mora biti u pismenom obliku, kako je opisano u dokumentu  Postupak dobivanja suglasnosti. Ukoliko postoji alternativna legitimna osnova za obradu osobnih podataka, davanje privole nije obavezno ili ne mora biti dano u pismenom obliku.
U većini slučajeva, pristanak za obradu osobnih i posebnih podataka dio je standardnih obrazaca tj. pisanih dokumenata koji su sastavni dio dokumentacije i koje ispitanik (korisnik, poslovni partner) potpisuje u skladu s definiranim internim postupcima.
Pravo je ispitanika da u svakom trenutku povuče suglasnost za obradom njegovih osobnih podataka. Povlačenje suglasnosti za povlačenje osobnih podataka opisano je u dokumentu pod nazivom Postupak povlačenja suglasnosti.

SIGURNOST PODATAKA

Svi zaposlenici Organizacije ETERNIUM d.o.o. i druge osobe koje rade za i u ime Organizacije ETERNIUM d.o.o., odgovorni su za sigurnost svih osobnih podataka koje Organizacija ETERNIUM d.o.o.  posjeduje i obrađuje. Podatke trebaju čuvati na sigurnom mjestu koje ne omogućava otkrivanje osobnih podataka trećoj strani osim ako trećoj strani izričito nije dozvoljeno da podatke primi uz prethodno sklopljeni ugovor o povjerljivosti. U tom slučaju treća strana prihvaća uvjete ove Politike i potvrđuje da zadovoljava uvjete sigurnosti opisane općom Uredbom.
Svi osobni podaci dostupni su samo onim osobama kojima su potrebni za ispunjenje njihovih poslovnih zadaća, a pristup može biti odobren samo u skladu s Politikom kontrole pristupa i Politikom sigurnosti informatičke infrastrukture. U segmentu sigurnosti, Organizacija  ETERNIUM d.o.o.  se prema osobnim podacima odnosi s najvećom pažnjom. Iz tog razloga, svi osobni podaci moraju se čuvati:

  1. U zaključanoj prostoriji s kontroliranim pristupom
  2. U zaključanoj ladici ili ormaru
  3. Ukoliko se radi o digitalnim podacima, isti moraju biti zaključani lozinkom u skladu s prihvaćenom Politikom sigurnosti informatičke infrastrukture
  4. Pohranjeni na računalnim medijima koji su šifrirani u skladu s opisanom postupkom pod nazivom Upravljanje medijima za pohranu podataka.

Računalni monitori ne smiju biti vidljivi trećim stranama, osim ovlaštenim osobama od strane organizacije. Svi zaposlenici dužni su sklopiti Ugovor o prihvatljivoj upotrebi opreme  prije davanja dozvole pristupa informacijama bilo koje vrste  u posjedu organizacije.
Pisani zapisi ne smiju biti ostavljeni u prostorijama u koje mogu pristupiti neovlaštene osobe te ne smiju biti uklonjeni iz sigurnog područja bez izričitog pisanog odobrenja. U trenutku kada pisani zapisi više nisu potrebni za obavljanje poslovnih zadaća, moraju biti uklonjeni u skladu s propisanim postupcima.
Osobni podaci mogu se izbrisati ili premjestiti samo u skladu s prihvaćenim  Postupkom čuvanja zapisa. Pisani zapisi koji se čuvaju do datuma čuvanja propisanog pripadajućom politikom trebaju se uništiti ili zbrinuti kao povjerljivi podaci. Hard diskovi računala koja više nisu u upotrebi moraju se uništiti kako je opisano postupkom  Upravljanje medijima za pohranu podataka.
Obrada osobnih podataka izvan Organizacije ETERNIUM d.o.o.  predstavlja potencijalno veći rizik gubitka, krađe ili uništenja osobnih podataka. Zaposlenici organizacije  ETERNIUM d.o.o.  i druge osobe koje rade za i u ime Organizacije  ETERNIUM d.o.o.  moraju dobiti posebno ovlaštenje za takvu obradu osobnih podataka.

OBJAVLJIVANJE PODATAKA

U određenim okolnostima  Uredba omogućuje otkrivanje osobnih podataka agencijama i državnim tijelima koje provode zakon, bez suglasnosti vlasnika podatka/ispitanika. U takvim će okolnostima Organizacija ETERNIUM d.o.o.  otkriti tražene podatke. Međutim, odgovorna osoba društva će, prije otkrivanja podataka, osigurati da je zahtjev legitiman tražeći pomoć pravnih savjetnika ili nadzornih tijela s područja zaštite osobnih podataka.
Organizacija ETERNIUM d.o.o.  mora osigurati da se osobni podaci ne otkrivaju neovlaštenim trećim osobama koje uključuju članove obitelji, prijatelje, državna tijela i, u određenim okolnostima, policiji. Svi zaposlenici moraju biti upoznati s načinom postupanja ukoliko se od njih traži da otkriju osobne podatke trećoj strani.
Svi zahtjevi za dostavom osobnih podataka moraju biti praćeni prikladnom dokumentacijom, a svako objavljivanje mora biti posebno odobreno od strane Službenika za zaštitu osobnih podataka.

ČUVANJE I RASPOLAGANJE PODACIMA

Organizacija ETERNIUM d.o.o.  ne smije čuvati osobne podatke koji mogu identificirati pojedinca, duže od vremena potrebnog za ispunjenje svrhe za koju su podaci prikupljani.
Organizacija ETERNIUM d.o.o.  može čuvati podatke i dulji period od perioda predviđenog zakonom ili prihvaćenom politikom ukoliko se podaci obrađuju u svrhu javnog interesa, znanstvenih i povijesnih istraživanja ili u statističke svrhe. I u tom slučaju neophodno je provesti odgovarajuće tehničke i organizacijske mjere za zaštitu prava i slobode ispitanika.
Period čuvanja podataka iz svake zasebne kategorije osobnih podataka definiran je   Postupkom čuvanja zapisa   zajedno s kriterijima kojima se utvrđuju rokovi čuvanja uključujući i sve zakonske obveze kojih se  Organizacija ETERNIUM d.o.o.  mora pridržavati.
Osobni podaci povjereni na obradu Organizaciji ETERNIUM d.o.o.  obrađuju se na odgovarajući način kako bi ostali sigurni, čime se štite prava i slobode ispitanika. Svako odlaganje osobnih podataka vrši se u skladu s prihvaćenim postupkom sigurnog odlaganja opisanog u postupku Upravljanje medijima za pohranu podataka.

PRIJENOS PODATAKA U TEĆE ZEMLJE

Svaki prijenos podataka iz Europskog ekonomskog područja u treće zemlje nezakonit je ako ne postoji odgovarajuća razina zaštite temeljnih prava ispitanika.
Europska komisija procjenjuje treće zemlje, teritorij i/ili određene sektore unutar trećih zemalja kako bi procijenila postoji  li odgovarajuća razina zaštite prava i sloboda fizičkih osoba. U slučaju trensfera osobnih podataka u zemlje koje zadovoljavaju kriterije sigurnosti, nije potrebna dozvola nadzornog tijela za transfer osobnih podataka u te zemlje/teritorije.
Zemlja članica Europskog ekonomskog područja, iako nije zemlja Europske unije zadovoljava tražene uvjete.
Organizacija ETERNIUM d.o.o.  može usvojiti vlastita pravila o prijenosu osobnih podataka u treće zemlje. U tom slučaju, pravila je potrebno prijaviti nadležnom nadzornom tijelu koje će izdati mišljenje te pravila odobriti ili odbiti.
Ukoliko nije zadovoljen niti jedan od prethodno navedenih uvjeta, prijenos podataka u treće zemlje ili međunarodnu organizaciju moguće je napraviti samo uz jedan od slijedećih uvjeta:

  • Ispitanik je izričito pristao na predloženi prijenos, nakon što je obaviješten o mogućim rizicima takvog prijenosa.
  • Prijenos je neophodan za ispunjenje ugovornih obveza između ispitanika i voditelja obrade/izvršitelja obrade ili provedbe predugovorenih mjera poduzetih na zahtjev ispitanika
  • Prijenos je neophodan za zaključivanje ili izvršenje ugovora sklopljenog  u interesu ispitanika između voditelja obrade/izvršitelja obrade i druge fizičke ili pravne osobe.
  • Prijenos je neophodan zbog javnog interesa
  • Prijenos je neophodan za izvršenje pravne svrhe
  • Prijenos je potreban kako bi se zaštitili vitalni interesi ispitanika ili drugih osoba, kada ispitanik nije u mogućnosti dati privolu.

VLASNIŠTVO I ODOBRENJE DOKUMENTA

Vlasnik ovog dokumenta je službenik za zaštitu osobnih podataka Organizacije
ETERNIUM d.o.o. Vlasnik dokumenta mora izvršiti reviziju ove Politike sukladno prethodno navedenim zahtjevima.  Trenutna verzija ovog dokumenta dostupna je svim djelatnicima Organizacije ETERNIUM d.o.o. na poslovnoj adresi Ružići 25/i, 51213 Jurdani te je javno objavljena na Internet stranicama organizacije https://eternium.hr

Politiku je odobrila uprava Organizacije ETERNIUM d.o.o. dana 01.07.2023.

Datum: 01.07.2023.                                                                                                Odobrio:


                                                                                              __1689344199_image-20230714161638-1.jpeg______
                                                                                                        Mauro Slavić