Politika privatnosti

I. UVODNE ODREDBE

Opća uredba o zaštiti podataka ili GDPR (engl. General Data Protection Regulation) je uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka.

Ovom Politikom o sustavu upravljanja osobnim podacima i zaštiti privatnosti (dalje: „Politika“) Uprava društva iskazuje stav Društva u odnosu na zaštitu osobnih podataka; utvrđuje pravila, način prikupljanja i korištenja osobnih podataka, kao i pravo pojedinca na zaštitu istih.

Osobni podaci koje Društvo prikuplja i obrađuje u svom radu smatraju se povjerljivim podacima s kojima je nužno postupati s posebnom pažnjom te ih je dopušteno obrađivati isključivo u svrhe za koje su prikupljeni.

II. PODRUČJE PRIMJENE

Ova Politika se primjenjuje na sve vrste obrade podataka u sklopu Društva bez obzira na mjesto prikupljanja.

III. ZNAČENJE POJMOVA

Osobni podatak – svaki podatak koji se odnosi na fizičku osobu (pojedinca) čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, posebno na osnovi imena, identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet.

Ispitanik – fizička osoba (pojedinac) čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi imena, identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet.

Obrada – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Posebne kategorije osobnih podataka – podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje ili podaci o spolnom životu ili seksualnoj orijentaciji pojedinca.

Podaci koji se odnose na zdravlje – osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga kojima se daju informacije o njegovu zdravstvenom statusu.

Voditelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Treća strana – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

Primatelj – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade.

Privola ispitanika – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Zaštita osobnih podataka – zaštita od povrede osobnih podataka koja znači kršenje sigurnosti, a koje kršenje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

IV. SVRHA I PRAVNA OSNOVA ZA OBRADU OSOBNIH PODATAKA

Društvo prikuplja i obrađuje osobne podatke jer su oni neophodni za izvršavanje aktivnosti kojima se Društvo bavi, bilo da je riječ o poduzimanju radnji na zahtjev stranke prije ugovaranja poslovnog odnosa ili obavljanju usluga koje proizlaze iz poslovnog odnosa sa strankom. Konkretni podaci koji se prikupljaju i dalje obrađuju, bitno ovise o traženim i ugovorenim uslugama.

Prikupljeni podaci se obrađuju isključivo u svrhu u koju su dani, moguće utemeljenu na jednoj od pravnih osnova, kako slijedi:

  • obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
    (npr. dostavljanje ponude za tražene usluge / obavljanje usluga koje proizlaze iz poslovnog odnosa sa strankom)
  •  obrada je nužna radi poštovanja pravnih obveza Društva
    (npr. dostavljanje dokumentacije, evidencija i podataka o obavljenim aktivnostima tijelu nadležnom za praćenje i unaprjeđivanje zaštite na radu na temelju Zakona o zaštiti na radu a u skladu s provedbenim propisom / ispunjavanje zahtjeva koji se odnose na izvješćivanje koje propisuje porezni Zakon / ispunjavanje zahtjeva koji se odnose na obvezno pohranjivanje do određenog roka)
  • obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
    (npr. u slučaju prirodne katastrofe, humanitarne krize, praćenja epidemije i dr.)
  • obrada je nužna za potrebe legitimnih interesa Društva ili treće strane, osim onda kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka
    (npr. vođenje sudskih i/ili sličnih postupaka s ciljem zaštite legitimnih interesa / naplata potraživanja)
  • ispitanik je dao privolu za obradu
    (npr. u marketinške svrhe (primanje promotivnih materijala i sl.)) / kod ispunjavanja kontakt obrazaca, upitnika i sl. na internetskim stranicama Društva).

V. OBRADA NA TEMELJU PRIVOLE

Obrada osobnih podataka može se temeljiti na privoli ispitanika. U tom slučaju, Društvo mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.

Ispitanik daje privolu jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega i to za određene svrhe.

Zahtjev za davanjem privole mora biti ispitaniku predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.

Ispitanik ima pravo u svakom trenutku povući svoju privolu ali to ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, Društvo je obvezno ispitanika obavijestiti o njegovom pravu na povlačenje iste, pri čemu povlačenje privole mora biti jednako lako kao i njezino davanje. Privola može predstavljati adekvatan pravni temelj za obradu osobnih podataka jedino ako je njezino davanje uistinu dobrovoljno i ako je ispitanik može uskratiti bez snošenja štetnih posljedica.

VI. NAČELA OBRADE OSOBNIH PODATAKA

Načela obrade osobnih podataka su:

  • zakonitost, poštenost i transparentnost – osobni podaci moraju biti obrađeni zakonito, pošteno i transparentno s obzirom na ispitanika;
  • ograničavanje svrhe – osobni podaci se moraju prikupljati u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
  • smanjenje količine podataka – osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
  • točnost – osobni podaci moraju biti točni i prema potrebi ažurirani;
  • ograničenje pohrane – osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;
  • cjelovitost i povjerljivost – osobni podaci se moraju obrađivati na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera;
  • pouzdanost – prioritet Društva je usklađenost s ranije navedenim načelima.

VII. PRAVA ISPITANIKA

Pravo ispitanika na transparetnost u pružanju informacija – prije prikupljanja osobnih podataka ispitaniku se obvezno trebaju u razumljivom i lako dostupnom obliku pružiti jasne informacije o svrsi obrade, pravnoj osnovi, vrsti obrade, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenim za utvrđivanje tog razdoblja, pravima ispitanika te eventualnim primateljima.

Ispitanika je potrebno informirati i o tome predstavlja li pružanje osobnih podataka zakonsku obvezu, ugovornu obvezu ili uvjet nužan za sklapanje ugovora te koje su moguće posljedice ako se takvi podaci ne pruže.

Informacije se pružaju u pisanom obliku, u vidu dokumenta ili ako je to moguće, elektroničkim putem. Na zahtjev ispitanika, informacije se mogu pružiti i usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.

Ako je ispitanik maloljetnik, Društvo će poduzeti sve potrebne mjere kako bi se ispitaniku osiguralo bezuvjetno razumjevanje posljedice obrade podataka. Svakom prikupljanju i daljnjoj obradi osobnih podataka maloljetnika, Društvo će pristupati s posebnom pažnjom koristeći jasan i jednostavan jezik te će se pri tome voditi najvišim etičkim načelima.

Pravo na pristup osobnim podacima – ispitanik ima pravo od Društva dobiti informaciju o tome obrađuju li se njegovi osobni podaci te zatražiti pristup podacima i informacijama na koje ima pravo u svezi sa zaštitom osobnih podataka, ako se takvi podaci obrađuju.

Pravo na ispravak osobnih podataka – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od Društva ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhu obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke.
Kada je to primjereno okolnostima, Društvo će od ispitanika tražiti da dokaže utemeljenost svog zahtjeva predočenjem vjerodostojnog dokaza.

Društvo će priopćiti svaki ispravak osobnih podataka svakom primatelju kojem su takvi podaci otkriveni, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjeran napor te će na njegovo traženje obavijestiti ispitanika o tim primateljima.

Pravo na brisanje osobnih podataka („pravo na zaborav“) – ispitanik ima pravo od Društva ishoditi brisanje osobnih podataka koji se na njega odnose, a Društvo će opravdan zahtjev za brisanjem podataka ispuniti bez nepotrebnog odgađanja.

Ipak, Društvo će u svakom pojedinom slučaju razmotriti sve okolnosti vodeći računa o pravnim obvezama te o drugim slučajevima predviđenim Općom Uredbom koji joj priječe brisanje određenih osobnih podataka.

Društvo će priopćiti svako brisanje osobnih podataka svakom primatelju kojem su takvi podaci otkriveni, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjeran napor. Isto tako, Društvo će obavijestiti ispitanika o tim primateljima ako to ispitanik zatraži.

Pravo na ograničenje obrade – ispitanik ima pravo od Društva ishoditi ograničenje obrade za slučajeve osporavanja točnosti osobnih podataka, nezakonitosti obrade, prestanka potrebe za obradom te prigovora na obradu u odnosu na legitimna prava Društva za obradu podataka.

Pravo na prenosivost osobnih podataka – ispitanik ima pravo zaprimiti osobne podatke koji se na njega odnose, a koje je pružio Društvu u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva, ako se obrada temelji na privoli ili ugovoru i provodi se automatiziranim putem.

Pravo na prenosivost podataka pritom ne smije negativno utjecati na prava i slobode drugih.

Pravo na prigovor – ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se na njega odnose.

Društvo nakon takvog prigovora ispitanika više ne smije obrađivati osobne podatke. Iznimno, Društvo može i dalje obrađivati osobne podatke ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo ispitanika da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi; uključujući izradu profila – ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, a koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

Pravo na povlačenje privole – ispitanik ima pravo u svakom trenutku povući svoju privolu ako je istu dao za obradu svojih osobnih podataka. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.

Pravo na naknadu štete i odgovornost – svaki ispitanik koji je pretrpio materijalnu ili nematerijalnu štetu zbog kršenja propisanih odredbi o zaštiti pojedinaca u vezi s obradom osobnih podataka ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

VIII. OSTVARIVANJE PRAVA

Ispitanik bilo koje od gore navedenih prava ostvaruje putem kontakt podataka objavljenih na internetskim stranicama Društva ili podnošenjem prigovora nacionalnom nadzornom tijelu.
Nadzorno tijelo je Agencija za zaštitu osobnih podataka, Martićeva ulica 14, 10000 Zagreb, Hrvatska, e-mail: azop@azop.hr, tel: 00385 (0)1 4609-000.

U slučaju kada osoba podnosi zahtjev za ostvarivanjem prava, Društvo može prije postupanja po zahtjevu od podnositelja tražiti pružanje dodatnih informacija neophodnih za potvrđivanje identiteta osobe.

Društvo će ispitaniku pružiti odgovor na podneseni zahtjev, bez odgađanja, a najkasnije u roku od mjesec dana od zaprimanja zahtjeva. Ovaj rok može se produžiti za još dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. U slučaju produljenja roka, Društvo će o tome obavijestiti ispitanika u roku od mjesec dana od zaprimanja zahtjeva te će navesti razloge za produženje.

Ako Društvo ne postupi po zahtjevu ispitanika u navedenom roku, svakako će izvjestiti ispitanika o razlozima zbog kojih nije postupio po zahtjevu te o mogućnosti podnošenja pritužbe nadzornom tijelu i traženju pravnog lijeka.

Društvo navedene informacije pruža bez naknade, ali ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihovog učestalog ponavljanja, Društvo može:

a) naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanja po zahtjevu, u kojem će slučaju Društvo iznos troška priopćiti ispitaniku te postupiti po zahtjevu tek nakon što ispitanik pristane snositi trošak

ili

b) odbiti postupiti po zahtjevu.

IX. OBVEZA POŠTOVANJA POVJERLJIVOSTI

Svi zaposlenici Društva obvezni su se pridržavati pravila definiranih ovom Politikom te su obvezni poštovati povjerljivost i zaštitu privatnosti pojedinca. U tom smislu, svi zaposlenici i druge osobe koje po bilo kojoj osnovi obavljaju poslove za Društvo a koje mogu izravno ili posredno doći u doticaj s osobnim podacima bilo koje vrste, dužni su poštovati povjerljivost i zaštitu privatnosti pojedinca, za vrijeme i nakon prestanka radnog odnosa te ne stavljati takve podatke na raspolaganje bilo kome niti ih bilo kome prenositi ili obznanjivati.

Ukoliko usprkos svim poduzetim mjerama opreza osobni podaci dođu u posjed neovlaštenih osoba, zaposlenik je obvezan o tome bez odgađanja obavijestiti neposrednog rukovoditelja i direktora Društva te poduzeti sve potrebne mjere kako bi se spriječio nastanak štete za pojedinca na kojeg se takvi podaci odnose, kao i potencijalne štete za Društvo.

Društvo u svom poslovanju može ulaziti u pravne odnose s drugim pravnim i fizičkim osobama s kojima ne djeluje kao zajednički voditelj obrade niti ih angažira kao svoje izvršitelje obrade. U takvim pravnim odnosima može doći do razmjene određenih osobnih podataka. U svim takvim slučajevima Društvo zahtijeva povjerljivost i zaštitu osobnih podataka.

X. INFORMACIJE O OBRADI PODATAKA

Ako se osobni podaci prikupljaju izravno od ispitanika, Društvo neposredno osigurava ispitaniku pružanje informacija o postupku i svrsi obrade kao i sve dodatne informacije uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka u skladu s načelima poštene i transparentne obrade.

Onda kada se s obzirom na djelatnost osobni podaci ne prikupljaju izravno od ispitanika, Društvo će subjektu koji neposredno prikuplja takve podatke osigurati sve potrebne informacije dostavljanjem ove Politike i dokumenta „Informacije o privatnosti i zaštiti osobnih podataka“, kako bi takav subjekt upoznao ispitanike s istima.

XI. EVIDENCIJA I ČUVANJE PODATAKA

Društvo osigurava evidentiranje i čuvanje osobnih podataka koji su predmet obrade u skladu s internim aktima i propisima koji reguliraju djelatnost kojom se Društvo bavi.

S obzirom na djelatnost Društva, osobni podaci su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

XII. SIGURNOST OBRADE I IZVJEŠĆIVANJE ZA SLUČAJ POVREDE

Uzimajući u obzir objektivne mogućnosti te prirodu, opseg, kontekst i svrhu obrade kao i moguće rizike za prava i slobode pojedinaca, Društvo provodi odgovarajuće fizičke, tehničke i organizacijske mjere, s ciljem osiguranja potrebne razine sigurnosti.

Unatoč odgovarajućim mjerama koje Društvo kako bi se sprječila mogućnost povrede osobnih podataka, istu nije moguće do kraja isključiti.

U organizacijskom smislu Društvo svoje poslovanje organizira na način da su osobni podaci dostupni samo ovlaštenim osobama i to samo u opsegu nužnom za izvršavanje njihovih radnih zadataka.

U tehničkom smislu Društvo koristi usluge pouzdanih IT partnera koji su obvezni primjenjivati visoke standarde informacijske sigurnosti s ciljem zaštite osobnih podataka i osiguravanja potrebne razine sigurnosti obrade.

U slučaju narušavanja sigurnosti osobnih podataka Društvo će bez odlaganja a najkasnije u roku od 72 sata po otkrivanju incidenta o tome izvijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Društvo dokumentira sve povrede osobnih podataka uključujući činjenice vezane za povredu, njezine posljedice i mjere poduzete za popravljanje štete.

XIII. SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

Društvo može imenovati službenika za zaštitu podataka ili angažirati zaposlenika koji će pravodobno i na primjeren način biti uključen u sva pitanja u pogledu zaštite osobnih podataka.

Za slučaj imenovanja, zadaća je službenika za zaštitu podataka informirati i savjetovati osobe u Društvu koje obavljaju obradu podataka o njihovim zakonskim obvezama u tom smislu, pratiti zakonitost obrade te kontrolirati njezino izvršavanje.

XIV. MJERE ZAŠTITE I SURADNJA

Društvo će poduzimati sve potrebne mjere za ispravljanje slabosti utvrđenih tijekom nadzora koje bi mogle utjecati na povredu obveze zaštite osobnih podataka.

Društvo je obvezno surađivati s hrvatskim nadzornim tijelom (AZOP) odnosno drugim nadležnim tijelom. Društvo će od svojih izvršitelja obrade tražiti da surađuju s nadzornim tijelima u slučajevima kada će to biti potrebno.

XV. ZAVRŠNE ODREDBE

Ova Politika tumači se u skladu s Općom Uredbom i primjenjivim zakonodavstvom Republike Hrvatske na području zaštite osobnih podataka.

Za sve eventualne sporove proizašle iz povrede osobnih podataka primjenjuju se zakoni i drugi propisi primjenjivi u Republici Hrvatskoj, a sud nadležan za rješavanje u sporu je stvarno nadležni sud prema sjedištu Društva.

U slučaju da se utvrdi da je određena odredba ove Politike ništetna, smatrat će se da je takva odredba zamijenjena odredbom koja u najvećoj mogućoj mjeri odgovara namjeri koju je Društvo htjelo postići ništetnom odredbom.

Ova Politika stupa na snagu 25. svibnja 2018.

U Zagrebu 24. svibnja 2018.

 

Centar za zaštitu na radu d.o.o.
za tehničko ispitivanje i analizu
Zagreb, Milke Trnine 3
OIB: 36430717123

Ivan Krmek, direktor