Pristup informacijama - GDPR zaštita osobnih podataka

Izjava o zaštiti osobnih podataka

EKO MOSLAVINA d.o.o., Kutina, Trg kralja Tomislava 10/I kao voditelj obrade osobnih podataka (dalje u tekstu: Društvo), ovime utvrđuje opća pravila postupanja u vezi obrade osobnih podataka u skladu s poslovnim i sigurnosnim zahtjevima Društva, kao i važećim propisima.

Dana 25. svibnja 2018. godine stupila je na snagu opća Uredba o zaštiti osobnih podatakaGDPRGeneral Data Protection Regulation. Osnovna je svrha Uredbe GDPR veća kontrola pojedinaca nad njihovim osobnim podacima.

EKO MOSLAVINA d.o.o. je trgovačko društvo koje strogo provodi pravnu regulativu u svim područjima poslovanja, a osobito u području koje se odnosi na interes i zadovoljstvo korisnika njezinih usluga i sigurnost njihovih osobnih podataka. EKO MOSLAVINA d.o.o. prikuplja podatke o korisnicima koji su potrebni za ispunjenje usluga koje pružamo i obvezujemo se zaštititi osobne podatke sadašnjih i budućih korisnika naših usluga. Svi se podaci o korisnicima strogo čuvaju i dostupni su samo zaposlenicima kojima su ti podaci nužni u obavljanju svojih poslova. Budući da nam Vaše povjerenje puno znači, pažljivo obrađujemo vaše osobne podatke. Od sada ćete imati još veću kontrolu nad korištenjem Vaših osobnih podataka i time kako se Vaši osobni podaci pohranjuju i koriste. 

Vaši osobni podaci mogu biti:

- Ime i prezime

- Adresa

- Poštanski broj i grad

- OIB.

EKO MOSLAVINA d.o.o. prije zaprimanja podataka korisnika informira o načinu korištenja prikupljenih podataka. Ni pod kojim uvjetima nećemo bez vaše izravne suglasnosti prenijeti ili ustupiti osobne podatke korisnika trećim stranama, osim u slučajevima u kojima bi se to zahtijevalo od nas na način i pod uvjetima utvrđenim posebnim zakonom. Poštujemo povjerenje koje ste nam pružili davanjem Vaših osobnih podataka te ih sami ne dijelimo u druge svrhe ili upotrebe.

Sva pitanja u vezi s obradom osobnih podataka, eventualne pritužbe, zahtjeve za brisanje, ažuriranje i ispravak osobnih podataka molimo Vas uputiti prema službeniku za zaštitu osobnih podataka. 

Službenik za zaštitu osobnih podataka je 

Grgić Ljerka

Tel. 044/659-032,

e-mail: ljerka.grgic@eko-moslavina.hr

Službenik za zaštitu osobnih podataka vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka. 

Upravljanje obradom osobnih podataka

1. Svrha i područje primjene

Ovim postupkom se utvrđuje način na koji Društvo Eko Moslavina d.o.o. prikuplja, koristi i arhivira osobne podatke svojih korisnika, zaposlenika i drugih zainteresiranih strana.

Postupak upravljanja obradom osobnih podataka se primjenjuje na obradu koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane Društva

Postupak se odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana Društva.

2. Odgovornosti

Voditelj financija i knjigovodstva, odgovoran je za održavanje ovog postupka uključujući provedbu izobrazbi za razumijevanje utvrđenih radnji, praćenje primjene utvrđenih radnji te ažuriranje sadržaja kao bi se osigurala primjerenost dokumenta.

Službenik zaštitu osobnih podataka odgovoran je  za  praćenje poštovanja Uredbe u odnosu na zaštitu osobnih podataka, uključujući, podizanje svijesti i osposobljavanje osoblja.

3. Postupak

U svrhu usklađenja s Uredbom (EU) 2016/679 europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), te uzimajući u obzir:

·         Smjernice za identifikaciju voditelja obrade ili vodećeg nadzornog tijela izvršitelja obrade, od 5.4.2017.

·         Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679, od 4.10.017

·         Smjernice o službenicima za zaštitu podataka. Od 5.4.2017,

·         Smjernice za dobivanje privole (Guidelines on Consent under Regulation 2016/679)[1]

Društvo je utvrdilo postupak za upravljanje obradom osobnih podataka.

 

Postupak upravljanja obradom osobnih podataka sadrži sve ključne aktivnosti za usklađenje sa zahtjevima uredbe. Ključne aktivnosti upravljanja obradom osobnih podataka su:

·         Definiranje sustava pohrane

·         Ispitivanje potrebe za provođenjem procjene učinka obrade na zaštitu osobnih podataka

·         Procjena učinka obrade na zaštitu osobnih podataka

·         Obrada osobnih podataka uz provođenje organizacijskih i tehničkih mjera zaštite

·         Upravljanje incidentnim situacijama

3.1 Dijagram tijeka

 

Vidi dijagram Upravljanje obradom osobnih podataka

3.2 Opis radnji

3.2.1 Definiranje sustava pohrane

3.2.1.1 Identifikacija postojećih sustava pohrane

Postupak započinje identifikacijskom postojećih sustava pohrane.  Sustav pohrane osobnih podataka je svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima (svrhama obrade).

U Društvu su sustavi pohrane strukturirani i organizirani prema organizacijskim cjelinama i svrhama obrade osobnih podataka. Odgovorna osoba u organizacijskoj cjelini je izvršila identifikaciju osobnih podataka koje obrađuje.

Upravljanje obradom osobnih podataka u Društvu se odnosi na slijedeće sustave pohrane:

1.    SPOP-01 Osobni podaci u Upravi

2.    SPOP-02 Osobni podaci korisnika

3.    SPOP-03 Osobni podaci zaposlenika

4.    SPOP-04 Osobni podaci u financijama i knjigovodstvu (4 sustava pohrane)

5.    SPOP-05 Osobni podaci u Komercijali i marketingu

6.    SPOP-06 Osobni podaci u odlaganju i oporabi (2 sustava pohrane)

7.    SPOP-07 Osobni podaci u prijemu i prijevozu otpada (2 sustava pohrane)

3.2.1.2 Utvrđivanje pravnog temelja obrade

Za svaki sustav pohrane Društvo utvrđuje smo pravni temelj obrade. Zakonitost obrade osobnih podataka temelji se na pravnoj regulativi, ugovornim obavezama, privolama za obradu osobnih podataka ispitanika u jednu ili više posebnih svrha ili ako je obrada je nužna za potrebe legitimnih interesa Društva

3.2.1.3 Utvrđivanje konteksta, svrhe, prirode podataka i opsega obrade

Kontekst -kod utvrđivanja kontekst u kojem se prikupljaju osobni podaci, posebno se stavlja naglasak pogledu odnosa između ispitanika i Eko Moslavine d.o.o.  u trenutku prikupljanja osobnih podataka.

Kada je je potrebna privola za obradu podataka, uzima se u obzir da izvršenje ugovora s ispitanicima nije uvjetovano privolom za obradu osobnih podataka.

Svrha – svrha u koju se osobni podaci obrađuju izrijekom je navedena u vrijeme prikupljanja osobnih podataka. Osobni podaci su primjereni, bitni i ograničeni na ono što je nužno za svrhu u koju se obrađuju.

Priroda - priroda osobnih podataka koji se obrađuju određena je svrhom. Obradu posebnih kategorije osobnih podataka Eko Moslavina d.o.o. temelji na privoli ispitanika ili zakonskim obavezama.

Opseg - opseg obrade utvrđuje se na temelju:

·         broja uključenih ispitanika

·         količine podataka i/ili niza različitih podataka koji se obrađuju i

·         zemljopisnog  opsega (lokacije) aktivnosti obrade.

3.2.1.4 Ocjena proporcionalnosti i nužnosti obrade osobnih podataka

Ocjena proporcionalnosti i nužnosti obrade osobnih podataka određuje se temeljem:

·         obrade primjerenih i relevantnih osobnih podataka ograničenih na ono što je nužno

·         ograničenog trajanja obrade uz ograničenje trajanja pohrane.

Ograničavamo vrijeme čuvanja osobnih podataka te osiguravamo da se, prilikom obrade može prepoznati približavanje isteka vremena čuvanja osobnih podataka te istek vremena čuvanja osobnih podataka.

3.2.1.5 Opisivanje osnovnih karakteristika sustava pohrane

Prilikom detaljnog opisivanja sustava pohrane Eko Moslavina d.o.o. utvrđuje informatičko-tehnološke specifikacije i specifikacije tiskanih podataka koje  sadrži minimalno slijedeće informacije:

·         naziv sustava pohrane

·         izvršitelje obrade ili primatelje i razdoblje pohrane osobnih podataka;

·         odgovornosti i ovlasti za obradu

·         svrhu, kontekst, prirodu i opseg obrade

·         niz i količinu osobnih podataka koji se obrađuju,

·         oblik pohrane i mjesto pohrane

·         sredstva o kojima ovise osobni podaci (oprema, računalni programi, mreže, osobe, dokumenti itd.)

·         način zaštite i sigurnosno tehničke mjere koje primjenjujemo

3.2.1.6 Definiranje mjera zaštite osobnih podataka

Primjenjujemo mjere zaštite osobnih podataka koje se temelje na mjerama zaštite prava i sloboda ispitanika i mjerama koje se odnose na sigurnost obrade osobnih podataka. Te mjere mogu biti slijedeće:

 

Mjere koje se odnose na zaštitu prava i sloboda ispitanika

Mjere koje se odnose na sigurnost obrade

Ograničavanje količine osobnih podataka

Sigurnosno kopiranje osobnih podataka

Upravljanje vremenom čuvanja osobnih podataka

Upravljanje vremenom čuvanja osobnih podataka

Obavještavanje ispitanika

Sustavno upravljanje pristupnim pravima

Dobivanje privole ispitanika

Šifriranje osobnih podataka

Omogućavanje ostvarivanja prava na prigovor

Pseudonimizacija osobnih podataka

Omogućavanje ostvarivanja prava pristupa

Šifriranje osobnih podataka, popraćeno cjelovitim upravljanjem lozinkama

Omogućavanje ostvarivanja prava na ispravak

Zaštita od malicioznog softvera

Odjeljivanje osobnih podataka

Nadzor nad cjelovitošću osobnih podataka

Ograničavanje količine osobnih podataka

Označavanje dokumenata koji sadrže osobne podatke

 

Onemogućavanje pristupa osobnim podacima neovlaštenim osobama

 

Nadzor nad fizičkim pristupom podacima

 

Zaštita od ne-ljudskih izvora rizika (poplava, požar...)

 

Mjere za zaštitu osobnih podataka određuju se obzirom na svrhu, prirodu, kontekst i opseg obrade.

3.2.1.7 Obavještavanje ispitanika

U trenutku prikupljanja osobnih podataka pružaju se ispitaniku sljedeće informacije:

a)    identitet i kontaktne podatke

b)    kontaktne podatke službenika za zaštitu podataka

c)    svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

d)    legitimne interese

e)    primatelje ili kategorije primatelja osobnih podataka

 

Kako bi se osigurala transparentna obrada dodatno se pružaju  i slijedeće informacije:

a)    razdoblje u kojem će osobni podaci biti pohranjeni

b)    postojanje prava da se zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

c)    postojanje prava da se u bilo kojem trenutku povuče privolu

d)    pravo na podnošenje prigovora nadzornom tijelu;

e)    informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

f)     postojanje automatiziranog donošenja odluka

 

Društvo  je obavijestilo svoje korisnike i radnike o obradi njihovih osobnih  podataka:

·         Obavijest o pravilima obrade osobnih podataka korisnika usluga

·         Obavijest o privatnosti i zaštiti osobnih podataka radnika

·         Obavijest ispitanicima i provođenju video nadzora

3.3 Ispitivanje potrebe za provođenjem procjene učinka zaštite osobnih podataka

Društvo je utvrdilo kriterije (prema Smjernicama o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” Radne Skupine1), na osnovu kojih se provodi potreba za procjenom učinka.

Obrada osobnih podataka se vrednuje u odnosu na kriterije. Ukoliko zadovoljavamo najmanje 2 kriterija ili na preporuku službenika zaštite osobnih podataka donosimo odluku o potrebi provođenja procjene učinka na zaštitu podataka (vidi: Ispitivanje potrebe za provođenjem procjene učinka na zaštitu podataka). Kriteriji na osnovu kojih se donosi odluka o potrebi za procjenom učinka su:

Procjena  ili bodovanje uključujući izradu profila i predviđanje, osobito na temelju aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja

Primjena automatiziranog donošenje odluka s pravnim ili sličnim učinkom (Automatizirano donošenje odluka s pravnim ili sličnim znatnim učinkom: obrada čiji je cilj donošenje odluka o ispitanicima proizvodeći pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca

Sustavno praćenje: obrada koja se koristi za promatranje, praćenje ili kontrolu ispitanika, uključujući podatke prikupljene putem mreža ili „sustavnog praćenja javno dostupnog područja”

Obrada li osjetljivih podataka ili podataka vrlo osobne naravi: to uključuje posebne kategorije osobnih podataka, kako je utvrđeno u članku 9. (na primjer informacije o političkim mišljenjima pojedinaca, članstvo u sindikatu itd.), kao i osobne podatke koji se odnose na kaznene osude ili kažnjiva djela

Opsežna obrada podataka: pri utvrđivanju je li obrada opsežna, posebno se razmatraju slijedeći čimbenici:

·         broj uključenih ispitanika

·         količina podataka i/ili niz različitih podataka koji se obrađuju

·         trajanje ili stalnost postupka obrade podataka

·         zemljopisni opseg aktivnosti obrade

 

Obrada podataka podudarajućih ili kombiniranih skupova: na primjer oni koji potječu iz dva postupka obrade ili više njih, a koji su provedeni u različite svrhe i/ili koje su proveli različiti voditelji obrade podataka

Obrada podataka koji se odnose na osjetljive ispitanike: obrada ove vrste podataka jest kriterij zbog povećane neravnoteže moći između ispitanika i voditelja obrade podataka, što znači da pojedinci ne mogu jednostavno dati suglasnost ili se usprotiviti obradi svojih podataka ili ostvarivati svoja prava. Osjetljivi ispitanici mogu biti djeca (smatra se da ne mogu svjesno i promišljeno dati pristanak ili se usprotiviti obradi podataka), zaposlenici, osjetljivije skupine stanovništva koje trebaju posebnu zaštitu (osobe s duševnim smetnjama, tražitelji azila ili starije osobe, pacijenti itd.). Time su obuhvaćene i situacije u kojima se može utvrditi neravnoteža između položaja ispitanika i voditelja obrade.

Primjena novih tehnoloških ili organizacijskih rješenja u obradi podataka: Inovativna upotreba ili primjena novih tehnoloških ili organizacijskih rješenja, poput kombiniranja otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd.

Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili upotrebi usluge i ugovora. To uključuje i postupke obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili sklapanje ugovora.

Nakon provedenih ispitivanja: SPOP-02 Osobni podaci korisnika i SPOP-03 Osobni podaci zaposlenika su identificirani kao sustavi koji trebaju proći detaljnu analizu rizika i procjenu učinka obrade na zaštitu osobnih podataka.

3.4 Procjena učinka obrade na zaštitu osobnih podataka

Ako je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode pojedinaca. Društvo provodi procjenu učinka postupaka obrade na zaštitu osobnih podataka.

3.4.1 Metoda procjene rizika

Metoda procjene se temelji na vjerojatnost pojave događaja i ozbiljnosti posljedica za sigurnost podataka i posljedica za prava i slobode ispitanika koje mogu prouzročiti rizik (vidi: Uputa za procjenu rizika u obradi osobnih podataka

3.4.2 Utvrđivanje tijeka podataka

Za sustave pohrane SPOP-02 Osobni podaci korisnika i SPOP-03 Osobni podaci zaposlenika (za koje je vjerojatno da će obrada prouzročiti rizike) utvrdili smo tijek obrade podataka (vidi: dijagram Osobni podaci korisnika  i dijagram Osobni podaci radnika). Dijagram tijeka podataka nam pomaže pri razumijevanju koji odjeli i u kojim fazama pristupaju obradi podataka.

3.4.3 Identificiranje rizika za prava i slobode ispitanika i sigurnost podataka

Identificirali smo prijetnje koji mogu dovesti do rizika od neovlaštenog pristupa, neželjene izmjene i gubitka podataka ili do rizika za prava i slobode ispitanika (podaci netočni, podaci nedovoljni ili zastarjeli, podaci prekomjerni ili nevažni, podaci se čuvaju predugo, nije omogućen pristup ispitanika podacima, ispitanici nisu informirani o pravima  i obradi osobnih podataka, automatizirano donošenje odluka, podaci su korišteni udruge svrhe itd.)

3.4.4 Analiza i ocjena rizika

Proveli smo analizu i ocjenu rizika. Ocjenom rizika utvrdili smo razine rizika za pojedine aktivnosti obrade osobnih podataka.

3.4.5 Utvrđivanje mjera za obradu rizika

Na  osnovi razine rizika utvrđuje se radnje za obradu rizika. Radnje za obradu rizika mogu između ostalog uključiti slijedeće opcije:

·         Izbjegavanje rizika, donošenjem odluke o nezapočinjanju ili ne nastavljanu s aktivnostima koje za sobom povlače rizik

·         Preuzimanje ili povećanje rizika (kako bi se iskoristila prilika)

·         Uklanjanje izvora prijetnji

·         Mijenjanje  vjerojatnosti

·         Mijenjanje posljedica

·         Dijeljenje rizika s drugom stranom ili stranama

·         Zadržavanje rizika svjesnom odlukom

 

Mjere koje pridonose pravima ispitanika definiramo temeljem:

·         Informacija pruženih ispitaniku

·         Prava na pristup i prenosivost podataka

·         Prava na ispravak i brisanje

·         Prava na prigovor i ograničavanje obrade

·         Utvrđenim odnosima s izvršiteljima obrade

·         Potrebe za prethodno savjetovanje

 

Nakon odabira opcije potrebno je planirati radnje tako da bude definirano što je potrebno napraviti (sigurnosno tehničke mjere za ublažavanje rizika) Za svaku utvrđenu mjeru se ocjenjuje učinkovitost provedenih radnji.

Predložene mjere za ublažavanje rizika, ukoliko su učinkovite, umanjuju inicijalne rizike na prihvatljivu razinu.

3.5 Obrada osobnih podataka uz provođenje mjera zaštite

Obrada osobnih podataka je svaki postupak koji se obavlja na osobnim podacima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Svaki sustav pohrane osobnih podataka ima definirane primarne mjere zaštite osobnih podataka ili mjere dobivene procjenom učinka obrade na zaštitu podataka.

Detaljan opis svih mjera za postupanje s rizicima i zaštitu osobnih podataka nalazi se u dokumentu „Provođenje mjera za ublažavanje rizika obrade osobnih podataka“.

3.6 Upravljanje incidentnim situacijama

U slučaju povrede osobnih podataka potrebno je odmah izvijestiti službenika za zaštitu osobnih podataka koji će nakon što utvrdi ozbiljnost i opseg povrede obavijestiti direktoricu. Direktorica će zajedno sa službenikom za zaštitu osobnih podataka donijeti odluku o daljem postupanju.

Ako su ugrožena prava ispitanika potrebno je obavijestiti nadzorno tijelo i ispitanike čiji su podaci ugroženi.

Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti objašnjeno razlozima za kašnjenje. Za izvješćivanje nadzornog tijela upotrebljava se  OB-Izvješće o povredi osobnih podataka.

4. Prilozi

 

·         SPOP-01 Osobni podaci u Upravi

·         SPOP-02 Osobni podaci korisnika

·         SPOP-03 Osobni podaci zaposlenika

·         SPOP-04 Osobni podaci u financijama i knjigovodstvu (4 sustava pohrane)

·         SPOP-05 Osobni podaci u Komercijali i marketingu

·         SPOP-06 Osobni podaci u odlaganju i oporabi (2 sustava pohrane)

·         SPOP-07 Osobni podaci u prijemu i prijevozu otpada (2 sustava pohrane)



[1]   Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovana direktivom 95/46/ez europskog parlamenta i vijeća od 24. Listopada 1995.