1. Svrha i područje primjene
Ovim postupkom se utvrđuje način na koji Društvo Eko Moslavina d.o.o. prikuplja, koristi i arhivira osobne podatke svojih korisnika, zaposlenika i drugih zainteresiranih strana.
Postupak upravljanja obradom osobnih podataka se primjenjuje na obradu koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane Društva
Postupak se odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana Društva.
2. Odgovornosti
Voditelj financija i knjigovodstva, odgovoran je za održavanje ovog postupka uključujući provedbu izobrazbi za razumijevanje utvrđenih radnji, praćenje primjene utvrđenih radnji te ažuriranje sadržaja kao bi se osigurala primjerenost dokumenta.
Službenik zaštitu osobnih podataka odgovoran je za praćenje poštovanja Uredbe u odnosu na zaštitu osobnih podataka, uključujući, podizanje svijesti i osposobljavanje osoblja.
3. Postupak
U svrhu usklađenja s Uredbom (EU) 2016/679 europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), te uzimajući u obzir:
· Smjernice za identifikaciju voditelja obrade ili vodećeg nadzornog tijela izvršitelja obrade, od 5.4.2017.
· Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679, od 4.10.017
· Smjernice o službenicima za zaštitu podataka. Od 5.4.2017,
· Smjernice za dobivanje privole (Guidelines on Consent under Regulation 2016/679)[1]
Društvo je utvrdilo postupak za upravljanje obradom osobnih podataka.
Postupak upravljanja obradom osobnih podataka sadrži sve ključne aktivnosti za usklađenje sa zahtjevima uredbe. Ključne aktivnosti upravljanja obradom osobnih podataka su:
· Definiranje sustava pohrane
· Ispitivanje potrebe za provođenjem procjene učinka obrade na zaštitu osobnih podataka
· Procjena učinka obrade na zaštitu osobnih podataka
· Obrada osobnih podataka uz provođenje organizacijskih i tehničkih mjera zaštite
· Upravljanje incidentnim situacijama
3.1 Dijagram tijeka
Vidi dijagram Upravljanje obradom osobnih podataka
3.2 Opis radnji
3.2.1 Definiranje sustava pohrane
3.2.1.1 Identifikacija postojećih sustava pohrane
Postupak započinje identifikacijskom postojećih sustava pohrane. Sustav pohrane osobnih podataka je svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima (svrhama obrade).
U Društvu su sustavi pohrane strukturirani i organizirani prema organizacijskim cjelinama i svrhama obrade osobnih podataka. Odgovorna osoba u organizacijskoj cjelini je izvršila identifikaciju osobnih podataka koje obrađuje.
Upravljanje obradom osobnih podataka u Društvu se odnosi na slijedeće sustave pohrane:
1. SPOP-01 Osobni podaci u Upravi
2. SPOP-02 Osobni podaci korisnika
3. SPOP-03 Osobni podaci zaposlenika
4. SPOP-04 Osobni podaci u financijama i knjigovodstvu (4 sustava pohrane)
5. SPOP-05 Osobni podaci u Komercijali i marketingu
6. SPOP-06 Osobni podaci u odlaganju i oporabi (2 sustava pohrane)
7. SPOP-07 Osobni podaci u prijemu i prijevozu otpada (2 sustava pohrane)
3.2.1.2 Utvrđivanje pravnog temelja obrade
Za svaki sustav pohrane Društvo utvrđuje smo pravni temelj obrade. Zakonitost obrade osobnih podataka temelji se na pravnoj regulativi, ugovornim obavezama, privolama za obradu osobnih podataka ispitanika u jednu ili više posebnih svrha ili ako je obrada je nužna za potrebe legitimnih interesa Društva
3.2.1.3 Utvrđivanje konteksta, svrhe, prirode podataka i opsega obrade
Kontekst -kod utvrđivanja kontekst u kojem se prikupljaju osobni podaci, posebno se stavlja naglasak pogledu odnosa između ispitanika i Eko Moslavine d.o.o. u trenutku prikupljanja osobnih podataka.
Kada je je potrebna privola za obradu podataka, uzima se u obzir da izvršenje ugovora s ispitanicima nije uvjetovano privolom za obradu osobnih podataka.
Svrha – svrha u koju se osobni podaci obrađuju izrijekom je navedena u vrijeme prikupljanja osobnih podataka. Osobni podaci su primjereni, bitni i ograničeni na ono što je nužno za svrhu u koju se obrađuju.
Priroda - priroda osobnih podataka koji se obrađuju određena je svrhom. Obradu posebnih kategorije osobnih podataka Eko Moslavina d.o.o. temelji na privoli ispitanika ili zakonskim obavezama.
Opseg - opseg obrade utvrđuje se na temelju:
· broja uključenih ispitanika
· količine podataka i/ili niza različitih podataka koji se obrađuju i
· zemljopisnog opsega (lokacije) aktivnosti obrade.
3.2.1.4 Ocjena proporcionalnosti i nužnosti obrade osobnih podataka
Ocjena proporcionalnosti i nužnosti obrade osobnih podataka određuje se temeljem:
· obrade primjerenih i relevantnih osobnih podataka ograničenih na ono što je nužno
· ograničenog trajanja obrade uz ograničenje trajanja pohrane.
Ograničavamo vrijeme čuvanja osobnih podataka te osiguravamo da se, prilikom obrade može prepoznati približavanje isteka vremena čuvanja osobnih podataka te istek vremena čuvanja osobnih podataka.
3.2.1.5 Opisivanje osnovnih karakteristika sustava pohrane
Prilikom detaljnog opisivanja sustava pohrane Eko Moslavina d.o.o. utvrđuje informatičko-tehnološke specifikacije i specifikacije tiskanih podataka koje sadrži minimalno slijedeće informacije:
· naziv sustava pohrane
· izvršitelje obrade ili primatelje i razdoblje pohrane osobnih podataka;
· odgovornosti i ovlasti za obradu
· svrhu, kontekst, prirodu i opseg obrade
· niz i količinu osobnih podataka koji se obrađuju,
· oblik pohrane i mjesto pohrane
· sredstva o kojima ovise osobni podaci (oprema, računalni programi, mreže, osobe, dokumenti itd.)
· način zaštite i sigurnosno tehničke mjere koje primjenjujemo
3.2.1.6 Definiranje mjera zaštite osobnih podataka
Primjenjujemo mjere zaštite osobnih podataka koje se temelje na mjerama zaštite prava i sloboda ispitanika i mjerama koje se odnose na sigurnost obrade osobnih podataka. Te mjere mogu biti slijedeće:
Mjere koje se odnose na zaštitu prava i sloboda ispitanika
|
Mjere koje se odnose na sigurnost obrade
|
Ograničavanje količine osobnih podataka
|
Sigurnosno kopiranje osobnih podataka
|
Upravljanje vremenom čuvanja osobnih podataka
|
Upravljanje vremenom čuvanja osobnih podataka
|
Obavještavanje ispitanika
|
Sustavno upravljanje pristupnim pravima
|
Dobivanje privole ispitanika
|
Šifriranje osobnih podataka
|
Omogućavanje ostvarivanja prava na prigovor
|
Pseudonimizacija osobnih podataka
|
Omogućavanje ostvarivanja prava pristupa
|
Šifriranje osobnih podataka, popraćeno cjelovitim upravljanjem lozinkama
|
Omogućavanje ostvarivanja prava na ispravak
|
Zaštita od malicioznog softvera
|
Odjeljivanje osobnih podataka
|
Nadzor nad cjelovitošću osobnih podataka
|
Ograničavanje količine osobnih podataka
|
Označavanje dokumenata koji sadrže osobne podatke
|
|
Onemogućavanje pristupa osobnim podacima neovlaštenim osobama
|
|
Nadzor nad fizičkim pristupom podacima
|
|
Zaštita od ne-ljudskih izvora rizika (poplava, požar...)
|
Mjere za zaštitu osobnih podataka određuju se obzirom na svrhu, prirodu, kontekst i opseg obrade.
3.2.1.7 Obavještavanje ispitanika
U trenutku prikupljanja osobnih podataka pružaju se ispitaniku sljedeće informacije:
a) identitet i kontaktne podatke
b) kontaktne podatke službenika za zaštitu podataka
c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
d) legitimne interese
e) primatelje ili kategorije primatelja osobnih podataka
Kako bi se osigurala transparentna obrada dodatno se pružaju i slijedeće informacije:
a) razdoblje u kojem će osobni podaci biti pohranjeni
b) postojanje prava da se zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
c) postojanje prava da se u bilo kojem trenutku povuče privolu
d) pravo na podnošenje prigovora nadzornom tijelu;
e) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
f) postojanje automatiziranog donošenja odluka
Društvo je obavijestilo svoje korisnike i radnike o obradi njihovih osobnih podataka:
· Obavijest o pravilima obrade osobnih podataka korisnika usluga
· Obavijest o privatnosti i zaštiti osobnih podataka radnika
· Obavijest ispitanicima i provođenju video nadzora
3.3 Ispitivanje potrebe za provođenjem procjene učinka zaštite osobnih podataka
Društvo je utvrdilo kriterije (prema Smjernicama o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” Radne Skupine1), na osnovu kojih se provodi potreba za procjenom učinka.
Obrada osobnih podataka se vrednuje u odnosu na kriterije. Ukoliko zadovoljavamo najmanje 2 kriterija ili na preporuku službenika zaštite osobnih podataka donosimo odluku o potrebi provođenja procjene učinka na zaštitu podataka (vidi: Ispitivanje potrebe za provođenjem procjene učinka na zaštitu podataka). Kriteriji na osnovu kojih se donosi odluka o potrebi za procjenom učinka su:
Procjena ili bodovanje uključujući izradu profila i predviđanje, osobito na temelju aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja
Primjena automatiziranog donošenje odluka s pravnim ili sličnim učinkom (Automatizirano donošenje odluka s pravnim ili sličnim znatnim učinkom: obrada čiji je cilj donošenje odluka o ispitanicima proizvodeći pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
Sustavno praćenje: obrada koja se koristi za promatranje, praćenje ili kontrolu ispitanika, uključujući podatke prikupljene putem mreža ili „sustavnog praćenja javno dostupnog područja”
Obrada li osjetljivih podataka ili podataka vrlo osobne naravi: to uključuje posebne kategorije osobnih podataka, kako je utvrđeno u članku 9. (na primjer informacije o političkim mišljenjima pojedinaca, članstvo u sindikatu itd.), kao i osobne podatke koji se odnose na kaznene osude ili kažnjiva djela
Opsežna obrada podataka: pri utvrđivanju je li obrada opsežna, posebno se razmatraju slijedeći čimbenici:
· broj uključenih ispitanika
· količina podataka i/ili niz različitih podataka koji se obrađuju
· trajanje ili stalnost postupka obrade podataka
· zemljopisni opseg aktivnosti obrade
Obrada podataka podudarajućih ili kombiniranih skupova: na primjer oni koji potječu iz dva postupka obrade ili više njih, a koji su provedeni u različite svrhe i/ili koje su proveli različiti voditelji obrade podataka
Obrada podataka koji se odnose na osjetljive ispitanike: obrada ove vrste podataka jest kriterij zbog povećane neravnoteže moći između ispitanika i voditelja obrade podataka, što znači da pojedinci ne mogu jednostavno dati suglasnost ili se usprotiviti obradi svojih podataka ili ostvarivati svoja prava. Osjetljivi ispitanici mogu biti djeca (smatra se da ne mogu svjesno i promišljeno dati pristanak ili se usprotiviti obradi podataka), zaposlenici, osjetljivije skupine stanovništva koje trebaju posebnu zaštitu (osobe s duševnim smetnjama, tražitelji azila ili starije osobe, pacijenti itd.). Time su obuhvaćene i situacije u kojima se može utvrditi neravnoteža između položaja ispitanika i voditelja obrade.
Primjena novih tehnoloških ili organizacijskih rješenja u obradi podataka: Inovativna upotreba ili primjena novih tehnoloških ili organizacijskih rješenja, poput kombiniranja otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd.
Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili upotrebi usluge i ugovora. To uključuje i postupke obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili sklapanje ugovora.
Nakon provedenih ispitivanja: SPOP-02 Osobni podaci korisnika i SPOP-03 Osobni podaci zaposlenika su identificirani kao sustavi koji trebaju proći detaljnu analizu rizika i procjenu učinka obrade na zaštitu osobnih podataka.
3.4 Procjena učinka obrade na zaštitu osobnih podataka
Ako je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode pojedinaca. Društvo provodi procjenu učinka postupaka obrade na zaštitu osobnih podataka.
3.4.1 Metoda procjene rizika
Metoda procjene se temelji na vjerojatnost pojave događaja i ozbiljnosti posljedica za sigurnost podataka i posljedica za prava i slobode ispitanika koje mogu prouzročiti rizik (vidi: Uputa za procjenu rizika u obradi osobnih podataka
3.4.2 Utvrđivanje tijeka podataka
Za sustave pohrane SPOP-02 Osobni podaci korisnika i SPOP-03 Osobni podaci zaposlenika (za koje je vjerojatno da će obrada prouzročiti rizike) utvrdili smo tijek obrade podataka (vidi: dijagram Osobni podaci korisnika i dijagram Osobni podaci radnika). Dijagram tijeka podataka nam pomaže pri razumijevanju koji odjeli i u kojim fazama pristupaju obradi podataka.
3.4.3 Identificiranje rizika za prava i slobode ispitanika i sigurnost podataka
Identificirali smo prijetnje koji mogu dovesti do rizika od neovlaštenog pristupa, neželjene izmjene i gubitka podataka ili do rizika za prava i slobode ispitanika (podaci netočni, podaci nedovoljni ili zastarjeli, podaci prekomjerni ili nevažni, podaci se čuvaju predugo, nije omogućen pristup ispitanika podacima, ispitanici nisu informirani o pravima i obradi osobnih podataka, automatizirano donošenje odluka, podaci su korišteni udruge svrhe itd.)
3.4.4 Analiza i ocjena rizika
Proveli smo analizu i ocjenu rizika. Ocjenom rizika utvrdili smo razine rizika za pojedine aktivnosti obrade osobnih podataka.
3.4.5 Utvrđivanje mjera za obradu rizika
Na osnovi razine rizika utvrđuje se radnje za obradu rizika. Radnje za obradu rizika mogu između ostalog uključiti slijedeće opcije:
· Izbjegavanje rizika, donošenjem odluke o nezapočinjanju ili ne nastavljanu s aktivnostima koje za sobom povlače rizik
· Preuzimanje ili povećanje rizika (kako bi se iskoristila prilika)
· Uklanjanje izvora prijetnji
· Mijenjanje vjerojatnosti
· Mijenjanje posljedica
· Dijeljenje rizika s drugom stranom ili stranama
· Zadržavanje rizika svjesnom odlukom
Mjere koje pridonose pravima ispitanika definiramo temeljem:
· Informacija pruženih ispitaniku
· Prava na pristup i prenosivost podataka
· Prava na ispravak i brisanje
· Prava na prigovor i ograničavanje obrade
· Utvrđenim odnosima s izvršiteljima obrade
· Potrebe za prethodno savjetovanje
Nakon odabira opcije potrebno je planirati radnje tako da bude definirano što je potrebno napraviti (sigurnosno tehničke mjere za ublažavanje rizika) Za svaku utvrđenu mjeru se ocjenjuje učinkovitost provedenih radnji.
Predložene mjere za ublažavanje rizika, ukoliko su učinkovite, umanjuju inicijalne rizike na prihvatljivu razinu.
3.5 Obrada osobnih podataka uz provođenje mjera zaštite
Obrada osobnih podataka je svaki postupak koji se obavlja na osobnim podacima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Svaki sustav pohrane osobnih podataka ima definirane primarne mjere zaštite osobnih podataka ili mjere dobivene procjenom učinka obrade na zaštitu podataka.
Detaljan opis svih mjera za postupanje s rizicima i zaštitu osobnih podataka nalazi se u dokumentu „Provođenje mjera za ublažavanje rizika obrade osobnih podataka“.
3.6 Upravljanje incidentnim situacijama
U slučaju povrede osobnih podataka potrebno je odmah izvijestiti službenika za zaštitu osobnih podataka koji će nakon što utvrdi ozbiljnost i opseg povrede obavijestiti direktoricu. Direktorica će zajedno sa službenikom za zaštitu osobnih podataka donijeti odluku o daljem postupanju.
Ako su ugrožena prava ispitanika potrebno je obavijestiti nadzorno tijelo i ispitanike čiji su podaci ugroženi.
Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti objašnjeno razlozima za kašnjenje. Za izvješćivanje nadzornog tijela upotrebljava se OB-Izvješće o povredi osobnih podataka.
4. Prilozi
· SPOP-01 Osobni podaci u Upravi
· SPOP-02 Osobni podaci korisnika
· SPOP-03 Osobni podaci zaposlenika
· SPOP-04 Osobni podaci u financijama i knjigovodstvu (4 sustava pohrane)
· SPOP-05 Osobni podaci u Komercijali i marketingu
· SPOP-06 Osobni podaci u odlaganju i oporabi (2 sustava pohrane)
· SPOP-07 Osobni podaci u prijemu i prijevozu otpada (2 sustava pohrane)
[1] Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovana direktivom 95/46/ez europskog parlamenta i vijeća od 24. Listopada 1995.