8:00 – 16:00

Ponedjeljak - Petak

Poreč

Vukovarska 19

Politika privatnosti

POLITIKA ZAŠTITE PODATAKA

Oznaka dokumenta: ZOP 1.0

Verzija: 1

Datum publiciranja: 25.5.2018.

Datum slijedeće revizije: 25.5.2019.

Vlasnik dokumenta: Službenik za zaštitu osobnih podataka Organizacije Proper Accounting, vl. Đana Bužleta Pačić, Poreč, Vukovarska 19, OIB: 23437749204

 

  1. UVOD

Organizacija Proper Accounting poštuje privatnost svojih korisnika, poslovnih partnera, komitenata i suradnika te poslovanje temelji na uzajamnom povjerenju i transparentnosti. Važan čimbenik izgradnje povjerenja je zaštita osobnih podataka. Jedna od najboljih praksi zaštite osobnih podataka definirana je Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27.4.2016. godine (u daljnjem tekstu Uredba). Uredba definira koja su prava pojedinaca tj. vlasnika podatka, a u skladu s tim i koje su obveze Organizacije Proper Accounting kao voditelja obrade osobnih podataka i kao izvršitelja obrade osobnih podataka.

Uredba o zaštiti osobnih podataka iz 2016. godine (u daljnjem tekstu Uredba) zamjenjuje Direktivu o zaštiti osobnih podataka 95/46/EZ iz 1995. godine i supstituira zakone pojedinih država članica koji su kreirani u skladu sa spomenutom Direktivom. Glavna svrha donošenja Uredbe je zaštita prava i sloboda fizičkih osoba te ograničavanje obrade osobnih podataka pojedinaca bez njihovog znanja. Ona opisuje načine na koje organizacije, uključujući Organizaciju Proper Accounting, moraju prikupljati, obrađivati u pohranjivati osobne podatke. Pravila definirana Uredbom moraju se primjenjivati neovisno o tome jesu li podaci prikupljeni i pohranjeni u elektronskom obliku, na papiru ili na drugim medijima. Da bi se pridržavala Zakona, Organizacija Proper Accounting podatke mora prikupljati i koristiti pravično, sigurno ih pohranjivati pri čemu isti ne smiju biti nezakonito otkriveni.

Uredba se primjenjuje na sve, djelomično ili u cijelosti automatizirane, postupke obrade osobnih podataka, te na obradu ostalih osobnih podataka (npr u papirnatom obliku) koji su sastavni dio organizacije.

U teritorijalnom smislu, Uredba se primjenjuje na sve voditelje i izvršitelje obrade osobnih podataka koji su osnovani u Europskoj uniji (EU) i koji obrađuju osobne podatke za potrebe voditelja i/ili izvršitelja obrade osobnih podataka. Osim navedenog, Uredba se primjenjuje i na sve voditelje obrade izvan EU čija obrada osobnih podataka omogućuju nuđenje robe i usluga i/ili praćenje ponašanja vlasnika osobnih podataka unutar granica EU.

Ovom Politikom uređuju se načela i pravila kojih se Organizacija Proper Accounting i svi suradnici, ugovorni partneri i druge fizičke i pravne osobe koje rade u ime Organizacije Proper Accounting , pridržavaju prilikom prikupljanja, obrade i čuvanja svih skupina osobnih podataka, a kako bi se zadovoljili visoko postavljeni standardi usklađeni sa postojećim zakonskim odredbama.

 

    1. Razlozi postojanja ove Politike
  • Pridržavanje standarda definiranih ovom Politikom osigurava usklađenost prikupljanja, obrade i čuvanja osobnih podataka sa važećim Zakonom i Uredbom
  • Štite se prava zaposlenika, korisnika usluga i ostalih partnera Organizacije Proper Accounting
  • Transparentno se definiraju načini pohrane, obrade i čuvanja podataka pojedinaca
  • Politikom se štiti od rizika nezakonite distribucije povjerenih podataka

 

    1. Ključni pojmovi

Sjedište – Glavno sjedište voditelja obrade osobnih podataka u EU je mjesto u kojem voditelj obrade osobnih podataka donosi ključne odluke o svrsi i načinu obrade osobnih podataka. Glavno sjedište Izvršitelja obrade osobnih podataka u EU je njegovo administrativno sjedište. Ako je voditelj obrade osobnih podataka registriran izvan granica EU, isti će morati imenovati predstavnika unutar granica EU. Njegove ovlasti i nadležnosti moraju omogućavati djelovanje u ime voditelja obrade osobnih podataka uključujući sve vrste komunikacije s nadzornim tijelima.

Osobni podaci – Svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (ispitanik); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički , fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Posebna kategorija osobnih podataka – Oni osobni podaci koji otkrivaju rasno ili etičko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili sindikalno članstvo, genetski podaci, biometrijski podaci prikupljani u svrhu jedinstvene identifikacije fizičke osobe, podaci o zdravlju ili podaci koji se odnose na seksualni život ili seksualnu orijentaciju fizičke osobe.

Voditelj obrade – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhu i način obrade osobnih podataka. Ako su svrha i način obrade određeni zakonom EU ili zakonom države članice, kriteriji za imenovanje voditelja obrade osobnih podataka mogu biti posebno definirani zakonom EU ili posebnim zakonom države članice.

Izvršitelj obrade – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Vlasnik podatka – Svaki živi pojedinac čiji su podaci, koje posjeduje organizacija predmet neke vrste obrade.

Obrada – Bilo koji postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupu osobnih podataka, neovisno radi li se o automatiziranim sredstvima, kao što je prikupljanje, snimanje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, objavljivanje ili na drugi način stavljanje na raspolaganje, brisanje, uništenje i sl.

Izrada profila (Profiliranje) – svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka, za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.

Povreda osobnih podataka – kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Privola – U kontekstu Uredbe i ove Politike, Privola predstavlja svaku dobrovoljno danu, specifičnu, informativnu i nedvosmislenu izjavu kojom ispitanik, vlasnik osobnog podatka daje suglasnost na obradu njegovih osobnih podataka ili osobnih podataka osoba koje zastupa.

Dijete – Uredba definira Dijete kao svaku osobu mlađu od 16 godine. Ovisno o zakonima pojedinih članica, dobna granica koja osigurava status djeteta može biti najmanje 16 godine. Obrada osobnih podataka djeteta dopuštena je samo ako je dobiven pristanak roditelja ili skrbnika. voditelj obrade osobnih podataka mora poduzeti razumne napore kako bi provjerio da pristanak daje nositelj roditeljske odgovornosti nad djetetom.

Treća strana – Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

Sustav pohrane – Svaki strukturirani skup osobnih podataka koji je dostupan prema određenim kriterijima, neovisne je li centraliziran, decentraliziran ili raspršen na funkcionalnoj ili zemljopisnoj osnovi.

    1. Rizici

Ova Politika pomaže u zaštiti od realnih sigurnosnih rizika vezanih uz zaštitu osobnih podataka, uključujući

  1. Povredu povjerljivosti (podaci se obrađuju neprimjereno)
  2. Nemogućnost izbora načina obrade podataka (svi pojedinci trebaju biti slobodni odabrati način na koji organizacija Proper Accounting koristi podatke koji se odnose na njih)
  3. Povreda reputacije društva (gubitak reputacije u slučaju uspješnog hakerskog napada)

 

  1. IZJAVA O POLITICI

    1. Opseg politike

Pravila opisana ovom Politikom odnose se na

  1. Organizaciju Proper Accounting
  2. Sve zaposlenike Organizacije Proper Accounting
  3. Sve suradnike, komitente, ugovorne partnere i druge fizičke i pravne osobe koje rade u ime Organizacije Proper Accounting

Pravila se primjenjuju na sve podatke koje Organizacija Proper Accounting posjeduje u vezi s pojedincima koji se mogu identificirati. To može uključivati:

  • Imena pojedinaca
  • Adrese
  • E-mail adrese
  • Telefonske brojeve
  • Podaci o plaći
  • Podaci o broju djece
  • Podaci o broju uzdržavanih članova
  • ….i sve druge podatke koji se odnose na pojedinca

 

    1. Izjava

Organizacija Proper Accounting , Vukovarska 19, Poreč, svi zaposlenici Organizacije Proper Accounting te fizičke i pravne osobe koje rade za i u ime Organizacije Proper Accounting, obavezuju se na poštivanje svih relevantnih zakona EU i država članica koji se odnose na osobne podatke i na prava i slobode pojedinaca proizašle iz spomenutih zakona, čije informacije prikuplja i obrađuje u skladu s Općom uredbom o zaštiti osobnih podataka.

Usklađenost s Uredbom opisana je ovom Politikom, drugim relevantnim politikama te povezanim postupcima i procedurama.

Uredba i ova Politika odnose se na sve aktivnosti koje uključuju obradu osobnih podataka uključujući podatke o korisnicima roba i usluga, klijentima, zaposlenicima, dobavljačima i ostalim partnerima, kao i sve druge osobne podatke koje Organizacija Proper Accounting obrađuje iz bilo kojeg izvora.

Organizacija Proper Accounting definirala je standarde koji opisuju razinu zaštite privatnosti pojedinca i njegovih osobnih podataka, a koji su usklađeni s Uredbom EU o zaštiti osobnih podataka.

Službenik za zaštitu osobnih podataka odgovoran je za godišnju reviziju evidencije obrade osobnih podataka u kontekstu bilo kakvih promjena u djelatnostima organizacije Proper Accounting i svih dodatnih zahtjeva utvrđenih procjenom utjecaja na zaštitu podataka. Ova evidencija i procjena utjecaja na zaštitu podataka mora biti dostupna na zahtjev nadzornog tijela.

Pravila opisana ovom Politikom odnose se na sve zaposlenike Organizacije Proper Accounting i treće strane, fizičke ili pravne osobe koje rade za ili po nalogu Organizacije Proper Accounting kao što su vanjski suradnici, ugovorni partneri i sl. Svako kršenje Uredbe ili pravila opisanih ovom Politikom biti će riješeno u skladu s disciplinskom politikom organizacije Proper Accounting i može predstavljati kazneno djelo koje će biti prijavljeno odgovarajućim tijelima.

Očekuje se da partner ili bilo koja treća strana koja radi u ime, po nalogu ili za Organizaciju Proper Accounting i koja bi mogla imati pristup osobnim podacima, pročita, razumije i poštuje pravila opisana ovom Politikom. Niti jedna treća strana ne može pristupiti osobnim podacima koje obrađuje Organizacija Proper Accounting bez prethodno sklopljenog ugovora o povjerljivosti koji definira obveze trećih strana, u skladu s obvezama koje je preuzela i na koje se obavezala Organizacija Proper Accounting s aspekta zaštite osobnih podataka. Ugovor o povjerljivosti daje pravo odgovornim osobama Organizacije Proper Accounting da provede reviziju poštivanja ugovora o povjerljivosti.

Organizacija Proper Accounting u ulozi izvršitelja obrade, obrađivati će podatke po nalogu voditelja obrade ili komitenta isključivo u skladu s pravilima koja definira Uredba, zakon pojedine zemlje članice i ova Politika. Organizacija Proper Accounting omogućiti će svakom voditelju obrade po čijem nalogu obrađuje osobne podatke, reviziju poštivanja ugovora o povjerljivosti.

  1. ODGOVORNOSTI I ULOGE U SKLADU S UREDBOM

    1. Voditelj i izvršitelj obrade

Osnovna djelatnost organizacije Proper Accounting je pružanje računovodstvenih i knjigovodstvenih usluga za ugovorne klijente (komitente). Sklapanjem ugovora o pružanju računovodstvenih i knjigovodstvenih usluga, organizacija Proper Accounting preuzima ulogu izvršitelja obrade podataka. Preuzimanjem uloge izvršitelja obrade podataka, organizacija Proper Accounting preuzima sve obveze i odgovornosti izvršitelja obrade prema komitentu (voditelju obrade), definirane Uredbom o zaštiti osobnih podataka, zakonom zemlje članice i obveze definirane ovom Politikom te se obvezuje svaku obradu vezanu uz poslovanje komitenta izvršavati isključivo po njegovom nalogu, a kako je definirano ugovorom o poslovnoj suradnji.

Osim funkcije izvršitelja obrade, organizacija Proper Accounting je i voditelj obrade osobnih podataka kako je definirano Uredbom. Menadžment i ostale osobe kojima je dodijeljena upravljačka ili nadzorna funkcija u Organizaciji Proper Accounting odgovorni su za razvoj i poticanje dobre prakse upravljanja informacijama u Organizaciji Proper Accounting.

    1. Službenik za zaštitu osobnih podataka

Kako bi dodatno osnažila sigurnost osobnih podataka koje obrađuje, organizacija Proper Accounting imenovala je službenika za zaštitu osobnih podataka u skladu sa zahtjevima koje definira Uredba.

Službenik za zaštitu osobnih podataka trebao bi biti odgovoran upravi Organizacije Proper Accounting vezano uz osiguravanje poštivanja zakonskih propisa o zaštiti osobnih podataka .

Službenik za zaštitu osobnih podataka, kojeg uprava Organizacije Proper Accounting smatra prikladno kvalificiranim, imenovan je u svrhu preuzimanja odgovornost za svakodnevnu usklađenost Organizacije Proper Accounting s ovom Politikom, a posebno sa Uredbom, u segmentu obrade osobnih podataka koja se obavlja unutar Organizacije Proper Accounting.

Službenik za zaštitu osobnih podataka ima posebne odgovornosti vezane uz zahtjeve ispitzanika za pristup osobnim podacima. Također je obvezan pružiti sve relevantne informacije i odgovore na pitanja zaposlenicima Organizacije Proper Accounting vezana uz ovu Politiku i Uredbu.

Usklađenost sa zakonima o zaštiti osobnih podataka, odgovornost je svih zaposlenika Organizacije Proper Accounting te fizičkih i pravnih osoba koje rade za i u ime Organizacije Proper Accounting , a koji obrađuju osobne podatke.

Zaposlenici Organizacije Proper Accounting odgovorni su za osiguranje točnih i ažurnih podataka o njima samima te u dužni prijaviti svaku izmjenu kako bi podaci o zaposlenicima bili točni i ažurni.

  1. NAČELA ZAŠTITE PODATAKA ORGANIZACIJE PROPER ACCOUNTING

Svaka obrada osobnih podataka mora se provoditi u skladu s načelima zaštite podataka minimalno kako je navedeno u Članku 5. Uredbe. Pravila i postupci koji definiraju obradu osobnih podataka u Organizaciji Proper Accounting kreirani su kako bi se osigurala usklađenost s načelima Uredbe i ovom Politikom.

    1. Organizacija Proper Accounting kao izvršitelj obrade osobnih podataka

Organizacija Proper Accounting u skladu sa preuzetim ugovornim obvezama sa komitentom, preuzima ulogu izvršitelja obrade. Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom izvršitelja obrade i ima pristup osobnim podacima, neće obrađivati te podatke ako to ne zatraži komitent, osim ako to nalaže pravo Unije ili pravo države članice. Sklapanjem ugovora organizacija Proper Accounting preuzela je obveze kao izvršitelj obrade, su kako slijedi:

4.1.1. Organizacija Proper Accounting ovom politikom i ostalim vezanim politikama jamči provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada povjerenih podataka u skladu sa zahtjevima Uredbe i da se njome osigurava zaštita prava ispitanika.

4.1.2. Organizacija Proper Accounting neće angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja komitenta. U slučaju općeg pisanog odobrenja, organizacija Proper Accounting će obavijestiti komitenta o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time komitentu omogućila ulaganje prigovora na takve izmjene.

4.1.3. Obrada koju provodi organizacija Proper Accounting uređena je ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice. Ugovorom ili drugim pravnim aktom Organizacija Proper Accounting se obvezuje prema komitentu koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava komitenta. Tim se ugovorom ili drugim pravnim aktom osobito određuje da organizacija Proper Accounting:

  1. obrađuje osobne podatke samo prema zabilježenim uputama komitenta, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju će organizacija Proper Accounting izvijestiti komitenta o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;
  2. osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
  3. poduzima sve potrebne mjere u skladu s člankom 32. Uredbe;
  4. poštuje uvjete iz stavaka 2. i 4. članka 28 Uredbe za angažiranje drugog izvršitelja obrade;
  5. uzimajući u obzir prirodu obrade, organizacija Proper Accounting će pomoći komitentu putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu komitenta u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.Uredbe;
  6. pomaže komitentu u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36 Uredbe, uzimajući u obzir prirodu obrade i informacije koje su dostupne organizaciji Proper Accounting;
  7. po izboru voditelja, briše ili vraća komitentu sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;
  8. komitentu stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih člankom 28 Uredbe i koje omogućuju revizije, uključujući inspekcije, koje provodi komitent ili drugi revizor kojeg je komitent ovlastio, te im doprinose.
  9. u pogledu prethodne točke, organizacija Proper Accounting odmah obavješćuje komitenta ako prema njegovu mišljenju određena uputa krši Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4.1.4. Ako organizacija Proper Accounting angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime komitenta, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između Organizacija Proper Accounting i komitenta iz prethodne točke, nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, organizacija Proper Accounting ostaje u cijelosti odgovorna komitentu za izvršavanje obveza tog drugog izvršitelja obrade.

4.1.5. Ugovor ili drugi pravni akt iz točki 3. i 4. ovog stavka, mora biti upisanom obliku, uključujući elektronički oblik.

4.1.6. Organizacija Proper Accounting i predstavnik organizacije Proper Accounting, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

  1. ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
  2. kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
  3. ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama; ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

4.1.7. Organizacija Proper Accounting neće preispitivati i utvrđivati zakonitost obrade osobnih podataka koju nalaže komitent ili neki drugi voditelj obrade. Takvu obradu neće ni ograničavati, no o svim uočenim nepravilnostima obavijestiti će komitenta ili drugog voditelja obrade po čijem nalogu postupa. Unatoč tome, ukoliko organizacija Proper Accounting procijeni da bi zahtijevana obrada mogla na bilo koji način negativno utjecati na njezin integritet i publicitet te, u konačnici na financijsku stabilnost organizacije Proper Accounting, usprotiviti će se traženoj obradi. O mogućim negativnim posljedicama za organizaciju i za komitenta ili drugog voditelja obrade izvijestiti će komitenta ili drugog voditelja obrade.

 

 

    1. Organizacija Proper Accounting kao voditelj obrade osobnih podataka

 

      1. Osobni podaci mogu se prikupljati samo kada je svrha prikupljanja specifična, eksplicitna i legitimna

Podaci dobiveni samo za određenu svrhu ne smiju biti korišteni u neku drugu svrhu.

      1. Osobni podaci moraju biti
  1. zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);
  2. prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s Člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);
  3. primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);
  4. točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

 

      1. Obrada prema važećem zakonu podrazumijeva identificiranje zakonske osnove prije same obrade osobnog podatka. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
  1. ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  2. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  3. obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
  4. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  5. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
  6. obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

      1. Poštena obrada podrazumijeva da je voditelj obrade osobnih podataka osigurao ispitaniku dostupnost svih potrebnih informacija. To se posebno odnosi na situacije u kojima se podaci prikupljaju direktno od ispitanika.

 

      1. Transparentna obrada podrazumijeva pružanje svih relevantnih informacija ispitaniku kako je opisano u člancima 12, 13 i 14 Uredbe. Informacije moraju biti pružane u razumljivom obliku, koristeći jasan i razumljiv tekst.
      2. Minimalna količina informacija koje moraju biti pružane ispitaniku su kako slijedi:
  1. Identitet i kontaktni podaci voditelja obrade osobnih podataka
  2. Kontakt podaci Službenika za zaštitu osobnih podataka
  3. Svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravna osnova za obradu
  4. Razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrđuje to razdoblje
  5. Postojanje prava Ispitanika da od voditelja obrade traži pristup osobnim podacima i ispravak ili brisanje osobnog podatka ili ograničenje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka
  6. Postojanje prava da se u bilo kojem trenutku privola povuče , a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena.
  7. Pravo na podnošenje prigovora nadzornom tijelu
  8. Informaciju u tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže.
  9. Informaciju u postojanju automatizirane obrade podataka, što uključuje izradu profila te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade po ispitanika.

 

      1. Osobni podaci moraju biti prikladni svrsi, relevantni i ograničeni u skladu s okvirima nužnog za obradu
  1. Prema definiranim obvezama, odgovornost službenika za zaštitu osobnih podataka je osigurati da Organizacija Proper Accounting ne prikuplja podatke koji nisu nužno potrebni za ispunjenje svrhe za koju su prikupljani.
  2. Svi obrasci za prikupljanje osobnih podataka (elektronički ili papirnati) moraju uključivati izjavu o poštenoj obradi ili vezu na izjavu o privatnosti odobrenu od Službenika za zaštitu osobnih podataka.
  3. Kako bi se osigurala adekvatnost, relevantnost i izbjeglo prekomjerno prikupljanje podataka, službenik za zaštitu osobnih podataka na godišnjoj razini revidira sve načine prikupljanja osobnih podataka .

 

      1. Osobni podaci moraju biti točni i ažurni, a netočni podaci moraju biti brisani bez odgađanja
  1. Podaci čuvani u od strane voditelja obrade moraju se redovito ažurirati. Isti ne smiju biti čuvani ukoliko nisu točni i ažurni
  2. Službenik za zaštitu osobnih podataka mora osigurati obuku zaposlenici Organizacije Proper Accounting kako bi bili ispravno obučeni te mogli razumjeli važnost skupljanja i čuvanja samo točnih podataka
  3. Odgovornost je ispitanika Organizaciji Proper Accounting osigurati točne i ažurne podatke. Ukoliko u procesu prikupljanja osobnih podataka postoji formalan obrazac za evidenciju podataka, isti će uključivati izjavu da su podaci navedeni u njoj točni na datum ispunjavanja obrasca.
  4. Zaposlenici Organizacije Proper Accounting trebaju obavijestiti odgovorne osobe o svim promjenama okolnosti kako bi se omogućilo ažuriranje osobnih podataka. Odgovornost je Organizacije Proper Accounting zabilježiti svaku obavijesti o promjeni okolnosti koja ima utjecaj na točnu i ažurnu evidenciju.
  5. Odgovornost je Službenika za zaštitu osobnih podataka osigurati prikladne postupke i politike kako bi se osigurala točnost i ažurnost osobnih podataka, uzimajući u obzir količinu prikupljenih podataka, brzinu kojom bi se količina podataka mogla mijenjati i druge relevantne čimbenike.
  6. Najmanje jednom godišnje, Službenik za zaštitu osobnih podataka revidirati će datume do kojih se pojedini osobni podaci smiju čuvati. Podaci koje više nije potrebno čuvati moraju se izbrisati, uništiti ili anonimizirati.
  7. Službenik za zaštitu osobnih podataka odgovoran je za odgovaranje na zahtjeve Ispitanika u roku ne dužem od 30 dana. Rok može biti produžen za naredna dva mjeseca za složene zahtjeve. Ukoliko odgovorne osobe Organizacije Proper Accounting odluče ne odgovoriti na zahtjev ispitanika, službenik za zaštitu osobnih podataka mora obrazloženje za nepostupanje dostaviti ispitaniku te obavijestiti istog o njegovom pravu na žalbu nadzornom tijelu i mogućnost traženja pravnog lijeka.

 

      1. Osobni podaci moraju se čuvati u obliku koji može identificirati vlasnika podatka samo onoliko dugo koliko je potrebno da bi se izvršila potrebna obrada tj. da bi se ostvarila svrha za koju su osobni podaci prikupljeni.
  1. Kada se osobni podatak čuva duže od perioda potrebnog za njegovu obradu odnosno nakon ispunjenja svrhe, takvi podaci biti će čuvani u obliku u kojem ih nije moguće na jednostavan način dovesti u vezu s vlasnikom podatka..
  2. Nakon isteka predviđenog roka čuvanja osobnih podataka, isti se moraju propisno uništiti.
  3. Svako čuvanje osobnih podataka duže od potrebnog mora biti odobreno od strane Službenika za zaštitu osobnih podataka kako je opisano u pripadajućem postupku. Pri tome razlog za takvo postupanje mora biti jasno utvrđen te ne smije izlaziti iz okvira važećeg Zakona o zaštiti osobnih podataka. Odobrenje mora biti sastavljeno u pisanom obliku.

 

      1. Osobni podaci moraju biti obrađivani na siguran način

Službenik za zaštitu osobnih podataka provesti će postupak procjene rizika uzimajući u obzir sve okolnosti koje imaju utjecaj na obradu podataka i sigurnost obrade podataka u organizaciji Proper Accounting.

Pri određivanju primjerenosti načina obrade osobnih podataka Službenik za zaštitu osobnih podataka treba u obzir uzeti opseg mogućih šteta koje bi mogle utjecati na pojedince u slučaju da dođe do povrede sigurnosti, kao posljedice bilo kakvog sigurnosnog propusta, uz direktan ili indirektan utjecaj na ugled organizacije i povjerenje korisnika, dobavljača i ostalih zainteresiranih skupina.

Prilikom ocjenjivanja odgovarajućih tehničkih mjera, Službenik za zaštitu osobnih podataka u obzir uzima slijedeće:

  1. Politiku zaštite lozinkom
  2. Automatsko zaključavanje opreme u mirovanju
  3. Ograničavanje korištenja USB i drugih medija (opisano dokumentima
  4. Instaliranu antivirusnu zaštitu i vatrozid
  5. Pristupna prava temeljena na ulogama, uključujući i ona prava dodijeljena privremenom osoblju i posjetiteljima
  6. Enkriptiranje uređaja koji napuštaju prostorije organizacije (prijenosna računala)
  7. Sigurnost mrežnog sustava
  8. Dodatne mogućnosti zaštite podataka kao što su pseudonimizacija i anonimizacija ukoliko je primijenjivo
  9. Unaprjeđivanje standarda sigurnosti u skladu s razvojem tehnologije
  1. PRAVA ISPITANIKA

    1. Dostupnost informacija

Dostupnost informacija osigurava da pojedinci postanu svjesni da se njihovi podaci obrađuju te da razumiju:

  1. Kako se podaci koriste
  2. Kako mogu ostvariti svoja prava

 

    1. Ispitanik ima slijedeća prava u vezi s obradom podataka koji se odnose na ispitanika
  1. Ispitanik ima pravo od voditelja obrade tražiti pristup podacima koji se o njemu obrađuju
  2. Usprotiviti se obradi osobnih podataka koji se odnose na njega i obradi koja može prouzročiti štetu po ispitanika.
  3. Onemogućiti obradu osobnih podataka koji se odnose na njega, a obrađuju se u marketinške svrhe
  4. Biti informiran o metodama i algoritmima ukoliko se radi o automatskoj obradi podataka
  5. Tražiti naknadu štete sudskim putem ukoliko je ista uzrokovana
  6. Poduzeti aktivnosti koje rezultiraju ispravljanjem, brisanjem ili uništenjem netočnih osobnih podataka ili podataka za koje je uskraćena privola za obradu pri čemu ne postoji druga zakonska osnova da obradu
  7. Tražiti od nadzornog tijela procjenu kršenja neke od odredbi Uredbe
  8. Zahtijevati prijenos podataka kod drugih voditelja obrade
  9. Zaustavljanje bilo kakvog automatiziranog profiliranja, ukoliko za isto nije dan pristanak

 

    1. U svrhu ostvarivanja prava ispitanika
  1. Ispitanik može u svakom trenutku zahtijevati pristup vlastitim osobnim podacima.
  2. Ispitanik ima pravo žalbe Organizaciji Proper Accounting vezane uz obradu njegovih osobnih podataka i upravljanje zahtjevom za ostvarivanje njegovih prava
  1. PRIVOLA

Organizacija Proper Accounting smatra da Privola predstavlja svaku dobrovoljno danu, specifičnu, informativnu i nedvosmislenu izjavu kojom ispitanik, vlasnik osobnog podatka daje suglasnost na obradu njegovih osobnih podataka ili osobnih podataka osoba koje zastupa. Privola se može povući u bilo kojem trenutku na približno jednostavan način na koji je i dana.

Za Organizaciju Proper Accounting davanje Privole znači da je ispitanik u potpunosti obaviješten o namjeravanoj obradi osobnih podataka. Svaka Privola dobivena pod prisilom ili na temelju zablude nije važeća i ne može biti osnova za obradu osobnih podataka ispitanika.

Dobivanje Privole od strane ispitanika zahtjeva aktivnu komunikaciju između obje strane (voditelj obrade i ispitanik). Neodgovaranjem na postavljeni upit od strane ispitanika Privola ne može biti važeća tj pristanak se ne može pretpostaviti. voditelj obrade osobnih podataka mora biti u stanju dokazati da je dobio pristanak na obradu osobnih podatka.

Kada se radi o posebnim podacima, privola mora biti u pismenom obliku. Ukoliko postoji alternativna legitimna osnova za obradu osobnih podataka, davanje privole nije obavezno ili ne mora biti dano u pismenom obliku.

U većini slučajeva, pristanak za obradu osobnih i posebnih podataka dio je standardnih obrazaca tj pisanih dokumenata koji su sastavni dio dokumentacije i koje ispitanik (korisnik, poslovni partner) potpisuje u skladu s definiranim internim postupcima.

Pravo je ispitanika da u svakom trenutku povuče suglasnost za obradom njegovih osobnih podataka.

  1. SIGURNOST PODATAKA

Svi zaposlenici Organizacije Proper Accounting i druge osobe koje rade za i u ime Organizacije Proper Accounting , odgovorni su za sigurnost svih osobnih podataka koje Organizacija Proper Accounting posjeduje i obrađuje. Podatke trebaju čuvati na sigurnom mjestu koje ne omogućava otkrivanje osobnih podataka trećoj strani osim ako trećoj strani izričito nije dozvoljeno da podatke primi uz prethodno sklopljeni ugovor o povjerljivosti. U tom slučaju treća strana prihvaća uvjete ove Politike i potvrđuje da zadovoljava uvjete sigurnosti opisane općom Uredbom.

Svi osobni podaci dostupni su samo onim osobama kojima su potrebni za ispunjenje njihovih poslovnih zadaća. U segmentu sigurnosti, Organizacija Proper Accounting se prema osobnim podacima odnosi s najvećom pažnjom. Iz tog razloga, svi osobni podaci moraju se čuvati:

  1. U zaključanoj prostoriji s kontroliranim pristupom
  2. U zaključanoj ladici ili ormaru
  3. Ukoliko se radi o digitalnim podacima, isti moraju biti zaključani lozinkom
  4. Pohranjeni na računalnim medijima koji su šifrirani u skladu s opisanom postupkom pod nazivom Upravljanje medijima za pohranu podataka.

Računalni monitori ne smiju biti vidljivi osim ovlaštenim osobama od strane organizacije.

Pisani zapisi ne smiju biti ostavljeni u prostorijama u koje mogu pristupiti neovlaštene osobe te ne smiju biti uklonjeni iz sigurnog područja bez izričitog pisanog odobrenja. U trenutku kada pisani zapisi više nisu potrebni za obavljanje poslovnih zadaća, moraju biti uklonjeni u skladu s propisanim postupcima.

Pisani zapisi koji se čuvaju do datuma čuvanja propisanog pripadajućom politikom trebaju se uništiti ili zbrinuti kao povjerljivi podaci. Hard diskovi računala koja više nisu u upotrebi moraju se uništiti.

Obrada osobnih podataka izvan Organizacije Proper Accounting predstavlja potencijalno veći rizik gubitka, krađe ili uništenja osobnih podataka. Zaposlenici organizacije Proper Accounting i druge osobe koje rade za i u ime Organizacije Proper Accounting moraju dobiti posebno ovlaštenje za takvu obradu osobnih podataka.

  1. OBJAVLJIVANJE PODATAKA

U određenim okolnostima Uredba omogućuje otkrivanje osobnih podataka agencijama i državnim tijelima koje provode zakon, bez suglasnosti vlasnika podatka/ispitanika. U takvim će okolnostima Organizacija Proper Accounting otkriti tražene podatke. Međutim, odgovorna osoba društva će, prije otkrivanja podataka, osigurati da je zahtjev legitiman tražeći pomoć pravnih savjetnika ili nadzornih tijela s područja zaštite osobnih podataka.

Organizacija Proper Accounting mora osigurati da se osobni podaci ne otkrivaju neovlaštenim trećim osobama koje uključuju članove obitelji, prijatelje, državna tijela i, u određenim okolnostima, policiji. Svi zaposlenici moraju biti upoznati s načinom postupanja ukoliko se od njih traži da otkriju osobne podatke trećoj strani.

Svi zahtjevi za dostavom osobnih podataka moraju biti praćeni prikladnom dokumentacijom, a svako objavljivanje mora biti posebno odobreno od strane Službenika za zaštitu osobnih podataka.

  1. ČUVANJE I RASPOLAGANJE PODACIMA

Organizacija Proper Accounting ne smije čuvati osobne podatke koji mogu identificirati pojedinca, duže od vremena potrebnog za ispunjenje svrhe za koju su podaci prikupljani.

Organizacija Proper Accounting može čuvati podatke i dulji period od perioda predviđenog zakonom ili prihvaćenom politikom ukoliko se podaci obrađuju u svrhu javnog interea, znanstvenih i povijesnih istraživanja ili u statističke svrhe. I u tom slučaju neophodno je provesti odgovarajuće tehničke i organizacijske mjere za zaštitu prava i slobode ispitanika.

Osobni podaci povjereni na obradu Organizaciji Proper Accounting obrađuju se na odgovarajući način kako bi ostali sigurni, čime se štite prava i slobode ispitanika. Svako odlaganje osobnih podataka vrši se u skladu s prihvaćenim postupkom sigurnog odlaganja.

  1. PRIJENOS PODATAKA U TEĆE ZEMLJE

Svaki prijenos podataka iz Europskog ekonomskog područja u treće zemlje nezakonit je ako ne postoji odgovarajuća razina zaštite temeljnih prava ispitanika.

  1. Europska komisija procjenjuje treće zemlje, teritorij i/ili određene sektore unutar trećih zemalja kako bi procijenila postoji li odgovarajuća razina zaštite prava i sloboda fizičkih osoba. U slučaju trensfera osobnih podataka u zemlje koje zadovoljavaju kriterije sigurnosti, nije potrebna dozvola nadzornog tijela za transfer osobnih podataka u te zemlje/teritorije.

Zemlja članica Europskog ekonomskog područja, iako nije zemlja Europske unije zadovoljava tražene uvjete.

  1. Organizacija Proper Accounting može usvojiti vlastita pravila o prijenosu osobnih podataka u treće zemlje. U tom slučaju, pravila je potrebno prijaviti nadležnom nadzornom tijelu koje će izdati mišljenje te pravila odobriti ili odbiti.
  2. Ukoliko nije zadovoljen niti jedan od prethodno navedenih uvjeta, prijenos podataka u treće zemlje ili međunarodnu organizaciju moguće je napraviti samo uz jedan od slijedećih uvjeta:
  • Ispitanik je izričito pristao na predloženi prijenos, nakon što je obaviješten o mogućim rizicima takvog prijenosa.
  • Prijenos je neophodan za ispunjenje ugovornih obveza između ispitanika i voditelja obrade/izvršitelja obrade ili provedbe predugovorenih mjera poduzetih na zahtjev ispitanika
  • Prijenos je neophodan za zaključivanje ili izvršenje ugovora sklopljenog u interesu ispitanika između voditelja obrade/izvršitelja obrade i druge fizičke ili pravne osobe.
  • Prijenos je neophodan zbog javnog interesa
  • Prijenos je neophodan za izvršenje pravne svrhe
  • Prijenos je potreban kako bi se zaštitili vitalni interesi ispitanika ili drugih osoba, kada ispitanik nije u mogučnosti dati privolu.

Vlasništvo i odobrenje dokumenta

Vlasnik ovog dokumenta je službenik za zaštitu osobnih podataka Organizacije Proper Accounting . Vlasnik dokumenta mora izvršiti reviziju ove Politike sukladno prethodno navedenim zahtjevima. Trenutna verzija ovog dokumenta dostupna je svim djelatnicima Organizacije Proper Accounting na lokaciji Poreč, Vukovarska 19 te će biti javno objavljena na Internet stranicama organizacije na lokaciji www.proper-accounting.hr .

Politiku je odobrila uprava Organizacije Proper Accounting dana 17.05.2018.

 

Odobrila: Đana B. Pačić

Datum: 17.05.2018.

 

Top