Na temelju Uredbe (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka, u daljnjem tekstu: GDPR), te Zakona o zaštiti osobnih podataka (Službeni list RS, u daljnjem tekstu: ZVOP-2), direktor tvrtke BTS COMPANY, d.o.o., izdaje ovaj pravilnik.
I. Opće odredbe
- ČLAN
Ovim pravilnikom određuju se organizacijski, tehnički i logično-tehnički postupci i mjere za zaštitu osobnih podataka u tvrtki BTS COMPANY, d.o.o., s ciljem osiguranja da:
- se osobni podaci obrađuju zakonito, pošteno i transparentno;
- se osobni podaci prikupljaju za određene, izričite i zakonite svrhe te se ne obrađuju na način koji nije kompatibilan s tim svrhama;
- se prema zadanim svrhama obrađuju samo osobni podaci koji su nužni za svaku pojedinu svrhu obrade; ta obveza odnosi se na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje čuvanja te njihovu dostupnost;
- se poštuju i štite prava i slobode pojedinaca na koje se odnose osobni podaci;
- se osigura sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
- tvrtka može dokazati usklađenost s propisima o zaštiti osobnih podataka.
Ovim pravilnikom određuju se obveze zaposlenika u tvrtki BTS COMPANY, d.o.o., koje moraju poštivati.
Odredbe ovog pravilnika također se odnose na ostale osobe koje obavljaju poslove unutar tvrtke putem ugovora koji nisu ugovori o zapošljavanju.
U slučaju sumnje u značenje bilo koje odredbe ovog dokumenta, obratite se na info@bts-company.com.
- ČLAN
Izrazi korišteni u ovom pravilniku imaju sljedeće značenje:
- Osobni podatak - značenje određeno u GDPR-u.
- Osoba - određena ili odrediva fizička osoba na koju se odnosi osobni podatak; fizička osoba je odrediva ako se može izravno ili neizravno identificirati, osobito pozivanjem na identifikacijski broj ili jedan ili više čimbenika specifičnih za njegovu fizičku, fiziološku, psihičku, ekonomsku, kulturnu ili društvenu identitetu, pri čemu način identifikacije ne zahtijeva velike troškove ili ne zahtijeva puno vremena.
- Zbirka osobnih podataka - značenje određeno u GDPR-u.
- Obrada osobnih podataka - značenje određeno u GDPR-u.
- Upravitelj osobnih podataka - značenje određeno u GDPR-u.
- Osetljivi osobni podaci - značenje određeno u GDPR-u.
- Korisnik osobnih podataka - značenje određeno u GDPR-u.
- Nositelj podataka - sve vrste sredstava na kojima su zapisani podaci (dokumenti, čini, materijali, spisi, računalna oprema uključujući magnetske, optičke ili druge računalne medije, fotokopije, audio i vizualni materijal, mikrofilmovi, uređaji za prijenos podataka itd.).
- Zaposleni - znači osobe koje imaju sklopljen ugovor o zapošljavanju s tvrtkom, osobe koje obavljaju poslove u tvrtki kao učenici ili studenti, osobe koje obavljaju poslove u tvrtki na temelju ugovora između tvrtke i njihovog poslodavca koji obavlja aktivnost osiguravanja posla drugim poslodavcima, te osobe koje obavljaju poslove za tvrtku na temelju ugovora o civilnom pravu.
- Incident sigurnosti - znači kršenje sigurnosti koje rezultira slučajnim ili nezakonitim uništenjem, gubitkom, promjenom, neovlaštenim iznošenjem ili pristupom osobnim podacima koji su poslani, pohranjeni ili na drugi način obrađeni.
- ČLAN
Tvrtka vodi i održava evidenciju aktivnosti obrade osobnih podataka s propisanim sastavnim dijelovima, sukladno odredbi 30. članka GDPR-a, i to za svaku zbirku posebno.
Evidencija aktivnosti obrade vodi se u elektroničkom obliku, a pristup je moguć na info@bts-company.com.
Za vođenje evidencije aktivnosti obrade odgovoran je svaki voditelj odjela unutar kojeg se vodi pojedinačna zbirka, dok nadzor provodi direktor.
- ČLAN
U tvrtki ili za potrebe tvrtke (uz pomoć obraditelja) mogu se obrađivati samo oni osobni podaci za koje postoji odgovarajuća pravna osnova sukladno odredbama GDPR-a ili drugih propisa. Ako pravna osnova za obradu ne postoji, osobne podatke treba odmah prestati aktivno obrađivati i spriječiti pristup njima te o nepostojanju osnove izvještiti direktora tvrtke, koji će odrediti daljnje postupanje s takvim podacima.
Osobni podaci smiju se prikupljati samo za određene i zakonite svrhe te se ne smiju dalje obrađivati na način koji bi bio u suprotnosti s tim svrhama, osim ako zakon ne određuje drukčije. Kada tvrtka namjerava dalje obrađivati osobne podatke za svrhu koja nije svrha za koju su osobni podaci prikupljeni, potrebno je prethodno provjeriti je li nova svrha usklađena s prvotnom i sastaviti o tome pismeni izvještaj.
Mjere za osiguranje sigurnosti konkretnih (zbirki) osobnih podataka, kao što su psevdonimizacija i šifriranje, ograničenje roka čuvanja i pristupa, ograničenje obrade, ograničenje svrha itd., te način provedbe određuje BTS COMPANY, d.o.o..
Osjetljive vrste osobnih podataka smiju se obrađivati samo sukladno odredbama GDPR-a i drugih propisa. Pri obradi ti podaci moraju biti posebno označeni i zaštićeni tako da se neovlaštenim osobama onemogući pristup njima.
Osobi mora biti omogućeno da bude obaviještena o obradi osobnih podataka sukladno odredbama 12., 13. i 14. članka GDPR-a. Za provedbu obavijesti odgovoran je svaki voditelj odjela unutar kojeg se vodi određena zbirka.
Svaki voditelj odjela unutar kojeg se vodi određena zbirka dužan je (za svaku pojedinu zbirku) odrediti i voditi pisani popis osoba koje zbog prirode svog rada i/ili funkcije u tvrtki obrađuju određene osobne podatke ili imaju pristup zbirkama (u daljnjem tekstu „ovlašteni obrađivaoci“). Voditelji odjela dužni su pisane popise ovlaštenih obrađivaoca dostaviti direktoru tvrtke.
Ovlašteni obrađivaoci moraju biti upoznati s odredbama GDPR-a i sadržajem ovog pravilnika prije obrade osobnih podataka te su dužni potpisati posebnu izjavu.
- ČLAN
Osoba ima pravo od tvrtke zatražiti potvrdu obrađuju li se njeni osobni podaci te, ako se obrađuju, pravo na pristup osobnim podacima (uvid) i informacije iz 1. stavka članka 15. GDPR-a.
Osoba ima pravo zahtijevati da tvrtka bez nepotrebnog odgađanja ispravi netočne ili nadopuni nepotpune osobne podatke o njoj.
Osoba ima pravo zahtijevati da tvrtka bez nepotrebnog odgađanja izbriše osobne podatke o njoj, ako je jedan od sljedećih razloga ispunjen:
- osobni podaci više nisu potrebni za svrhe za koje su prikupljeni ili na drugi način obrađeni;
- osoba povuče privolu na temelju koje se vrši obrada, a za obradu ne postoji druga pravna osnova;
- osoba prigovara obradi, no ne postoje pretežući legitimni razlozi za obradu;
- osobni podaci su obrađeni nezakonito;
- osobne podatke treba izbrisati radi ispunjavanja pravne obveze u skladu s propisima;
- osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva od maloljetne osobe.
Osoba ima pravo zahtijevati da tvrtka ograniči obradu kada jedan od sljedećih slučajeva bude zadovoljen:
- osoba osporava točnost podataka, za razdoblje koje tvrtki omogućuje provjeru točnosti osobnih podataka;
- obrada je nezakonita i osoba prigovara brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
- tvrtka više ne treba osobne podatke u svrhe obrade, ali su potrebni osobi za iznošenje, ostvarivanje ili obranu pravnih zahtjeva;
- osoba se usprotivila obradi dok se ne utvrdi jesu li legitimni razlozi tvrtke prioritet nad razlozima osobe na koju se osobni podaci odnose.
Osoba ima pravo primiti osobne podatke koje je dostavila tvrtki u strukturiranom, uobičajenom i strojno čitljivom obliku te pravo te podatke prenijeti drugom upravitelju, bez ometanja od strane tvrtke, kad:
- obrada se temelji na privoli i
- se obrada obavlja automatiziranim sredstvima.
Direktor tvrtke dužan je osigurati da su osobe na odgovarajući način, u skladu s zahtjevima GDPR-a, informirane o pravima iz prethodnih stavaka ovog članka. Direktor također osigurava jedinstvenu kontakt točku na koju se pojedinci mogu obratiti u ostvarivanju svojih prava.
Za ostvarivanje prava pojedinaca i komunikaciju s njima odgovoran je voditelj odjela unutar kojeg se vodi zbirka u kojoj su osobni podaci pojedinca. Ako se osobni podaci pojedinca nalaze u više zbirki, direktor tvrtke određuje nadležnog voditelja odjela.
- ČLAN
Voditelj odjela ili druga osoba koja to primijeti dužna je upozoriti direktora na činjenicu da bi planirana obrada osobnih podataka, osobito (ali ne isključivo) korištenjem novih tehnologija, uzimajući u obzir prirodu, obujam, okolnosti i svrhe obrade osobnih podataka, mogla predstavljati veliki rizik po prava i slobode pojedinaca.
U tom slučaju direktor odlučuje treba li se izvršiti procjena utjecaja predviđenih postupaka obrade na zaštitu osobnih podataka. Za samu provedbu procjene utjecaja odgovoran je voditelj odjela ili druga od direktora ovlaštena osoba. Svi zaposleni koji mogu staviti na raspolaganje potrebne podatke i procjene obvezni su surađivati.
Procjena utjecaja provodi se pismeno i obuhvaća:
- sistematičan opis predviđenih postupaka obrade i svrhama obrade, ako je primjereno, također zakonitih interesa na koje tvrtka polaže pravo;
- proc