Pravilnik o privatnosti

Na temelju Opće uredbe o zaštiti podataka (EU) 2016/679 Pollux Travel d.o.o., OIB: 33416744609, Ogrizovićeva 14, 10000 Zagreb, donosi sljedeći:

PRAVILNIK

O OBRADI I ZAŠTITI OSOBNIH PODATAKA

1. OPĆE ODREDBE

Članak 1.

1. U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka Pollux Travel d.o.o. (u daljnjem tekstu: Društvo) obveznik je primjene Opće uredbe o zaštiti podataka (EU) 2016/679 (dalje u tekstu: Opća uredba).
2. Ovim se Pravilnikom propisuju se pravila o prikupljanju, obradi i korištenju te zaštiti osobnih podataka.
3. Ova se pravila odnose na sve službenike Društva, direktore, zaposlenike, agente, podružnice, izvođače, konzultante, savjetnike ili davatelje usluga koji mogu prikupljati, obrađivati ili imati pristup podacima. Također se primjenjuje na klijente, kupce i osobe koje se raspituju o uslugama i robama koje Društvo nudi.
4. Odgovornost je navedenih je da se upoznaju s ovim Pravilnikom i osiguraju odgovarajuću usklađenost s njim.
5. Ova se pravila odnose na sve informacije i zapise koji se koriste u Društvu kao što su elektronička pošta, fizički primjer dokumenta, dokument u elektroničkom obliku, video i audio.

Članak 2.

Sukladno čl. 4. toč. 7. Opće uredbe Društvo je voditelj obrade osobnih podataka koja određuje svrhu i sredstva obrade osobnih podataka u skladu s nacionalnim zakonodavstvom i/ili pravom EU.

Članak 3.

U skladu sa Općom uredbom pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:

„osobni podatak“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi;

„ispitanik“ je pojedinac čiji se identitet može utvrditi, odnosno to je osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;

„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

„privola ispitanika“ znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.

Izrazi koji se koriste u ovom Pravilniku, a imaju rodno značenje, odnose se jednako na muški i ženski rod.

Članak 4.

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka poštuju temeljna prava i slobode Ispitanika, a posebno njihovo pravo na zaštitu osobnih podataka. Načela zaštite podataka definirana su sukladno Članku 5. Opće uredbe.

• Načelo zakonitosti, poštenosti i transparentnosti: osobni podaci moraju biti obrađeni zakonito, pošteno i na transparentan način u odnosu na ispitanika.
• Načelo ograničavanja svrhe: osobni podaci moraju se prikupljati u određene, eksplicitne i legitimne svrhe, a ne dalje obrađivati na način koji nije u skladu s tim ciljevima.
• Načelo smanjenja količine podataka: osobni podaci moraju biti adekvatni, relevantni i ograničeni na ono što je neophodno u odnosu na svrhe za koje se obrađuju. Društvo je dužno primijeniti anonimizaciju ili pseudonimizaciju osobnih podataka, ako je to moguće kako bi se smanjili rizici za ispitanike na koje se odnose.
• Načelo točnosti: Osobni podaci moraju biti točni i, ako je potrebno, ažurirani; potrebno je poduzeti razumne korake kako bi se osiguralo da se osobni podaci koji su netočni, imajući u vidu svrhe za koje se obrađuju, pravodobno brišu ili ispravljaju.
• Načelo ograničenja pohrane: osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno da se ostvari svrha radi koje se ti osobni podaci obrađuju.
• Načelo cjelovitosti i povjerljivosti: osobni podaci moraju se obrađivati na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
• Voditelj obrade odgovoran je za usklađenost s načelima te ih mora biti u mogućnosti dokazati („pouzdanost”).

2. OBRADA OSOBNIH PODATAKA

Članak 5.

• Društvo osobne podatke obrađuje samo i u onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
• da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
• da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
• da je obrada nužna radi poštovanja pravnih obveza Društva
• da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
• da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju javnih ovlasti Društva
• da je obrada nužna za potrebe legitimnih interesa Društva ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Članak 6.

• Privola kojom ispitanik Društvu daje pristanak za obradu osobnih podataka koji se na njega odnose jest dobrovoljna, u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
• Ako se radi o obradi osobnih podataka djeteta ispod dobne granice od 16 godina, privolu na način opisanom u stavku 1. ovog članka daje nositelju roditeljske odgovornosti nad djetetom (roditelj ili zakonski skrbnik djeteta).

Članak 7.

• U postupku obrade osobnih podataka Društvo na odgovarajući način (pisano ili izravno usmeno) ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovu za obradu podataka, legitimnim interesima Društvo, o namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade, prava na ulaganje prigovora i dr.

3. PRAVA ISPITANIKA

Članak 8.

• Društvo će odmah, a najkasnije u roku od 30 dana od dana podnošenja zahtjeva ispitanika ili njegovog zakonskog zastupnika ili punomoćnika:
• informirati ispitanika o svrsi obrade njegovih osobnih podataka, kategorijama osobnih podataka koji se obrađuju, o primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru
• dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose
• ispraviti netočne podatke ili podatke dopuniti
• provesti brisanje osobnih podataka koji se na ispitanika odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji.
• Rok iz st. 1. ovog članka može se prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Društvo obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
• Ako je zahtjev ispitanika podnesen elektroničkim putem, Društvo informaciju pruža elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.
• O razlozima odbijanja zahtjeva ispitanika iz st. 1. ovog članka. Društvo će bez odgađanja, a najkasnije jedan mjesec od primitka zahtjeva, izvijestiti ispitanika o razlozima odbijanja zahtjeva.

Članak 9.

• Društvo informacije pružene u skladu s čl. 8. pruža bez naknade.
• Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani Društvo će naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti.

Članak 10.

• Ispitanik koji smatra da je Društvo povrijedilo neko njegovo pravo zajamčeno Općom uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede prava nadležnom tijelu.

4. SUSTAV POHRANE

Članak 11.

• Društvo prikuplja i obrađuje sljedeće vrste osobnih podataka:
• osobni podaci zaposlenika Društva
• osobni podaci o kandidatima koji sudjeluju u natječajnom postupku za zasnivanje radnog odnosa
• osobni podaci vanjskih suradnika
• osobni podaci klijenata (osobni podaci pomoću kojih se osoba može identificirati, kontakt podaci, financijski podaci).
• Društvo donosi odluku o osobama zaduženim za zaštitu osobnih podataka, kao i odluku o osobama koje su osim poslodavca ovlaštene za nadziranje, prikupljanje, obrađivanje, korištenje i dostavljanje osobnih podataka.
• Društvo je odgovorno za informiranje, edukaciju i podizanje svijesti kod zaposlenika koji sudjeluju u postupcima obrade.
• Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža na uvid Obavijest o privatnosti.
• Obavijest o privatnosti mora najmanje sadržavati: svrhu obrade za koju su podaci namijenjeni, period zadržavanja podataka, objašnjenje o obvezi davanja podataka i štetnim posljedicama uskrate davanja podataka osobito glede ostvarivanja prava i obveza.
• Prije prikupljanja bilo kojih osobnih podataka, djelatnici dužni su informirati ispitanika čiji se podaci prikupljaju o identitetu službenika za obradu osobnih podataka te o svrsi obrade u koju su podaci namijenjeni.

Članak 12.

• Direktor Društva donosi odluku o osobama zaduženim za obradu i zaštitu osobnih podataka iz čl. 11. ovog Pravilnika.

5. SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 13.

• Društvo imenuje Službenika za zaštitu podataka.
• Službenik za zaštitu podataka ima odgovarajuću stručnu spremu.
• Službenika za zaštitu podataka moguće je angažirati putem ugovora o djelu izvan redova Društva.
• Kontakt podaci Službenika za zaštitu podataka dostupni su na web stranicama Društva.
• Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja odgovornih osoba Društva i njegovih zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili države članice o zaštiti, pomaže u ostvarivanju prava Ispitanika te surađuje s nadzornim tijelom.
• Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.

6. VREMENSKO RAZDOBLJE ČUVANJA PODATAKA

Članak 14.

• Voditelj obrade donosi Raspored čuvanja podataka koji se nalazi u prilogu ovog Pravilnika, a sadrži:
• Ime zapisa
• Razdoblje čuvanja
• Odgovoran odjel/osoba za zapis
• Način uništavanja po proteku razdoblja čuvanja

(Prilog 1 – Raspored čuvanja podataka)

7. MJERE ZA ZAŠTITU OSOBNIH PODATAKA

Članak 15.

• Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.

Članak 16.

• Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima zaduženim za obradu podataka, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije.
• Pristup svojim podacima Ispitanici mogu ostvariti putem Zahtjeva za pristup podacima, koji mogu zatražiti od Službenika za zaštitu podataka.

Članak 17.

• Društvo će po potrebi, a posebice prilikom objave podataka koji bi se mogli pripisati određenom ispitaniku provoditi pseudonimizaciju kao jednu od tehničkih mjera zaštite osobnih podataka.

Članak 18.

• Osobe zadužene za obradu osobnih podataka odgovorne su za zaštitu osobnih podataka od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe.
• Svaka sumnja u kršenje ovog Pravilnika mora odmah biti prijavljena Službeniku za zaštitu osobnih podataka. Istražit će se svi slučajevi sumnje o povredama Pravilnika i poduzeti odgovarajuće mjere.

8.  IZVJEŠTAVANJE U SLUČAJU POVREDE OSOBNIH PODATAKA

Članak 19.

• U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadležno nadzorno tijelo.
• U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja obavješćuje Ispitanika o povredi osobnih podataka.
• Izvještaj iz stavka 1. i stavka 2. mora sadržavati:
  • prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka
  • navesti ime i kontaktne podatke Službenika za zaštitu podataka ili druge kontaktne točke od koje se može tražiti više informacija
  • opisati vjerojatne posljedice povrede osobnih podataka
  • opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

9. ZAVRŠNE ODREDBE

Članak 20.

• Ovaj Pravilnik stupa na snagu danom donošenja.
• Korisnici ovog dokumenta dužni su ga poštivati u dobroj vjeri, i eventualne sukobe rješavati mirnim putem; ukoliko to nije moguće nadležan je stvarno nadležan sud u Rijeci.

Ovaj Pravilnik objavljen je na oglasnoj ploči Društva dana 10.05.2021,

Direktor
Aris Mikulandra

Zagreb, 10.05.2021.

PRILOG 1: Raspored čuvanja podataka