ZAŠTITA OSOBNIH PODATAKA
PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
Temeljem odredbi Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine (dalje u tekstu: Zakon) i odredbi Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje u tekstu: Uredba), te temeljem članka 16., točka 1. Statuta Lučke uprave Pula, Upravno vijeće Lučke uprave Pula, na svojoj sjednici 243-59/2018 održanoj 09.10.2018. godine, donijelo je
PRAVILNIK O ZAŠTITI OSOBNIH PODATAKA
Članak 1.
Ovim Pravilnikom uređuje se
zaštita pojedinca-fizičkih osoba u svezi s obradom njegovih osobnih podataka (u daljnjem tekstu: ispitanik) u odnosu na prikupljanje, obradu, korištenje i čuvanje osobnih podataka,
obveze Lučka uprava Pula kao Voditelja obrade (u daljnjem testu: voditelj obrade),
prava ispitanika, te
provedba organizacijskih, kadrovskih i tehničkih mjera zaštite osobnih podataka,
a sve s ciljem osiguravanja provedbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka.
Značenje pojmova bitnih u odnosu na odrednice ovoga pravilnika u odnosu na Uredbu
Članak 2.
„Osobni podaci“ su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Osobni podatak je ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i bilo koji drugi podaci povezani sa stvarnom osobom, tj. vlasnikom osobnog podatka koji se mogu upotrijebiti za direktno ili indirektno identificiranje točno te osobe.
„Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
„Voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;
„Izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
„Primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;
„Treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
„Privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
“Sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
“Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
„Osoba koja se može identificirati“ je osoba čiji se identitet može utvrditi (izravno ili neizravno) posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
„Posebna kategorija osobnih podataka“ odnosi se na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku.
Članak 3.
Voditelj obrade:
obrađuje osobne podatke ispitanika na način da su točni, potpuni i ažurni u svim evidencijama u kojima su podaci pohranjeni, neovisno o njihovu obliku vođenja.
osobne podatke ispitanika:
prikuplja samo
– u svrhu sa kojom je ispitanik upoznat, koja je navedena prilikom njegovog prikupljanja, i
– u svrhu izvršavanja svojih zakonskih i ostalih obveza u skladu sa svojom djelatnošću
b) obrađuje samo u svrhu za koju su podaci prikupljeni, odnosno u svrhu koja se podudara sa svrhom njenog prikupljanja.
koristi osobne podatke ispitanika samo u vremenu koje je nužno za ostvarenje određene svrhe, osim ako posebnim zakonom nije određeno duže razdoblje te se protekom vremena istog moraju brisati, ako posebnim zakonom nije što drugo određeno,
mora osigurati tehničke mjere zaštite osobnih podataka,
mora osigurati čuvanje i arhiviranje osobnih podataka na način i u vremenu u skladu s posebnim zakonskim propisima i internim aktima koji određuju vrijeme čuvanja osobnih podataka, njihova brisanja ili uništavanja, te prostore i uvjete njihova arhiviranja.
Članak 4.
Voditelj obrade može na temelju ugovora, a koji mora biti u pisanom obliku, pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga posla povjeriti njihovu obradu drugoj fizičkoj ili pravnoj osobi (izvršitelju obrade).
Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.
Članak 5.
Voditelj obrade svojom odlukom imenuje odgovornu osobu i njenu zamjenu u svakom pojedinom djelu obrade koji je naveden u prethodnom članku ovog Pravilnika, a koja će odgovarati voditelju obrade za postupanje djelatnika unutar odjela obrade sukladno odredbama ovog Pravilnika i koje će biti odgovorne za komunikaciju i pružanje informacija službeniku za zaštitu osobnih podataka.
Članak 6.
Osobni podaci koje voditelj obrade prikuplja i obrađuje, a gdje neka druga fizička ili pravna osoba može imati ili ima pristup takvim osobnim podacima temeljem Ugovora, takav poslovni odnos mora se urediti posebnim odredbama Ugovora u skladu sa Uredbom u dijelu koji se odnosi na njihovu tajnost, zaštitu probojnosti s uključenim mjerama zaštite.
Članak 7.
Voditelj obrade sakuplja osobne podatke koji se odnose na:
zaposlenike, djeca i bračni drug zaposlenika,
članovi upravnog vijeća
vanjske suradnike,
korisnike osnovne djelatnosti,
poslovni klijenti,
ugovorne korisnike.
Pravna osnova i svrhe obrade osobnih podataka
Sve vrste vaših osobnih podataka obrađuju se u sljedeće svrhe i temeljem:
Zakonskih obveza
Vaše osobne podatke obrađujemo u skladu s važećim propisima (npr. Zakona o radu, Pravilnika o Evidenciji radnika itd.), kao i radi obavještavanja i prijava koja smo dužni vršiti prema važećim propisima. (npr. prijava na Hrvatski zavod za mirovinsko osiguranje itd)
Realizacija ugovora osobne podatke obrađujemo u svrhu realizacije ugovora i ispunjenja ugovornih obveza koje smo ugovorili,.
Privole kontaktiranja za vrijeme trajanja radnog odnosa, poslovnih i drugih odnosa
Legitimnog interesa Voditelja obrade
Svi osobni podaci koriste se isključivo u svrhe radi koje su prikupljeni i za koje je dana privola.
Sve vrste vaših osobnih podataka obrađuju isključivo radi turističke promocije na Internet stranicama voditelja obrade.
Prikupljeni podaci neće se ni na koji način učiniti dostupnim trećim osobama, osim u zakonom propisanu svrhu.
Članak 8.
Voditelj obrade dužan je postupati u odnosu na osobne podatke u skladu sa pozitivnim zakonskim propisima ( zakoni, pravilnici, kolektivni i ostali obvezujući ugovori, uredbe, i sl. ) kojima se uređuje prikupljanje, obrada i čuvanje osobnih podataka ispitanika.
Članak 9.
U slučajevima kada se osobni podaci ne prikupljaju temeljem važećih zakonskih propisa ili ugovora, voditelj obrade će prilikom prikupljanja osobnih podataka pribaviti privolu od ispitanika za prikupljanje i obradu osobnih podataka.
U slučaju ako voditelj obrade podatke obrađuje temeljem legitimnog interesa u smislu Uredbe, tada je voditelj obrade dužan obaviti test ravnoteže kako bi opravdao legitimni interes.
Članak 10.
Prilikom prvog kontakta sa ispitanikom osobe koje prikupljaju podatke osobne od ispitanika u ime i za račun voditelja obrade dužne su mu predati:
Izjavu o zaštiti osobnih podataka ili
drugi dokument koji opisuje i upoznaje ispitanika sa njegovim pravima, te u slučaju ako je za obradu pojedinog osobnog podatka potreba privola dužni su prije obrade osobnog podataka istu ishoditi, a prema obrascu privole.
Nakon što je ispitaniku predana izjava o zaštiti osobnih podataka i predana privola, potvrde o primitku Izjave o zaštiti osobnih podataka i potvrde o privoli biti će predane neposredno nadređenoj osobi ili drugoj osobi koju ona odredi na kraju radnog dana radi evidencije u središnjem sustavu dobivenih obrazaca privole i arhiviranja istih.
Privole će se čuvati za vrijeme dok se čuvaju i osobni podaci na koje se ona odnosi, te će se nakon prestanka potrebe za njihovo čuvanje uništiti fizički uz sastavljanje zapisnika o uništenju od strane odgovorne osobe i/ili će se vratiti ispitaniku, sve u skladu s odlukom voditelja obrade.
U slučaju ako ispitanik izjavi da mu nije jasno pojedina pravo ili traži dodatna pojašnjenja, osoba koja prikuplja podatke u ime i za račun voditelja obrade dužna mu ih je dati.
Članak 11.
Ako voditelj obrade nije primio osobne podatke od ispitanika, prilikom prve komunikacije djelatnici odnosno osobe koje kontaktiraju ispitanika u ime voditelja obrade moraju pružiti ispitaniku slijedeće informacije:
identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, te kontakt podatke službenika za zaštitu osobnih podataka,
svrhu obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu obrade,
kategoriju osobnih podataka koji se obrađuju,
kategorije primatelja,
ako postoji, namjeru o prijenosu podataka u treću zemlju ili međunarodnu organizaciju,
razdoblje pohranjivanja, odnosno kriterije za utvrđivanja razdoblja,
ako se obrada temelji na legitimnim interesima informirati ispitanika o legitimnom interesu voditelja obrade,
postojanje prava na pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka,
pravo na povlačenje privole,
pravo na podnošenja prigovora nadležnom tijelu,
izvor osobnih podataka,
informaciju da li postoji automatizirana obrada osobnih podataka.
Članak 12.
Prilikom obrade osobnih podataka, Voditelj obrade dužan je voditi računa osobito o slijedećim rokovima i obavezama:
Kada se obrada temelji na privoli ispitanika, Voditelj obrade dužan je pribaviti privolu za obradu osobnih podataka te mora u svakom trenutku moći dokazati da je ispitanik dao privolu za obradu svojih podataka,
Voditelj obrade dužan je bez odgode, a najkasnije u roku od mjesec dana dostaviti ispitaniku sve informacije u vezi obrade njegovih osobnih podataka, a na koje ima pravo sukladno Općoj uredbi. U slučaju složenosti i većeg broja zahtjeva taj se rok može produžiti za dodatna dva mjeseca, a u kojem slučaju je potrebno izvijestiti ispitanika o toj činjenici u roku od mjesec dana od primitka zahtjeva sa obrazloženjem za produženje roka,
U slučajevima da informacije nisu dobivene od ispitanika, Voditelj obrade dužan je odmah kod prve komunikacije sa ispitanikom, a najkasnije u roku od mjesec dana od dobivanja osobnih podataka, pružiti ispitaniku informaciju o obradi njegovih osobnih podataka sukladno odredbama Opće uredbe,
Voditelj obrade dužan je obavijestiti ispitanika o pravu na prigovor prilikom prve komunikacije sa ispitanikom,
U slučaju povrede osobnih podataka, Voditelj obrade dužan je izvijestiti nadzorno tijelo bez odgode, a najkasnije u roku od 72 sata od saznanja za nastalu povredu. U slučaju kašnjenja izvješćivanja, potrebno je dostaviti nadzornom tijelu i razloge kašnjenja,
U slučaju povrede osobnih podataka koje će prema procijeni Voditelja obrade vjerojatno prouzročiti visok rizik za prava i slobode pojedinca, Voditelj obrade dužan je o istome bez odgode obavijestiti ispitanika,
Kada je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode ispitanika, Voditelj obrade je dužan provesti procjenu učinka na zaštitu podataka prije početka obrade podataka,
U slučajevima kada se temeljem provedene procjene učinka na zaštitu podataka utvrdilo da bi obrada bez donošenja dodatnih mjera zaštite za ublažavanje rizika dovela do visokog rizika za prava i slobode pojedinca, Voditelj obrade dužan je prije obrade savjetovati se sa nadzornim tijelom,
Voditelj obrade dužan je sve osobne podatke brisati (ili anonimizirati) prestankom svrhe u koju su prikupljeni, povlačenjem privole ispitanika, odnosno prestankom ugovornog odnosa i svim ostalim slučajevima sukladno Općoj uredbi, a najkasnije po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut postupak prisilne naplate neplaćenih potraživanja ili ako je uložen prigovor na proizvod ili uslugu u roku, sve do konačnog dovršetka postupka po prigovoru u skladu s važećim propisima,
U slučajevima kada je na zahtjev ispitanika izvršena dopuna, izmjena ili brisanje osobnih podataka, o izvršenom ispravku potrebno je izvijestiti osobu na koju se osobni podaci odnose i primatelje osobnih podataka i to u roku od 30 dana od ispravka.
Članak 13.
Zahtjevi ispitanika kojima ispitanik traži od voditelja obrade neko od svojih prava iz Uredbe moraju biti u pisanom obliku.
Na zahtjeve ispitanika voditelj obrade je dužan odgovoriti u što kraćem roku, ali najdulje u roku od mjesec dana od dana primitka zahtjeva.
Prilikom podnošenja zahtjeva potrebno je utvrditi identitet osobe koja podnosi zahtjev uvidom u osobnu iskaznicu, ili uvidom u putovnicu.
Nije moguće postupanje po zahtjevu prije nesumnjivog utvrđivanja identiteta ispitanika.
Voditelj obrade ne smije prenijeti osobi niti jedan osobni podatak prije nego što se utvrdi identitet.
Tehničke mjere zaštite
Članak 14.
Voditelj obrade dužan je voditi računa da pristup osobnim podacima imaju samo ovlaštene osobe i to najmanje na način:
da redovito mijenja lozinke koje služe za otključavanje računala, i to najmanje jednom u tri mjeseca,
da se lozinke za otključavanje kompjutera čuvaju na siguran način i da pristup istima imaju samo osobe koje zaduži Voditelj obrade odlukom,
da lozinke po broju znakova i kompleksnosti osiguraju što veću razinu zaštite,
da se onemogući da se istekle lozinke ponovo koriste,
da postoji sustav koji će upozoriti voditelja obrade u slučaju neovlaštenog pristupa osobnim podacima,
da se nakon određenog broja pokušaja unošenja netočne lozinke računalo automatski zaključa.
Članak 15.
Voditelj obrade je dužan osigurati zaštitu informatičkog sustava, i to na način da osigura da su informatička mreža i sistemi zaštićeni od:
požara,
poplave,
gubitka napajanja,
neovlaštenog pristupa,
da se koriste antivirusne zaštite,
enkripcija i
pseudonimizacija podataka kada je moguće kao i druge odgovarajuće mjere kojima će se osigurati što veća razna informacijske sigurnosti.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, u sefovima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima koji obrađuju te podatke, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije i backup na serveru.
Povjerenik/Službenik za zaštitu osobnih podataka
Članak 16.
Voditelj obrade će imenovati povjerenika/službenika za zaštitu osobnih podataka.
Povjerenik/Službenik za zaštitu osobnih podataka može biti i osoba koja nije zaposlenik Voditelja obrade osobnih podataka.
Povjerenik/Službenik za zaštitu osobnih podataka direktno odgovara odgovornoj osobi voditelja obrade i ne smije primati upute od drugih zaposlenika Voditelja obrade podataka i zadužen je za izravan kontakt sa nadležnim nadzornim tijelom.
Voditelj obrade je dužan javno objaviti kontakt podatke povjerenika/službenika za zaštitu osobnih podataka na svojim web stranicama i na svaki drugi prikladan način.
Članak 17.
Povjerenik/Službenik za zaštitu osobnih podataka treba imati vještine i stručnost koje podrazumijevaju:
stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite osobnih podataka, uključujući dubinsko razumijevanje Uredbe,
aktivno razumijevanje u provođenju postupaka obrade,
razumijevanje informacijskih tehnologija i sigurnosti osobnih podataka,
poznavanje sustava poslovne i radne organizacije voditelja obrade,
sposobnost promicanja kulture zaštite osobnih podataka unutar djelatnosti voditelja obrade.
Članak 18.
Ovisno o prirodi postupaka obrade te djelatnosti i veličini voditelja obrade povjereniku/službeniku za zaštitu podataka potrebno je pružiti sljedeće:
aktivnu potporu višeg rukovodstva funkciji povjerenika/službenika za zaštitu osobnih podataka,
dostatno vrijeme kako bi povjerenik/službenik za zaštitu osobnih podataka ispunio svoje dužnosti,
primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti, oprema) i prema potrebi osoblja,
službenu obavijest o imenovanju povjerenika/službenika za zaštitu osobnih podataka upućenu svim osobama,
pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu osobnih podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,
kontinuirano osposobljavanje.
Članak 19.
Voditelj obrade ne smije:
povjereniku/službeniku za zaštitu osobnih podataka davati upute za izvršavanje zadaća,
povjerenika/službenika za zaštitu osobnih podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti.
Povjerenik/Službenik za zaštitu osobnih podataka ne smije biti:
zakonski zastupnik Voditelja obrade,
osoba koji prikuplja i obrađuje osobne podatke,
voditelj odjela za marketing, javnost,
voditelj ljudskih resursa
voditelj odjela za informacijsku tehnologiju
ili bilo koja druga osoba koja je pozicionirana u višem rukovodstvu ali i osoba koja na svojem položaju utvrđuje svrhu i način obrade osobnih podataka.
Imenovanje vanjskog povjerenika/službenika za zaštitu osobnih podataka
Članak 20.
Voditelj obrade za Povjerenika/Službenika za zaštitu osobnih podataka može odrediti i imenovati vanjsku fizičku ili pravnu osobu koja nije zaposlena kod Voditelja obrade temeljem Ugovora o izvršavanju poslova službenika za zaštitu osobnih podataka temeljenog na Uredbi i ovom Pravilniku, posebice uvažavajući odredbe prethodnih članka ovoga Pravilnika koji se odnose na Povjerenike/Službenike za zaštitu osobnih podataka.
Vanjski povjerenik/službenik za zaštitu osobnih podataka mora jamčiti voditelju obrade da ima stručna znanja, potrebne resurse i pouzdanost za provedbu tehničkih i organizacijskih mjera koje se, pri obradi osobnih podataka u funkciji izvršenja Ugovora, primjenjuju sukladno propisima iz područja zaštite osobnih podataka, Uredbe i ovoga Pravilnika, neposredno ili posredno putem vanjskih stručnih suradnika.
Evidencija aktivnosti obrade
Članak 21.
Voditelj obrade, kao i Izvršitelj obrade ukoliko on kao takav postoji, temeljem članka 30. Uredbe mora učiniti i voditi Evidenciju aktivnosti obrade gdje će iskazati slijedeće informacije:
ime i kontaktne podatke voditelja obrade
ime i kontaktne podatke službenika za zaštitu podataka;
svrhe obrade;
opis kategorija ispitanika
opis kategorija osobnih podataka;
kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
predviđene rokove za brisanje različitih kategorija podataka;
opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. 2.
Evidencija iz prednjeg stavka ovog članka Pravilnika mora biti u pisanom obliku, uključujući elektronički oblik.
Obveze iz ovog članka Pravilnika primjenjuju se:
na pravnu osobu u kojoj je zaposleno više od 250 osoba,
ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika,
ako obrada nije povremena i kada obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. Uredbe ili
je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivi
Za vođenje evidencije obrade osobnih podataka osoba ovlaštena na zastupanje voditelja obrade će imenovati odgovornu osobu.
Procjene učinka na privatnost
Članak 22.
Voditelj obrade u slučaju ispunjenja uvjeta određenih Uredbom kojeg obvezuje izraditi procjenu učinka na privatnost prilikom obrade osobnih podataka posebnih kategorija kao i gdje je utvrdio da osobni podaci mogu prouzročiti visok rizik za prava i slobode pojedinaca, izraditi će predmetnu procjenu
U slučaju novih vrsta obrade koje bi putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, mogle prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade obvezan je obaviti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
Prilikom procjene učinka na privatnost voditelj obrade je dužan zatražiti savjet od službenika za zaštitu osobnih podataka.
Pohrana i čuvanje osobnih podataka
Članak 23.
Voditelj obrade u odnosu na način i pohranu arhivske građe i vremenu njenog čuvanja uređuje sukladno zakonskim propisima i općim aktom kojem su obuhvaćeni osobni podaci ispitanika u odnosu na utvrđenje načina i vremena njihova pohranjivanja i čuvanja, tehničkim mjerama zaštite, kao i prostorijama i opremi gdje i kako se čuvaju.
Evidencija zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Osobni podaci o zaposlenicima predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.
Evidenciju od članovima izvršnih i predstavničkih tijela počinje se voditi na dan njihova imenovanja, a prestaje se voditi na dan prestanka njihova mandata. Ovi osobni podaci predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa i općih akata voditelja obrade.
Evidencija o građanima i vanjskim suradnicima vodi se od trenutka podnošenja zahtjeva ili od trenutka sklapanja ugovora, a prestaje se voditi ostvarenjem svrhe za koju su podaci prikupljeni. Podaci se čuvaju temeljem zakonskih propisa i općih akata voditelja obrade.
Davanje osobnih podataka na korištenje drugim korisnicima
Članak 24.
Osobni podaci koje prikuplja i obrađuje Voditelj obrade daju se na korištenje na temelju pisanog zahtjeva drugim korisnicima ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti takvog korisnika.
Prije davanja osobnih podataka na korištenje drugim korisnicima Voditelj obrade će o tome obavijestiti ispitanika (usmeno, elektronskim putem).
O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom korisniku i o svrsi za koju su dani podaci vodi se posebna evidencija.
Odgovornost osobe koja prikuplja i obrađuje osobne podatke
Članak 25.
Stručno i administrativno osoblje Voditelja obrade koje prikuplja i obrađuje osobne podataka (imenovanih i određenih od Voditelja obrade) dužno je:
postupati u skladu s Uredbom, ovim Pravilnikom i ostalim aktima i odlukama koje se odnose na osobne podatke ispitanika,
poduzeti sve mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe,
koji propust čini osobito tešku povredu radne obveze zbog koje se može izreći izvanredni otkaz radnog odnosa prema osobi počinitelju.
Navedene osobe dužne su potpisati Izjavu o povjerljivosti kojom će se obvezati:
da će čuvati povjerljivost svih osobnih podataka na kojima ima pravo i ovlast pristupa a koji se nalaze u zbirkama osobnih podataka
da će osobne podatke koristiti isključivo u točno određenu (propisanu) svrhu
da će se s osobnim podacima služiti onoliko vremena koliko je to nužno za ostvarenje svrhe za koju su uzeti te ih neću dalje obrađivati u neku drugu svrhu
da osobne podatke na kojima imam pravo i ovlast pristupa neće dostavljati/davati na korištenje niti na bilo koji drugi način učiniti dostupnima trećim (neovlaštenim) osobama, te
da će povjerljivost osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim podacima.
Ostale odredbe
Članak 26.
Za pitanja koja nisu navedena ovim Pravilnikom primjenjuju se odredbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine i ostali pozitivni zakonski propisi RH koji uređuju provedbu Uredbe ili se odnose na osobne podatke.
Članak 27.
Ovaj Pravilnik stupa na snagu 8 dana od dana objave na oglasnoj ploči.
Klasa: 021-01/18-02/11
Ur.broj: 2163/01-02-18-05
Pula, 09.10.2018.
Predsjednik Upravnog vijeća Valter Boljunčić |
Ova Izjava o zaštiti osobnih podataka za Lučku upravu Pula primjenjuje se od 25. svibnja 2018.
Lučka uprava Pula s Vašim će osobnim podacima postupati sukladno Općoj uredbi (EU) 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podatka i slobodnom kretanju takvih podatka, nacionalnim propisima kojima se regulira zaštita osobnih podataka uz primjenu odgovarajućih tehničkih i sigurnosnih mjera zaštite osobnih podataka od neovlaštenog pristupa, zlouporabe, otkrivanja, gubitka ili uništenja.
1. OSNOVNI PODACI
Ova Izjava opisuje koje podatke prikupljamo, na koji ih način obrađujemo te u koje ih svrhe upotrebljavamo, kao i vaša prava povezana s vašim podacima.
Za obradu podataka odgovoran je: Lučka uprava Pula ,Riva 2 Pula, Voditelj obrade
Službenik za zaštitu osobnih podataka: Zagoršćak & parneri d.o.o.Zagreb,
Radnička cesta 52
Tel/mob za kontakt: 091/20117888
Adresa e- pošte za kontakt: odvjetnik.zagoršćak@os.t-com.hr
Ako se koristimo uslugama vanjskih pružatelja za obradu vaših osobnih podataka, radi se o obradi (osobnih podataka) po nalogu, te smo također i tom smo slučaju odgovorni za zaštitu vaših osobnih podataka.
2. KATEGORIJE OSOBNIH PODATAKA KOJE OBRAĐUJEMO
Obrađujemo i upotrebljavamo slijedeće osobne podatke:
zaposlenike, djeca i bračni drug zaposlenika,
članovi upravnog vijeća
vanjske suradnike,
korisnike osnovne djelatnosti,
poslovni klijenti,
ugovorne korisnike.
U sklopu poslovnog odnosa, dužni ste na raspolaganje staviti osobne podatke koji su nužni za zasnivanje i realizaciju poslovnog odnosa te ispunjavanje povezanih ugovornih obveza ili za čije prikupljanje postoji obveza. Bez tih podataka smo u pravilu prisiljeni odbiti zaključivanje ugovora ili provedbu naloga ili obustaviti provedbu te raskinuti postojeći ugovor. Niste dužni dati svoju privolu na obradu podataka koji nisu relevantni ili zakonom propisani za izvršavanje ugovora.
3. PRAVNA OSOBA I SVRHE OBRADE OSOBNIH PODATAKA
Obrade koje provodimo temelje se na:
Zakonskim obvezama – Vaše osobne podatke obrađujemo u skladu s važećim propisima kao i radi obavještavanja i prijava koja smo dužni vršiti prema važećim propisima
Realizaciji ugovora – osobne podatke obrađujemo u svrhu realizacije ugovora i ispunjenja ugovornih obveza koje smo ugovorili.
Privolama – koju ste nam dali radi obrade vaših osobnih podataka (npr. broja telefona)
Legitimnim interesima.
4. RAZDOBLJE ČUVANJA
Osobni podaci se čuvaju, arhiviraju i izlučuju sukladno zakonskim i ostalim propisima ili općem aktu – Pravilniku o zaštiti i obradi arhivskog i registraturnog gradiva.
Vaše osnovne osobne podatke načelno brišemo po isteku svih zakonskih obveza povezanih s čuvanjem osobnih podataka.
5. UPRAVLJANJE PRIVOLAMA
Privolu za kontaktiranje možete opozvati u bilo kojem trenutku. Isto tako, možete u bilo kojem trenutku prigovoriti našoj obradi vaših osobnih podataka
Promjenu privole možete izvršiti, putem pisanog zahtjeva na Lučka uprava Pula,Riva 2 52100 Pula
ili putem e-mail-a na adresu: info@lup.hr
Ako opozovete dane privole Vaše podatke više nećemo upotrebljavati u navedene svrhe.
Ako ponovno želite dati svoju privolu, to možete učiniti u bilo kojem trenutku.
U slučaju obrade Vaših osobnih podataka za koje nije potrebna privola, a koja je nužna za zaključenje ugovora s nama ili ispunjenje zaključenog ugovora ili zbog obveza koje imamo prema zakonu, ako nam ne dostavite te podatke nećemo biti u stanju ispuniti svoje ugovorne obveze prema vama niti ćemo moći s vama zaključiti ugovor.
Povlačenje privole ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena.
6. PRAVA KORISNIKA
a) pravo na pristup informacijama i informaciju o obradi osobnih podataka odnosno da li voditelj obrade obrađuje osobne podatke ispitanika ili ne
b) Pravo na ispravak: Ako obrađujemo Vaše osobne podatke koji su nepotpuni ili netočni, u bilo kojem trenutku od nas možete zatražiti da ih ispravimo ili dopunimo.
c) Pravo na brisanje: Od nas možete zatražiti brisanje svojih osobnih podataka ako smo ih obrađivali protupravno ili ta obrada predstavlja nerazmjerno zadiranje u Vaše zaštićene interese. Molimo da uzmete u obzir da postoje razlozi koji onemogućuju trenutačno brisanje, primjerice kod zakonski propisanih obveza arhiviranja.
d) Pravo na ograničenje obrade: Od nas možete zatražiti ograničenje obrade svojih podataka: • ako osporite točnost podataka tijekom perioda koji nam omogućava provjeru točnosti tih podataka • ako je obrada podataka bila protupravna, ali odbijate brisanje i umjesto toga tražite ograničenje korištenja podacima • ako nam podaci više nisu potrebni za predviđene svrhe, ali su Vam još potrebni radi ostvarenja pravnih zahtjeva ili • ako ste podnijeli prigovor zbog obrade tih podataka
e) Pravo na mogućnost prijenosa podataka: Od nas možete zatražiti da Vam podatke koje ste nam povjerili radi arhiviranja dostavimo u strukturiranom obliku, u uobičajenom strojno čitljivom formatu: • ako te podatke obrađujemo na temelju suglasnosti koju ste nam dali i koju možete opozvati ili radi ispunjenja našeg ugovora i • ako se obrada vrši s pomoću automatiziranih procesa.
f) Pravo na prigovor: Ako Vaše podatke distribuiramo radi izvršenja zadaća od javnog interesa ili zadaća javnih tijela ili se prilikom njihove obrade pozivamo na naše legitimne interese, možete podnijeti prigovor protiv takve obrade podataka ako postoji interes zaštite Vaših podataka.
g) Pravo na prigovor nadležnom tijelu: Ako ste mišljenja da smo prilikom obrade Vaših podataka prekršili hrvatske ili europske propise o zaštiti podataka, molimo da nam se obratite kako bismo razjasnili eventualna pitanja. Svakako imate pravo uložiti pritužbu hrvatskoj Agenciji za zaštitu osobnih podataka, odnosno u slučaju promjene važećih propisa drugom tijelu koje će preuzeti njenu nadležnost, a od 25. svibnja 2018. godine i nadzornom tijelu unutar EU-a.
h) Ostvarivanje prava: Ako želite ostvariti neko od navedenih prava, obratite nam se koristeći se našim podacima za kontakt iz točke 1. ove Izjave.
i) Potvrda identiteta: U slučaju dvojbe možemo zatražiti dodatne informacije radi provjere vašeg identiteta. To služi zaštiti vaših prava i privatne sfere.
j) Zlouporaba prava: Ako biste se nekim od navedenih prava koristili prečesto i s očitom namjerom zlouporabe, možemo naplatiti administrativnu pristojbu ili odbiti obraditi Vaš zahtjev.
7. PRIJENOS OSOBNIH PODATAKA U TREĆE ZEMLJE
Prijenos podataka u treće zemlje (zemlje izvan EU) se obavlja samo:
– ako postoji zakonska obveza
– ako je dan izričiti pristanak na prijenos podataka od strane ispitanika
8. PRIJENOS PODATAKA TREĆIM OSOBAMA
Obvezujemo se čuvati Vaše osobne podatke i nećemo ih priopćavati, odnosno učiniti dostupnim trećim osobama osim u sljedećim slučajevima:
ako izričito pisanim putem pristanete da se priopće pojedini povjerljivi podaci za određenu namjenu ili određenoj osobi
na pisani zahtjev suda ili javnog bilježnika ako su podaci potrebni u obavljanju poslova koji su im povjereni temeljem zakona (npr. provedba ovrhe, stečaja, ostavinskog ili drugog imovinskopravnog postupka)
ako su podaci potrebni Ministarstvu unutarnjih poslova ili nadležnom državnom odvjetništvu za potrebe obavljanja poslova iz njihove nadležnosti,
ako su podaci potrebni sudu, odvjetnicima ili javnom bilježniku za postupak koji vode, a predočenje tih podataka zahtijeva pisanim putem,
ako su podaci potrebni Centru za socijalnu skrb u okviru njihovih zakonskih ovlasti
ako su ti podaci potrebni Ministarstvu financija odnosno poreznim tijelima (Poreznoj i Carinskoj upravi), Zavodu za mirovinsko i zdravstveno osiguranje, u postupku koji ona provode u okviru svojih nadležnosti
ako smo obvezni dostaviti podatke Ministarstvu pomorstva, prometa i infrastrukture
ostalim ministarstvima i javnim tijelima vlasti, jedinicama lokalne i područne (regionalne) samouprave
ako su podaci potrebni radi izvršenja ugovornih obaveza prema Vama kao i izvršenja naših zakonskih propisa,
u drugim slučajevima propisanim zakonom.
9. TEHNIČKE I ORGANIZACIJSKE MJERE
Poduzeli smo sve tehničke i organizacijske mjere kako bismo vaše podatke zaštitili od gubitka, izmjena, ili pristupa treće strane, te u slučaju bilo kakvih pitana slobodno nas kontaktirajte te ćemo Vam u najkraćem mogućem roku odgovoriti na vaše zahtjeve, molbe nedoumice te Vam pomoći u ostvarivanju Vaših prava .
Bilo kakve promjene u vezi naše politike zaštite osobnih podataka bit će objavljene u izjavi o zaštiti osobnih podataka, na našim Internet stranicama, te ćete o istima biti na adekvatan način obaviješteni.
10. OSOBNI PODACI NA INTERNETSKIM STRANICAMA
Prikupljamo samo one osobne podatke koje nam posjetitelji naše službene internetske stranice dobrovoljno stavljaju na raspolaganje prilikom podnošenja zahtjeva za kontaktom, natjecanja za posao, usluga povratnog poziva, i ispunjavanja obrasca za pritužbe. Ovi osobni podaci koriste se povjerljivo i samo u određenu svrhu.
Prijenos ovih osobnih podataka trećim stranama se ne provodi, izuzev ako postoji zakonska obveza ili nalog službenog tijela, kada se ti osobni podatci mogu proslijediti nadležnom tijelu. Pristup internetskoj stranici se protokolira te se tom prilikom bilježe tehnički podaci kao što su posjećenost stranice, operacijski sustav koji se pritom koristi, razlučivost zaslona, vrijeme posjeta i veličina prenesenih podataka.
Radi unaprjeđenja naše ponude, internetske stranice mogu sadržavati „kolačiće“ koji se pohranjuju na računalu posjetitelja stranice. Pohranu „kolačića“ moguće je i spriječiti, no s tim u vezi moguća je i ograničena ponuda internetske stranice. „Kolačići“ daju mogućnost pohranjivanja karakterističnih preferencija posjetitelja internetskih stranica, optimiziranja tehničkih procesa i kontinuiranog poboljšavanja ponude.
Ravnatelj Lučke uprave Pula
Donald de Gravisi
Temeljem odredbi Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine i odredbi Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, te temeljem članka 16., točka 1. Statuta Lučke uprave Pula, Upravno vijeće Lučke uprave Pula, na svojoj sjednici 243-59/2018 održanoj 09.10.2018. godine, donijelo je
PRAVILNIK O KORIŠTENJU SUSTAVA VIDEO-NADZORA
Članak 1.
Video nadzor u smislu odredbi ovog Pravilnika odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane temeljenih na odredbama Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018), u nastavnom tekstu Zakon i odredbi Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, u nastavnom tekstu Uredba.
Članak 2.
Ovim Pravilnikom o korištenju sustava video nadzora uređuju se i definira:
svrha i opseg osobnih podataka koji se prikupljaju,
način i vrijeme čuvanja te
uporaba snimljenih podataka u svrhu smanjenja rizika i povećanja zaštite i sigurnosti osoba koji se nađu u prostorima voditelja obrade a osobito kontrole ulazaka i izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti radnika riziku od razbojstva, provala, nasilja, krađa .
Prilikom prikupljanja, pohranjivanja, čuvanja i korištenja podataka prikupljenih video nadzorom Voditelj obrade je dužan zaštititi podatke sukladno Uredbi i Zakonu o zaštiti osobnih podataka, te podzakonskim propisima.
Članak 3.
Sustav video nadzora provodi se isključivo u svrhu zaštite:
osoba koje se nađu u službenim i ostalim prostorima, ( kontrola ulazaka i izlazaka iz radnih prostorija i prostora),
imovine,
s ciljem smanjenja izloženosti zaposlenika i imovine riziku od razbojstva, provala, nasilja, krađa, oštećenja, uništenja, i sl..
Sustav video nadzora (obrada podataka putem video nadzora) ne smije biti u suprotnosti niti prevladavati nad interesima ispitanika.
Snimke koje su snimljene sustavom vide nadzora mogu se isključivo koristiti za navedeno u stavku 1. ovoga članka.
Sustav video nadzora provodi se isključivo u svrhu zaštite:
smanjenja rizika i povećanja zaštite i sigurnosti zaposlenika i ostalih osoba koji se nađu u prostorima voditelja obrade a osobito kontrole ulazaka i izlazaka iz radnih prostorija i ostalih prostora. te radi smanjenja izloženosti zaposlenika i ostalih ljudi riziku od razbojstva, provala, nasilja, krađa,
života i zdravlja ljudi i imovine na javnim mjestima, s ciljem smanjenja izloženosti ljudi i imovine riziku od razbojstva, provala, nasilja, krađa, oštećenja, uništenja, uspostavljanja javnog reda i mira i sl..
Članak 4.
Video-nadzorom pokriveni su prostori i javne površine koji se odnose na:
Video nadzorom:
su pokriveni prostori koji se odnose na:
Riječki gat,međunarodni granični prijelaz i operativna obala
Obala Veslača operativna obala
Kolodvorska obala operativna obala
Obala Uljanik operativna obala
Obala Arena operativna obala
Gat Čađavica Molo Carbone operativna obala
Bunarina komunalni dio luke
se ne smije zahvatiti u okolni javni prostor,
ne smiju biti obuhvaćeni radni prostori za odmor, osobnu higijenu i presvlačenje.
Članak 5.
Praćenje javnih površina putem video nadzora dozvoljeno je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo:
– ako je propisano zakonom,
– ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili
– radi zaštite života i zdravlja ljudi te imovine.
Odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe o zaštiti podataka na sustavno praćenje javno dostupnog područja u velikoj mjeri.
Članak 6.
Snimljeni podaci snimaju se i čuvaju najduže trideset dana od dana nastanka, a nakon navedenog roka snimke se trajno brišu, osim ako je zakonom ili drugim pozitivnim zakonskim propisom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.
U slučaju opravdane potrebe, a u svrhu dokazivanja može u svakom pojedinačnom slučaju odlučiti da se podaci čuvaju duže od vremena navedenog u prethodnom stavku ovoga članka.
Snimke kojima se dokazuje povreda svrhe nadzora pohranit će se na čuvanje na godinu dana od dana pohranjivanja zapisa sve dok za njima postoji potreba.
Članak 7.
Voditelj obrade dužan je označiti da je objekt odnosno u njemu pojedina prostorija, te vanjska površina objekta pod video nadzorom.
Oznaka s obavijesti mora biti istaknuta na vidnom mjestu, vidljiva najkasnije prilikom ulaska u perimetar snimanja, odnosno pri ulasku u nadzirani prostor.
Obavijest iz prethodnog stavka ovog članka Pravilnika treba sadržavati sve relevantne informacije skladu odredbi članka 13. Uredbe, a posebno jednostavnu i razumljivu sliku uz tekst kojim se ispitanicima pružaju slijedeće informacije:
da je prostor pod video nadzorom,
podatke o voditelju obrade,
kontakt podatke putem kojih ispitanik može ostvariti svoja prava.
Podaci o osobama prikupljene sustavom tehničke zaštite izvan njihove zakonske namjene se ne smiju koristiti.
Uvid u snimke (pristup osobnim podacima prikupljenih putem video nadzora) dopušten je samo odgovornim osobama Voditelja obrade i osobama od njega posebno imenovanih, koje osobe ne smiju koristiti snimke suprotno utvrđenoj svrsi iz članka 2. ovog Pravilnika.
Članak 8.
Voditelj obrade mora uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama video nadzora koji će sadržavati:
vrijeme i mjesto pristupa,
oznaku osoba koje su izvršile pristup podacima prikupljenih putem video nadzora.
Članak 9.
Sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba.
Pristup podacima iz stavka 1. ovoga članka, imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.
Članak 10.
Obrada osobnih podataka zaposlenika putem sustava video nadzora može se provoditi samo uz svrhu i uvjete utvrđene posebnom odlukom Voditelja obrade vodeći računa o tome jesu li ispunjeni i uvjeti utvrđeni propisima koji reguliraju zaštitu na radu i ako su zaposlenici bili pojedinačno unaprijed obaviješteni o takvoj mjeri i ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava video nadzora.
Članak 11.
Voditelj obrade može pratiti javne površine putem video nadzora samo ukoliko je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.
Odredbe prethodnog stavka ovog članka ne isključuju primjenu članka 35. Uredbe koji se odnosi na sustavno praćenje javno dostupnog područja u velikoj mjeri.
Članak 12.
Ovaj Pravilnik stupa na snagu 8 dana od dana objavljivanja na oglasnoj ploči
Klasa: 021-01/18-02/11
Ur.broj: 2163/01-02-18-06
Pula, 09.10.2018.
Predsjednik Upravnog vijeća Valter Boljunčić |