Pravila o obradi i zaštiti osobnih podataka
Pravila o obradi i zaštiti osobnih podataka
Ova pravila odnose se na obradu osobnih podataka koje u Vaše ime provodi tvrtka Xxxxx d.o.o., u daljnjem tekstu „Xxxxx“, u svrhu pružanja usluga navedenih u „Ugovoru o najmu strojne i programske opreme“, u daljnjem tekstu „Ugovor“, potpisanim između Vas i Ritma.
U slučaju neslaganja ovih Pravila i Ugovora, Pravila imaju prednost pred Ugovorom, ukoliko
Xxxxxx izričito ne navodi drugačije.
Ova Pravila usklađena su sa EU uredbom 2016/679 o zaštiti osobnih podataka, u daljnjem tekstu „GDPR uredbom“, te Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“ broj 42/18)
Definicije
„Vi“ označava pravnu ili fizičku osobu xxxx xx s Ritmom sklopila Ugovor temeljem kojeg Xxxxx
obrađuje Vaše podatke.
„Xxxxx sustav“ sačinjavaju programski proizvodi i usluge Ritma.
„Osobni podaci“, „Voditelj obrade“, „Izvršitelj obrade“, „obrada podataka“, „Ispitanik“,
„Povreda osobnih podataka“, „Nadzorno tijelo“, „Procjena učinka na zaštitu podataka“,
„Prethodno savjetovanje“ imaju značenje definirano u čl. 4 GDPR uredbe.
Uloge i ograničenja
U procesu obrade osobnih podataka Vi ste Voditelj obrade, a Xxxxx Xxxxxxxxxx obrade, osim u
slučaju kada ste Xx Xxxxxxxxxx, a Xxxxx podizvršitelj obrade.
Kategorije osobnih podataka
Kategorije osobnih podataka koje Xxxxx obrađuje su:
- Podaci zaposlenika
- Podaci poslovnih partnera
Obrađuju se temeljni osobni podaci kao što su: ime, prezime, adresa, e-mail itd. u skladu sa zakonskim obvezama i Xxxxx poslovnim potrebama.
Xxxxx ne obrađuje posebne kategorije osobnih podataka (čl. 9 i 10. GDPR uredbe)
Svrha obrade
Obrada se izvršava prema Xxxxx zahtjevu i uputama u svrhu:
- Izvršenje usluge temeljem Ugovora
- Rješavanje korisničkih i tehničkih problema
- Sukladno zahtjevu zakonodavnih tijela
Obujam obrade
Obrada se odnosi na slijedeće aktivnosti:
- Prijem podataka unesenih u Xxxxx sustav xx xxxxxx Vaše ovlaštene osobe
- Prijenos i obrada unesenih podataka
- Upis u bazu podataka, pristup i preuzimanje
- Tehnička podrška na Vaš zahtjev, uključujući detekciju i rješenje problema
- Arhiviranje podataka i brisanje podataka
Trajanje obrade
Podaci se obrađuju onoliko xxxx koliko je potrebno za ispunjenje odredbi i svrhe ugovora. Obrada se prekida po zahtjevu Korisnika ili predstavnika zakonodavne vlasti, ili raskidom Ugovora.
U slučaju prekida obrade imate na raspolaganju 30 xxxx za preuzimanje podataka uz pomoć osoblja Xxxxx. Po isteku roka podaci se brišu, te se brišu i postojeće kopije, osim sigurnosnih kopija za koje sukladno zakonodavnim propisima postoji obveza pohrane osobnih podataka, koje se onda brišu standardnom procedurom u standardnim rokovima ili po zahtjevu zakonodavne vlasti.
Mjesto obrade podataka
Sve aktivnosti obrade podataka provode se u Republici Hrvatskoj, ili eventualno u nekoj od
zemalja članica Europske unije.
Za svaki pojedinačni prijenos podataka u državu koja nije država članica niti EU niti EEA potrebna je prethodna suglasnost Voditelja obrade, a isti će se izvršiti samo ukoliko su ispunjeni posebni uvjeti utvrđeni člankom 44. i dr. Uredbe o zaštiti podataka (Uredba GDPR), te ukoliko je uspostavljena odgovarajuća zaštita na temelju odluke o primjerenosti koju donosi Komisija (čl. 45. Uredbe GDPR) ili putem obvezujućih korporativnih pravila (čl. 00. xx. 2. toč. b. zajedno s čl. 47. Uredbe GDPR), standardnih klauzula o zaštiti podataka (čl. 00. xx. 2. toč. c. i d. Uredbe GDPR), odobrenog kodeksa ponašanja (čl. 00. xx. 2. toč. e. zajedno sa čl. 40. Uredbe GDPR) i odobrenog mehanizma certificiranja (čl. 00. xx. 2. toč. f. zajedno sa čl. 42. Uredbe GDPR), te ostalih mjera kao što su ugovorne klauzule koje odobri tijelo za zaštitu podataka čl.
00. xx. 2. toč. a., st. 3. toč. a. i b. Uredbe GDPR) ili odstupanja u posebnim slučajevima definiranim u čl. 49. st. 1. Uredbe GDPR.
Ostvarivanje prava ispitanika
Izvršitelj obrade xx xxxxx pomagati Voditelju obrade u pogledu tehničkih i organizacijskih mjera, kako bi Voditelj obrade u bilo kojem trenutku bio u mogućnosti poštivati prava ispitanika utvrđenih u Poglavlju III Uredbe GDPR (pravo na informacije, pristup, ispravak i brisanje osobnih podataka, prenosivost podataka, prigovor i automatizirano pojedinačno donošenje odluka) u zakonskom roku, i Izvršitelj obrade će u tu svrhu Voditelju obrade pružiti sve potrebne informacije.
Izvršitelj obrade i bilo koja druga osoba, ovlaštena da djeluje u njegovo ime, koja ima pristup osobnim podacima ne smije obrađivati osobne podatke bez zabilježenog, odnosno dokumentiranog naloga ili uputa Voditelja obrade, osim u slučaju kada Izvršitelj obrade ima zakonsku obavezu obrađivati osobne podatke.
Izvršitelj obrade ne može samostalno ispravljati, brisati ili ograničavati obradu podataka koja se vrši za Voditelja obrade, već to može učiniti isključivo u skladu s dokumentiranim uputama Voditelj obrade. U slučajevima kada ispitanik izravno kontaktira Izvršitelja obrade vezano uz ispravak, brisanje ili ograničenje obrade, Izvršitelj obrade takav zahtjev ispitanika bez odlaganja prosljeđuje Voditelju obrade.
Ukoliko Izvršitelju obrade bude upućen odgovarajući zahtjev koji pokazuje da podnositelj zahtjeva pogrešno smatra da je on voditelj obrade podataka kojima on upravlja, Izvršitelj obrade će bez odlaganja takav zahtjev proslijediti Voditelju obrade i o tome obavijestiti podnositelja zahtjeva.
Ukoliko nadležno tijelo naloži Izvršitelju obrade da otkrije osobne podatke Voditelja obrade, Xxxxxxxxxx obrade će o tome, ukoliko je to zakonski dopušteno, odmah obavijestiti Voditelja obrade, te uputiti nadležno tijelo na Voditelja obrade. Nadalje, Izvršitelj obrade može obrađivati podatke za svoje potrebe isključivo uz pisanu uputu Voditelja obrade.
Tehničke i organizacijske mjere zaštite
Mjere zaštite poduzimaju se kako bi se osigurala sposobnost trajne povjerljivosti, cjelovitosti,
dostupnosti i otpornosti sustava i usluga obrade.
Svi Vaši podaci su kriptirani, te su višerazinskim sustavom lozinki i privilegija zaštićeni od neovlaštenog pristupa. Podaci ispitanika koji se više ne obrađuju (npr. podaci zaposlenika nakon raskida ugovora o radu), pseudonimiziraju se.
Poslužitelji na kojima su pohranjeni Vaši podaci nalaze se u ovlaštenom data centru, pod
nadzorom Podizvršitelja obrade koji je nositelj certifikata za IT sigurnost (ISO 27001).
Poslužitelji su zaštićeni od gubitka napajanja, imaju višestruki pristup internet infrastrukturi, zaštićeni su od požara, nasilnog upada i sl.
Na poslužiteljima se izrađuju sigurnosne kopije podataka, koje se u slučaju kvara strojne opreme, odmah koriste na pričuvnoj strojnoj opremi. Kopije se dnevno pohranjuju na drugoj lokaciji, te se nakon isteka propisanog vremena uništavaju.
Sve intervencije djelatnika izvode se po Vašem zahtjevu, koji se pohranjuje i evidentira u Xxxxx sustavu sa svim tehničkim detaljima i podacima u skladu s čl.30 GDPR uredbe.
Vaši djelatnici dužni su pristupati Xxxxx sustavu koristeći jedinstvene podatke za pristup (korisničko ime, lozinka), te koristiti strojnu i programsku opremu xxxx xx zaštićena od neovlaštenog pristupa, krađe, neovlaštenog kopiranja i sl. vlastitim sigurnosnim sustavom.
Xxxxx propisanim procedurama provodi postupak redovite kontrole učinkovitosti tehničkih i organizacijskih mjera, te vrši procjenu tehničkih i organizacijskih mjera u osiguranju sigurnosti obrade.
Tehničke i organizacijske mjere podložne su tehničkim napretku i daljnjem razvoju. U xxx smislu Izvršitelj obrade ima pravo provesti odgovarajuće alternativne mjere. Xxxxxx kod
definiranih mjera ne smije doći do smanjenja razine sigurnosti. Sve značajne mjere potrebno je zabilježiti.
Dopustivost dijeljenja podataka trećim stranama
Tvrtki Xxxxx je zaštita tajnosti Vaših podataka od iznimne važnosti, stoga nikada nećemo dijeliti Vaše podatke s trećim stranama u svrhu koja nije opisana u ovim Pravilima.
Povjerljivost
Djelatnici Xxxxx, odnosno djelatnici podizvršitelja ili suradnika koji mogu doći u doticaj s Xxxxx podacima, obvezni su potpisati ugovor o tajnosti i čuvanju povjerljivih podataka.
Povreda osobnih podataka
Ukoliko Vi ili Xxxxx ustanovite da xx xxxxx do povrede Vaših osobnih podataka, druga strana o tome xxxx biti obaviještena u najkraćem mogućem vremenu.
Obje strane su obvezne poduzeti hitne zajedničke mjere kako bi se čim prije osigurali podaci, izvršila procjena štete i onemogućile daljnje štetne posljedice. U slučaju povrede osobnih podataka, za koje bi saznao Xxxxx xxx Izvršitelj obrade, a nakon što Vas kao Voditelja obrade o tome u najkraćem mogućem vremenu izvijesti, obveza je Vas kao Voditelja obrade bez nepotrebnog odgađanja, i ako je izvedivo, najkasnije u roku 72 sata nakon saznanja o toj povredi, izvijestiti o tome nadležno nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.
Postupanje Voditelja sukladno zakonskim obvezama
Vaša obveza je prilikom prikupljanja osobnih podataka upoznati ispitanike s njihovim pravima, te podatke prikupiti na zakonit način u skladu s čl. 6 do 14 GDPR uredbe.
Voditelj je obvezan postupati u skladu s čl. 32 do 36 (mjere sigurnosti podataka, izvještavanje nadzornog tijela o povredama podataka, informiranje pogođene osobe o kršenju sigurnosti podataka, procjena učinka na zaštitu podataka, prethodno savjetovanje), a Izvršitelj obrade se obvezuje pružiti mu svu moguću pomoć u navedenim aktivnostima, uzimajući u obzir prirodu obrade i informacije koje su dostupne Izvršitelju obrade.
U slučaju propusta u obradi nastalih slijedom neispunjavanja Vaših obveza, Vi preuzimate potpunu odgovornost.
Podizvršitelji obrade
Xxxxx sa svakim podizvršiteljem sklapa ugovor koji osigurava mjere sigurnosti i zaštite podataka, a koje su jednake ili više razine sigurnosti od mjera koje poduzima Xxxxx u skladu s GDPR uredbom.
Xxxxx je odgovoran za usklađenje tehničkih mjera sigurnosti podizvršitelja s mjerama zahtijevanim od GDPR uredbe.
Ukoliko Xxxxx namjerava sklopiti ugovor s novim podizvršiteljem, Vi ćete o tome biti obaviješteni. U roku od 15 xxxx imate pravo na prigovor uz obrazloženje. Ukoliko se Vi i Xxxxx ne dogovorite, imate pravo na raskid Ugovora u roku propisanom Ugovorom.
Izmjena pravila
Xxxxx ima pravo izmjene ili nadopune ovih Pravila, po nalogu regulatornog tijela ili zakonodavne vlasti, ukoliko je potrebno usklađenje sa zakonskim propisima, ili izmjenama u pružanju usluga, o čemu ćemo Vas unaprijed obavijestiti.