Pravilnik o obradi i zaštiti osobnih podataka u bazama osobnih podataka, čiji je vlasnik prodavač
Sadržaj
- Opća načela i područje primjene
- Popis baza osobnih podataka
- Cilj obrade osobnih podataka
- Redoslijed obrade osobnih podataka: dobivanje pristanka, obavijest o pravima i radnje s osobnim podacima subjekta osobnih podataka
- Lokacija baze osobnih podataka
- Uvjeti otkrivanja informacija o osobnim podacima trećim stranama
- Zaštita osobnih podataka: načini zaštite, odgovorna osoba, zaposlenici koji izravno provode obradu i/ili imaju pristup osobnim podacima u vezi s obavljanjem svojih službenih dužnosti, rok čuvanja osobnih podataka
- Prava subjekta osobnih podataka
- Redoslijed rada s zahtjevima subjekta osobnih podataka
- Državna registracija baze osobnih podataka
1. Opća načela i područje primjene
1.1. Definicija pojmova:
baza osobnih podataka — imenovana skupina uređenih osobnih podataka u elektroničkom obliku i/ili u obliku kartoteka osobnih podataka;
odgovorna osoba — određena osoba koja organizira rad povezan s zaštitom osobnih podataka prilikom njihove obrade, u skladu sa zakonom;
vlasnik baze osobnih podataka — fizička ili pravna osoba kojoj je zakonom ili uz pristanak subjekta osobnih podataka dano pravo na obradu tih podataka, koja odobrava svrhu obrade osobnih podataka u ovoj bazi podataka, utvrđuje sastav tih podataka i procedure njihove obrade, osim ako zakonom nije drugačije određeno;
Državni registar baza osobnih podataka — jedinstveni državni informacijski sustav prikupljanja, pohrane i obrade podataka o registriranim bazama osobnih podataka;
javne izvore osobnih podataka - imenici, adresari, registri, popisi, katalozi, drugi sistematizirani zbirci otvorenih informacija koji sadrže osobne podatke, objavljeni i objavljeni uz znanje subjekta osobnih podataka. Društvene mreže i internetski resursi u kojima subjekti osobnih podataka ostavljaju svoje osobne podatke (osim u slučajevima kada subjekt osobnih podataka izričito navodi da su osobni podaci objavljeni s ciljem njihovog slobodnog širenja i korištenja) ne smatraju se javno dostupnim izvorima osobnih podataka;
suglasnost subjekta osobnih podataka — bilo koja dokumentirana, dobrovoljna volja fizičke osobe u vezi s davanjem dopuštenja za obradu njezinih osobnih podataka u skladu s formuliranim ciljem njihove obrade;
depersonalizacija osobnih podataka — prikupljanje podataka koji omogućuju identifikaciju osobe;
obrada osobnih podataka — bilo koja radnja ili skup radnji, izvršenih potpuno ili djelomično u informacijskom (automatiziranom) sustavu i/ili u kartotekama osobnih podataka, koje su povezane s prikupljanjem, registracijom, akumulacijom, pohranjivanjem, prilagodbom, izmjenom, obnavljanjem, korištenjem i širenjem (distribucijom, realizacijom, prijenosom), deidentifikacijom, uništavanjem informacija o fizičkoj osobi;
osobni podaci — podaci ili skup podataka o fizičkoj osobi koja je identificirana ili se može konkretno identificirati;
voditelj baze osobnih podataka — fizička ili pravna osoba, kojoj je vlasnik baze osobnih podataka ili zakonom dano pravo obraditi te podatke. Nije upravitelj baze osobnih podataka osoba kojoj je vlasnik i/ili upravitelj baze osobnih podataka povjerio obavljanje tehničkih radova na bazi osobnih podataka bez pristupa sadržaju osobnih podataka;
subjekt osobnih podataka - fizička osoba, u odnosu na koju se u skladu sa zakonom vrši obrada njenih osobnih podataka;
treća osoba - bilo koja osoba, osim subjekta osobnih podataka, vlasnika ili upravitelja baze osobnih podataka i ovlaštenog državnog tijela za zaštitu osobnih podataka, kojoj vlasnik ili upravitelj baze osobnih podataka prenosi osobne podatke u skladu sa zakonom;
posebne kategorije podataka - osobni podaci o rasnom ili etničkom podrijetlu, političkim, vjerskim ili svjetonazorskim uvjerenjima, članstvu u političkim strankama i sindikatima, kao i podaci koji se odnose na zdravlje ili seksualni život.
1.2. Ova pravila su obavezna za primjenu od strane odgovorne osobe i zaposlenika prodavača koji izravno obrađuju i/ili imaju pristup osobnim podacima u vezi s izvršavanjem svojih službenih obveza.
2. Popis baza osobnih podataka
2.1. Prodavač je vlasnik sljedećih baza osobnih podataka:
- baza osobnih podataka ugovornih strana.
3. Cilj obrade osobnih podataka
3.1. Cilj obrade osobnih podataka u sustavu je osiguranje realizacije civilno-pravnih odnosa, pružanje, primanje i izvršavanje obračuna za kupljenu robu i usluge u skladu s Poreznim zakonom Republike Hrvatske, Zakonom Republike Hrvatske "O računovodstvu i financijskom izvještavanju".
4. Postupak obrade osobnih podataka: dobivanje pristanka, obavijest o pravima i radnje s osobnim podacima subjekta osobnih podataka
4.1. Suglasnost subjekta osobnih podataka mora biti dobrovoljna volja fizičke osobe za davanje dopuštenja za obradu njezinih osobnih podataka u skladu s formuliranim ciljem njihove obrade.
4.2. Suglasnost subjekta osobnih podataka može biti dana u takvim oblicima:
- dokument na papirnom nositelju s rekvizitima koji omogućuje identifikaciju ovog dokumenta i fizičke osobe;
- elektronički dokument koji mora sadržavati obavezne podatke koji omogućuju identifikaciju ovog dokumenta i fizičke osobe. Dobrovoljna volja fizičke osobe u vezi s davanjem dopuštenja za obradu njezinih osobnih podataka prikladno je ovjeriti elektroničkim potpisom subjekta osobnih podataka;
- označavanje na elektroničkoj stranici dokumenta ili u elektroničkoj datoteci, koja se obrađuje u informacijskom sustavu na temelju dokumentiranih programskih i tehničkih rješenja.
4.3. Suglasnost subjekta osobnih podataka daje se prilikom sklapanja građansko-pravnih odnosa u skladu s važećim zakonodavstvom.
4.4. Obavijest subjekta osobnih podataka o uključivanju njegovih osobnih podataka u bazu osobnih podataka, prava utvrđena Zakonom Republike Hrvatske „O zaštiti osobnih podataka“, svrha prikupljanja podataka i osobe kojima se prenose njegovi osobni podaci provodi se tijekom sklapanja građansko-pravnih odnosa u skladu s važećim zakonodavstvom.
4.5. Obrada osobnih podataka o rasnom ili etničkom podrijetlu, političkim, vjerskim ili svjetonazorskim uvjerenjima, članstvu u političkim strankama i profesionalnim udrugama, kao i podataka koji se odnose na zdravlje ili spolni život (posebne kategorije podataka) je zabranjena.
5. Mjesto pohrane osobnih podataka
5.1. Osnovi osobnih podataka navedeni u odjeljku 2 ovog Pravilnika nalaze se na adresi prodavatelja.
6. Uvjeti otkrivanja informacija o osobnim podacima trećim stranama
6.1. Redoslijed pristupa osobnim podacima trećih osoba određuje se uvjetima pristanka subjekta osobnih podataka, danog vlasniku osobnih podataka na obradu tih podataka, ili u skladu s zahtjevima zakona.
6.2. Pristup osobnim podacima trećim osobama ne daje se, ako ta osoba odbija preuzeti obvezu osiguravanja ispunjavanja zahtjeva Zakona Ukrajine „O zaštiti osobnih podataka” ili nije u mogućnosti to osigurati.
6.3. Subjekt odnosa povezanih s osobnim podacima podnosi zahtjev za pristup (u daljnjem tekstu - zahtjev) osobnim podacima vlasniku osobnih podataka.
6.4. U zahtjevu se navode:
- prezime, ime i prezime, mjesto prebivališta (mjesto boravišta) i podaci o dokumentu koji potvrđuje fizičku osobu koja podnosi zahtjev (za fizičku osobu - podnositelja);
- naziv, sjedište pravne osobe koja podnosi zahtjev, pozicija, prezime, ime i otac osobe koja ovjerava zahtjev; potvrda da sadržaj zahtjeva odgovara ovlastima pravne osobe (za pravnu osobu - podnositelja zahtjeva);
- prezime, ime i prezime, kao i druge informacije koje omogućuju identifikaciju fizičke osobe na koju se odnosi upit;
- informacije o bazi osobnih podataka na koju se podnosi zahtjev, ili informacije o vlasniku ili upravitelju te baze osobnih podataka;
- popis osobnih podataka koji se traže;
- meta i/ili pravne osnove za zahtjev.
6.5. Rok za razmatranje zahtjeva u vezi s njegovim ispunjenjem ne može biti duži od deset radnih dana od dana njegovog zaprimanja. Tijekom tog roka, vlasnik baze osobnih podataka obavještava osobu koja podnosi zahtjev da li će zahtjev biti ispunjen ili da odgovarajući osobni podaci nisu dostupni, uz navođenje osnove utvrđene u odgovarajućem propisu. Zahtjev se ispunjava unutar trideset kalendarskih dana od dana njegovog zaprimanja, osim ako zakonom nije drugačije predviđeno.
6.6. Odgoda pristupa osobnim podacima trećih osoba dopuštena je u slučaju kada potrebni podaci ne mogu biti dostavljeni unutar trideset kalendarskih dana od dana zaprimanja zahtjeva. Pri tome ukupno vrijeme rješavanja pitanja postavljenih u zahtjevu ne može premašiti četrdeset pet kalendarskih dana.
6.7. Obavijest o odgodi dostavlja se trećoj osobi koja je podnijela zahtjev, u pisanom obliku s objašnjenjem postupka žalbe na takvu odluku.
6.8. U obavijesti o odgodi navode se:
- prezime, ime i prezime službene osobe;
- datum slanja poruke;
- razlog odgode;
- rok, tijekom kojeg će zahtjev biti ispunjen.
6.9. Odbijanje pristupa osobnim podacima dopušteno je ako je pristup njima zabranjen prema zakonu.
6.10. U obavijesti o odbijanju navode se:
- prezime, ime, očevo ime službene osobe koja odbija pristup;
- datum slanja poruke;
- razlog odbijanja.
6.11. Odluka o odgodi ili odbijanju pristupa osobnim podacima može se osporiti na sudu.
7. Zaštita osobnih podataka: načini zaštite, odgovorna osoba, zaposlenici koji izravno provode obradu i/ili imaju pristup osobnim podacima u vezi s obavljanjem svojih službenih dužnosti, rok čuvanja osobnih podataka
7.1. Vlasnik baze osobnih podataka opremljen je sustavnim i programsko-tehničkim sredstvima te sredstvima komunikacije koja sprječavaju gubitke, krađe, neovlašteno uništavanje, iskrivljavanje, krivotvorenje, kopiranje informacija i odgovaraju zahtjevima međunarodnih i nacionalnih standarda.
7.2. Odgovorna osoba organizira rad povezan s zaštitom osobnih podataka prilikom njihove obrade, u skladu sa zakonom. Odgovorna osoba određuje se naredbom Vlasnika baze osobnih podataka.
Obveze odgovorne osobe u vezi s organizacijom rada vezanog uz zaštitu osobnih podataka prilikom njihove obrade navode se u radnoj instrukciji.
7.3. Odgovorna osoba je dužna:
- znati zakonodavstvo Ukrajine u području zaštite osobnih podataka;
- razviti procedure pristupa osobnim podacima zaposlenika u skladu s njihovim profesionalnim ili službenim ili radnim obvezama;
- osigurati izvršenje od strane zaposlenika Vlasnika baze osobnih podataka zahtjeva zakonodavstva Ukrajine u području zaštite osobnih podataka te unutarnjih dokumenata koji reguliraju djelovanje Vlasnika baze osobnih podataka u vezi s obradom i zaštitom osobnih podataka u bazama osobnih podataka;
- razviti redoslijed (proceduru) unutarnje kontrole za poštivanje zahtjeva zakonodavstva Ukrajine u području zaštite osobnih podataka i unutarnjih dokumenata koji reguliraju djelovanje Vlasnika baze osobnih podataka u vezi s obradom i zaštitom osobnih podataka u bazama osobnih podataka, koji, između ostalog, treba sadržavati norme o učestalosti provođenja takve kontrole;
- obavijati Vlasnika baze osobnih podataka o činjenicama kršenja od strane zaposlenika zahtjeva zakonodavstva Hrvatske u području zaštite osobnih podataka i unutarnjih dokumenata koji reguliraju djelovanje Vlasnika baze osobnih podataka u vezi s obradom i zaštitom osobnih podataka u bazama osobnih podataka u roku ne dužem od jednog radnog dana od trenutka otkrivanja takvih kršenja;
- osigurati pohranu dokumenata koji potvrđuju da je subjekt osobnih podataka dao suglasnost za obradu svojih osobnih podataka i obavijestiti navedenog subjekta o njegovim pravima.
7.4. U svrhu izvršavanja svojih obveza, odgovorna osoba ima pravo:
- dobiti potrebne dokumente, uključujući naloge i druge upravne dokumente, koje je izdao Vlasnik baze osobnih podataka, vezane uz obradu osobnih podataka;
- raditi kopije od primljenih dokumenata, uključujući kopije datoteka, bilo kojih zapisa koji se čuvaju u lokalnim računalnim mrežama i autonomnim računalnim sustavima;
- sudjelovati u raspravi o izvršenju svojih obveza organizacije rada vezanih uz zaštitu osobnih podataka prilikom njihove obrade;
- unijeti na razmatranje prijedloge za poboljšanje djelovanja i usavršavanje metoda rada, podnositi primjedbe i prijedloge za otklanjanje uočenih nedostataka u procesu obrade osobnih podataka;
- dobiti objašnjenja o pitanjima obrade osobnih podataka;
- potpisivati i ovjeravati dokumente unutar svoje nadležnosti.
7.5. Zaposlenici koji izravno obrađuju i/ili imaju pristup osobnim podacima u vezi s obavljanjem svojih službenih (radnih) obveza dužni su poštovati zahtjeve zakonodavstva Hrvatske u području zaštite osobnih podataka te unutarnjih dokumenata o obradi i zaštiti osobnih podataka u bazama osobnih podataka.
7.6. Zaposlenici koji imaju pristup osobnim podacima, uključujući one koji ih obrađuju, obvezni su ne dopustiti otkrivanje na bilo koji način osobnih podataka koji su im povjereni ili koji su postali poznati u vezi s obavljanjem profesionalnih, službenih ili radnih obveza. Ova obveza ostaje na snazi i nakon prestanka njihovih aktivnosti povezanih s osobnim podacima, osim u slučajevima predviđenim zakonom.
7.7. Osobe koje imaju pristup osobnim podacima, uključujući one koje obrađuju te podatke u slučaju kršenja zahtjeva Zakona Ukrajine "O zaštiti osobnih podataka", snose odgovornost prema zakonodavstvu Ukrajine.
7.8. Osobni podaci ne smiju se čuvati duže nego što je potrebno za svrhu za koju se ti podaci čuvaju, ali u svakom slučaju ne duže od razdoblja čuvanja podataka koje je određeno suglasnošću subjekta osobnih podataka za obradu tih podataka.
8. Prava subjekta osobnih podataka
8.1. Subjekt osobnih podataka ima pravo:
- znati o mjestu gdje se nalazi baza osobnih podataka koja sadrži njegove osobne podatke, njezinu namjenu i naziv, mjesto i/ili prebivalište (boravište) vlasnika ili upravitelja te baze ili dati odgovarajuću uputu za dobivanje tih informacija ovlaštenim osobama, osim u slučajevima predviđenim zakonom;
- dobiti informacije o uvjetima pružanja pristupa osobnim podacima, uključujući informacije o trećim osobama kojima se prenose njegovi osobni podaci, koji se nalaze u odgovarajućoj bazi osobnih podataka;
- na pristup svojim osobnim podacima koji se nalaze u odgovarajućoj bazi osobnih podataka;
- primiti najkasnije u roku od trideset kalendarskih dana od dana podnošenja zahtjeva, osim u slučajevima predviđenim zakonom, odgovor o tome da li se njegovi osobni podaci čuvaju u odgovarajućoj bazi osobnih podataka, kao i dobiti sadržaj njegovih osobnih podataka koji se čuvaju;
- iznijeti obrazloženi zahtjev protiv obrade svojih osobnih podataka od strane državnih vlasti, tijela lokalne samouprave prilikom izvršavanja njihovih ovlasti predviđenih zakonom;
- iznijeti obrazloženi zahtjev za promjenu ili uništenje svojih osobnih podataka bilo kojem vlasniku i upravitelju ove baze, ako se ti podaci obrađuju nezakonito ili su netočni;
- na zaštitu svojih osobnih podataka od nezakonite obrade i slučajnog gubitka, uništenja, oštećenja u vezi s namjernim prikrivanjem, neprovidanjem ili nepravovremenim njihovim pružanjem, a također na zaštitu od pružanja informacija koje su netočne ili sramote čast, dostojanstvo i poslovnu reputaciju fizičke osobe;
- obraćati se pitanjima zaštite svojih prava u vezi s osobnim podacima državnim vlastima, tijelima lokalne samouprave, čija ovlast uključuje zaštitu osobnih podataka;
- primijeniti pravna sredstva zaštite u slučaju kršenja zakona o zaštiti osobnih podataka.
9. Postupak rada s zahtjevima subjekta osobnih podataka
9.1. Subjekt osobnih podataka ima pravo na dobivanje bilo kakvih informacija o sebi od bilo kojeg subjekta odnosa povezanih s osobnim podacima, bez navođenja svrhe zahtjeva, osim u slučajevima predviđenim zakonom.
9.2. Pristup subjekta osobnih podataka podacima o sebi ostvaruje se besplatno.
9.3. Subjekt osobnih podataka podnosi zahtjev za pristup (u daljnjem tekstu - zahtjev) osobnim podacima vlasniku baze osobnih podataka.
U zahtjevu se navode:
- prezime, ime i prezime, mjesto prebivališta (mjesto boravka) i podaci o dokumentu koji potvrđuje identitet subjekta osobnih podataka;
- dodatne informacije koje omogućuju identifikaciju osobe subjekta osobnih podataka;
- informacije o bazi osobnih podataka na koju se podnosi zahtjev, ili informacije o vlasniku ili upravitelju te baze;
- popis osobnih podataka koji se traže.
9.4. Rok za razmatranje zahtjeva u vezi s njegovim ispunjenjem ne može biti duži od deset radnih dana od dana njegovog zaprimanja. Tijekom tog roka, vlasnik baze osobnih podataka obavještava subjekt osobnih podataka da će zahtjev biti ispunjen ili da odgovarajući osobni podaci nisu dostupni, uz navođenje osnove, određene u odgovarajućem propisu.
9.5. Upit se rješava u roku od trideset kalendarskih dana od dana njegovog zaprimanja, osim ako zakonom nije drugačije predviđeno.
10. Državna registracija baze osobnih podataka
10.1. Državna registracija baza osobnih podataka provodi se u skladu s člankom 9. Zakona Ukrajine «O zaštiti osobnih podataka».