Na temelju Društvenog ugovora za društvo VIOLETA d.o.o., Obrež Zelinski 55, Sv. Ivan Zelina, OIB: 62874063131 (u nastavku: „Društvo“) od dana 10.05.2014. godine, te na temelju Zakona o provedbi opće uredbe o zaštiti podataka („Narodne novine“, br. 42/2018) (u nastavku: „ZPOUZP“) i u skladu sa Uredbom (EU) 2016/679 Evropskog parlamenta i Savjeta od dana 27. travnja 2016. o zaštiti pojedinaca kod obrade osobnih podataka i o slobodnom protoku takvih podataka te o ukidanju Direktive 95/46/ES (u nastavku: „GDPR“), direktor Društva Marko Ćorluka, izdaje sljedeći:
PRAVILNIK
o zaštiti osobnih podataka
I. OPĆE ODREDBE
1. član
(1) Sa ovim pravilnikom određuju se organizacijski, tehnički i logičko-tehnički postupci te mjere za zaštitu i osiguranje osobnih podataka u Društvu, sa namjerom da se spriječi slučajno ili namjerno neovlašteno uništavanje podataka, njihova promjena ili gubitak, kao i neovlašten dostup, obrada, upotreba ili prosljeđivanje osobnih podataka.
(2) Zaposleni i vanjski suradnici koji pri svom poslu obrađuju i koriste osobne podatke, moraju biti upoznati sa ZPOUZP, GDPR i sa preostalim područnim zakonodavstvom koje uređuje pojedinačno područje njihovoga rada te sa sadržajem ovog pravilnika.
(3) Ukoliko su odredbe ZPOUZP u suprotnosti sa GDPR, neposredno se za potrebe ovog pravilnika upotrebljavaju odredbe GDPR.
(4) U pravilniku korišteni i zapisani izrazi u gramatičkom obliku za muški pol ili ženski pol, koriste se kao neutralni za ženski i muški pol.
2. član
(1) Za potrebe ovog pravilnika izabrani izrazi imaju slijedeće značenje:
1. »osobni podaci« označavaju bilo koju informaciju u vezi sa osobom koja je identificirana ili koja se može identificirati; identificirana osoba je ona koju je moguće direktno ili indirektno identificirati, posebno sa navođenjem identifikatora kao što je ime, identifikacijski broj, podaci o lokaciji, internet identifikator, ili sa navođenjem jednog ili više faktora koji su karakteristični za fizički, fiziološki, genetski, duševni, ekonomski, kulturni ili društveni identitet toga pojedinca;
2. »posebne vrste osobnih podataka« su osobni podaci, koji otkrivaju rasno ili etničko porijeklo, političko mišljenje, vjersko ili filozofsko vjerovanje ili članstvo u sindikatu, i obrada genetskih podataka, bio-metričkih podataka za namjene jedinstvene
identifikacije pojedinca, podataka o zdravstvenom stanju pojedinca ili podataka v vezi sa spolnim životom ili spolnom orijentacijom pojedinca;
3. »zbirka« znači svaki strukturirani niz osobnih podataka koji su dostupni u skladu sa posebnim mjerilima, a niz može biti centraliziran, decentraliziran ili raspršen na funkcionalnoj ili geografskoj osnovi;
4. »nositelj osobnih podataka« - su sve vrste sredstava na kojima su zapisani ili snimljeni podaci (dokumenti, akti, materijali, spisi, računarska oprema uključujući sa magnetnim, optičkim ili drugim računarskim medijima, fotokopije, zvučni i vizualni materijal, mikrofilmovi, uređaji za prijenos podataka, itd.);
5. »rukovalac osobnih podataka« je prema tom pravilniku Društvo;
6. »obrada« znači svaku radnju ili niz radnji koje se izvode v vezi sa osobnim podacima ili nizovima osobnih podataka sa automatiziranim sredstvima ili bez njih, kao što je sakupljanje, evidentiranje, uređivanje, strukturiranje, pohranjivanje, prilagođavanje ili mijenjanje, prizivanje, uvid, upotreba, otkrivanje sa prosljeđivanjem, širenje ili drugačije omogućavanje dostupa, prilagođavanje ili kombiniranje, ograničavanje, brisanje ili uništenje;
7. »obrađivač« znači fizičku ili pravnu osobu, javni organ, agenciju ili drugo tijelo koje obrađuje osobne podatke u ime Društva kao rukovaoca;
8. »korisnik« znači fizičku ili pravnu osobu, javni organ, agenciju ili drugo tijelo kome su bili osobni podaci otkriveni, bez obzira na to da li je treća osoba ili ne.
(2) Za značenja ostalih izraza prema ovom pravilniku, neposredno se koriste odredbe ZPOUZP i GDPR.
II. ZAŠTITA PROSTORA I RAČUNARSKE OPREME
3. član
(1) Prostori u kojima se nalaze nositelji (zbirke) osobnih podataka, računarska i programska oprema, moraju biti izvan radnog vremena zaključani (u nastavku: „Zaštićeni prostori“). Zaštićeni prostori ne smiju ostajati bez nadzora, odnosno moraju se zaključavati prilikom odsutnosti radnika koji ih nadgledaju pri čemu se ključevi ne smiju puštati u bravi u vratima sa vanjske strane. Zaposleni u Društvu koji izgubi ili uništi ključ ili kome je ključ ukraden, mora o gubitku, uništenju ili krađi ključa odmah obavijestiti direktora Društva ili sa njegove strane ovlaštenu osobu.
(2) Zbirke osobnih podataka vode se u papirnom ili elektronskom obliku pomoću računarske opreme.
(3) U Društvu su samo određene osobe ovlaštene za pristup do osobnih podataka, pri čemu su elektronski podaci zaštićeni sa lozinkom.
(4) Pristup je moguć samo u redovnom radnom vremenu, a izvan tog vremena samo na osnovu dozvole direktora Društva ili sa njegove strane ovlaštene osobe.
(5) Izvan radnog vremena moraju biti ormari i pisaći stolovi sa nositeljima osobnih podataka zaključani, računari i druga strojna oprema isključena i fizički ili programsko zaključani. Zaposleni u društvu dužni su računare zaključavati stalno kada ih nema pored njih te neposredno na radnoj površini računara ne smiju imati pohranjene osobne podatke (tzv. »politika čistog ekrana«). Kod radne neaktivnosti ekran se automatski ugasi i računar se zaključa. Izvan radnog vremena računari moraju biti isključeni.
(6) Zaposleni u Društvu ne smiju puštati nositelje osobnih podataka na stolovima u prisutnosti osoba koje nemaju pravo na uvid u njih (tj. »politika čistog stola«).
(7) Nositelji osobnih podataka koji se nalaze izvan zaštićenih prostora (hodnici, zajednički prostori) moraju biti stalno zaključani.
(8) Posebne vrste osobnih podataka ne smiju se pohranjivati izvan zaštićenih prostora.
4. član
U prostorima koji su namijenjeni poslovanju sa strankama, nositelji podataka i računarski prikazivači moraju biti namješteni tako da stranke i ostale neovlaštene osobe nemaju uvida u njih.
5. član
Održavanje i popravke strojne računarske i druge opreme dozvoljeno je samo sa znanjem direktora Društva ili sa njegove strane ovlaštene osobe, a izvoditi ih mogu samo ovlašteni servisi i održavatelji koji imaju sa Društvom zaključen odgovarajući ugovor.
6. član
(1) Održavatelji prostora, strojne i programske opreme, posjetitelji i poslovni partneri smiju se kretati u zaštićenim prostorima samo sa znanjem direktora Društva ili sa njegove strane ovlaštene osobe.
(2) Zaposleni u Društvu ili njihovi ugovorni suradnici, kao što su čistačice, održavatelji, osiguranje, i dr., mogu se izvan radnog vremena kretati samo u onim zaštićenim prostorima gdje je onemogućen uvid u osobne podatke (nositelji podataka su pohranjeni u zaključanim ormarima i pisaćim stolovima, računari i druga strojna oprema je isključena ili na neki drugi način fizički ili programsko zaključana).
7. član
(1) Nositelje osobnih podataka, zaposleni u Društvu ne smiju odnositi izvan Društva bez izričite dozvole direktora Društva ili sa njegove strane ovlaštene osobe.
(2) Obrada osobnih podataka iz zbirke osobnih podataka dozvoljena je samo u poslovnim prostorijama Društva odnosno kod obrađivača.
(3) Prosljeđivanje osobnih podataka ovlaštenim vanjskim institucijama i drugima koji iskažu prikladan zakonski osnova za dobivanje osobnih podataka, dozvoljava direktor Društva što se upisuje u Evidenciju prosljeđivanja osobnih podataka korisnicima (Prilog 3).
III. ZAŠTITA SISTEMSKE I APLIKATIVNO PROGRAMSKE RAČUNALNE OPREME TE PODATAKA KOJI SE OBRAĐUJU S RAČUNALNOM OPREMOM
8. član
(1) Pristup do podataka preko aplikativne programske opreme štiti se sistemom lozinki za autorizaciju i identifikaciju korisnika programa i podataka tako da dozvoljava pristup samo ovlaštenim osobama zaposlenim u Društvu ili kod obrađivača.
(2) Direktor društva ili sa njegove strane ovlaštena osoba određuje režim dodjeljivanja, pohranjivanja i promjene lozinki.
9. član
(1) Popravljanje, mijenjanje i dopunjavanje sistemske i aplikativne programske opreme dozvoljeno je samo na osnovu odobrenja direktora Društva ili sa njegove strane ovlaštene osobe, a izvoditi ga mogu samo ovlašteni servisi i organizacije i pojedinci koji imaju s Društvom zaključen prikladan ugovor.
(2) Izvođači moraju promjene i dopune sistemske i aplikativne programske opreme prikladno dokumentirati u Evidenciji promjena i dopuna sistemske i aplikativne programske opreme (Prilog 4).
(3) Zaposleni u Društvu koji je ovlašten za obradu i manipulaciju sa osobnim podacima na računaru, mora biti u vrijeme servisiranja računara i programske opreme cijelo vrijeme prisutan i mora nadgledati da ne dođe do nedopustivog rukovanja sa osobnim podacima.
10. član
Za pohranjivanje i zaštitu aplikativne programske opreme važe jednake odredbe kao za ostale podatke iz ovog pravilnika.
11. član
(1) Sadržaj diskova mrežnog servera i lokalnih radnih stanica gdje se nalaze osobni podaci redovno se provjerava što se tiče prisutnosti kompjuterskih virusa. Kod pojave kompjuterskog virusa, on se uklanja što je prije moguće pomoću odgovarajuće stručne usluge ovlaštenog kompjuterskog servisera, a ujedno se utvrđuje i uzrok pojave virusa u kompjuterskom informacijskom sistemu Društva.
(2) Svi osobni podaci i programska oprema koja je namijenjena za upotrebu u kompjuterskom informacijskom sistemu i stigne u Društvo na medijima za prijenos kompjuterskih podataka ili preko telekomunikacijskih kanala, mora biti prije upotrebe provjerena što se tiče prisutnosti kompjuterskih virusa.
12. član
Zaposleni ne smiju namjestiti programsku opremu bez znanja osobe zadužene za rad kompjuterskog informacijskog sistema u Društvu. Isto tako ne smiju odnositi programsku opremu iz Društva bez prethodnog odobrenja direktora društva ili osobe zadužene za rad kompjuterskog informacijskog sistema.
13. član
(1) Sve lozinke i postupci koji se upotrebljavaju za ulaz i administriranje mreže personalnih kompjutera (supervizorske odn. nadzorne lozinke), administriranje elektronske pošte i administriranje aplikativnih programa, čuvaju se u zapečaćenim kovertama u sjedištu Društva i zaštićene su od pristupa od strane neovlaštenih lica. Koriste se samo u izuzetnim okolnostima odnosno u hitnim slučajevima.
(2) Svaka upotreba sadržaja zapečaćenih koverti se dokumentira. Nakon svake takve upotrebe, novi sadržaj lozinki određuje se od strane direktora Društva ili sa njegove strane ovlaštene osobe.
14. član
(1) Za potrebe obnove kompjuterskog sistema kod kvarova i kod drugih izuzetnih situacija, osigurava se redovna izrada kopija sadržaja mrežnog servera i lokalnih stanica ako se podaci tamo nalaze.
(2) Ove kopije čuvaju se u zato određenim mjestima koja moraju biti otporna na vatru, osigurana od poplava i elektromagnetskih smetnji, u okviru propisanih klimatskih uvjeta i zaključane.
IV. PRIJEM I PROSLIJEĐIVANJE OSOBNIH PODATAKA
15. član
(1) Radnik, koji je zadužen za prijem i registraciju pošte, mora dostaviti poštansku pošiljku sa osobnim podacima direktno pojedincu, ili službi na koju je ova pošiljka adresirana.
(2) Radnik, koji je zadužen za prijem i evidenciju pošte, otvara i pregleda sve poštanske pošiljke i pošiljke koje na drugi način dolaze u Društvo (donesu ih stranke ili kuriri), osim pošiljki iz trećeg ili četvrtog stava ovog člana.
(3) Radnik koji je zadužen za prijem i evidenciju pošte, ne otvara one pošiljke koje su adresirane na drugi organ ili organizaciju i slučajno su dostavljene, te pošiljke koje su označene kao osobni podaci ili za koje iz oznaka na koverti proishodi da se odnose na javnu nabavku, konkurs ili tender.
(4) Radnik koji je zadužen za prijem i evidenciju pošte ne smije otvarati pošiljke adresirane na radnika, na kojima je na koverti navedeno da se uruče osobno adresatu, te pošiljke na kojima je najprije navedeno osobno ime radnika bez oznake njegovog službenog položaja i tek onda adresa Društva.
16. član
(1) Osobne podatke dozvoljeno je prenositi sa informacijskim, telekomunikacijskim i drugim sredstvima samo kod izvođenja postupaka i mjera koje neovlaštenim sprječavaju prisvajanje ili uništenje podataka te neopravdano upoznavanje sa njihovim sadržajem. Osobni podaci šalju se preporučeno.
(2) Posebne vrste osobnih podataka šalju se adresatima preporučeno sa povratnicom u zatvorenim kovertama sa oznakom »povjerljivo«.
(3) Koverta u kojoj se prosljeđuju osobni podaci mora biti izrađena na takav način da koverta ne omogućava da sadržaj koverte bude vidljiv pod normalnim svjetlom ili kada kovertu osvijetli uobičajeno svjetlo. Isto tako koverta mora osigurati da otvaranje koverte i upoznavanja sa njenim sadržajem nije moguće izvesti bez vidljivog traga otvaranja koverte.
17. član
(1) Obrada posebnih vrsta osobnih podataka mora biti posebno označena i osigurana.
(2) Posebne vrste osobnih podataka fizički prosljeđuju se preko pošte na način opisan u prethodnom članu. Ako se osobni podaci prosljeđuju preko telekomunikacijskih mreža, moraju biti posebno osigurani sa kriptografskim metodama ili elektronskim potpisom ili lozinkom tako, da je osigurana nečitljivost podataka u toku njihovog prijenosa koji neovlaštenim osobama sprječava prisvajanje, uništenje ili nedozvoljeno upoznavanje sa njihovim sadržajem.
(3) Prijenos posebne vrste osobnih podataka preko elektronske pošte mora biti osiguran sa lozinkom za identifikaciju.
18. član
(1) Osobni podaci pružaju se samo onim korisnicima koji se pojave sa odgovarajućim pravnim osnovom ili sa pismenim zahtjevom odnosno suglasnošću pojedinca na kojeg se podaci odnose.
(2) Za svako prosljeđivanje osobnih podataka, korisnik mora da podnese pismeni zahtjev u kome je potrebno jasno navesti odredbu zakona kojim se ovlašćuje korisnik da pribavi osobne podatke ili mora biti pored podneska priložen pismeni zahtjev ili suglasnost pojedinca na kojeg se podaci odnose.
(3) Društvo preko vođenja posebne evidencije prosljeđivanja (Prilog 3) za svako prosljeđivanje osobnih podataka osigurava mogućnost kasnijeg utvrđivanja koji osobni podaci su bili proslijeđeni, kome, kada i na osnovu kojeg pravnog osnova, za koju namjenu odnosno iz kojih razloga odnosno za potrebe kojeg postupka, osim ako važeće zakonodavstvo ne propisuje drugačije za prosljeđivanje pojedinačnih vrsta podataka.
(4) Revizorski trag iz prethodnog stava Društvo čuva pet godina, osim ako važeće zakonodavstvo ne propisuje drugačiji rok za prosljeđivanje pojedinačnih vrsta podataka.
(5) Osobni podaci zaposlenih u Društvu i ostalih osoba mogu se proslijediti unutar društva i onim osobama kojima su potrebni u okviru obavljanja njihovih poslova i zadataka. Radnik koji na bilo koji način vrši prijenos sadržaja baze podataka unutar Društva, mora osigurati sigurnost prijenosa podataka.
(6) Nikada se ne prosljeđuju originali dokumenata osim u slučajevima pismene odredbe suda. Original dokument mora se u vrijeme odsutnosti zamijeniti sa fizičkom (fotokopijom) ili elektronskom (skeniranom) kopijom.
19. član
(1) Svako prosljeđivanje osobnih podataka iz prethodnog člana obilježava se sa navođenjem slijedećih podataka:
- koji osobni podaci su bili proslijeđeni,
- osobno ime/firmu/ i adresu/sjedište osobe kojoj su bili proslijeđeni osobni podaci,
- datum i sat prosljeđivanja osobnih podataka te
- osnova prema kojem su bili proslijeđeni osobni podaci.
(2) Zabilješka iz prethodnog stava se u pisanom ili elektronskom obliku, u zavisnosti od nositelja podataka koji sadrži proslijeđeni osobni podatak, evidentira u bazu osobnih podataka kojoj pripada proslijeđeni osobni podatak, u posebnu rubriku »Evidencija prosljeđivanja osobnih podataka«.
(3) Zabilješku iz prvog stava toga člana čini direktor Društva odnosno sa njegove strane ovlaštena osoba ili obrađivač osobnih podataka koji je osobne podatke proslijedio korisniku.
V. BRISANJE OSOBNIH PODATAKA
20. član
(1) Osobni podaci mogu se voditi u bazi osobnih podataka samo onoliko vremena (najkraći mogući period) koliko je potrebno da se postigne svrha za koju se prikupljaju i vode.
(2) Nakon isteka roka za čuvanje, osobni podaci se brišu, uništavaju, blokiraju ili anonimiziraju osim ako zakon ili drugi akt ne određuje drugačije
(3) Rokovi prema kojima se osobni podaci brišu iz baze podataka vidljivi su iz pojedinačne baze osobnih podataka.
21. član
(1) Za brisanje podataka sa kompjuterskih nositelja koristi se takva metoda brisanja nakon koje je nemoguće obnavljanje svih ili dijela brisanih podataka.
(2) Podaci na klasičnim fizičkim nositeljima (dokumenti, datoteke, registar, liste, ...) uništavaju se na način koji onemogućava čitanje svih ili dijela uništenih podataka (npr.: rezač papira, itd...).
(3) Na jednak način uništava se pomoćni materijal (npr. matrice, proračuni i grafikoni, nacrti, probni odnosno neuspješni ispisi itd.).
(4) Zabranjeno je odlaganje otpadnih nositelja podataka sa osobnim podacima u kante za smeće.
(5) Prilikom prenošenja nositelja osobnih podataka na mjesto uništenja, potrebno je osigurati adekvatno osiguranje i za vrijeme prenošenja.
(6) Prenošenje nositelja sa podacima na mjesto uništenja te uništavanje nositelja osobnih podataka nadzire Direktor Društva ili sa njegove strane ovlaštena osoba koja o uništenju sastavlja i odgovarajući zapisnik.
VI. MJERE U SLUČAJU SUMNJE NEOVLAŠTENOG PRISTUPA ILI ZLOUPOTREBE
22. član
(1) Zaposleni u Društvu dužni su izvoditi mjere za sprječavanje zloupotrebe osobnih podataka i moraju sa osobnim podacima sa kojima se susretnu pri svom radu rukovati savjesno i pažljivo na način te po postupcima koje određuje taj pravilnik i važeće zakonodavstvo.
(2) Zaposleni u Društvu i obrađivači dužni su o aktivnostima koje su vezane za otkrivanje ili neovlašteno uništenje povjerljivih podataka, zlonamjernom ili neovlaštenom korištenju, prisvajanju, mijenjanju ili oštećenju, odmah obavijestiti direktora Društva ili sa njegove strane ovlaštenu osobu a sami da pokušaju takvu aktivnost spriječiti.
23. član
(1) Direktor Društva mora protiv osobe koja je zloupotrijebila osobne podatke ili je neovlašteno upala u bazu osobnih podataka, odgovarajuće reagirati kako preko upotrebe instituta radnoga prava tako i preko odštetne i krivične odgovornosti.
(2) Za zloupotrebu osobnih podataka broji se svaka upotreba osobnih podataka u namjene koje nisu u skladu sa namjenama prikupljanja određenim u GPDR ili u važećem zakonodavstvu. A za pokušaj zloupotrebe broji se pokušaj upotrebe osobnih podataka u nedozvoljene namjene.
24. član
(1) Društvo, kada nastupa u ulozi rukovaoca mora u slučaju kršenja zaštite osobnih podataka bez nepotrebnog odlaganja, a po mogućnosti najduže u roku od 72 sata nakon saznanja o kršenju, o tome zvanično obavijestiti nadležni nadzorni organ (informacionog povjerenika), osim ako nije vjerojatno da bi bila sa kršenjem zaštite osobnih podataka ugrožena prava i slobode pojedinaca.
(2) Društvo prikladno dokumentira svako kršenje zaštite osobnih podataka uključujući sa činjenicama u vezi sa kršenjem zaštite osobnih podataka, efekte toga i poduzete popravne mjere.
VII. ODGOVORNOST ZA IZVOĐENJE ZAŠTITNIH MJERA I POSTUPAKA
25. član
(1) Za izvođenje postupaka i mjera za osiguranje osobnih podataka, odgovorni su svi zaposleni u Društvu.
(2) Nadzor nad izvođenjem postupaka i mjera određenih sa ovim pravilnikom obavlja direktor Društva ili sa njegove strane ovlaštena osoba.
26. član
(1) Svatko tko obrađuje osobne podatke, dužan je da sprovede propisane postupke i mjere za zaštitu podataka i zaštiti podatke za koje je saznao odnosno sa kojima je bio upoznat kod obavljanja svog posla. Obaveza zaštite podataka ne prestaje sa prestankom radnog ili drugog ugovornog odnosa u Društvu.
(2) Prije početka rada radnika Društva na radnom mjestu, na kojem se osobni podaci ili nositelji podataka prikupljaju, uređuju, obrađuju, mijenjaju, čuvaju, prenose ili koriste, radnik mora potpisati izjavu iz Priloga 1 ove uredbe, kojom se obavezuje da štiti osobne podatke kao profesionalnu tajnost i upozorava ga na posljedice kršenja obaveze, te iz koje je vidljivo da je potpisnik upoznat sa odredbama toga pravilnika i odredbi GDPR i drugih važećih zakona.
27. član
Radnik krši radne obaveze, što može dovesti do njegove disciplinske odgovornosti:
- ako propusti savjesno i pažljivo nadzirati zaštićene prostore;
- ako izostavi postupke za sprječavanje uvida u ili na nositelja osobnih podataka;
- ako ne uništi kopije osobnih podataka;
- ako nije prisutan svo vrijeme servisiranja kompjutera i programske opreme;
- ako ne izvodi preventive u vezi sa kompjuterskim virusima;
- ako ne obavijesti direktora Društva ili sa njegove strane ovlaštenu osobu u slučaju zloupotrebe osobnih podataka ili upada u bazu osobnih podataka.
28. član
Radnik čini ozbiljno kršenje radnih obaveza koje mogu dovesti do redovnog raskida ugovora o radu zbog krivičnih razloga ili vanrednog prekida ugovora o radu iz razloga na strani radnika:
- ako prenosi osobne podatke sa kojima se upoznao pri svom radu, kolegama ili drugim licima;
- ako izostavi brigu i kontrolu nad nositeljima osobnih podataka tokom radnog vremena i tako pruži mogućnost uvida u njih neovlaštenim licima;
- ako neovlašteno izradi kopije nositelja osobnih podataka;
- ako bez izričite dozvole odnosi iz Društva nositelje osobnih podataka;
- ako prosljeđuje osobne podatke ovlaštenim vanjskim institucijama bez dozvole direktora Društva;
- ako ne upiše u Evidenciju prosljeđivanja osobnih podataka činjenice o prosljeđivanju osobnih podataka vanjskim institucijama;
- ako neovlašteno popravlja, mijenja ili dopunjava sistemsku ili aplikativnu programsku opremu;
- ako namjesti ili odnese programsku opremu iz Društva bez izričite dozvole direktora Društva ili sa njegove strane ovlaštene osobe;
- ako ne izrađuje redovno kopije sadržaja osobnih podataka;
- ako ne čuva fizičke kopije sadržaja zbirki osobnih podataka u osiguranim zaključanim ormarima.
29. član
O zloupotrebi ili sumnji zloupotrebe osobnih podataka, vođenih u zbirci osobnih podataka Društva, od strane osoba koje nisu zaposlene u Društvu, propisno se obavještavaju nadležni organi za gonjenje.
VIII. POSEBNI POSTUPCI I MJERE ZA ZAŠTITU OSOBNIH PODATAKA NA PODROČJU UPOTREBE INTERNETA
30. član
(1) Zaposleni u Društvu mogu koristiti internet samo u službene namjene.
(2) Bez obzira na prethodni stav, internet se može koristiti u ograničenom obujmu i razumnim granicama i u osobne namjene ali takva upotreba ne smije ometati ili sprječavati korištenje u službene namjene. Internet stranice koje se pregledaju u osobne namjene ne smiju sadržavati neprimjerene i uvredljive sadržaje.
(3) Zbog uvođenja ili vođenja disciplinskog ili sudskog postupka ili ako se pojavi sumnja da zaposleni u Društvu ne poštuje ograničenje iz 1. i 2. stava ovog člana, direktor Društva ili sa njegove strane ovlaštena osoba može nadzirati i pregledati korištenje interneta sa čime mora biti pismeno upoznat i sam radnik.
IX. POSEBNI POSTUPCI I MJERE ZA ZAŠTITU OSOBNIH PODATAKA NA PODRUČJU UPOTREBE ELEKTRONSKE POŠTE
31. član
(1) Elektronsku poštu mogu zaposleni u Društvu koristiti samo u službene namjene.
(2) Bez obzira na prethodni stav, elektronska pošta može se koristiti u ograničenom obimu i razumnim granicama i u osobne namjene ali takva upotreba ne smije ometati ili sprječavati korištenje u službene namjene. Elektronska pošta u osobne namjene ne smije sadržavati neprimjerene i uvredljive sadržaje.
(3) Zbog uvođenja ili vođenja disciplinskog ili sudskog postupka, direktor Društva ili sa njegove strane ovlaštena osoba može nadzirati i pregledati korištenje elektronske pošte sa čime mora biti pismeno upoznat i sam radnik.
(4) Ako se pojavi sumnja da zaposleni u Društvu ne poštuje ograničenje iz 1. i 2. stava ovog člana, direktor Društva ili sa njegove strane ovlaštena osoba može nadzirati količinu upotrebe osobne elektronske pošte, sa čime mora biti pismeno upoznat i sam radnik. Pri tome se ne smije pregledati sadržaj elektronske pošte, isto tako se ne smiju pregledati saobraćajni podaci u vezi sa elektronskom poštom zaposlenog. A saobraćajne podatke zaposlenog Društvo može izuzetno obrađivati na osnovu osobnog pristanka zaposlenog preko potpisa pismene izjave iz Priloga 2 ovog pravilnika, kojeg zaposleni potpisuje prije početka radnog odnosa u Društvu.
X. USLUGE KOJE OBAVLJAJU VANJSKE PRAVNE ILI FIZIČKE OSOBE
32. član
(1) Sa svakom vanjskom pravnom ili fizičkom osobom koja obavlja pojedinačne poslove u vezi sa prikupljanjem, obradom, čuvanjem ili prijenosom osobnih podataka i registriran je za obavljanje takve djelatnosti (obrađivač), poseban pisani ugovor se zaključuje na osnovu 28. člana GDPR. U takvom ugovoru moraju se obavezno propisati i uvjeti i mjere za osiguranje zaštite osobnih podataka i njihovog osiguranja. Spomenuto važi i za vanjske osobe koje održavaju hardver i softver te izrađuju i instaliraju novi hardver ili softver.
(2) Vanjska pravna ili fizička lica mogu pružati usluge obrade osobnih podataka samo u okviru ovlaštenja koje je Društvo izdalo kao naručilac i ne smiju obrađivati ili na drugi način koristiti podatke za bilo koju drugu svrhu.
(3) Ovlašteno pravno ili fizičko lice koje za Društvo obavlja dogovorene usluge izvan prostorija Društva kao rukovaoca, mora imati bar jednako strog način zaštite osobnih podataka kako je predviđeno ovim Pravilnikom.
XI. KONAČNE ODREDBE:
33. član
(1) Ovaj pravilnik usvojen je sa danom potpisivanja od strane direktora i objavljuje se na oglasnoj tabli u sjedištu Društva sa danom potpisivanja. Društvo također može odlučiti o drugačijem načinu upoznavanja svih zaposlenih u Društvu sa ovim pravilnikom.
(2) Ovaj pravilnik je na uvid svim radnicima Društva i to na sjedištu poslodavca.
(3) Izmjene i dopune ovog pravilnika donose se na isti način kao i pravilnik.
(4) Ovaj pravilnik stupa na snagu danom nakon objavljivanja.
U Sv. Ivan Zelina, dana 22.05. 2018
VIOLETA d.o.o., direktor Marko Ćorluka
……………………………
Prilozi kao sastavni dio ovog Pravilnika:
- Izjava o zaštiti osobnih podataka (Prilog 1);
- Suglasnost za pregled saobraćajnih podataka elektronske pošte (Prilog 2);
- Evidencija prosljeđivanja osobnih podataka korisnicima (Prilog 3);
- Evidencija izmjena i dopuna sistemske i aplikativne programske opreme (Prilog 4);
- Pristanak za prosljeđivanje podataka u treću državu (Prilog 5).
- Ovlaštenje za ovlaštenu osobu (Prilog 6)