NAMA d.d. u stečaju, OIB: 62708258549, Zagreb, Nemčićeva 1-3, dana 24. svibnja 2018. godine donosi sljedeću
POLITIKU O ZAŠTITI OSOBNIH PODATAKA
UVOD
Ovom Politikom o zaštiti osobnih podataka (dalje u tekstu: „Politika“) utvrđuje se djelotvoran, odgovoran i transparentan okvir za osiguravanje usklađenosti s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: „Opća Uredba o zaštiti podataka“ ili „GDPR Uredba“).
Ova Politika primjenjuje se na sve organizacijske dijelove NAMA d.d.u stečaju (u daljnjem tekstu: „NAMA“ ili „Voditelj obrade“), kao i na sve radnike, uključujući privremene radnike i honorarne radnike, te na sve poslovne partnere i druge pojedince čiji se identitet može izravno ili neizravno utvrditi.
NAČELA KOJA UREĐUJU OBRADU OSOBNIH PODATAKA
Članak 1.
Prilikom obrade osobnih podataka primjenjivat će se sljedeća načela:
- Načelo zakonitosti, poštenosti i transparentnosti – ovo načelo podrazumijeva da se osobni podaci moraju zakonito, pošteno i transparentno obrađivati s obzirom na ispitanika.
Obrada osobnih podataka je zakonita kada se osobni podaci obrađuju na temelju legitimnog razloga. Obrada je poštena i transparentna kada je ispitanicima poslana odgovarajuća obavijest o privatnosti u trenutku prikupljanja osobnih podataka.
- Načelo ograničavanja svrhe – podrazumijeva da osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
Ispitanike se mora obavijestiti o svrhama u koje se osobni podaci obrađuju putem informacija o privatnosti koje se pružaju u trenutku prikupljanja osobnih podataka uporabom jasnog i jednostavnog jezika (dalje: Informacije o obradi i zaštiti osobnih podataka).
Osobni podaci moraju se obrađivati samo iz razloga koji su navedeni ispitanicima i ne smiju se obrađivati na način koji nije u skladu s tim svrhama.
- Načelo smanjenja količine podataka – podrazumijeva da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Moraju se prikupljati i obrađivati samo osobni podaci koji su nužni za ostvarenje priopćene svrhe.
- Načelo točnosti – osobni podaci moraju biti točni i prema potrebi ažurni.
Voditelj obrade treba održavati kontakte s ispitanicima i povremeno pregledavati njihove osobne podatke.
Osobni podaci koji su netočni, uzimajući u obzir svrhe u koje se obrađuju, moraju se bez odlaganja izbrisati ili ispraviti.
- Načelo ograničenja pohrane – podrazumijeva da se osobni podaci moraju čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.
Nakon što su ostvarili svrhu obrade, osobni podaci mogu se zadržati samo u obliku koji ne dopušta identifikaciju ispitanika. Mjere za de-identificiranje osobnih podataka uključuju brisanje, prikrivanje, redigiranje i anonimizaciju u toj mjeri da navedene mjere nisu u sukobu s drugim važećim lokalnim zakonima i propisima.
- Načelo cjelovitosti i povjerljivosti – podrazumijeva da osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka primjenom odgovarajućih tehničkih ili organizacijskih mjera
- Načelo pouzdanosti – sukladnost s prethodno navedenim načelima mora se moći lako dokazati u svakom trenutku usvajanjem odgovarajućih internih propisa, procesa i drugih mjera koje mogu uključivati na primjer vođenje evidencije o postupcima obrade, provođenje procjene učinaka obrade na zaštitu osobnih podataka (data protection impact assessment – DPIA), obavljanje kontrola za provjeru statusa provedbe načela i zahtjeva za zaštitu osobnih podataka.
Članak 2.
Sukladno odredbama Opće uredbe o zaštiti osobnih podataka NAMA je voditelj obrade osobnih podataka, Zagreb, Nemčićeva 1-3, e-mail: nama-uprava@zg.t-com.hr
POJMOVI I DEFINICIJE
Članak 3.
U smislu odredbi ove Politike pojedini izrazi imaju sljedeće značenje:
„Ispitanik” je pojedinac čiji se identitet može utvrditi odnosno osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
„Osobni podaci” su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
„Obrada” znači svaki postupak koji se obavlja na osobnim podacima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
„Voditelj obrade” znači pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka.
„Izvršitelj obrade” znači druga osoba koja obrađuje osobne podatke u ime voditelja obrade.
„Povreda osobnih podataka“ znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
„Nadzorno tijelo“ znači Agencija za zaštitu osobnih podataka.
KLJUČNI ZAHTJEVI ZA VODITELJA OBRADE
Članak 4.
Sukladno načelima navedenim u članku 1. ove Politike, potrebno je zadovoljiti različite ključne zahtjeve ovisno o tome obrađuje li osobne podatke pravna osoba koja djeluje kao voditelj obrade ili kao izvršitelj obrade.
I voditelj obrade i izvršitelj obrade moraju osigurati osoblje koje obrađuje osobne podatke uz odgovarajuću edukaciju i prema uputama kako bi se osiguralo da se osobni podaci ispitanika obrađuju u skladu s odredbama ove Politike i važećih propisa.
OBRADA OSOBNIH PODATAKA PO ZAKONITOJ OSNOVI
Članak 5.
Obrada osobnih podataka je zakonita kada je ispunjeno najmanje jedno od sljedećeg:
- temelji se na pristanku ispitanika u jednu ili više posebnih svrha; ili
- je nužna za izvršenje (I) ugovora u kojem je ispitanik stranka ili (II) predugovornih aktivnosti; ili
- je nužna radi poštovanja pravnih obveza kojima voditelj obrade podliježe; ili
- je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; ili
- je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti; ili
- je nužna za potrebe legitimnih interesa NAMA-e, osim kad su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih prava.
DAVANJE ODGOVARAJUĆIH INFORMACIJA ISPITANICIMA KOJE SE ODNOSE NA OBRADU OSOBNIH PODATAKA
Članak 6.
Ispitanicima se mora dostaviti adekvatna i jasna informacija o obradi i zaštiti osobnih podataka koja se odnosi na obradu njihovih osobnih podataka.
OLAKŠAVANJE OSTVARENJA PRAVA ISPITANIKA
Članak 7.
Kao opće pravilo i podložno određenim okolnostima definiranim primjenjivim propisima, ispitaniku se mora omogućiti da ostvari sljedeća prava:
- Pravo na pristup – pravo da se dobije potvrda o tome obrađuju li se osobni podaci ispitanika ili ne, te ako se takvi osobni podaci obrađuju, da se dobije pristup osobnim podacima bez nepotrebnog odgađanja,
- Pravo na ispravak – pravo da se ishodi, bez nepotrebnog odgađanja, ispravak netočnih osobnih podataka ispitanika,
- Pravo na brisanje (pravo na zaborav) – pravo da se ishodi brisanje osobnih podataka ispitanika gdje god da su pohranjeni bez nepotrebnog odgađanja,
- Pravo na ograničavanje – pravo da se ishodi ograničenje aktivnosti obrade osobnih podataka ispitanika. Nakon što ih se ograniči, osobni podaci mogu se samo pohraniti, osim ako se primjenjuju posebna izuzeća,
- Pravo na prenosivost podataka – pravo ispitanika da zaprime svoje osobne podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te da prenesu te osobne podatke drugom voditelju obrade,
- Pravo na prigovor – pravo na protivljenje, na temelju njihove posebne situacije u svakom trenutku, obradi posebnih podataka ispitanika. Nakon što je ostvareno pravo na prigovor, osobni podaci više se ne smiju obrađivati, osim ako postoje legitimni razlozi koji nadilaze interese, prava i slobode ispitanika, ili radi postavljanja, ostvarivanja ili obrane zahtjeva. U svakom slučaju, ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe.
- Pravo da se ne podliježe odluci koja se temelji isključivo na automatiziranoj obradi – pravo ispitanika da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila koja proizvodi pravne učinke koji se odnose na njega ili na sličan način značajno na njega utječu.
Osobito:
- moraju se definirati postupci koji omogućuju jednostavno ostvarenje prava ispitanika i odmah poduzeti bilo kakve naknadne mjere,
- ispitanicima moraju biti dostavljene informacije o svim poduzetim mjerama,
- ispitanici moraju biti upoznati s modalitetima za ostvarivanje takvih prava,
- osim u slučaju izuzetnih okolnosti, sve aktivnosti i komunikacija s ispitanicima moraju se ispitanicima pružiti bez naknade.
PRAVNA OSNOVA
Članak 8.
Pravne osnove za prikupljanje i obradu osobnih podataka ispitanika su sljedeće:
1. Zakonska obveza
Obrada je zakonita ako je nužna radi poštovanja pravnih obveza voditelja obrade. Zakoni kojima se uređuje poslovanje voditelja obrade propisuju skupove podataka koji su nužni za izvršenje zakonske obveze. Za prikupljanje i obradu podataka propisanih zakonom, voditelj obrade neće tražiti privolu ispitanika, ali će u tom slučaju prikupljati samo podatke propisane zakonom i neće ih koristiti u druge svrhe. Ovo se posebno odnosi na podatke prikupljene temeljem sljedećih zakona i njima pripadajućih pravilnika, među koje posebno spadaju: Zakon o računovodstvu, Zakon o radu, Zakon i Pravilnik o porezu na dohodak, Zakon o porezu na dodanu vrijednost, Zakon o mirovinskom osiguranju, Zakon o obveznom zdravstvenom osiguranju, Zakon o zaštiti na radu, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima.
2. Izvršenje ugovorne obveze
Osobne podatke potrebne za ispunjenje ugovorne obveze voditelj obrade će prikupljati bez privole ispitanika, u najmanjem mogućem obujmu koji je nužan za izvršenje obveze ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
3. Legitimni interes
Voditelj obrade može prikupljati i obrađivati osobne podatke ispitanika ako je obrada nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
4. Zaštita ključnih interesa ispitanika
Voditelj obrade može prikupljati i obrađivati osobne podatke ispitanika, bez privole ispitanika ukoliko je to u svrhu zaštite njegovih ključnih interesa.
5. Javni interes ili izvršenje službene ovlasti voditelja obrade
Pravna osnova za obradu u javnom interesu ili za izvršenje službene ovlasti voditelja obrade mora biti utemeljena na propisu, pri čemu se mora ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.
6. Privola
Kada se obrada temelji na privoli voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih podataka. U tu svrhu, voditelj obrade dužan je voditi evidenciju privola.
Zahtjev za privolu mora biti jasno razlučen od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.
Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezinog povlačenja. Povlačenje privole mora biti jednostavno kao i njezino davanje.
Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući i pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
OSIGURAVANJE DA SE PROVODI TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA
Članak 9.
Odgovarajuće tehničke i organizacijske mjere za provedbu načela i zahtjeva moraju se donijeti na učinkovit način.
Kada se predviđaju novi postupci ili transakcije, oni se moraju procijeniti na dokumentirani način također iz perspektive zaštite osobnih podataka kako bi se osiguralo da se sve odgovarajuće mjere identificiraju i provedu nakon što postupci ili transakcije budu izvršeni (tehnička zaštita podataka).
Moraju se donijeti odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade (integrirana zaštita privatnosti).
Integrirana zaštita privatnosti primjenjuje se i na količinu prikupljenih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinaca.
Posebno, prilikom svakog razvoja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji obuhvaćaju obradu osobnih podataka, moraju se uzeti u obzir načela povezana sa zaštitom osobnih podataka.
VOĐENJE EVIDENCIJE O AKTIVNOSTIMA OBRADE
Članak 10.
Voditelj obrade je dužan u skladu s Općom uredbom o zaštiti osobnih podataka voditi evidenciju aktivnosti obrade. Evidencija aktivnosti obrade sadržava sljedeće informacije:
– ime i kontaktne podatke voditelja obrade i Službenika za zaštitu osobnih podataka,
– svrhe obrade,
– opis kategorija ispitanika i kategorija osobnih podataka,
– kategorije primatelja,
– ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju,
– ako je moguće, predviđene rokove za brisanje različitih kategorija podataka,
– ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz čl. 32. st. 1. Opće uredbe o zaštiti osobnih podataka.
Evidencija aktivnosti obrade mora biti dostupna nadležnim tijelima.
Kada djeluje u ime voditelja obrade, izvršitelj obrade mora uspostaviti i voditi evidenciju namijenjenu za svakog voditelja obrade.
PROVEDBA ODGOVARAJUĆIH TEHNIČKIH I ORGANIZACIJSKIH MJERA ZA OSIGURAVANJE RAZINE SIGURNOSTI PRIMJERENE RIZIKU
Članak 11.
Voditelj obrade mora provesti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti osobnih podataka. Prilikom identificiranja tih mjera mora se slijediti pristup temeljen na riziku.
Pristup temeljen na riziku mora uzeti u obzir, između ostalog i vjerojatnost i ozbiljnost za prava i slobode ispitanika, kao i najsuvremenije tehnologije i povezane troškove provedbe.
Kontrola pristupa je sigurnosna tehnika koja se može koristiti radi reguliranja tko ili što može vidjeti ili koristiti resurse u računalnom okruženju.
Kontrola pristupa može biti fizička i logička.
Fizička kontrola pristupa ograničava pristup zgradama, prostorijama i fizičkim informatičkim resursima.
Logički pristup ograničava priključke na računalne mreže, datoteke sustava i podatke, uključujući osobne podatke.
IZVJEŠTAVANJE NADZORNOG TIJELA O POVREDI OSOBNIH PODATAKA
Članak 12.
Potrebno je uspostaviti adekvatne procese kako bi se osiguralo pravilno upravljanje svim povredama osobnih podataka.
U slučajevima povrede osobnih podataka voditelj obrade će bez nepotrebnog odgađanja, i ako je izvedivo, najkasnije u roku od 72 sata nakon saznanja za povredu, izvijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.
Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Izvršitelj obrade bez nepotrebnog odgađanja izvješćuje voditelja obrade nakon što sazna za povredu osobnih podataka.
Voditelj obrade dokumentira sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete.
OBAVJEŠTAVANJE ISPITANIKA O POVREDI OSOBNIH PODATAKA
Članak 13.
U slučaju da dođe do povrede osobnih podataka koja će vjerojatno prouzročiti visoki rizik za prava i slobode pojedinca/ispitanika, voditelj obrade će bez nepotrebnog odgađanja obavijestiti ispitanika o povredi osobnih podataka.
Obavještavanje ispitanika nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:
- voditelj obrade je poduzeo odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija,
- voditelj obrade je poduzeo naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika kod čijih je podataka došlo do povrede,
- time bi se zahtijevao nerazmjeran napor. U tom slučaju mora postojati javno obavještavanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.
IZVRŠAVANJE PROCJENE UČINAKA OBRADE NA ZAŠTITU OSOBNIH PODATAKA (data protection impact assessment – DPIA)
Članak 14.
Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinaka obrade na zaštitu osobnih podataka.
Jedna procjena može se odnositi na niz sličnih postupaka.
Procjena sadrži barem:
- opisivanje obrade osobnih podataka,
- procjenu nužnosti i proporcionalnosti takvih obrada s obzirom na relevantne svrhe, i
- pomoć pri upravljanju rizicima za prava i slobode ispitanika koji mogu nastati u vezi s takvom obradom.
Pri provođenju procjene voditelj obrade savjetuje se sa Službenikom za zaštitu osobnih podataka, ako je primjenjivo.
Kada postoji promjena u razini rizika voditelj obrade prema potrebi provodi preispitivanje procjene.
DONOŠENJE ODGOVARAJUĆIH ZAŠTITNIH MJERA ZA PRIJENOS OSOBNIH PODATAKA IZVAN EUROPSKOG GOSPODARSKOG POJASA
Članak 15.
Voditelj obrade mora osigurati da se bilo koji prijenos osobnih podataka izvan Europskog gospodarskog prostora (EGP) obavi tek nakon donošenja sljedećih preporučenih zaštitnih mjera.
Prednost zaštitnim mjerama mora se dati sljedećim redoslijedom:
- zemlja koja se nalazi izvan EGP- a osigurava primjerenu razinu zaštite osobnih podataka prema procjeni Europske komisije; ili
- potpisane su standardne klauzule o zaštiti osobnih podataka koje je donijela Europska komisija; ili
- prijenos je nužan za izvršenje ugovora između voditelja obrade i ispitanika; ili
- prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva; ili
- ispitanik izričito pristane na prijenos određenih osobnih podataka; ili
- u preostalim slučajevima, odnosno ako se prijenos ne ponavlja i ako se odnosi samo na ograničeni broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa NAMA-e, pod uvjetom: da su procijenjene sve okolnosti i da je voditelj obrade donio sve potrebne zaštitne mjere za obradu, te da je nadzorno tijelo propisno obaviješteno o prijenosu.
KLJUČNI ZAHTJEV ZA IZVRŠITELJA OBRADE
Članak 16.
Kada NAMA djeluje kao izvršitelj obrade, mora:
- obrađivati osobne podatke u skladu s načelima iz članka 1. ove Politike i važećih zakona i propisa o zaštiti osobnih podataka,
- osigurati da su se pojedinci ovlašteni za obradu osobnih podataka obvezali na poštovanje povjerljivosti ili da podliježu odgovarajućoj obvezi čuvanja povjerljivosti,
- obrađivati osobne podatke samo u skladu s uputama voditelja obrade, osim ako važećim zakonom nije propisano drugačije,
- voditi evidenciju o svim aktivnostima obrade,
- provoditi odgovarajuće tehničke i organizacijske mjere za zaštitu obrade osobnih podataka,
- imenovati službenika za zaštitu osobnih podataka ako je potrebno,
- primjeniti zaštitne mjere u slučaju prijenosa osobnih podataka izvan EGP-a, a na način kako je propisano ovom Politikom,
- potpisati ugovor ili drugi pravni dokument koji uređuje odnos s voditeljem obrade,
- suzdržati se od imenovanja drugog izvršitelja obrade bez prethodnog posebnog ovlaštenja voditelja obrade. Ukoliko je izvršitelj obrade dobio generalno pisano odobrenje da angažira druge izvršitelje obrade, dužan je pravovremeno obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene,
- kad god izvršitelj obrade angažira druge izvršitelje obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, potpisati ugovor s tim novim izvršiteljem obrade kako bi mu nametnuo iste obveze zaštite podataka koje su navedene u ugovoru s voditeljem obrade,
- pomagati voditelju obrade da ispuni svoje obveze u vezi s odgovaranjem na zahtjeve povezane s pravima ispitanika,
- pomagati voditelju obrade da ispuni svoje obveze na način da pravovremeno surađuje u pogledu bilo koje DPIA-e koju je proveo voditelj obrade, te da ispuni svoje obveze sudjelovanja u prethodnom savjetovanju s relevantnim nadzornim tijelom,
- odmah obavjestiti voditelja obrade u vezi s bilo kojom povredom osobnih podataka ili incidentom koji utječe na osobne podatke koji se obrađuju u ime voditelja obrade,
- brisati postojeće osobne podatke nakon prestanka pružanja usluga, na zahtjev voditelja obrade, osim ako propis Unije ili države članice ne zahtjeva pohranu osobnih podataka,
- staviti na raspolaganje voditelju obrade sve informacije potrebne za dokazivanje usklađenosti sa svojim zakonskim obvezama kao izvršitelj obrade, te dozvoliti i surađivati s revizijama, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg imenuje voditelj obrade.
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA
Imenovanje službenika za zaštitu osobnih podataka
Članak 17.
Kad god NAMA djeluje kao voditelj obrade ili izvršitelj obrade mora imenovati službenika za zaštitu osobnih podataka, barem kada obavlja sljedeće aktivnosti:
- postupke koji zahtijevaju redovito i sustavno praćenje ispitanika u velikoj mjeri kao temelj aktivnosti ili
- opsežnu obradu posebnih kategorija osobnih podataka (npr. posebno osjetljivi podaci) ili pravosudnih podataka kao temeljnu aktivnost.
Procjenu potrebe ili mogućnost imenovanja službenika za zaštitu osobnih podataka (DPO – Data Protection Officer) vrši NAMA.
Službenik za zaštitu osobnih podataka mora imati jasno definiran mandat i biti pozicioniran kao neovisna funkcija.
Službenik za zaštitu osobnih podataka podnosi izvješća NAMA-i i ne smije biti u položaju koji mu onemogućava da može utvrditi svrhe i sredstva za obradu osobnih podataka.
Službenik za zaštitu osobnih podataka ima ključnu ulogu u poticanju provedbe važećih zakona i propisa o zaštiti osobnih podataka i olakšavanju usklađenosti s njima.
Obveze službenika za zaštitu podataka su:
- informirati i savjetovati NAMA-u o usklađenosti sa zakonima, propisima i administrativnim odredbama o zaštiti osobnih podataka
- pratiti internu usklađenost NAMA-e sa zakonima, propisima i upravnim odredbama o zaštiti osobnih podataka, usvajajući i pristup temeljen na riziku koje omogućuje službeniku za zaštitu osobnih podataka da odredi prioritetne aktivnosti, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja uključenog u postupke obrade, te povezane revizije, koje je potrebno izvršiti i usmjeriti napore na pitanja koja predstavljaju veće rizike za zaštitu osobnih podataka
- pružati savjete NAMA-i kada to zatraži u vezi s procjenom učinaka (o tome da li će se obaviti procjene učinaka ili ne, koja će se metodologija slijediti, hoće li se procjena učinaka obaviti interno ili će ga izdvojiti, koje zaštitne mjere će se primijeniti za ublažavanje svih rizika za prava i slobode ispitanika) i pratiti njezino provođenje (bez obzira na to je li procjena učinaka ispravno obavljena ili ne, mogu li se u međuvremenu obavljati aktivnosti obrade osobnih podataka i koje bi zaštitne mjere trebalo usvojiti, te jesu li njegovi zaključci u skladu sa zakonima i propisima o zaštiti podataka
- djelovati kao kontaktna točka za ispitanike i nadzorno tijelo o pitanjima koja se odnose na obradu, uključujući prethodno savjetovanje u vezi s procjenama učinka koje ukazuju na to da bi obrada mogla rezultirati visokim rizikom u nedostatku mjera koje poduzima NAMA radi ublažavanja rizika
Da bi službenik za zaštitu osobnih podataka obavljao povjerene mu zadatke, potrebno je da bude pravilno i pravovremeno uključen u sve postupke i transakcije koje se odnose na zaštitu osobnih podataka.
Neovisnost Službenika za zaštitu osobnih podataka
Članak 18.
U svrhu očuvanja neovisnosti službenika za zaštitu osobnih podataka, isti mora:
- imati na raspolaganju odgovarajuća sredstva (financijska, infrastrukturna sredstva i osoblje) i dovoljno vremena za obavljanje svojih zadaća,
- ne smije dobivati nikakve upute u vezi s obavljanjem svojih zadaća,
- ne smije biti upućen kako riješiti neko pitanje, koje bi rezultate trebalo ostvariti, kako istražiti pritužbu ili treba li se konzultirati s nadzornim tijelom ili da zauzme određeno stajalište o bilo kojem pitanju povezanom sa zakonom o zaštiti osobnih podataka ili određenim tumačenjem zakona,
- smije javno iznijeti svoje suprotno mišljenje u slučaju poslovnih odluka koje nisu u skladu sa zakonom o zaštiti osobnih podataka i/ili njegovim savjetom, u slučaju da se Uprava Društva ili osoba neposredno nadređena službeniku za zaštitu podataka ne slaže sa savjetima službenika za zaštitu podataka moraju u pisanom obliku dokumentirati razloge za nepridržavanje savjeta službenika za zaštitu podataka.
Stručnost i primjerenost službenika za zaštitu osobnih podataka
Članak 19.
Službenik za zaštitu osobnih podataka mora imati stručno znanje o:
- nacionalnim i europskim zakonima i praksama zaštite podataka
- postupcima obrade podataka koje obavlja NAMA,
- administrativnim pravilima i postupcima NAMA-e,
- poslovnom sektoru u kojem NAMA posluje.
NAMA je dužna, u skladu sa svojim mogućnostima, osigurati službeniku za zaštitu osobnih podataka kontinuirano osposobljavanje kako bi se konstantno povećavala razina njegove stručnosti.
Zadaci Službenika za zaštitu osobnih podataka
Članak 20.
Službenik za zaštitu podataka:
- osigurava smjernice i operativne procedure za provedbu Politike povezane s osobnim podacima,
- definira metodologije što se imaju koristiti (gdje je potrebno) u odnosu na postupke obrade osobnih podataka,
- informira i savjetuje voditelja obrade te zaposlenike koji obavljaju obradu,
- prati poštivanje Opće uredbe i internih akata voditelja obrade,
- sustavno je uključen u najranijoj mogućoj fazi u sva pitanja koja se odnose na zaštitu osobnih podataka,a sve relevantne informacije pravodobno se prenose službeniku za zaštitu osobnih podataka kako bi mu se omogućilo da pruži adekvatan savjet,
- odmah se konzultira kad nastupi povreda osobnih podataka ili drugi incident,
- daje savjete kad god se obavlja procjena učinaka,
- djeluje kao kontaktna točka za nadzorno tijelo o pitanjima koja se odnose na obradu, uključujući prethodnu konzultaciju (u slučaju procjene učinaka) i za konzultiranje, gdje je to prikladno u vezi s bilo kojim drugim pitanjima,
- djeluje kao kontaktna točka za ispitanike.
RAZDOBLJE U KOJEM ĆE OSOBNI PODACI BITI POHRANJENI I MJERE NAKON PROTEKA RAZDOBLJA POHRANE
Članak 21.
Osobni podaci bit će pohranjeni onoliko dugo koliko je potrebno radi ispunjenja svrhe za koju se obrađuju ili onoliko dugo koliko se to zahtijeva zakonom.
Kriterij za određivanje razdoblja čuvanja osobnih podataka je svrha prikupljanja, trajanje ugovora, zastara propisana zakonom ili odredba posebnog zakona koja obvezuje na čuvanje podataka točno određeno vrijeme.
Nakon proteka razdoblja zadržavanja/čuvanja osobni podaci će se izbrisati.
U slučaju kada bi brisanje osobnih podataka predstavljalo nerazmjerno velik napor za voditelja obrade osobnih podataka, primijenit će se alternativne mjere kao što je npr. de-identifikacija (anonimizacija, pseudonimizacija, agregiranje, perturbacija, suzbijanje, zamućivanje)
De–identifikacija je proces uklanjanja ili skrivanja svih osobnih podataka iz evidencije ili skupa informacija koje sadrže osobne podatke na način koji uklanja rizik nenamjernog objavljivanja identiteta ispitanika i informacija o njima ili ga svodi na minimum.
De-identifikacija osobnih podataka treba biti uzeta u obzir kao valjana mogućnost ako povezivanje informacije s pojedincem više nije potrebno, ali gdje može biti potrebno upotrijebiti ili zadržati ostatak informacija zbog poslovnih razloga kao što su statističke i istraživačke svrhe.
Informacije koje se namjerava dijeliti s trećom osobom mogu biti de–identificirane ako ta treća strana ne treba identifikacijske skupove osobnih podataka.
Tehnike de–identifikacije su:
1. Anonimizacija
Ova tehnika osigurava da se osobni identifikatori uklone ili izmjene. Svrha ove tehnike je zadržavanje upotrebljivosti osobnih podataka uz skrivanje informacija koje bi mogle dovesti do identificiranja bilo izravno ili neizravno, pojedinca čiji se identitet može utvrditi. Anonimizirane informacije više se ne smatraju „osobnim“ zbog uklanjanja pojedinačnih identifikatora čime se ne dopušta povezivanje s pojedincem čiji je identitet utvrđen ili se može utvrditi.
2. Pseudonimizacija
Ovo je alternativna tehnika de–identifikaciji gdje se jedinstveni identifikator koji nije ni u kakvoj vezi s identitetom pojedinca, povezuje sa zapisom tako da se te informacije mogu povezati s određenim pojedincem bez da se taj pojedinac identificira (npr. ime osobe može biti predstavljeno nasumičnom šifrom – „pseudonimom“). Pseudonim mora biti dosljedan tako da se dopusti povezivanje u različitim skupovima podataka. Pseudonimizacija dopušta povezivanje svojstava ali ne i povezivanje s pojedincem. Dobiveni skup podataka i dalje sadrži korisne informacije o obrascima i trendovima, stoga su pseudonomizirani podaci i dalje osobni podaci.
3. Agregiranje
Osobni podaci daju se kao zbrojevi ili u sažetom obliku tako da se ne prikazuju nikakve informacije kojima se pojedinac identificira.
4. Perturbacije
U informacije se unose male izmjene kako bi se spriječilo identificiranje (npr. zamjena podataka između polja i uvođenje šuma ili greške).
5. Suzbijanje
Ovom tehnikom informacije se uklanjaju iz polja ili retka kako bi se spriječilo identificiranje pojedinca.
6. Zamućivanje
Preciznost informacija se umanjuje kako bi se sigurnost identificiranja pojedinca svela na minimum.
KOME SE OBRATITI
Članak 22.
Zahtjev za ostvarenje prava ispitanik može dostaviti na adresu NAMA d.d. u stečaju, 10000 Zagreb, Nemčićeva 1-3, ili putem e-mail adrese: zastita.podataka@nama.hr
Pristup osobnim podacima ili ostvarivanje nekog od prava iz ove Politike ispitanik može ostvariti i ispunjavanjem za to predviđenih obrazaca na www.nama.hr koje može dostaviti izravno na prethodno navedene adrese ili osobno predati na adresi sjedišta voditelja obrade.
Sukladno Općoj uredbi o zaštiti osobnih podataka, voditelj obrade će bez nepotrebnog odgađanja pružiti ispitaniku informaciju o radnjama koje je poduzeo po njegovom zahtjevu, a najkasnije u roku od mjesec dana od dana zaprimanja zahtjeva.
Prethodno navedeni rok može se po potrebi produljiti za dodatna dva mjeseca uzimajući u obzir složenost i broj zaprimljenih zahtjeva.
Voditelj obrade će obavijestiti ispitanika o svakom takvom produljenju u roku od mjesec dana od dana zaprimanja zahtjeva, navodeći razloge odgađanja.
Ukoliko ne postupi po zahtjevu ispitanika, voditelj obrade će bez odgađanja, a najkasnije mjesec dana od primitka zahtjeva obavijestiti ispitanika o razlozima zbog kojih nije postupio po njegovom zahtjevu, te o mogućnosti podnošenja pritužbe nadležnom tijelu i traženju pravnog lijeka.
Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, Voditelj obrade može:
<a) naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanja po zahtjevu,
b) odbiti postupiti po zahtjevu.
ZAVRŠNE ODREDBE
Članak 23.
Ova Politika stupa na snagu danom njenog donošenja.