Na temelju Opće uredbe (EU) 2016/679 koja je stupila na snagu 25. svibnja 2016. godine i koja će se primjenjivati u Republici Hrvatskoj od 25. svibnja 2018. godine,
Direktor Vladimir Martinko, VM2 d.o.o., Rudeška 14, 10000 Zagreb, OIB:60577674445, donio je slijedeći
PRAVILNIK
o zaštiti osobnih podataka – primjeni GDPR (General Data Protection Regulation)
Članak 1.
Ovim se Pravilnikom uređuje zaštita, prikupljanje, obrada i korištenje osobnih podataka sukladno implementaciji g.n. Uredbe i Zakona o zaštiti osobnih podataka (u daljnjem tekstu: GDPR), čiji je obveznik primjene VM2 d.o.o., Rudeška 14, 10000 Zagreb, OIB:60577674445 (u daljnjem tekstu: „VM2 d.o.o.“), gdje se nadzire prikupljanje, obrada, korištenje i zaštita osobnih podataka svih fizičkih osoba koje prikuplja i obrađuje.
Članak 2.
„VM2 d.o.o.“ prikuplja i obrađuje osobne podatke u svrhu izvršavanja zakonskih obveza, te radi ispunjenja ugovorenih poslovnih obveza i to u opsegu koji je nužan da bi se postigla utvrđena svrha.
Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju.
Tu se misli na osobne podatke zaposlenika, poslovnih partnera te podatke gostiju.
Osobni podaci zaposlenika se prikupljaju, obrađuju i koriste u obimu koje je definirano Zakonima i propisima, a radi izvršenja Ugovora o radu, obrade u računovodstvu radi obračuna i isplate plaća, te Zaštite na radu – prema Zakonu.
Zaposlenik je upoznat s razlogom prikupljanja ovih podataka te se ove podatke čuva trajno. Podaci su: ime-prezime, prebivalište - adresa, datum rođenja, mjesto rođenja, ime oca ili majke, broj zdravstvenog osiguranja, broj MIO osiguranja, osiguranje MIO II, vrsta radnog odnosa, radno mjesto, stručna sprema, zanimanje, OIB, broj bankovnog računa, radni staž, datum zasnivanja radnog odnosa, radno vrijeme, prava iz radnog odnosa.
Prije prikupljanja osobnih podataka ispitanik će biti informiran o svrsi obrade u koju su podaci namijenjeni. Osobni podaci uzimaju se neposredno od ispitanika usmeno i pisanim putem.
Ø Osobni podaci poslovnih partnera – radi kontaktiranja, ugovaranja usluga i ispostave računa – prema Zakonu. Podaci su: ime i prezime, sjedište - adresa, telefon-faks-mail, porezni broj.
Članak 3.
VM2 d.o.o. dužan je donijeti odluku o imenovanju osoba zaduženih za zaštitu osobnih podataka koji vode brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka, kao i osobe koje su osim poslodavca ovlaštene nadzirati prikupljaju li se, obrađuju, koriste i dostavljaju trećim osobama osobni podaci u skladu sa Zakonom.
To je; Direktor Vladimir Martinko, VM2 d.o.o., Rudeška 14, 10000 Zagreb, OIB:60577674445.
Članak 4.
VM2 d.o.o. dužan je prije prikupljanja bilo kojih osobnih podataka informirati osobu čiji se podaci prikupljaju, o svrsi obrade u koju su podaci namijenjeni, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o primateljima ili kategorijama primatelja osobnih podataka te radi li se o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka. U slučaju obveznog davanja osobnih podataka navodi se i zakonska osnova za obradu podataka.
Osobni podaci prikupljaju se neposredno od ispitanika usmeno ili pisanim putem.
Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje obrađivati u skladu sa Zakonom/GDPR i uz posebne mjere zaštite propisane posebnim zakonima.
Članak 5.
Da bi se izbjegao neovlašteni pristup osobnim podacima ili njihov gubitak, podaci pohranjeni u papirnatom obliku čuvaju se u dosjeima ili registratorima, u zaključanim ormarima ili prostorijama kojima mogu pristupiti samo ovlašteni radnici, a podaci pohranjeni u elektronskom obliku na posebnom računalu koji je zaštićen sigurnosnim programima Malwarebytes Premium, Windows defender, Firewall i dodjeljivanjem posebnog korisničkog imena i lozinke, poznatim samo radniku koji obrađuje te podatke. Redovito se stvara sigurnosna kopija na vanjskoj memoriji, te čuva dislocirano od računala.
Članak 6.
VM2 d.o.o. ovlašten je osobne podatke dati na korištenje drugim primateljima na temelju pisanog zahtjeva primatelja, odnosno Ugovoru, ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja. Pisani zahtjev mora sadržavati svrhu i pravni temelj za korištenje osobnih podataka te vrstu osobnih podataka koji se traže.
Članak 7.
VM2 d.o.o. dužan je poduzimati tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, te utvrditi obvezu osoba koje su zaposlene u obradi podataka, na čuvanje tajnosti podataka odnosno potpisivanje izjave o povjerljivosti.
U slučaju nelegalnog proboja osobnih podataka unutar organizacije mora se odmah reagirati, te obavijestiti nadležno nadzorno tijelo o ugroženosti podataka, i to unutar 72 sata od trenutka spoznaje da je došlo do proboja. Osim toga, svi korisnici čiji su podaci ugroženi moraju biti bez odgode obaviješteni o tom riziku.
Članak 8.
VM2 d.o.o. dužan je najkasnije u zakonskom roku od podnošenja zahtjeva, svakom ispitaniku na njegov zahtjev, odnosno njegovih zakonskih zastupnika ili punomoćnika:
Ø dostaviti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega ili ne
Ø dati obavijest u razumljivom roku o podacima koji se odnose na njega čija je obrada u tijeku te o izvoru tih podataka,
Ø omogućiti uvid u osobne podatke koji se odnose na njega,
Ø dostaviti izvatke, potvrde ili ispise osobnih podataka koji se na njega odnose, a koji moraju sadržavati i naznaku svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,
Ø dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega.
Na zahtjev osobe, odnosno njegovih zakonskih zastupnika ili punomoćnika, te u slučaju ako samo to utvrdi, „VM2 d.o.o.“ dužan je dopuniti, izmijeniti ili brisati osobne podatke ako su nepotpuni, netočni ili neažurni te ako njihova obrada nije u skladu sa Zakonom, te o izvršenoj dopuni, izmjeni ili brisanju najkasnije u zakonskom roku obavijestiti osobu na koju se podaci odnose i primatelju osobnih podataka.
Zahtjev se podnosi pisanim putem osobama zaduženima za zaštitu osobnih podataka u VM2 d.o.o.
Ukoliko ispitanik smatra da su mu povrijeđena prava može se žaliti nadležnoj instituciji za zaštitu osobnih podataka.
Članak 9.
Na sva pitanja zaštite, prikupljanja, obrade i korištenja osobnih podataka koja nisu uređena ovim Pravilnikom neposredno se primjenjuju odredbe Uredbe GDPR i Zakona.
Članak 10.
Ovaj Pravilnik stupa na snagu danom donošenja
VM2 d.o.o., Rudeška 14, 10000 Zagreb, OIB:60577674445
Direktor Vladimir Martinko