P R A V I L N I K

o načinima obrade i korištenja osobnih podataka društva 4 UHA d.o.o.  

 

OPĆE ODREDBE

Članak 1.

 

Ovim se Pravilnikom, a s ciljem zaštite, uređuju kategorije osobnih podataka, svrhe, obrada i zaštita osobnih podataka.

 

Ovaj se Pravilnik, u smislu obveznosti svog sadržaja, primjenjuje na klijente, zaposlenike, te na treće osobe u ugovornom odnosu (Ispitanici) s društvom 4 UHA d.o.o., (u daljnjem tekstu 4 UHA), te ostale osobe čije osobne podatke 4 UHA obrađuje (Ispitanici)  u dijelu obrade osobnih podataka i u dijelu u kojem odredbama pojedinačnih ugovora nije drugačije ugovoreno.

 

Ovaj Pravilnik se ne primjenjuje na obradu podataka koji se tiču pravnih osoba, uključujući njihov oblik i kontaktne podatke.

 

Sastavni dio ovog Pravilnika čine prilozi koji se odnose na obradu osobnih podataka pojedinih kategorija Ispitanika.

 

Za sve odnose koji nisu regulirani ovim Pravilnikom primjenjivati će se izravno odredbe Opće uredbe o zaštiti podataka (GDPR) i Zakona o provedbi opće uredbe o zaštiti podataka.

 

Članak 2.

 

4 UHA se kao voditelj obrade podataka obvezuje osobne podatke obrađivati zakonito, pošteno i transparentno.

 

Osnovni podaci o Voditelju obrade:

 

4 UHA d.o.o., Tita Brezovačkog 4, Zagreb, OIB: 42143577388

 

 

 

Članak 3.

 

Za potrebe ovog Pravilnika slijedeći termini imaju ova značenja:

 

1.„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2.„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4.„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5.„voditelj obrade” znači društvo 4 UHA d.o.o.;

6.”ispitanik” znači kupce, zaposlenike, poslovne partnere,  treće osobe u ugovornom odnosu, te osobe čije osobne podatke obrađuje društvo 4 UHA d.o.o.

7.„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.

8.„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

9.„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

10.„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani,

 1. „biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

12.„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

13.”glavni poslovni nastan” društva 4 UHA označava Republiku Hrvatsku;

14.„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje  obrađuje osobne podatke u ime voditelja obrade;

15.„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;

 1. „grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;

17.„nadzorno tijelo” znači Agencija za zaštitu osobnih podataka;

 1. “uredba” znači Opća uredbu o zaštiti podataka.

19.„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije.

20.“Zaposlenik“ – osoba u radnom odnosu u društvu (uključujući uz osnovu ugovora o radu, ugovore o djelu i autorske ugovore, studentske ugovore, te druge pravne oblike).

 

NAČELA OBRADE OSOBNIH PODATAKA

 

Članak 4.

 

 1. Osobni podaci moraju biti:

 

(a)zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost, transparentnost”);

(b)prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

(e)čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osim u slučaju obrade u znanstvene, statističke ili istraživačke svrhe;

(f)obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

 

Članak 5.

 

Zakonitost obrade se osigurava na način da se prilikom obrade osobnih podataka Ispitanika mora zadovoljiti barem jedna od slijedećih osnova obrade:

 

(a)ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih i zakonskih obveza voditelja obrade;

(d)obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

(e)obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada bi su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

Članak 6.

 

U slučaju da voditelj obrade provodi obradu u svrhu različitu od svrhe za koju su podaci prvotno prikupljeni, a ukoliko je ista obrada usklađena sa prvotnom svrhom voditelj obrade smatrat će se da je pravna osnova prvotne obrade dovoljna i za naknadnu obradu podataka.

 

Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, između ostalog:

 

(a)svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;

(b)kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanika i voditelja obrade;

(c)prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka

(d) moguće posljedice namjeravanog nastavka obrade za ispitanike;

(e)postojanje odgovarajućih zaštitnih mjera.

 

PRIVOLA

Članak 7.

 

Kada se obrada osobnih podataka Ispitanika temelji na privoli, voditelj obrade mora dokazati postojanje privole.

 

Ispitanik privolu može dati i u sklopu dokumenta koji se odnosi na druga pitanja, no zahtjev koji se odnosi na privolu mora biti što jasnije razlučen od ostatka teksta, te razumljiv Ispitaniku.

 

Ispitanik ima pravo u svakom trenutku povući svoju privolu u istom obliku kako je privola i dana.

Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Ukoliko privola Ispitanika predstavlja samo jedan od osnova obrade osobnih podataka, 4 UHA je ovlašten nastaviti obradu osobnih podataka sa druge zakonite osnove.

 

OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

 

Članak 8.

 

 1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

 

 1. Stavak 1.ovog članka ne primjenjuje se ako je ispunjeno jedno od sljedećeg:

(a)ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Republike Hrvatske propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Republike Hrvatske ili kolektivnog ugovora u skladu s pravom države koje

propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički

ili pravno nije u mogućnosti dati privolu;

(d)obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod  uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan  kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez

privole ispitanika;

(e) obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

(g)obrada je nužna za potrebe značajnog javnog interesa na temelju prava Republike Hrvatske koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(i)obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se  propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje  profesionalne tajne;

(j)obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe te je razmjerna cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

 

OBRADA BIOMETRIJSKIH PODATAKA

 

Članak 9.

 

Obrada biometrijskih podataka može se provoditi radi nužnosti zaštite osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovog  članka.

Pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga je izričita privola Ispitanika.

 

Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi  ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi  alternativno drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s  odredbama Opće uredbe o zaštiti podataka.

 

VIDEO NADZOR

 

Članak 10.

 

 1. Video nadzor u smislu odredbi ovog Pravilnika odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.

 

 1. Obrada osobnih podataka putem video nadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem video nadzora.

 

 1. Video nadzorom mogu biti obuhvaćene samo prostorije ili dijelovi prostorija čiji je nadzor nužan radi postizanje svrhe iz stavka 2. ovog članka.

 

 1. Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu pod video nadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.

 

5.Obavijest iz stavka 4. ovog članka treba sadržavati sve relevantne informacije, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

-da je prostor pod video nadzorom,

-podatke o voditelju obrade,

-kontakt podatke putem kojih ispitanik može ostvariti svoja prava.

 

 1. Pravo pristupa osobnim podacima prikupljenim putem video nadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

 

 1. Osobe iz stavka 6. ovoga članka ne smiju koristiti snimke iz sustava video nadzora suprotno svrsi utvrđenoj u stavku 2. ovog članka Pravilnika.

 

8.Sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba.

 

 

Članak 11.

 

Snimke dobivene putem video nadzora mogu se čuvati najviše 6 mjeseci osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.

 

Video nadzor radnih prostorija

 

Članak 12.

 

1.Obrada osobnih podataka zaposlenika putem sustava video nadzora može se provoditi samo ako su uz uvjete utvrđene ovim zakonom, ispunjeni i uvjeti utvrđeni propisima koji reguliraju zaštitu na radu i ako su zaposlenici bili pojedinačno unaprijed obaviješteni o takvoj mjeri i ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava video nadzora.

 

2.Video nadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.

 

INFORMACIJE I PRISTUP OSOBNIM PODACIMA

 

Članak 13.

 

1.Ako  su  osobni  podaci  koji  se  odnose  na  ispitanika  prikupljeni  od  ispitanika,  voditelj obrade će u trenutku prikupljanja osobnih podataka ispitaniku pružiti sve sljedeće informacije:

 

(a) identitet  i  kontaktne  podatke  voditelja  obrade  i,  ako  je  primjenjivo,  predstavnika  voditelja obrade;

(b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

(d) ako se obrada temelji na članku 5. stavak 1. točki (f) legitimne interese voditelja obrade ili treće strane;

(e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f) ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji  ili  međunarodnoj  organizaciji;

(g) razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(h) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

(i) ako se obrada temelji na privoli ispitanika, postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(j) pravo na podnošenje prigovora nadzornom tijelu;

(k) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(g) postojanje  automatiziranog  donošenja  odluka, što uključuje izradu profila te, u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

 

Ako  voditelj  obrade  namjerava  dodatno  obrađivati  osobne  podatke  u  svrhu  koja  je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz prethodnog stavka.

 

Obveza voditelja obrade iz ovog članka ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže navedenim informacijama.

 

Informacije iz članka 13. i članka 14. ovog Pravilnika se pružaju na sažet i razumljiv način, te u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.

 

Članak 14.

 

1.Ako  osobni  podaci  nisu  dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:

(a) identitet  i  kontaktne  podatke  voditelja  obrade  i  predstavnika  voditelja  obrade,  ako  je  primjenjivo;

(b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c) svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;

(d) kategorije osobnih podataka o kojima je riječ;

(e)primatelje ili kategorije primatelja osobnih podataka, prema potrebi;

(f) ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji  ili  međunarodnoj  organizaciji

(g) razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(h) ako se obrada temelji na na članku 5. stavak 1. Točki (f) legitimne interese voditelja obrade ili treće strane;

(i) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

(j) ako se obrada temelji na privoli Ispitanika postojanje prava da u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(k) pravo na podnošenje prigovora nadzornom tijelu;

(l) izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;

(m) postojanje automatiziranog donošenja odluka, što uključuje izradu profila te, u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika

 

Voditelj obrade pruža informacije iz prethodnog stavka:

 

(a)unutar  razumnog  roka  nakon  dobivanja  osobnih  podataka,  a  najkasnije  u  roku  od  jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)ako  se  osobni  podaci  trebaju  upotrebljavati  za  komunikaciju  s  ispitanikom,  najkasnije  u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.

 

Ako  voditelj  obrade  namjerava  dodatno  obrađivati  osobne  podatke  u  svrhu  koja  je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz prethodnog stavka.

 

Obveze voditelja obrade iz ovog članka ne primjenjuju se ako i u onoj mjeri u kojoj:

 

(a) ispitanik već posjeduje informacije;

(b) pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade   u   svrhe   arhiviranja   u   javnom   interesu,   u   svrhe   znanstvenog   ili   povijesnog istraživanja ili u statističke svrhe,

(c) dobivanje ili otkrivanje podataka izrijekom je propisano pravom Republike Hrvatske,  a  koje predviđa  odgovarajuće  mjere  zaštite legitimnih interesa ispitanika; ili

(d)ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo države, uključujući obvezu čuvanja tajne koja se navodi u statutu.

 

PRAVO ISPITANIKA NA PRISTUP

 

Članak 15.

 

1.Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:

(a) svrsi obrade;

(b) kategorijama osobnih podataka o kojima je riječ;

(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d) ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili  ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu;

(f) pravu na podnošenje pritužbe nadzornom tijelu;

(g) ako  se  osobni  podaci  ne  prikupljaju  od  ispitanika,  svakoj  dostupnoj  informaciji  o  njihovu izvoru;

(h) postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 23. stavka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

 

2.Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama koje  se odnose na prijenos.

 

3.Voditelj  obrade  osigurava  kopiju  osobnih  podataka  koji  se  obrađuju.  Za  sve  dodatne kopije koje  zatraži  ispitanik  voditelj  obrade  može  naplatiti  razumnu  naknadu  na  temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku.

 

PRAVO NA ISPRAVAK

 

Članak 16.

 

Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

 

PRAVO NA BRISANJE

 

Članak 17.

 

1.Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan

od sljedećih uvjeta:

 

(a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;

(b)ispitanik  povuče  privolu  na  kojoj  se  obrada  temelji  i  ako  ne  postoji  druga  pravna  osnova  za obradu;

(c) ispitanik uloži prigovor na obradu u skladu s člankom 21. Pravilnika, a  ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. Stavkom 2.;

(d) osobni podaci nezakonito su obrađeni;

(e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Republike Hrvatske;

 

2.Ako je voditelj obrade javno objavio osobne podatke i dužan je u skladu sa stavkom 1. ovog članka obrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, voditelj obrade poduzima razumne mjere, uključujući tehničke mjere, kako bi informirao  voditelje obrade koji obrađuju osobne podatke da je ispitanik zatražio od tih voditelja obrade da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka.

 

3.Stavci 1. i 2. ovog članka ne primjenjuju se u mjeri u kojoj je obrada nužna:

(a) radi ostvarivanja prava na slobodu izražavanja i informiranja;

(b) radi poštovanja pravne obveze kojom se zahtijeva obrada ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(c) zbog  javnog  interesa  u  području  javnog  zdravlja  sukladno odredbama Uredbe;

(d) u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;

(e) radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

 

 

PRAVO NA OGRANIČENJE OBRADE

 

Članak 18.

 

1.Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:

(a) ispitanik  osporava  točnost  osobnih  podataka,  na  razdoblje  kojim  se  voditelju  obrade omogućuje provjera točnosti osobnih podataka;

(b) obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;

(c) voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

(d) ispitanik je uložio prigovor na obradu na temelju članka 21.  Stavka 1. Pravilnika očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

 

2.Ako je obrada ograničena stavkom 1. ovog članka, takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika,  uz  iznimku  pohrane,  ili  za  postavljanje,  ostvarivanje  ili  obranu  pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Republike Hrvatske.

 

3.Ispitanika  koji  je  ishodio  ograničenje  obrade  na  temelju  stavka 1. ovog članka  voditelj   obrade

izvješćuje prije nego što ograničenje obrade bude ukinuto.

 

Članak 19.

 

Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 16., člankom 17. stavkom 1. i člankom 18. ovog Pravilnika svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.

 

PRAVO NA PRENOSIVOST PODATAKA

 

Članak 20.

 

1.Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te  ima  pravo  prenijeti te  podatke  drugom  voditelju  obrade  bez  ometanja  od  strane  voditelja obrade kojem su osobni podaci pruženi, ako:

(a) obrada  se  temelji  na  privoli  ili ugovoru;

(b)obrada se provodi automatiziranim putem.

 

2.Prilikom ostvarivanja svojih prava na prenosivost podataka na temelju stavka 1. ispitanik ima pravo na izravni prijenos od jednog voditelja obrade drugome ako je to tehnički izvedivo. Pravo iz stavka 1. ovog članka ne smije negativno utjecati na prava i slobode drugih.

 

PRAVO NA PRIGOVOR

 

Članak 21.

 

1.Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na  obradu osobnih  podataka  ako se ista temelji na zadaći od javnog interesa, na izvršavanju službenih ovlasti voditelja obrade ili na legitimnim interesima voditelja obrade.

 

Voditelj obrade više ne smije obrađivati osobne podatke osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni   razlozi   za   obradu   koji   nadilaze   interese,   prava   i   slobode   ispitanika   ili   radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

 

2.Ako  se  osobni  podaci  obrađuju  za  potrebe  izravnog  marketinga,  ispitanik  u  svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana  s  takvim izravnim marketingom.

 

3.Ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe.

 

 

 

4.Najkasnije  u  trenutku  prve  komunikacije  s  ispitanikom,  ispitaniku  se  izričito  mora skrenuti pozornost na pravo prigovora iz stavaka 1. i 2. ovog članka te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.

 

5.Ako  se  osobni  podaci  obrađuju  u  svrhe  znanstvenog  ili  povijesnog  istraživanja  ili  u statističke svrhe sukladno odredbama Uredbe,  ispitanik  na  temelju  svoje  posebne  situacije ima pravo uložiti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za provođenje zadaće koja se obavlja zbog javnog interesa.

 

 

PODNOŠENJE ZAHTJEVA I PRIGOVORA ISPITANIKA

 

Članak 22.

 

Sve zahtjeve i prigovore predviđene odredbama članaka od 15-22. ovog Pravilnika i Uredbe ispitanik podnosi društvu 4 UHA, kao voditelju obrade, u pisanom obliku (preporučenim pismenom sa potvrdom dostave) na adresu:

 

4 UHA d.o.o., Tita Brezovačkog 4, Zagreb, OIB: 42143577388

 

ili

 

elektroničkom poštom na e-mail adresu:

 

info@4uha.hr

 

 

4 UHA će postupiti po zahtjevima ispitanika u roku od 30 dana od dana urednog zaprimanja zahtjeva.

 

Rok iz prethodnog stavka može se produžiti za dodatna dva mjeseca uzimajući u obzir složenost zahtjeva.

Ukoliko nije u mogućnosti postupiti po zahtjevu 4 UHA će o tome obavijestiti ispitanika.

 

Ako su zahtjevi Ispitanika očito neutemeljeni ili pretjerani, te pretjerano učestali voditelj obrade može odbiti postupiti po takvom zahtjevu ispitanika ili tražiti prethodno plaćanje naknade za postupanje.

Naknada će se odrediti odlukom odgovorne osobe društva.

 

Ako voditelj obrade ima opravdane sumnje u identitet podnositelja zahtjeva može od istoga zatražiti dodatne informacije radi potvrđivanja identiteta ispitanika.

 

U slučaju promjene u kontakt podacima 4 UHA, novi podaci biti će objavljeni na službenoj web stranici https://www.4uha.hr/ i/ili oglasnoj ploči društva 4 UHA.

 

 

 

AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA, UKLJUČUJUĆI IZRADU PROFILA

 

Članak 23.

 

1.Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

 

 1. Stavak 1. ne primjenjuje se ako je odluka:

(a) potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;

(b) dopuštena pravom Republike Hrvatske kojem podliježe voditelj obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili

(c) temeljena na izričitoj privoli ispitanika.

 

 1. U slučajevima iz stavka 2. točaka (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

 

 1. Odluke iz stavka 2. ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 8. stavka 1., osim ako se primjenjuje članak 8. stavak 2. točka (a) ili (g) te ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika

 

 

OBVEZE VODITELJA OBRADE

 

Članak 24.

 

1.Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovim Pravilnikom i Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

 

2.Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz Pravilnika, Uredbe, provedbenog zakona i zaštitila prava ispitanika.

 

3.Voditelj obrade, sukladno mogućnostima, provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost.

 

 1. Voditelj obrade može posebnim općim aktom specificirati protokole, tehničke, fizičke i organizacijske sigurnosne mjere koje poduzima u primjeni ovog članka Pravilnika.

 

IZVRŠITELJ OBRADE

 

Članak 25.

 

Radi obrade osobnih podataka ispitanika voditelj obrade može angažirati Izvršitelja obrade.

 

Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ovog Pravilnika i da se njome osigurava zaštita prava ispitanika.

 

 

EVIDENCIJA AKTIVNOSTI OBRADE

 

Članak 26.

 

1.Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran.

Ta evidencija sadržava sve sljedeće informacije:

(a) ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b) svrhe obrade;

(c) opis kategorija ispitanika i kategorija osobnih podataka;

(d) kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(e) ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 35. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

(f) ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 28. stavka 1.pravilnika

 

 1. Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

(a) ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;

(b) kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

(c) ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju navedenim u Uredbi, dokumentaciju o odgovarajućim zaštitnim mjerama;

(d) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 28. stavka 1.

 

 1. Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

 

 1. Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju.

 

 1. Obveze iz ovog članka ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 8. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima.

 

Članak 27.

 

Voditelj obrade i izvršitelj obrade te, ako je to primjenjivo, njihovi predstavnici, na zahtjev surađuju s nadzornim tijelom u ispunjavanju njegovih zadaća.

 

Članak 28.

 

Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik.

 

Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

 

IZVJEŠĆIVANJE NADZORNOG TIJELA

 

Članak 29.

 

 1. U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje, sukladno Uredbi, nadzorno tijelo nadležno o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

 

 1. Izvršitelj obrade bez nepotrebnog odgađanja izvješćuje, sukladno Uredbi, voditelja obrade nakon što sazna za povredu osobnih podataka.

 

 1. Voditelj obrade dokumentira sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete.

 

OBAVJEŠTAVANJE ISPITANIKA O POVREDI

 

Članak 30.

 

1.U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.

2.Obavješćivanjem ispitanika iz stavka 1. ovog članka opisuje se priroda povrede osobnih podataka uporabom jasnog i jednostavnog jezika.

3.Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

 

(a) voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti;

(b) voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;

(c) time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

 

 

 

PROCJENA UČINKA NA ZAŠTITU PODATAKA

 

Članak 31.

 

1.Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, osim u slučajevima predviđenim čl. 35. stavak 10. Uredbe. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

 

2.Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

 

 1. Voditelj obrade savjetuje se s nadzornim tijelom prije obrade ako se procjenom učinka na zaštitu podataka iz stavka 1 ovog članka pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika.

 

SLUŽBENIK ZA ZAŠTITU PODATAKA

 

Članak 32.

 

Voditelj obrade i Izvršitelj obrade mogu imenovati službenika za zaštitu podataka sukladno odredbama Uredbe o zaštiti podataka.

 

Ukoliko je imenovan Ispitanici mogu kontaktirati službenika za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ovog Pravilnika.

 

U slučaju imenovanja Službenika za zaštitu podataka 4 UHAće obavijest o istome, kao i kontakt podatke objaviti na svojoj web stranici, te će obavijestiti nadzorno tijelo.

 

PRAVO NA PRITUŽBU NADZORNOM TIJELU

 

Članak 33.

 

Svaki ispitanik ima pravo podnijeti pritužbu nadzornom tijelu, ako ispitanik smatra da obrada osobnih podataka koja se odnosi na njega krši neko pravo zaštićeno odredbama ovog Pravilnika, Uredbe i Zakona o provedbi opće Uredbe.

 

PRIJENOS PODATAKA TREĆOJ ZEMLJI ILI MEĐUNARODNOJ ORGANIZACIJI

 

Članak 34.

 

Prijenos podatka trećoj zemlji ili međunarodnoj organizaciji dopušten je nakon što se, sukladno Uredbi, odlukom o primjerenosti Komisija utvrdi da je riječ o subjektu koji osigurava primjerenu razinu zaštite.

 

Ako nije donesena odluka na temelju prethodnog stavka voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

 

Odgovarajuće zaštitne mjere iz stavka 2. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

(a) pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b) obvezujuća korporativna pravila;

(c) standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s Uredbom;

(d) standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s Uredbom;

(e) odobreni kodeks ponašanja

(f) odobreni mehanizam certificiranja

 

Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 2. konkretno mogu pružiti i:

(a) ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b) odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela I koja sadrže provediva I djelotvorna prava ispitanika.

 

Članak 35.

 

 1. Ako ne postoji odluka o primjerenosti u skladu s člankom 34. stavkom 1., ili odgovarajuće zaštitne mjere u skladu s člankom 34.st 2. i 3., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:

(a) ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera; (b) prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c) prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d) prijenos je nužan iz važnih razloga javnog interesa;

(e) prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f) prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;

(g) prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

 

Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 34. uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog stavka ovog članka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka.

Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.

 

OBVEZE ZAPOSLENIKA

 

Članak 36.

 

Prilikom vršenja obrade osobnih podataka zaposlenici društva 4 UHAd.o.o. dužni su se voditi načelima povjerljivosti i sigurnosti u upravljanju istim podacima. Zaposlenici će osobne podatke obrađivati sukladno odredbama ovog Pravilnika i po uputama Poslodavca. Podaci će se koristiti isključivo u svrhe za koje je obrada predviđena, te se isti neće učiniti dostupnima osobama koje za isto nemaju ovlast.

 

 

ZAKLJUČNE ODREDBE

Članak 37.

 

Prava i obveze iz i temeljem ovog Pravilnika, realizirat će se, po potrebi, davanjem posebnih izjava/ugovora/aneksa sa klijentima, zaposlenicima, odnosno trećim osobama na koje se odnosi ovaj Pravilnik.

 

U slučaju kada posebne izjave/ugovori nisu sklopljeni, te u slučajevima koji nisu regulirani istim zasebnim pravnim dokumentima na odnose vezano za obradu osobnih podataka izravno će se primjenjivati odredbe ovog Pravilnika i Uredbe.

 

Članak 38.

 

Ovaj Pravilnik stupa na snagu osmoga dana od dana njegove objave na oglasnoj ploči.

 

Članak 39.

 

Ovaj se Pravilnik mijenja i dopunjuje na način propisan za njegovo donošenje.

 

 

 

4 UHAd.o.o.

po direktoru društva

 

 

Zagreb,  26.06.2023. godine

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Prilog 1. – Odnosi se na obradu osobnih podataka Zaposlenika (uključujući uz osnovu ugovora o radu, ugovore o djelu i autorske ugovore, studentske ugovore, te proces regrutiranja/zapošljavanja kandidata)

 

 

OSOBNI PODATAK SVRHA OBRADE PRAVNI OSNOV OBRADE KATEGORIJE PRIMATELJA PODATAKA/TREĆE OSOBE PERIOD KORIŠTENJA PODATAKA
·       Ime i prezime

·       Datum rođenja

·       OIB

·       Mjesto i država rođenja

·       Adresa, Mjesto i država prebivališta/boravišta

·       Životopis

·       Fotografija

·       Preslika osobne iskaznice

·       Podaci o roditelju (otac ili majka)

·       Podaci o obrazovanju i stručnoj spremi

·       Broj računa/IBAN

·       Državljanstvo

·       Rodni list

·       Rodni list djece

·       Porezna kartica

·       Podaci o radnom stažu

·       Podaci o zdravstvenom stanju

·       Podaci o primanjima

·       Potpis

·       Podaci o stipendijama(samo studentski ugovori)

Prava i obveze iz radnog odnosa, te zakonske obveze poslodavca prema trećim osobama. Zasnivanje radnog odnosa (sklapanje ugovora, prijava na HZMO i HZZO i dr.), izdavanje potvrda, npr. (upis djece u vrtić), isplata plaće, provođenje zaštite na radu, te obveze poslodavca iz drugih pravnih propisa.

Zdravstveni podaci obrađuju se u ograničene svrhe povezane sa zakonskim obvezama i ostvarenjem prava i obveza predviđenih sustavima zdravstvene i socijalne skrbi.

Zakonski

(Zakon o mirovinskom osiguranju, Zakon o radu, Zakon o zaštiti na radu i dr.)

Državni zavod za statistiku- izvještaji o plaćama i dr.

 

Hrvatski zavod za mirovinsko osiguranje

 

Hrvatski zavod za zdravstveno osiguranje

 

Porezna uprava-JOPPD obrasci-izvještaji o izvršenim isplatama, isplate dohotka. Za isplatu dohotka (plaće, neoporezivih isplata i honorara) zaposlenika

Za isplatu dohotka (honorara) ostalog osoblja (autora)

Za isplatu dohotka (stipendija ) studenata.

 

Banke

 

Kartičarske kuće

 

Ostala nadležna tijela

Trajno, za vrijeme trajanja radnog odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.
·       Ime i prezime

·       Datum rođenja

·       OIB

·       Kontakt podaci

·       Mjesto i država rođenja

·       Adresa, Mjesto i država prebivališta/boravišta

·       Životopis

·       Fotografija

·       Podaci o obrazovanju i stručnoj spremi

·       Domovnica/državljanstvo

·       Podaci o radnom stažu

·       Podaci o zdravstvenom stanju

·       Potpis

·       E-mail

·       Podaci o stipendijama(samo studentski ugovori)

Proces zapošljavanja/regrutiranja kandidata. Ugovor-uvjet za sklapanje ugovora.

Legitimni interes-prilikom provedbe postupka zapošljavanja potreba je prikupiti osobne podatke kandidata.

Agencije za zapošljavanje Za vrijeme trajanja postupka, do max. 2 god u slučaju evidentiranja kandidata u bazu potencijalnih zaposlenika.
·       Ime i prezime

·       Datum rođenja

·       OIB

·       Mjesto i država rođenja

·       Adresa, Mjesto i država prebivališta/boravišta

·       Životopis

·       Fotografija

·       Podaci o obrazovanju i stručnoj spremi

·       Broj računa/IBAN

·       Domovnica/državljanstvo

·       Rodni list

·       Rodni list djece

·       Porezna kartica

·       Podaci o radnom stažu

·       Podaci o zdravstvenom stanju

·       Podaci o primanjima

·       Potpis

·       Podaci o stipendijama(samo studentski ugovori)

Prava i obveze iz radnog odnosa.

Svrha uključuje prava i obveze iz ugovora o radu, dodatnih ugovora sa osnova zaposlenja, te općih akata poslodavca. Zdravstveni podaci obrađuju se u ograničene svrhe povezane sa zakonskim obvezama i ostvarenjem prava i obveza predviđenih sustavima zdravstvene i socijalne skrbi. Obrada ovih podataka nužna je za zasnivanje radnog odnosa.

Ugovor Nadležna javna tijela, pravosudna tijela,

Pravni zastupnici društva 4 UHA,

Računovodstvo,

Revizorske kuće

Trajno, za vrijeme trajanja radnog odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.
·       Ime i prezime

·       E-mail

·       Broj telefona

·       Broj mobitela

Komunikacija unutar društva 4 UHA

Komunikacija sa poslovnim partnerima, klijentima i sl.

1.Ugovor – uvjet za sklapanje ugovora.

 

2.Legitimni interes poslodavca (nužnost sa obavljanje gospodarske djelatnosti društva)

Poslovni partneri, klijenti i sl. Za vrijeme trajanja radnog odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.
·       Ime i prezime

·       E-mail

·       Broj telefona

·       Broj mobitela

Korištenje web platformi za poslovnu komunikaciju Ugovor Poslovni partneri, klijenti i sl. Za vrijeme trajanja radnog odnosa
·       Biometrijski podaci

 

Osiguranje zaštite imovine, osoba, poslovnih tajni. Legitimni interes poslodavca (stvaranje sigurnog okružja, osiguranje poslovanja) Po potrebi vanjske tvrtke koje pružaju komplementarne usluge Za vrijeme trajanja radnog odnosa, po potrebi i dulje u opravdane svrhe.
·       Osobni podaci prikupljeni putem video nadzora Zaštita imovine i osoba, osiguranje sigurnosti. Legitimni interes poslodavca Ukoliko se vrši video nadzor radnih prostorija 4 UHAće o istome obavijestiti zaposlenike. Po potrebi nadležna pravosudna tijela, odvjetnička društva i sl. Max. 6 mjeseci, osim u zakonom dopuštenim iznimkama
·       Ime i prezime

·       E-mail

·       Broj telefona

·       Fotografija

·       Video snimka

 

 

Objava na web stranici, prezentacijskim materijalima  društva 4 UHAradi informiranja o proizvodima, načinu poslovanja, savjetima klijentima i sl. 1.Ugovor

 

2.Legitimni interes poslodavca (npr. interes je poslodavca da omogući zainteresiranim osobama uvid u podatke o djelatnicima društva 4 UHAu sklopu, prezentacije društva i sl.)

Posjetitelji web stranice, adresati materijala i dr. Za vrijeme trajanja radnog odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.
·       Ime i prezime

·       Fotografija

·       Video snimka

·       E-mail

 

 

Marketinške i promidžbene aktivnosti 1.Ugovor

 

2.Legitimni interes poslodavca (interes je poslodavca da omogući objavu pojedinih sadržaja u svrhu promocije društva 4 UHA

 

 

Organizatori događanja, Agencije za promidžbu, Mediji, Društvene mreže, Brošure i sl. Povremeno, sukladno aktivnostima
·       Ime i prezime

·       OIB

·       E-mail

·       Sigurnosni podaci radi pristupa korisničkom računu

·       Broj Mobitela

·       Broj telefona

·       Fotografija

 

Otvaranje, zaštita i održavanje e-mail accounta, zaduživanje i razduživanje opreme Ugovor Operatori sustava, po potrebi vanjske tvrtke koje pružaju održavanje ICT sustava Za vrijeme radnog odnosa
·       Ime i prezime

·       OIB

·       E-mail

·       Sigurnosni podaci radi pristupa korisničkom računu i drugim sustavima

·       Broj Mobitela

·       Broj telefona

 

Sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova, zaustavljanje napada, sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima, osiguravanje sposobnosti mreže i ICT sustava Ugovor

 

Legitimni interes poslodavca (zaštita ICT sustava)

Operatori sustava, po potrebi vanjske tvrtke koje pružaju održavanje ICT sustava Za vrijeme trajanja radnog odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.
·       Ime i prezime

·       OIB

·       E-mail

·       Sigurnosni podaci radi pristupa korisničkom računu, kompjuteru i drugim komunikacijskim sustavima

Nadzor poslovne elektronske pošte i druge komunikacije zaposlenika u iznimnom slučaju postojanja sumnje  mogućeg neovlaštenog prijenosa podataka, otkrivanja poslovne tajne, kršenje obveza iz radnog odnosa, mobbinga i sl. Legitimni interes poslodavca (sastoji se u sprečavanju štete, zaštite poslovanja) Pravosudna tijela, Odvjetnici i dr. Za vrijeme trajanja radnog odnosa, te u slučaju postojanja pravnih postupaka i nakon isteka.
·       Ime i prezime

·       Datum rođenja

·       OIB

·       Mjesto i država rođenja

·       Mjesto i država prebivališta/boravišta

·       Podaci o roditelju (ime i prezime oca ili majke)

·       Potpis

 

Disciplinski i drugi pravni postupci sukladno općim aktima društva 4 UHA Ugovor Pravosudna tijela, Odvjetnici i dr. Za vrijeme trajanja postupaka po potrebi arhiviranje
·       Ime i prezime

·       Adresa

·       OIB

·       Sigurnosni podaci radi pristupa korisničkom računu, kompjuteru i drugim komunikacijskim sustavima

·       E-mail

·       Broj telefona

·       Broj mobitela

Izvršenje ugovora iz poslovanja društva Ugovor

Legitimni interes poslodavca

(nužno je u izvršavanju poslovanja iz gospodarske djelatnosti društva obrađivati osobne podatke, te ih dostavljati poslovnim partnerima, kupcima i sl.

Kupci, Poslovni partneri, treće osobe vezane uz poslovni proces. Ograničeno ovisno o naravi ugovora

 

 

 

Prilog 2. – Odnosi se na obradu osobnih podataka kupaca, dobavljača i poslovnih partnera društva 4 UHA

 

OSOBNI PODATAK

(Ovdje navedeni osobni podaci biti će obrađivani sukladno predviđenim svrhama)

SVRHE OBRADE PRAVNI OSNOV OBRADE PRIJENOS PODATAKA TREĆIM OSOBAMA PERIOD KORIŠTENJA PODATAKA
·       Ime i prezime

·       E-mail

·       Adresa

·       Telefonski broj

·       IBAN

 

 

Sklapanje i izvršenje ugovora o prodaji robe i drugih poslovnih ugovora, te kasnije ostvarenje prava na jamstvo i reklamaciju, ili zbog povrata sredstava na račun Ugovor 1.Banka

2.Dostavne službe

3. Proizvođači opreme (vezano uz korištenje jamstva)

4.Kartičarske kuće

5.Knjigovodstvo

6.Revizorske kuće

TRAJNO, sukladno zakonskom okviru
·       E-mail

 

Rješavanje zahtjeva iz reklamacija, komunikacija sa kupcima Ugovor Proizvođači opreme (vezano uz korištenje jamstva) TRAJNO
·       Adresa

·       Broj Mobitela

·       Broj Telefona

Dostava robe ukoliko je ista ugovorena Ugovor – uvjet za ispunjenje ugovora ukoliko je dostava tražena Dostavne službe Do izvršenja usluge

 

·       Osobni podaci prikupljeni putem

video nadzora

Zaštita imovine i osoba Legitimni interes (zaštita imovine, osiguravanje sigurnosti kupcima i djelatnicima) Po potrebi nadležna pravosudna tijela, odvjetnička društva i sl. Max. 6 mjeseci, osim u zakonom dopuštenim iznimkama
·       Ime i prezime

·       OIB

·       IBAN

·       Datum rođenja

·       Mjesto i država rođenja

·       Mjesto i država prebivališta/boravišta

·       Podaci o plaćanju i drugim uvjetima iz ugovora

Obrada podataka u svrhe sudskih, upravnih i drugih pravosudnih postupaka Legitiman interes u slučaju nepoštivanja ugovora Sudovi, Upravna tijela, pravni zastupnici i druga povezana pravosudna tijela Po potrebi u slučaju pokretanja pravosudnih, upravnih postupaka
·       Ime i prezime

·       E-mail

·       Adresa

·       Telefonski broj

 

Dostava obavijesti kupcima o novim proizvodima i pogodnostima (newsletter, telefonska obavijest i dr.) Legitiman interes- obzirom da su kupci poslovali sa društvom, poslovni je interes iste obavijestiti o novim proizvodima i pogodnostima   Trajno, osim u slučaju da kupac obavijesti društvo da ne želi više primati obavijesti
·       Ime i prezime / Naziv

·       OIB

·       Matični broj

·       IBAN

·       Adresa, Mjesto i država

·       E-mail

·       Broj telefona

·       Broj mobitela

Komunikacija sa poslovnim partnerima i klijentima društva

Izdavanje i zaprimanje upita, ponuda, izlaznih i ulaznih dokumenata

1.Ugovor

2.Legitimni poslovni interes

 

Banke

Porezna uprava, druga nadležna tijela

Za vrijeme trajanja poslovnog

odnosa, te u slučaju postojanja opravdanih razloga i obveza i nakon isteka uz redovito ažuriranje podataka.