Na temelju Uredbe (EU) 2016/679 Europskog parlamenta i vijeća od 27 travnja 2016. godine o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom kretanju takvih podatak te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), Zakona o provedbi Opće Uredbe o zaštiti podataka (NN 42/2018), Horizont pomorski trening centar d.o.o., Dubrovnik, dana 21. svibnja 2018. godine donijela je
PRAVILNIK
O OBRADI OSOBNIH PODATAKA
Članak 1.
Predmet obrade
Horizont pomorski trening centar d.o.o. Dubrovnik (u daljnjem tekstu: Voditelj obrade) u ispunjavanju svojih zakonom određenih obveza, kod zapošljavanja radnika i prijave pomoraca na tečaj, temeljem Zakona o radu i drugih propisa kojima se uređuje zapošljavanje i prijava na tečaj, te propisuju mjere za siguran rad na radnom mjestu, obrađuje podatke koji se odnose na radnike i pomorce čiji je identitet tako utvrđen ili se može utvrditi.
Voditelj obrade u manjoj mjeri obrađuje podatke o drugim pojedincima s kojima Voditelj obrade stupa u poslovni odnos, u opsegu koji je pojedinim zakonom propisan za ostvarivanje prava tih pojedinaca i zaštitu prava Voditelja obrade.
Članak 2.
Zakonitost obrade
Zakonitost obrade osobnih podataka iz članka 1. ovog Pravilnika temelji se na obradi koja je nužna za izvršavanje ugovora u kojemu je ispitanik stranka i na obradi koja je nužna radi poštovanja pravnih obveza Voditelja obrade.
Zakonitost obrade osobnih podataka koje bi Voditelj obrade uzeo od ispitanika, a prelaze ugovorne i zakonske obveze Voditelja obrade iz prethodnog stavka, temelji se na privoli ispitanika.
Članak 3.
Kategorije osoba čiji se osobni podaci obrađuju
Voditelj obrade obrađuje osobne podatke ispitanika s kojima ima namjeru sklopiti ili koji su sklopili ugovore o radu i ugovore o zaposlenju, te prijave na tečajeve sa Voditeljem obrade, kao poslodavcem (ugovor o radu na određeno, ugovor o radu na neodređeno, ugovor o zaposlenju, ugovor o djelu, prijava na tečaj i sl.).
Uz prethodnu privolu, osobni podaci mogu se obrađivati i za druge osobe koje u obavljanju djelatnosti iz svog djelokruga angažira Voditelj obrade (vanjski suradnici).
Ove osobe imaju pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade njihovih podataka, osim ako se radi o obradi podataka temeljenoj na zakonskim odredbama.
Voditelj obrade obrađuje osobne podatke i od ispitanika fizičkih osoba s kojima zaključuje ugovore u obavljanju svoje djelatnosti, u zakonom dopuštenoj mjeri.
Članak 4.
Svrha obrade
Osobni podaci obrađuju se u svrhu zaključivanja ugovora o radu, ugovora o zaposlenju i prijave na tečajeve te u svrhu izvršavanja ugovornih i zakonskih obveza Voditelja obrade.
Svrha obrade se, izvan potreba iz stavka 1. ovog članka, ne provodi radi izrade osobnog profila ispitanika.
Članak 5.
Pravni temelj obrade osobnih podataka
Pravni temelj za obradu osobnih podataka proizlazi iz Zakona o radu, Zakona o provedbi Opće Uredbe o zaštiti podataka i drugih zakona kojima se regulira obrada osobnih podataka.
Članak 6.
Vrste podataka koje se obrađuju
Voditelj obradeobrađuje sljedeće vrste podataka:
- ime i prezime,
- JMBG, OIB, dan, mjesec, godina rođenja
- ime oca ili majke,
- prebivalište i adresa,
- mjesto rođenja,
- broj zdravstvenog osiguranja,
- broj MIO osiguranja,
- osiguranje MIO II,
- vrsta radnog odnosa (određeno, neodređeno, ugovor o zaposlenju, ugovor o djelu),
- naziv radnog mjesta,
- stručna sprema,
- potvrde o položenim stručnim ispitima,
- zvanje ispitanika,
- broj bankovnog računa,
- radni staž prije zapošljavanja kod Voditelja obrade,
- datum zasnivanja radnog odnosa,
- datum prestanka radnog odnosa,
- radno vrijeme radnika,
- razlog prestanka radnog odnosa (mirovina, otkaz, odluka poslodavca, smrt),
- podaci o ostvarenim pravima iz radnog odnosa (npr. porodiljni dopust, povrede na radu, socijalna prava i potpore, bolovanja, i sl.).
Članak 7.
Način obrade i čuvanja podataka
Osobni podaci smiju se obrađivati u svrhe određene Zakonom o radu, Pomorskim zakonikom i Pravilnikom o zvanjima i svjedodžbama o osposobljenosti pomoraca usvrhu sklapanja i izvršenja ugovora i prijava na tečaj u kojem su Voditelj obrade i ispitanik stranke, te provođenja obrade koja je nužna radi poštovanja pravnih obveza Voditelja obrade.
Ostali osobni podaci čija obrada nije određena propisima iz stavka 1. ovog članka smiju se obrađivati samo ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više svrha.
Podaci se prikupljaju od ispitanika na način da se ispitaniku pruže informacije o:
- predstavniku Voditelja obrade koji je u ime Voditelja obrade ovlašten uzeti osobne podatke od ispitanika;
- svrsi obrade radi koje se upotrebljavaju osobni podaci i
- pravnu osnovu za obradu osobnih podataka.
Osim informacija iz prethodnog stavka Voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku i sljedeće informacije:
- razdoblje u kojem će osobni podaci biti pohranjeni;
- postojanje prava da se od Voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koja se odnosi na ispitanika i pravo na ulaganje prigovora na obradu te pravo na prenosivost podataka,
- pravo da u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli
- pravo na podnošenje prigovora nadzornom tijelu,
- informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
- da se osobni podaci mogu dostavljati primateljima – Ministarstvu mora, prometa i infrastrukture, knjigovodstvenim servisima i bankama.
Članak 8.
Podatke o radnicima i pomorcima Voditelj obrade prikuplja putem osobne dostave, poštom ili putem prijave na web stranici Voditelja obrade.
Članak 9.
Obrada posebnih kategorija osobnih podataka
Voditelj obrade ovlašten je obrađivati osobne podatke koji se odnose na biometrijske podatke radnika odnosno pomoraca samo kada je obrada nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava Republike Hrvatske, radi ostvarivanja prava radnika, pomoraca i poslodavca.
Članak 10.
Dostavljanje osobnih podataka trećim osobama
Voditelj obrade dostavlja podatke trećim osobama i to isključivo nadležnim javnim tijelima koja se bave zdravstvenim i mirovinskim osiguranjem ili zavodu za zapošljavanje, knjigovodstvenim servisima i bankama, te na zahtjev nadležnog suda ili drugog javnopravnog tijelau svrhe određene Zakonom o radu, Pomorskim zakonikom, u svrhu sklapanja i izvršenja ugovora u kojem je Voditelj obrade i ispitanik stranke, te provođenja obrade koja je nužna radi poštovanja pravnih obveza Voditelja obrade.
O primateljima i dostavljenim osobnim podacima Voditelj obrade vodi evidenciju.
Sva email pošta koju Voditelj obrade uputi primateljima spremat će se u poseban mailbox (gdpr@).
Članak 11.
Organizacijske mjere
Organizacijskim mjerama Voditelj obrade osigurava zakonita obrada osobnih podataka u skladu sa Uredbom, zakonom i ovim Pravilnikom.
Organizacijskim mjerama odredit će se osobe, koje u sklopu obavljanja svojih radnih zadataka, imaju pravo na obradu osobnih podataka odnosno uvid u osobne podatke unesene u poslovni sustav Voditelja obrade i dostavljanje osobnih podataka primateljima.
Uprava Voditelja obrade donosi odluku o osobama zaduženim za zaštitu osobnih podataka, kao i odluku o osobama koje su kod poslodavca ovlaštene za nadziranje, prikupljanje, obrađivanje, korištenje i dostavljanje osobnih podataka primateljima.
Prije obrade osobnih podataka, Voditelj obrade dužan je informirati ispitanika čiji se podaci obrađuju o identitetu predstavnika Voditelja obrade, te o svrsi obrade u koju su podaci namijenjeni.
Osobni podaci uzimaju se neposredno od ispitanika usmeno i pisanim putem.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci koje je Voditelj obrade obvezan po zakonu čuvati u pisanom obliku, čuvaju se u registratoru, u zaključanim ormarima koji su smješteni u posebno za to određenim uredima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata radniku koji obrađuje te podatke, te se radi daljnje sigurnosti i tajnosti pohranjuju na serveru. Osobni podaci koji se čuvaju na serveru su kriptirani.
Uredi u kojima su smješteni ormari u kojima se čuvaju registratori sa osobnim podacima zaključani su i osobe koje nisu ovlaštene u obavljanju radnih zadataka koristiti osobne podatke nemaju pristup tim uredima. Ključ ureda čuva se kod osobe koja vodi obradu osobnih podataka.
Originali ugovora o radu radnika u glavnom uredu čuvaju se u sigurnosnom sefu u uredu.
Članak 12.
Sigurnost obrade
Voditelj obrade provođenju tehničke i integrirane zaštite osobnih podataka koristi će alate dostupne u zaštiti poslovnog sustava „Argosy“ koji su primjenjivi na zaštitu pojedinih osobnih podataka, ovisno o zakonskim zahtjevima koji reguliraju čuvanje osobnih podataka i vrijeme njihove pohrane nakon što prestane potreba za njihovom daljnjom obradom.
U trenutku donošenja ovog Pravilnika Voditelj obrade, u provođenju tehničke zaštite osobnih podataka koristi alate kao što su pseudonimizacija, enkripcija i smanjenje količine podataka da kroz integrirani način budu obrađeni samo osobni podaci nužni za svaku posebnu svrhu obrade.
Članak 13.
Evidencija aktivnosti obrade
Voditelj obrade vodi evidencije obrade za koje je odgovoran.
Evidencija se vodi u elektronskom obliku.
Evidencija sadržava sljedeće informacije:
- ime i kontaktne podatke Voditelja obrade i predstavnika Voditelja obrade,
- svrhu obrade,
- opis kategorija ispitanika i kategorija osobnih podataka,
- kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, ukoliko se podaci dostavljaju trećim osobama,
- ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka,
- ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera,
- datum obrade.
Članak 14.
Vremensko razdoblje čuvanja i uporabe podataka
Obrada osobnih podataka radnika započinje na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Podaci o radnicima i pomorcima predstavljaju dokumentaciju trajne vrijednosti koja se čuva u rokovima propisanim Zakonom o arhivu i drugim zakonskim odredbama.
Članak 15.
Prava ispitanika
Ispitanik ima:
- pravo na pristup informaciji,
- pravo na ispravak,
- Pravo na brisanje („pravo na zaborav“)
- pravo na ograničenje obrade,
- pravo na prenosivost podataka i
- pravo na prigovor.
Članak 16.
Pravo na pristup
Voditelj obrade, na zahtjev ispitanika, izdaje potvrdu u kojoj će izvijestiti ispitanika da li se osobni podaci koji se odnose na njega obrađuju.
U slučaju da ispitanik dobije potvrdu od Voditelja obrade da se osobni podaci koji se odnose na njega obrađuju, ispitanik ima pravo od Voditelja obrade zatražiti pristup osobnim podacima i sljedećim informacijama:
- svrsi obrade,
- kategorijama osobnih podataka o kojima je riječ,
- primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
- ako je to moguće predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenim za utvrđivanje tog razdoblja,
- postojanju prava da se od Voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu,
- pravo na podnošenje pritužbe nadzornom tijelu.
Članak 17.
Pravo na ispravak
Ispitanik ima pravo na ispravak netočnih ili dopunu nepotpunih osobnih podataka koji se na njega odnose.
Voditelj obrade će, na zahtjev ispitanika za ispravkom netočnih osobnih podataka, bez nepotrebnog odgađanja takve podatke ispraviti.
Voditelj obrade će, na zahtjev ispitanika za dopunom nepotpunih osobnih podataka i uz njegovu izjavu koja sadrži dodatne osobne podatke i suglasnost ispitanika da se tako dostavljeni osobni podaci obrađuju i u koju svrhu, ali samo u slučaju kada su ti podaci nužni radi ostvarivanja pojedinih prava ispitanika i nisu u suprotnosti sa načelom ograničene obrade podataka.
Članak 18.
Pravo na brisanje („pravo na zaborav“)
Ispitanik ima pravo na brisanje osobnih podataka u skladu sa Uredbom i u mjeri koja nije u suprotnosti sa zakonom temeljem kojega je osobni podatak pribavljen i zakona koji određuju rok na koji se određeni osobni podatak čuva u arhivi.
Osobne podatke koji se obrađuju isključivo temeljem privole ispitanika, ispitanik može zatražiti njihovo brisanje u svako vrijeme.
Članak 19.
Pravo na ograničenje obrade
Ispitanik ima pravo od Voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:
- ispitanik osporava točnost podataka, na razdoblje kojim se Voditelju obrade omogućuje provjera točnosti osobnih podataka;
- obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove obrade,
- Voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva,
- ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. Uredbe očekujući potvrdu nadilaze li legitimni razlozi Voditelja obrade razloge ispitanika.
Članak 20.
Pravo na prenosivost podataka
Voditelj obrade ne prikuplja osobne podatke od ispitanika u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu.
Ispitanik ima pravo zatražiti prijenos osobnih podatak koji se na njega odnose samo u slučaju da ih je ispitanik prethodno dostavo Voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu i ukoliko ih je Voditelj obrade pristao primiti u takvom formatu.
Članak 21.
Pravo na prigovor
Ispitanik ima pravo na prigovor Voditelju obrade i/ili nadzornom tijelu, uz pravo na prigovor temeljem članka 21. Uredbe, u svakom slučaju kada smatra:
- da se osobni podaci koji se odnose na njega ne obrađuju zakonito, a osobito da se obrađuju protivno svrsi zbog koje su prikupljeni;
- da je ispitanik povukao privolu na temelju koje se obrada temelji, a Voditelj nije obustavio daljnju obradu;
- da Voditelj obrade nije ispravio netočne ili nije dopunio nepotpune osobne podatke iako je to ispitanik zahtijevao;
- da Voditelj obrade nije izbrisao osobne podatke čije je ispitanik zatražio brisanje;
- da Voditelj obrade nije ograničio obradu osobnih podataka koje je ispitanik zatražio;
- da Voditelj obrade nije pružio ispitaniku pravo na pristup osobnim podacima.
Članak 22.
Suradnja s nadzornim tijelom i izvješćivanje
U slučaju da nadzorno tijelo zahtijeva suradnju s Voditeljem obrade, Voditelj obrade će imenovati njegovog predstavnika za suradnju s nadzornim tijelom između osoba koje obrađuju osobne podatke ili pravnika.
Osobe koje su kod Voditelja obrade zadužene za obradu osobnih podataka ili drugi radnik koji u obavljanju zadataka iz svojega djelokruga uoči mogućnost povrede osobnih podataka dužan je o tome odmah obavijestiti Upravu Voditelja obrade.
Uprava Voditelja obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi izvješćuje nadzorno tijelo.
Članak 23.
Ovaj Pravilnik stupa na snagu 25. svibnja 2018. godine i bit će objavljen na oglasnoj ploči Voditelja obrade.
Voditelj obrade:
Direktor
Jerko Strgar