USLUŽNI OBRT EXTRAVAGANT
POLITIKA ZAŠTITE OSOBNIH PODATAKA
EXTRAVAGANT
Rijeka, 2018. godine
Sadržaj:
I. UVODNE ODREDBE…………………………………………………………………………………………… 3
II. POJMOVI I ZNAČENJA……………………………………………………………………………………….. 6
III. NAČELA OBRADE OSOBNIH PODATAKA ………………………………………………………………. 7
IV. ZAKONITOST OBRADE……………………………………………………………………………………… 10
V. PRAVA ISPITANIKA………………………………………………………………………………………….. 11
VI. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA………………………………………. 14
VII. POSLOVNI KORISNICI OBRADA OSOBNIH PODATAKA………………………………………….. 15
VIII. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO) …………………………………………………………. 16
IX. OBVEZE VODITELJA OBRADE ZA PROCJENU UČINKA OBRADE NA ZAŠTITU OSOBNIH
PODATAKA……………………………………………………………………………………………………………. 18
X. POVREDA SIGURNOSTI OSOBNIH PODATAKA (INCIDENTI)…………………………………… 19
XI. PRAVO NA PRITUŽBU………………………………………………………………………………………. 20
XII. PRIJELAZNE I ZAVRŠNE ODREDBE……………………………………………………………………… 20
Na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti
pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o
stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Uredba), Zakona o provedbi Opće
uredbe o zaštiti podataka NN 42/2018 od 3. svibnja 2018. godine, uslužni obrt Extravagant iz
Bakra, Škrljevo 99, OIB 58208946886, MBO 97110221 (dalje u tekstu: Extravagant) zastupan
po vlasnici Maji Uremović donio je dana 24. svibnja 2018. godine sljedeću
POLITIKU ZAŠTITE OSOBNIH PODATAKA EXTRAVAGANTA
I. UVODNE ODREDBE
Extravagant ulaže velike napore kako bi osigurao primjerenu sigurnost osobnih podataka koje
prikuplja i obrađuje u sklopu svog poslovanja. Podatke savjesno štiti od gubitka, uništenja,
iskrivljenja odnosno krivotvorenja, manipulacije i neovlaštenoga pristupa ili neovlaštene
obrade.
Extravagant postupa u skladu sa svim svojim mogućnostima kako bi na primjeren i prihvatljiv
način, a koji je detaljno objašnjen i popraćen adekvatnom dokumentacijom i podacima
sadržanim u Protokolu o zaštiti osobnih podataka dokazao da je:
1. Uskladio svoje poslovanje sa Uredbom i zakonskom regulativom u području zaštite
osobnih podataka
2. Vrši zakonitu obradu svih osobnih podataka i ostvaruje sva prava ispitanika sukladno
Uredbi i zakonskoj regulativi u području zaštite osobnih podataka za svaku zbirku
osobnih podataka pojedinačno
3. Vrši savjestan, redovan i kontinuirani nadzor nad svakom vrstom obrade osobnih
podataka
Članak 1.
Politika zaštite osobnih podataka (u daljnjem tekstu: Politika) je opći akt koji propisuje svrhu i
ciljeve prikupljanja, obrade i upravljanja osobnim podacima unutar Extravaganta.
Politika osigurava adekvatnu razinu zaštite podataka u skladu s Općom uredbom o zaštiti
podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka i drugim primjenjivim važećim
zakonima vezanim uz zaštitu osobnih podataka. Navedeno se dodatno osigurava kroz ostale
interne akte i odluke iz područja zaštite osobnih podataka, a koji su sadržani u Protokolu o
zaštiti osobnih podataka iz kojeg je razvidna vrlo visoka razina zaštite u skladu s navedenim
ciljem i mogućnostima te visoka osviještenost, educiranost i svjesnost svih zaposlenika tvrtke
pri prikupljanju i obradi osobnih podataka.
Politika je sastavni dio Protokola o zaštiti osobnih podataka koji sadrži sljedeće elemente:
– Poduzete mjere Extravaganta radi usklađivanja s Uredbom i važećom zakonskom
regulativom
– Elemente dokazivanja zakonite obrade svih osobnih podataka koje Extravagant
prikuplja u svom radu i vrši obradu, te elemente dokaza ostvarivanje svih prava
ispitanika sukladno zakonskoj regulativi a koje uključuje:
o prikaz ostvarivanja zakonite obrade svake pojedinačne zbirke osobnih
podataka za svaku zbirku osobnih podataka pojedinačno
o prikaz primjerenog ostvarivanja svih prava Ispitanika sukladno zakonskoj
regulativi za svaku zbirku osobnih podataka pojedinačno
– Redovnog, kontroliranog i kontinuiranog nadzora nad obadom osobnih podataka.
Politika utvrđuje pravila povezana sa zaštitom pojedinaca u pogledu prikupljanja i obrade
osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
5
Članak 2.
Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima
ispitanika, klijenata, zaposlenika, poslovnih partnera i drugih osoba čiji se osobnih podaci
obrađuju.
Politika se primjenjuje na sve obrade osobnih podataka unutar tvrtke, osim u slučajevima gdje
se obrađuju anonimizirani podaci ili su obrade takve prirode da se radi o statističkim analizama
iz kojih nije moguće identificirati pojedinca.
Politikom se definiraju osnovna opća načela i pravila zaštite osobnih podataka u skladu s
poslovnim i sigurnosnim zahtjevima, kao i zakonskim propisima te najboljim praksama i
međunarodno prihvaćenim standardima.
Cilj Politike je uspostaviti jasne i primjerene procese zaštite i upravljanja osobnim podacima
klijenata, zaposlenika, poslovnih partnera, suradnika i drugih osoba čiji se osobni podaci
obrađuju (dalje: Ispitanici) na način koji je javno dostupan u cilju kako bi svi ispitanici na
primjeren način bili upoznati s načinom postupanja s osobnim podacima.
Članak 3.
Odredbi ove Politike moraju se pridržavati svi zaposlenici Extravaganta koji su uključeni u
proces prikupljanja, obrade i upravljanja osobnim podacima. Sve organizacijske jedinice dužne
su u svom poslovanju kao i prilikom obrade osobnih podataka, osigurati pridržavanje
propisanih načela obrade podataka. Politika se primjenjuje na sve obrade osobnih podataka,
osim u slučajevima gdje se obrađuju anonimizirani podaci ili su obrade takve prirode da se radi
o statističkim analizama iz kojih nije moguće identificirati pojedinca.
II. POJMOVI I ZNAČENJA
Članak 4.
Osobni podatak – svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može
utvrditi (,,ispitanik”).
lspitanik – je osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć
identifikatora kao sto su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz
pomoć jednog ili više čimbenika svojstvenih za fizički, genetski, mentalni, ekonomski, kulturni
ili socijalni identitet tog pojedinca.
Obrada osobnih podatka – svaki postupak ili skup postupaka koji se obavljaju na osobnim
podacima ili na skupovima osobnih podataka, automatiziranim ili neautomatiziranim
sredstvima kao sto su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba
ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili
stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje,
brisanje ili uništavanje.
Povjerljivost – svojstvo informacija (podataka) da nisu dostupne ili otkrivene neovlaštenim
subjektima.
Integritet – svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno
mijenjani.
Voditelj obrade – fizička ili pravna osoba, koja sama ili zajedno s drugima određuje svrhe i
sredstva obrade osobnih podataka.
Izvršitelj obrade – fizička ili pravna osoba, koja obraduje osobne podatke u ime voditelja
obrade.
Nadzorno tijelo – neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska u svrhu
kontrole i osiguranja provođenja Uredbe (AZOP).
Treće strane – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije
ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih
podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
7
Privola -svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika
kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka
koji se na njega odnose.
Povreda osobnih podataka – kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog
uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su
preneseni, pohranjeni ili na drugi način obrađivani.
Pseudonimizacija – obrada osobnih podataka na način da se osobni podaci više ne mogu
pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve
dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako
bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se
može utvrditi.
III. NAČELA OBRADE OSOBNIH PODATAKA
Članak 5.
Načela i pravila o zaštiti pojedinaca u vezi s obradom osobnih podataka trebala bi poštovati
temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na
nacionalnost ili boravište pojedinaca. Načela zaštite osobnih podataka polazišna su točka u
procjeni obrađuju li se određeni podaci u skladu sa Općom Uredbom o zaštiti podataka.
Extravagant obrađuje osobne podatke u skladu sa sljedećim načelima obrade:
1. Zakonito i pošteno – s obzirom na ispitanike i njihova prava, Extravagant će obrađivati
osobne podatke ispitanika sukladno važećim zakonima i pokrivajući sva prava ispitanika.
Extravagant će ponekad ispitanike morati pitati i za neke osobne podatke koji nisu potrebni
za ostvarenje konkretne usluge, no zakonom su obvezni za prikupljanje. U skladu s
navedenim, unutar Extravaganta definirana su jasna pravila i procesi kako bi se osigurala
zakonita i poštena obrada, a uspostavljeni su i kontrolni mehanizmi (npr. periodične
revizije, tehničke mjere).
2. Transparentno – Extravagant će osigurati transparentnost obrada osobnih podataka te će,
sukladno Uredbi, pružiti ispitanicima sve potrebne informacije i na zahtjev osigurati
ispitanicima uvid u njihove podatke, obrazloženja obrada, temelje i zakonitosti obrade i sl.
kroz ovu Politiku, ali i kroz druge kanale koje će biti dostupni ispitanicima, Extravagant će
osigurati informacije ispitanicima kako se osobni podaci koji se odnose na njih prikupljaju,
upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni
podaci obrađuju ili će se obrađivati. Ispitanik će biti pravovremeno, odnosno prije samog
prikupljanja podataka, upoznat sa svim relevantnim informacijama.
3. Uz ograničenje svrhe – osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite
svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, osim ako
postoje druge obrade koje su uvjetovane zakonom ili su neophodne za kvalitetno
isporučivanje same usluge.
4. Uz smanjenje količine podataka – Extravagant prikuplja i obrađuje osobne podatke na
način da su primjereni, relevantni i ograničeni na ono sto je nužno u odnosu na svrhe u
koje se obrađuju.
5. Točnost – Extravagant osigurava da su podaci točni i prema potrebi ažurni, što znači da se
treba poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni,
a uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave. Primjenu
ovog načela osigurava se kroz uspostavu redovite kontrole, ali i kroz otvoren proces
komunikacije s ispitanicima.
Extravagant osigurava primjenu ovog načela na način da je uspostavio redovite kontrole i
nadzor nad obradom osobnih podataka, ali i transparentan proces komunikacije s
ispitanicima kroz koji se može zatražiti ispravak podataka u slučaju da ispitanik primijeti da
neki od njegovih osobnih podataka nije ispravno naveden.
6. Uz ograničenje pohrane – Extravagant osigurava da su osobni podaci ispitanika čuvani u
obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u
9
svrhe radi kojih se osobni podaci obrađuju. Osobni podaci mogu se pohraniti i dulje, ali za
to mora postojati jasna svrha, uz postojanja dobrovoljne privole Ispitanika koju može u
svakom trenutku na jednostavan način povući i zbog zakonske obveze (npr. Zakona o
arhivskom gradivu i arhivima) ili legitimni interes (npr. u slučaju sudskog spora).
7. Cjelovitost i povjerljivost – Extravagant prikuplja i obrađuje podatke na način kojim se
osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili
nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom
odgovarajućih tehničkih ili organizacijskih mjera.
Sukladno navedenim načelima, podacima ispitanika pristupat će zaposlenici ovisno o njihovim
ovlaštenjima i radnim mjestima. Navedeno je sadržanu i u Protokolu o zaštiti osobnih
podataka iz kojeg je za svaku pojedinačnu zbirku osobnih podataka razvidno:
– Naziv i sadržaj zbirke – osobni podaci koji su predmet obrade
– Mjesto pohrane
– Razdoblje aktivne i pasivne obrade
– Točno mjesto i način obrade
– Prosljeđivanje trećim stranama
– Voditelj predmetne zbirke
– Osobe ovlaštene za pristup zbirci
– Način ostvarivanja načela: 1. zakonitosti, 2. poštenosti, 3. transparentnosti, 4.
ograničavanja svrhe, 5. smanjene količine podataka, 6. točnosti, 7. ograničenja
pohrane, 8. cjelovitosti i povjerljivosti, 9. pouzdanosti za predmetnu zbirku
– Način ostvarivanje prava ispitanika za predmetnu zbirku: 1. pravo na informiranost, 2.
pravo na pristup podacima, 3. pravo na ispravak, 4. pravo na brisanje, 5. pravo na
ograničenje obrade, 6. pravo na prigovor
– Sve poduzete mjere za usklađivanje s zakonskom regulativom u području zaštite
osobnih podataka za predmetnu zbirku
– Procjenu rizika mogućeg neovlaštenog korištenja premetne zbirke i postupanja u
slučaju incidenta.
IV. ZAKONITOST OBRADE
Članak 6.
Osobne podatke ispitanika Extravagant drži njihovim vlasništvom te se prema njima na takav
način i odnosi.
U skladu s ranije navedenim, poštujući određene uvjete i zakonitosti, potrebno je obrađivati
minimalan količinu podataka koja je neophodna za pružanje pojedine usluge. Ukoliko ipak
ispitanik odbije ustupiti tražene podatke, Extravagant neće biti u mogućnosti pružiti uslugu.
Slijedom navedenog, osobni podaci ispitanika obrađuju se kada je zadovoljen minimalno jedan
od navedenih uvjeta:
1. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele
radnje na zahtjev ispitanika prije sklapanja ugovora
2. obrada je nužna radi poštovanja pravnih obveza Extravaganta u odnosu na važeće
zakonske propise prema kojima je dužna postupati
3. obrada je nužna za potrebe legitimnih interesa Extravaganta ili treće strane – osim kada su
od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu
osobnih podataka, osobito ako je ispitanik dijete. Legitimnim interesom smatraju se
obrade koje služe kako bi se poboljšao proces unaprjeđenja poslovanja, radi nuđenja
proizvoda i usluga za koje je očigledno da bi olakšali poslovanje, te u korist rješavanja
sudskih sporova;
4. ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
– privola mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik
ima pravo u svakom trenutku povući svoju privolu (povlačenje privole mora biti
jednako jednostavno kao i davanje privole).
5. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
11
6. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti
voditelja obrade. Svaka organizacijska jedinica unutar Extravaganta dužna je identificirati
zakonitost za svaku obradu koja je u njihovoj poslovnoj domeni.
– Pri identifikaciji zakonitosti obrade konzultirat će se Službenik za zaštitu osobnih
podataka koji će prema jasnim i unaprijed definiranim kriterijima savjetovati
organizacijsku jedinicu prilikom identifikacije zakonitosti obrada.
V. PRAVA ISPITANIKA
Članak 7.
Extravagant je svjestan kako su osobni podaci ispitanika njegovo vlasništvo i ispitanici u
svakom trenutku zadržavaju određena prava u odnosu na obradu njihovih podataka.
Extravagant iste podatke prikuplja i obrađuje samo uz postojanje zakonitosti obrade.
Članak 8.
U trenutku prikupljanja informacija od ispitanika Extravagant će pružiti sljedeće informacije:
– identitet i kontaktne podatke voditelja obrade,
– kontaktne podatke službenika za zaštitu osobnih podataka,
– svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu,
– legitimne interese,
– primatelje ili kategorije primatelja osobnih podataka,
– ako postoji, namjeru prijenosa osobnih podataka trećim zemljama,
– razdoblje pohrane podataka ili kriterije koji definiraju to razdoblje,
– prava vezana uz privole,
– potencijalno postojanje automatiziranog donošenja odluka,
– prava ispitanika definiranih Uredbom,
– izvor osobnih podataka u slučaju da se podaci ne prikupljaju izravno od ispitanika.
Članak 9.
Extravagant obrađuje osobne podatke sukladno pravima ispitanika definiranim u Uredbi, a koji
se poglavito odnose na:
1. Pravo na brisanje (,,pravo na zaborav”) – ispitanik ima pravo ishoditi brisanje osobnih
podataka koji se na njega odnose, a Extravagant ima obvezu obrisati osobne podatke bez
nepotrebnog odgađanja ako je ispunjen jedan ad sljedećih uvjeta:
a. osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi
način obrađeni,
b. ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna
osnova za obradu,
c. ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje
imaju veću težinu od legitimnog interesa Extravaganta za obradu i/ili čuvanje
osobnih podataka,
d. osobni podaci nezakonito su obrađeni,
e. osobni podaci moraju se brisati radi poštovanja pravne obveze.
2. Pravo na pristup podacima – ispitanik ima pravo dobiti potvrdu obrađuju Ii se njegovi
osobni podaci, koji se točno podaci obrađuju, gdje se obrađuju, tko ih obrađuje, pristup
osobnim podacima, svrsi obrade, vremenu obrade, podatke o zbirci osobnih podataka u
kojoj se predmetni podatak pohranjuje (a koja je sadržana u Protokolu o zaštiti osobnih
podataka Extravaganta u dijelu Evidencije zbirki osobnih podataka Extravaganta),
kategorijama podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni,
te ostale podatke za koje Ispitanik iskaže zanimanje i interes osobi ovlaštenoj za zaštitu
podataka.
3. Pravo na ispravak – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi ispravak
netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade,
ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem
13
dodatne izjave. Dodatno, ispitanici imaju obvezu ažuriranja osobnih podataka u
poslovnom odnosu s Extravagantom.
4. Pravo na prigovor – ispitanik ima pravo na temelju svoje posebne situacije u svakom
trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. U takvom
slučaju Extravagant više ne smije obrađivati osobne podatke, osim ako dokaže da postoje
uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi
postavljanja, ostvarivanja ili obrane pravnih zahtjeva. U odnosu na obradu osobnih
podataka za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti
prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog
marketinga.
5. Pravo na ograničenje obrade – ispitanik ima pravo tražiti pravo na ograničenje obrade u
slučaju da:
– osporava točnost osobnih podataka,
– smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto
toga traži ograničenje njihove uporabe,
– u slučaju kada je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze Ii
legitimni razlozi voditelja obrade razloge ispitanika.
Članak 10.
Ispitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od prava navedenih u
članku 9. ove Politike. Informacije o poduzetim radnjama vezanim uz navedena prava,
Extravagant će na zahtjev ispitanika pružiti u roku mjesec dana od dana zaprimanja zahtjeva.
Ukoliko Extravagant, uslijed objektivnih okolnosti, nije u mogućnosti pružiti tražene podatke
u prednje navedenom roku, izvijestit će ispitanika o razlozima zbog kojih nije postupila
sukladno traženom, te dostaviti podatke u najkraćem mogućem roku a koji ne može biti duži
od 3 (tri) mjeseca od dana predaje zahtjeva.
VI. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
Članak 11.
Extravagant ne obrađuje podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja,
vjerska ili filozofska uvjerenja, članstvo u sindikatu ili seksualnoj orijentaciji pojedinca, osim u
slučaju ako isto nije u skladu s zakonskom i podzakonskom regulativom kojom se uređuje
poslovanje djelatnosti Extravaganta.
Posebnu zaštitu ostvaruju osobni podaci djece mlađe od šesnaest godina jer su manje svjesna
rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih
podataka.
Obrada takvih posebnih kategorija osobnih podataka provodit će se samo iznimno i ako je:
– ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih
svrha;
– obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava
Extravaganta ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te
socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Europske Unije, prava
Republike Hrvatske ili kolektivnog ugovora u skladu s pravom Republike Hrvatske koje
propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
– obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca;
– obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
– obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva.
15
VII. POSLOVNI KORISNICI OBRADA OSOBNIH PODATAKA
Članak 14.
Extravagant prikuplja, obrađuje i dijeli podatke o poslovnim korisnicima koji uključuju osobne
podatke poslovnih korisnika i povezanih osoba u skladu sa zakonitostima iz članka 6. ove
Politike. Poslovni korisnici mogu biti pravne osobe, tijelo državne vlasti, jedinica lokalne ili
područne samouprave te njihova tijela, udruga i društvo, kao i svaka fizička osoba koja djeluje
unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja. U
kontekstu ove Politike, povezane osobe s poslovnim korisnikom mogu biti fizičke osobe čije je
osobne podatke poslovni korisnik dao Extravagantu na korištenje za svrhe uspostave i
održavanja poslovnog odnosa.
Članak 15.
Extravagant može podijeliti podatke o poslovnim korisnicima koji uključuju osobne podatke
fizičkih osoba koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili
slobodnog zanimanja i povezanih osoba koje joj je na korištenje dao poslovni korisnik uz
zadovoljenje zakonitosti obrada iz članka 5. i 6. ove Politike, a povezanih sa Načelima i
zakonitostima obrade, i to u odnosu na: Zakonodavna, nadzorna i regulatorna tijela unutar i
izvan područja Republike Hrvatske, ministarstvima, jedinicama lokale i područne samouprave
te tijelima koji su ovlašteni za reviziju i nadzor poslovanja.
VIII. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO)
Članak 16.
Osnovna djelatnost Extravaganta sastoji se od postupaka obrade koji zbog svoje prirode,
opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri te je zbog toga
temeljem članka 37. Uredbe obvezan imenovati Službenika za zaštitu osobnih podataka.
Extravagant na temelju Odluke koja je sastavni dio Protokola zaštite osobnih podataka
imenuje konzultanta za zaštitu osobnih podataka Ines Bolkovac spec.publ.admin., osnivač i
direktor tvrtke FERALIS d.o.o., Službenikom za zaštitu osobnih podataka UO Extravagant.
Službenik za zaštitu osobnih podataka je neovisan i kao takav djeluje u interesu zaštite prava
ispitanika i njihovih osobnih podataka. Njegova je odgovornost da se unutar Extravaganta
primjenjuje zakonska regulativa u području zaštite osobnih podatka, Politika zaštite osobnih
podataka i Protokol o zaštiti osobnih podataka. Navedeni interni akti definiraju pravila
postupanja prilikom prikupljanja i obrade osobnih podataka ispitanika, dokaz su vršenja
savjetovanja, redovnog i kontinuiranog nadzora nad obradom osobnih podataka pri čemu se
vodi evidencija o istome u Protokolu zaštite osobnih podataka.
Službenik za zaštitu osobnih podataka je na primjeren način i pravodobno uključen u sva
pitanja u pogledu zaštite osobnih podataka. Sudjeluje u procesima koji se odnose na
upravljanje promjenama i projektima što mu omogućuje pravovremeni pristup informacijama.
Službenik za zaštitu osobnih podataka izravno odgovara vlasniku Extravaganta i obvezan je s
tajnošću i povjerljivošću obavljati svoje poslove.
Službenik za zaštitu osobnih podataka obavlja najmanje:
– informiranje i savjetovanje vlasnika Extravaganta te zaposlenika koji obavljaju obradu
o njihovim obvezama iz Uredbe te drugim odredbama Europske unije ili Republike
Hrvatske o zaštiti podataka
17
– praćenje i nadziranje poštovanja Uredbe te drugih odredaba Europske Unije ili
Republike Hrvatske o zaštiti podataka i Politike voditelja obrade ili izvršitelja obrade u
odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje
svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade
– nadzirati implementaciju politike upravljanja i upravljanje zbirkama osobnih podataka
– vodi evidenciju nadzora obrade osobnih podataka i poduzetih mjera u Protokolu
zaštite osobnih podataka Extravaganta
– pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka
i praćenje njezina izvršavanja;
– suradnja s nadzornim tijelom
– djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te
savjetovanje, prema potrebi, o svim drugim pitanjima
Članak 17.
Službenik za zaštitu osobnih podataka u svrhu osiguranja svoje neovisnosti ne prima nikakve
upute u pogledu izvršenja navedenih zadaća. Službenik za zaštitu osobnih podataka je u
odnosu na ispitanike zadužen za:
– ostvarivanje kontakta s ispitanicima koji žele ostvariti svoja prava povezana s obradom
osobnih podataka i ostalih prava iz Uredbe
– zaprimanje upita i informacija vezanih uz zaštitu osobnih podataka te uz obradu istih
– zaprimanje prigovora i ostvarivanje ostalih prava vezano uz zaštitu osobnih podataka
Extravagant ima pravo naplatiti razumnu naknadu utemeljenu na administrativnim troškovima
i/ili odbiti postupiti po zahtjevu ako se radi o očito neutemeljenim ili nerazumnim zahtjevima
ispitanika, posebno ako se oni učestalo ponavljaju.
Kontakt podaci Službenika za zaštitu osobnih podataka dostupni su na Internet stranici
www.extravagant.com.hr, a kontaktirati ga mogu i putem email adrese
ines.bolkovac@feralis.hr.
IX. OBVEZE VODITELJA OBRADE ZA PROCJENU UČINKA OBRADE NA ZAŠTITU
OSOBNIH PODATAKA
Članak 18.
Ukoliko je vjerojatno da će neka vrsta obrade, zbog svoje prirode, opsega, konteksta i svrhe,
prouzrokovati visok rizik za prava i slobode ispitanika, Extravagant će prije takve obrade
provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je u
ulozi voditelja obrade. Navedena procjena može se odnositi na niz sličnih postupaka obrade
koji predstavljaju slične visoke rizike. Extravagant će prema potrebi provesti i procjenu učinka
na sve aktivne obrade. Svaka pojedina organizacijska jedinica Extravaganta u suradnji sa
Službenikom za zaštitu osobnih podataka dužna je provoditi procjenu učinka prema
navedenim kriterijima i primjenjivim internim aktima. Službenik za zaštitu osobnih podataka
treba osigurati provedbu i podršku procjene učinka na zaštitu podataka u slučaju opsežne
obrade posebnih kategorija osobnih podataka, sustavnog praćenja javno dostupnog područja
u velikoj mjeri, te u slučajevima obrada koje propiše nadzorno tijelo (Agencija za zaštitu
osobnih podataka) ili nalaže zakonska regulativa.
Članak 19.
Procjena učinka sadrži minimalno:
– sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući legitimni
interes Extravaganta
– procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama
– procjenu rizika za prava i slobode ispitanika
– mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere,
sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje
sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih
uključenih osoba
19
X. POVREDA SIGURNOSTI OSOBNIH PODATAKA (INCIDENTI)
Članak 20.
Extravagant poduzima odgovarajuće procesne i tehnološke mjere kako bi zaštitio osobne
podatke ispitanika. Zaposlenici imaju dužnost i obvezu obavijestiti odgovorne osobe, a
prvenstveno Službenika za zaštitu podataka, u slučaju incidenta vezanog uz zaštitu osobnih
podataka, a u slučaju povrede osobnih podataka Extravagant će incident prijaviti Agenciji za
zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, ako je to izvedivo.
Extravagant će u slučaju povrede osobnih podataka koja će vjerojatno prouzročiti visok rizik
za prava i slobode pojedinaca bez nepotrebnog odgađanja obavijestiti ispitanika o povredi
osobnih podataka.
Iznimno, neće se obavijestiti ispitanike u slučaju povreda osobnih podataka ako je ispunjen
barem jedan od sljedećih uvjeta:
– Extravagant je poduzeo odgovarajuće tehničke i organizacijske mjere zaštite i te su
mjere primijenjene na osobne podatke pogođene povredom osobnih podataka,
posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije
ovlaštena pristupiti, kao sto je enkripcija
– Extravagant je poduzeo naknadne mjere kojima se osigurava da više nije vjerojatno da
će doći do visokog rizika za prava i slobode ispitanika
– Obavještavanje ispitanika bi zahtijevalo nerazmjeran napor
– Extravagant će putem javne obavijesti ili na sličan, jednako djelotvoran način,
obavijestiti ispitanike.
XI. PRAVO NA PRITUŽBU
Članak 22.
Ispitanik ima pravo podnijeti pritužbu nadzornom tijelu (Agencija za zaštitu osobnih podataka)
u slučaju incidenta koji se tiče njegovih osobnih podataka ili ako smatra da Extravagant krši
njegova prava definirana Uredbom i Zakonom o provedbi opće uredbe o zaštiti podataka.
XII. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 23.
Ova Politika stupa na snagu danom donošenja, a primjenjuje se od 25. svibnja 2018. godine.
Ova Politika javno je dostupna i objavljena na internetskim stranicama
WWW.EXTRAVAGANT.COM.HR.
Vlasnik
Maja Uremović