Politika privatnosti
POLITIKA PRIVATNOSTI I ZAŠTITA OSOBNIH PODATAKA
Autoškola “NOVA” (u daljnjem tekstu AŠ “NOVA”) nastoji u svom poslovanju biti usklađena sa svim relevantnim zakonskim odredbama i propisima koji se odnose na osobne podatke u svim zemljama u kojima tvrtka posluje. Ovaj dokument određuje temeljne principe po kojima AŠ “NOVA” obrađuje osobne podatke polaznika, dobavljača, poslovnih suradnika i drugih koji s njima surađuju te utvrđuje uloge i odgovornosti prilikom obrade osobnih podataka.
Osnovni pojmovi
Definicije navedene u ovom dokumentu definira čl. 4. Opće uredbe o zaštiti podataka:
Osobni podaci: svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi;
Ispitanik: osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
Osjetljivi osobni podaci: osobni podaci, koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda, zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti osobni podaci obuhvaćaju podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetičke podatke, biometrijske podatke pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija pojedinca, podatke koji se tiču zdravlja ili podatke o spolnom životu ili seksualnoj orijentaciji pojedinca;
Voditelj obrade: fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo, koje samo ili zajedno s drugima, određuje svrhe i sredstva obrade osobnih podataka;
Izvršitelj obrade: fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
Obrada: svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, automatiziranim ili neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
Anonimizacija: nepovratno obrađeni osobni podaci na način da se osoba ne može identificirati u razumnom vremenu, troškovima ili tehnologijom, bilo od strane voditelja obrade ili neke druge osobe koja bi mogla identificirati tog pojedinca. Načela obrade osobnih podataka ne primjenjuju se na anonimizirane podatke;
Pseudonimizacija: obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi. Pseudonimizacija smanjuje, ali ne eliminira u potpunosti povezivanje osobnih podataka s ispitanikom. Kako pseudonimizacija još uvijek predstavlja osobni podatak, obrada pseudonimiziranih podataka treba biti u skladu s načelima obrade osobnih podataka;
Prekogranična obrada osobnih podataka: obrada osobnih podataka koja se odvija u EU u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili obrada osobnih podataka koja se odvija u EU u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice;
Nadzorno tijelo: neovisno tijelo javne vlasti koje je osnovala država članica u skladu s čl. 51. Opće uredbe o zaštiti podataka;
Vodeće nadzorno tijelo: nadzorno tijelo prvenstveno nadležno za prekograničnu obradu podataka, primjerice kada ispitanik iskaže prigovor u vezi obrade osobnih podataka; nadležno je i za zaprimanje obavijesti o povredi osobnih podataka, o rizičnim radnjama u obradi, te ima punu ovlast u postupku usklađivanja s odredbama Opće uredbe o zaštiti podataka;
Lokalno nadzorno tijelo: bit će nadležno na svom državnom području i pratit će svaku lokalnu obradu podataka koja se tiče ispitanika ili obradama koje provodi EU ili ne-EU voditelj ili izvršitelj onda kada njihovi ciljani ispitanici borave na njegovom državnom području. Njihovi zadaci i ovlasti obuhvaćaju provođenje istraga i primjenu administrativnih mjera i kazni, promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka, kao i osiguravanje pristupa svim objektima voditelja ili izvršitelja, uključujući svu opremu i sredstva;
Glavni poslovni nastan voditelja obrade: što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u EU, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u EU te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem se slučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;
Glavni poslovni nastan izvršitelja obrade: što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u EU, ili, ako izvršitelj obrade nema središnju upravu u EU, poslovni nastan izvršitelja obrade u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;
Grupa poduzetnika obuhvaća poduzetnika u vladajućem položaju i njemu podređene poduzetnike.
Osnovna načela obrade osobnih podataka
Načela zaštite podataka definiraju glavne odgovornosti unutar organizacije koja raspolaže osobnim podacima. Čl. 5. st. 2. Opće uredbe o zaštiti podataka određuje da je “voditelj obrade odgovoran za usklađenost sa st. 1. te mora biti u mogućnosti isto i dokazati (pouzdanost).”
Zakonita, poštena i transparentna obrada
Osobni podaci u AŠ “NOVA”obrađuju se na zakonit, pošten i transparentan način u odnosu na ispitanika.
Ograničenje svrhe
Osobni podaci prikupljeni su u skladu sa zakonskim obavezama i legitimnim interesima AŠ “NOVA”, te se ne smiju obrađivati na bilo koji način koji nije u skladu s tim svrhama.
Minimalna količina podataka
Osobni podaci odgovaraju i ograničeni su na temu koja je nužna za ispunjavanje svrhe obrade. AŠ “NOVA” prilikom definiranja svrhe obrade primjenjuje anonimizaciju i pseudonimizaciju osobnih podataka ako je moguće, kako bi se smanjio rizik za ispitanika.
Točnost
Osobni podaci su točni i prema potrebi se ažuriraju. Ukoliko se tijekom obrade pojave neki podaci koji nisu točni AŠ “NOVA” kao Voditelj obrade poduzima mjere kojima se ti podaci bez odlaganja brišu ili ispravljaju.
Ograničenje vremena pohrane
Osobni podaci čuvaju se samo onoliko koliko je potrebno da se ispuni svrha radi koje se obrađuju. Rokovi i procedura čuvanja podataka definirani su u Politici čuvanja podataka AŠ “NOVA”.
Nepovredivost i povjerljivost
Vodeći računa o tehnološkim dostignućima i ostalim raspoloživim sigurnosnim mjerama, troškovima implementacije i različitim vjerojatnostima ozbiljnog rizika po zaštitu podataka, AŠ “NOVA” je implementirala odgovarajuće tehničke i organizacijske mjere kako bi se obrada osobnih podataka odvijala na način koji pruža sigurnost osobnih podataka te između ostalog zaštitu od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa.
Pouzdanost
AŠ “NOVA” je ozbiljna organizacija i u svakom je trenutku u stanju dokazati poštovanje načela koja su prethodno navedena.
Obavješćivanje ispitanika
Opća uredba o zaštiti podataka propisuje načine obavješćivanja i komunikacije s ispitanikom o njegovim osobnim podacima (čl. 12. i 13. te čl. 15. – 22.) te obavješćivanje o povredi podataka (čl. 34.).
Čl. 12. posebno traži da se obavješćivanje i komunikacija s ispitanikom mora provoditi na način da slijedi sljedeća pravila:
- mora biti precizna, transparentna, nedvosmislena i lako razumljiva
- komunicirana jasnim i jednostavnim jezikom
- mora biti u pismenom obliku (elektronskom ili papirnatom)
- gdje to ispitanik zatraži mora biti informiran i usmenim putem i
- mora biti besplatna
Ispitanikov izbor i privola
Čl. 4. st. 11. propisuje da privola ispitanika mora biti slobodno dana, specifična, informirana i nedvosmislena te kojom on daje pristanak za obradu osobnih podataka koji se odnose na njega.
Prikupljanje
AŠ “NOVA” prikuplja najmanje moguće količine osobnih podataka. Ako se osobni podatci prikupljaju od treće strane, vlasnik AŠ “NOVA” mora u pripremi i definiranju svrhe obrade osigurati da se prikupljanje vrši na zakonit način.
U slučaju prikupljanja osobnih podataka izvan temeljne organizacije po mjestu prebivališta ili putem mrežne stranice AŠ “NOVA”, vlasnik će osigurati najviši stupanj organizacijskih i tehničkih mjera prikladan za svaki od načina prikupljanja podataka radi učinkovite provedbe ove politike.
Organizacijska i tehnička izvedba prikupljanja osobnih podataka za članstvo definirana je naputkom Uprave o načinu postupanja s osobnim podatcima potencijalnih članova.
Korištenje, pohrana i uklanjanje
Svrha, metode, ograničenje pohrane i razdoblje zadržavanja osobnih podataka moraju biti sukladne s informacijama sadržanim u Izjavi o privatnosti. AŠ “NOVA” je u mogućnosti očuvati točnost, integritet, povjerljivost i relevantnost osobnih podataka temeljenih na svrhama obrada koje ima u svom djelovanju. Odgovarajući sigurnosni mehanizmi čiji je cilj zaštita osobnih podataka koriste se radi sprečavanja krađe, povrede prava ili zlouporabe osobnih podataka. AŠ “NOVA” u potpunosti osigurava poštivanje tih zahtjeva.
Otkrivanje trećim stranama
U slučajevima kada i ako AŠ “NOVA” angažira Izvršitelja obrade, treću stranu ili poslovnog partnera za obradu osobnih podataka, vlasnik je dužan osigurati da Izvršitelj obrade poduzme sigurnosne mjere zaštite osobnih podataka koje odgovaraju mogućim rizicima koji se mogu pojaviti tijekom obrade. U tu svrhu koristi se Upitnik o usklađenosti s Općom uredom o zaštiti podataka.
AŠ “NOVA” ugovorom definira i traži da isporučitelj ili poslovni partner osigura istu razinu zaštite podataka koja je zastupljena u AŠ “NOVA”. Isporučitelj ili poslovni partner smije obrađivati osobne podatke jedino onda kada izvršava svoje ugovorne obveze prema AŠ “NOVA” ili po nalogu AŠ “NOVA”. Kada AŠ “NOVA” obrađuje osobne podatke zajedno s neovisnom trećom stranom, izričito će specificirati svoje kao i odgovornosti treće strane, kroz odgovarajući ugovor ili bilo koji drugi pravno obvezujući dokument.
Prava ispitanika na pristup podacima
Kada je u ulozi Voditelja obrade, AŠ “NOVA” je dužan ispitanicima osigurati prihvatljiv mehanizam pristupa njihovim osobnim podacima. Ispitanicima je osigurano i ažuriranje, ispravljanje, brisanje ili prenošenje osobnih podataka ako je to primjenjivo ili propisano zakonom.
Prenosivost podataka
Ispitanici imaju pravo, na zahtjev, dobiti kopiju svojih podataka koje AŠ “NOVA” obrađuje, u strukturiranom formatu i te podatke besplatno prenijeti drugom voditelju obrade. PAR d.o.o. je nadležan osigurati da se takvi zahtjevi procesiraju unutar 30 (trideset) dana, da nisu pretjerani i da ne utječu na prava zaštite osobnih podataka drugih pojedinaca.
Pravo na zaborav
Na zahtjev, ispitanici imaju pravo od AŠ “NOVA” tražiti brisanje svojih osobnih podataka. Kada je AŠ “NOVA” ujedno i Voditelj obrade, odgovorna osoba mora poduzeti potrebne radnje (uključujući i tehničke mjere) kako bi informirala treće strane koje koriste ili obrađuju te podatke, o potrebi usklađivanja sa zahtjevom.
Smjernice za poštenu obradu podataka
Osobni podaci smiju se obrađivati samo ako su izričito odobreni od odgovorne osobe.
AŠ “NOVA” prilikom definiranja obrade mora odlučiti hoće li primijeniti Procjenu učinka zaštite podataka za svaku aktivnost obrade podataka sukladno Smjernicama za procjenu učinka zaštite podataka.
Obavijesti ispitanicima
Tijekom ili prije prikupljanja osobnih podataka za bilo koju vrstu obrade; uključujući i proizvode za prodaju, usluge ili marketinške aktivnosti; odgovorna osoba u AŠ “NOVA” je nadležna za propisno obavješćivanje ispitanika o sljedećem: vrsta osobnih podataka koja se prikuplja, svrha obrade, metode obrade, prava ispitanika u kontekstu vlastitih osobnih podataka, razdoblju čuvanja, mogućem međunarodnom prijenosu podataka, mogućem dijeljenju s trećim stranama i sigurnosnim mjerama AŠ “NOVA” o zaštiti osobnih podataka. Ove informacije nalaze se u Izjavi o privatnosti.
AŠ “NOVA” ovisno o aktivnosti obrade i kategorijama prikupljenih osobnih podataka kreira razne obavijesti koje se razlikuju prema samim procesima u sklopu obrade (npr. za slanje dopisa ili obavijesti itd.).
Kada se osobni podaci dijele s trećoj stranom, odgovorna osoba u AŠ “NOVA” mora osigurati da su ispitanici o tome obaviješteni putem Izjave o privatnosti.
Kada se prikupljaju osjetljivi osobni podaci, Službenik za zaštitu podataka AŠ “NOVA” dužan je osigurati da se u Izjavi o privatnosti izričito navede za koga se prikupljaju predmetni osjetljivi osobni podaci.
Pribavljanje privole
Kada se obrada osobnih podataka temelji na privoli ispitanika ili po nekoj drugoj zakonskoj osnovi, odgovorna osoba u AŠ “NOVA” dužna je osigurati adekvatno čuvanje evidencije predmetnih privola. Također, AŠ “NOVA” je dužan omogućiti ispitaniku opcije za davanje privole te ga informirati i osigurati da se njegova privola (uvijek kada se koristi kao zakonska osnova za obradu) može povući u bilo kojem trenutku.
U slučaju zahtjeva za ispravkom, dopunom ili uništavanjem evidencija osobnih podataka; AŠ “NOVA” mora osigurati da se s takvim zahtjevima postupa u razumnom vremenskom roku te da se svaki takav zahtjev zabilježi.
Osobni podaci u AŠ “NOVA” se procesuiraju samo u svrhe za koje se izvorno prikupljaju. U slučaju da AŠ “NOVA” želi obrađivati prikupljene osobne podatke u drugu svrhu, uvijek traži dozvolu svojih ispitanika jasnim i nedvosmislenim pisanim putem. Svaki takav zahtjev uključuje izvornu namjenu za koju su podaci prikupljani, kao i novu ili dodatnu svrhu (ili svrhe). Zahtjev također uključuje i razlog zbog kojeg je došlo do promjene svrhe. Službenik za zaštitu podataka nadležan je za usklađivanje s pravilima iz ovog poglavlja.
AŠ “NOVA” je osigurao da su metode prikupljanja u skladu s relevantnim zakonom, dobrim poslovnim praksama i važećim sigurnosnim standardima.
Organizacija i odgovornosti
Odgovornost za pružanje primjerene obrade podataka leži na svakome tko radi za AŠ “NOVA” ili sa AŠ “NOVA”, te ima pristup osobnim podacima koje AŠ “NOVA” obrađuje.
Glavna područja odgovornosti za obradu osobnih podataka nalaze se u sljedećim organizacijskim ulogama:
Vlasnik donosi odluke ili odobrava opće strategije AŠ “NOVA” za zaštitu osobnih podataka, prati i analizira zakone o osobnim podacima, promjene regulative, osmišljava zahtjeve za usklađivanjem te pomaže poslovnim odjelima PAR d.o.o. u postizanju ciljeva vezanih za osobne podatke.
Koordinator za zaštitu podataka, odgovoran je za upravljanje programima za zaštitu podataka, te za razvoj i promoviranje politike zaštite osobnih podataka od njezinog prvog do zadnjeg elementa kao što je definirano u Opisu poslova koordinatora za zaštitu podataka.
Procedura u slučaju povrede osobnih podataka
Kada AŠ “NOVA” posumnja ili sazna da je došlo do povrede osobnih podataka, vlasnik AŠ “NOVA” mora poduzeti internu istragu i pokrenuti korektivne mjere popravljanja štete. Ukoliko se utvrdi da postoje bilo kakvi rizici za prava i slobode ispitanika, AŠ “NOVA” mora bez odgađanja, a maksimalno u roku od 72 sata otkad je rizik ili incident uočen, obavijestiti nadzorno tijelo odnosno Agenciju za zaštitu osobnih podataka – AZOP.