I. UVODNE ODREDBE
Članak 1.
Ovom politikom o upravljanju osobnim podacima Institut Sputnik potvrđuje primjenu načela obrade osobnih podataka u svojim poslovnim procesima, određuje sustav upravljanja osobnim podacima, definira pravila, utvrđuje okolnosti prikupljanja i korištenja osobnih podataka te pravo pojedinca na zaštitu osobnih podataka.
Članak 2
Ovom politikom Institut Sputnik stvara temelj jedinstvene i visoke razine zaštite privatnosti, a što je jedan od prioriteta Instituta Sputnik .
II. PODRUČJA PRIMJENE
Članak 3.
Ova politika primjenjuje se na sve poslovne procese Instituta Sputnik i na obradu svih osobnih podataka koja se vrši u Institutu Sputnik, odnosno od strane nadležnih osoba Instituta Sputnik .
III. POJMOVI
Članak 4.
Osobni podatak je svaki podatak koji se odnosi na fizičku osobu (pojedinca) čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, posebno na osnovi imena identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet.
Ispitanik je fizička osoba (pojedinac) čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi imena, identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili u pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet.
Obrada je svaki postupak ili skup podataka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Izrada profila/profiliranje je svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.
Posebne kategorije osobnih podataka su podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, te genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje ili podaci o spolnom životu ili seksualnoj orijentaciji pojedinca.
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Treća strana je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obrade osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
Primatelj je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade.
Privola ispitanika je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Zaštita osobnih podataka je zaštita od povrede osobnih podataka koji znače kršenje sigurnosti, a koje kršenje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
IV. NAČELA OBRADE OSOBNIH PODATAKA
Članak 5.
Načela obrade osobnih podataka su:
- zakonitost, poštenost i transparentnost – osobni podaci su zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika;
- ograničavanje svrhe – osobni podaci su prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama;
- smanjenje količine podataka – osobni podaci su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe koje se obrađuju;
- točnost – osobni podaci su točni i prema potrebi ažurni; Institut Sputnik će poduzeti svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja brišu ili isprave;
- ograničenje pohrane – osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. Uredbe, što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih Uredbom radi zaštite prava i sloboda ispitanika
- cjelovitost i povjerljivost – osobni podaci su obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera;
- pouzdanost – Institut Sputnik je odgovoran za usklađenost sa svim ranije navedenim načelima i može to dokazati.
Članak 6.
Zakonitost obrade
Obrada osobnih podataka u Institutu Sputnik provodi se samo temeljem najmanje jedne od niže navedenih pravnih osnova:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza Instituta Sputnik kao voditelja obrade;
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju eventualne službene ovlasti Instituta Sputnik kao voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa Instituta Sputnik kao voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Članak 7.
Obrada temeljem privole
Privola za obradu osobnih podataka mora biti:
- jasna;
- dokumentirana;
- ukoliko se daje u vidu pisane izjave koja se odnosi i na druga pitanja onda zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja;
- u razumljivom i lako dostupnom obliku;
- dokaziva;
- isključiva;
- nedvosmislena;
- dobrovoljna;
- opoziva, što znači da ju je moguće povući u svakom trenutku bez da to utječe na zakonitost obrade na temelju privole prije njezina povlačenja, o čemu se ispitanika obavještava prije davanja privole.
V. TRANSPARENTNOST
Članak 8.
Prije prikupljanja osobnih podataka, ispitanicima se pružaju jasne informacije o identitetu voditelja, svrsi obrade, pravnoj osnovi, o mogućoj obradi osobnih podataka temeljem legitimnih interesa Instituta Sputnik , radi li se o obaveznom ili dobrovoljnom davanju podataka i o mogućim posljedicama uskrate davanja podataka, vrsti obrade kojoj će se osobni podaci koristiti, razdoblju čuvanja osobnih podataka, pravima ispitanika te primateljima i eventualnim trećim osobama koje će primiti podatke.
Ukoliko Institut Sputnik nije prikupio osobne podatke neposredno od ispitanika, pružit će mu sve informacije iz prethodnog stavka ovog članka, uključujući izvor osobnih podataka i kategorije osobnih podataka o kojima je riječ.
Informacije iz stavka 1. ovog članka pružaju se u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.
Ako je ispitanik dijete ili maloljetnik, Institut Sputnik će poduzeti sve potrebne mjere kako bi se ispitaniku osiguralo bezuvjetno razumijevanje posljedice obrade podataka. Ako je dijete mlađe od 16 godina Institut Sputnik će tražiti privolu ili odobrenje nositelja roditeljske odgovornosti nad djetetom. Svakom prikupljanju i daljnjoj obradi osobnih podataka djeteta i maloljetnika Institut Sputnik će pristupati s posebnom pažnjom, koristit će jasan i jednostavan jezik, te se pri tome voditi najvišim etičkim načelima.
VI. POVJERLJIVOST OBRADE PODATAKA
Članak 9.
Svi radnici Instituta Sputnik moraju se pridržavati mjera definiranih ovom Politikom. Institut Sputnik će, ako je to svrhovito, osigurati da se i treće strane koje u okviru svoje suradnje s Sputnikom ostvaruju pristup osobnim podacima upoznaju sa mjerama definiranim ovom Politikom radi poštivanja istih.
Sve osobe temeljem ugovora o radu, ili bilo kojeg ugovora o poslovnom odnosu, koje posredno ili neposredno mogu doći do osobnih podataka u Institutu Sputnik obvezuju se na poštivanje povjerljivosti i zaštitu privatnosti pojedinca, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene uporabe.
VII. PRAVA ISPITANIKA
Članak 10.
Ispitanik ima sljedeća prava:
1.) Pravo na pristup – Ispitanik ima pravo u svakom trenutku dobiti od Instituta Sputnik potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, zatražiti pristup osobnim podacima i informacijama na koje ima pravo u svezi zaštite osobnih podataka.
Institut Sputnik osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži ispitanik Institut Sputnik može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom obliku.
2.) Pravo na ispravak – Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od Instituta Sputnik ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Institut Sputnik priopćuje svaki ispravak osobnih podataka svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Institut Sputnik obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.
3.) Pravo na brisanje (pravo na zaborav) – Ispitanik ima pravo od Instituta Sputnik ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te Institut Sputnik kao voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
(a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način
obrađeni;
(b) ispitanik povuče privolu na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu;
(c) ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. Uredbe te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2. Uredbe;
(d) osobni podaci nezakonito su obrađeni;
(e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava
Republike Hrvatske
(f) osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1. Uredbe.
Opravdan zahtjev za brisanjem podataka mora se ispuniti bez nepotrebnog odgađanja.
Institut Sputnik priopćuje svako brisanje osobnih podataka svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Institut Sputnik obavještava ispitanika o tim primateljima ako to ispitanik traži.
4.) Pravo na ograničenje obrade – Ispitanik ima pravo od Instituta Sputnik ishoditi ograničenje obrade za slučajeve osporavanja točnosti, nezakonitosti obrade, prestanka potrebe za obradom, te nadilaženje legitimnih prava za obradu podataka. U skladu s primjenjivim propisima, Institut Sputnik može obrađivati osobne podatke i kada je obrada ograničena.
5.) Pravo na prenosivost podataka – Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koji je pružio Institutu Sputnik u strukturiranom, uobičajeno upotrebljavanom strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Instituta Sputnik , ako se obrada temelji na privoli ili ugovoru i provodi se automatiziranim putem.
6.) Pravo na prigovor – Ispitanik ima pravo u svakom trenutku uložiti prigovor za obradu osobnih podataka koji se na njega odnose, ako se obrada temelji na legitimnim interesima Instituta Sputnik , uključujući izradu profila i obradu za potrebe izravnog marketinga. Institut Sputnik kao voditelj obrade više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
7.) Pravo na naknadu štete i odgovornost – ispitanik koji je pretrpio imovinsku ili neimovinsku štetu zbog kršenja propisanih zakonskih odredbi ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.
Način ostvarivanja prava – ispitanik može svoja prava navedena u ovom članku ostvariti putem kontakt podataka objavljenih na web stranicama Instituta Sputnik , te u zaprimljenim informacijama u skladu s člancima 13. ili 14. Uredbe. Ukoliko smatra da je došlo do nepravilnosti u obradi njegovih osobnih podataka, ispitanik ima pravo kontaktirati službenika za zaštitu osobnih podataka Instituta Sputnik ako je isti imenovan, ili kontaktirati drugu odgovarajuću osobu nadležnu za zaštitu podatka u Institutu Sputnik prema prethodnim informacijama dobivenim od Instituta Sputnik . Također, ispitanik ima pravo na podnošenje prigovora nacionalnom nadzornom tijelu.
VIII. INFORMIRANJE
Članak 11.
Institut Sputnik osigurava da se ispitaniku pruže sve informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika ili ako osobni podaci nisu dobiveni od ispitanika, kao i da se ispitanika upozna s njegovim pravima iz prethodnog članka.
IX. EVIDENCIJA I ČUVANJE PODATAKA
Članak 12.
Institut Sputnik je uspostavio i održava evidencije aktivnosti obrade osobnih podataka, a odgovorne osobe sukladno organizacijskoj strukturi Instituta Sputnik , odnosno sukladno odgovarajućem pravilniku Instituta Sputnik koji regulira obradu osobnih podataka, osiguravaju da se u obradu uključuju isključivo osobni podaci za čiju obradu postoji zakonita osnova.
X. ZAŠTITA PODATAKA
Članak 13.
Osobni podaci koje Institut Sputnik prikuplja i obrađuje u svom radu smatraju se povjerljivim te se s njima mora postupati s posebnom pažnjom, a koristiti se smiju isključivo u skladu s razlogom iz kojeg su prikupljeni.
Institut Sputnik će osobne podatke prikupljati i pohranjivati isključivo u mjeri u kojoj je to potrebno za ispunjenje svrhe obrade. Prilikom pohrane podataka, osobni će se podaci pohranjivati na najmanjem mogućem broju mjesta na kojima moraju biti adekvatno zaštićeni. Pristup osobnim podacima smije biti omogućen isključivo na temelju poslovne potrebe. Zabranjeno je koristiti osobne podatke u svrhe razvoja ili testiranja IT sustava. Gdje god je to moguće, osobni podaci moraju biti zaštićeni enkripcijom, pseudonimizacijom ili anonimizacijom.
Institut Sputnik može posebnim aktom definirati procedure i mjere za tehničku i integriranu zaštitu podataka.
XI. UPRAVLJANJE INCIDENTIMA I IZVJEŠTAVANJE O POVREDI
Članak 14.
Institut Sputnik uspostavlja:
– procedure odgovora na incidente vezane uz narušavanje sigurnosti osobnih podataka unutar Instituta Sputnik te kod trećih strana kojima je ustupila ili koje su Institutu Sputnik ustupile osobne podatke.
– strukturu odgovornosti za izvještavanje o incidentima vezanim uz sigurnost osobnih podataka
– mjere za detekciju neovlaštenog pristupa osobnim podacima i neovlaštenog otkrivanja osobnih podataka iz informacijskog sustava.
Članak 15.
U slučaju narušavanja sigurnosti osobnih podataka, Institut Sputnik će bez odlaganja, a najkasnije u roku od 72 sata po otkrivanju incidenta, o tome izvijestiti nadležno tijelo.
XII. PROCJENA UČINKA NA ZAŠTITU PODATAKA
Članak 16.
Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, Institut Sputnik će prije obrade provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
Procjena učinka na zaštitu osobnih podataka nužna je za:
– sustavne i opsežne procjene osobnosti izrade profila ispitanika (kod odluka koje mogu imati pravne učinke),
– sustavno praćenje javno dostupnog područja u velikoj mjeri.
Svaka pojedina organizacijska jedinica Instituta Sputnik dužna je provoditi procjenu učinka sukladno gore navedenim kriterijima i primjenjivim interno definiranim pravilnicima i procedurama.
Pri provođenju procjene učinka na zaštitu podataka Institut Sputnik kao voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.
XIII. ZAVRŠNE ODREDBE
Članak 17.
Predmetna Politika stupa na snagu usvajanjem od strane predsjednika Instituta Sputnik , a objavit će se na oglasnoj ploči Instituta Sputnik . Može biti objavljena i na internetskim stranicama.