Propisi o zaštiti osobnih podataka

Propisi o zaštiti osobnih podataka

Na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinaca pri obradi osobnih podataka i slobodnom protoku takvih podataka (Opća uredba o zaštiti podataka, dalje u tekstu: GDPR), i Zakon o zaštiti osobnih podataka (Uradni list Republike Slovenije, u daljnjem tekstu: ZVOP-2) donosi direktor tvrtke Rdeča Oranža, izkustveni marketing d.o.o. (u daljnjem tekstu Rdeča Oranža).

Članak #1

Ovim pravilnikom definirani su organizacijski, tehnički i logičko-tehnički postupci i mjere za osiguranje osobnih podataka u Rdeča Oranža, s ciljem da se osigura:

  • da se osobni podaci obrađuju zakonito, pošteno i transparentno;
  • da se osobni podaci prikupljaju u posebne, eksplicitne i zakonite svrhe, te se ne obrađuju na način koji nije u skladu s tim svrhama;
  • da se prema zadanim postavkama obrađuju samo osobni podaci koji su potrebni za svaku pojedinu svrhu obrade; ova se obveza odnosi na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje njihovog čuvanja i njihovu dostupnost;
  • da se poštuju i štite prava i slobode pojedinaca na koje se osobni podaci odnose;
  • da je osigurana sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
  • da tvrtka može dokazati usklađenost sa zakonodavstvom u području zaštite osobnih podataka.
  • Odredbama ovog pravilnika utvrđene su obveze djelatnika Rdeče Oranže koje samo oni moraju poštovati. Odredbe ovog pravilnika odnose se i na druge osobe koje u društvu rade na temelju ugovora koji nisu ugovor o radu. U slučaju nedoumica u vezi sa značenjem bilo koje odredbe ovog dokumenta obratite se direktoru Martinu Korošecu.

Članak #2

Izrazi korišteni u ovoj politici imaju sljedeća značenja:

  • Osobni podaci – značenje je isto kao i ono definirano GDPR-om
  • Fizička osoba – je određena ili fizička osoba koja se može identificirati i na koju se odnose osobni podaci; fizička osoba je prepoznatljiva ako ju je moguće izravno ili neizravno identificirati, prvenstveno pozivom na identifikacijski broj ili na jedan ili više čimbenika koji karakteriziraju njezin fizički, fiziološki, psihički, ekonomski, kulturni ili društveni identitet, pri čemu način identifikacije ne uzrokuje velike troškove ili ne zahtijeva puno vremena;
  • Prikupljanje osobnih podataka – značenje je isto kao i ono definirano GDPR-om
  • Obrada osobnih podataka – značenje je isto kao i ono definirano GDPR-om
  • Voditelj osobnih podataka – značenje je isto kao i ono definirano GDPR-om
  • Osjetljivi osobni podaci – značenje je isto kao i ono definirano GDPR-om
  • Korisnik osobnih podataka – značenje je isto kao i ono definirano GDPR-om
  • Nositelj podataka – sve vrste sredstava na kojima su podaci zabilježeni ili snimljeni (dokumenti, akti, materijali, spisi, računalna oprema uključujući magnetske, optičke ili druge računalne medije, fotokopije, audio i slikovni materijal, mikrofilmovi, uređaji za prijenos podataka i dr.).
  • Zaposlenici – su osobe koje imaju sklopljen ugovor o radu s poduzećem, osobe koje u poduzeću rade kao učenici ili studenti, osobe koje u poduzeću rade na temelju ugovora između poduzeća i poslodavca, koje obavljaju djelatnost pružanje poslova drugim poslodavcima, te osobe koje za društvo obavljaju poslove na temelju građanskopravnih ugovora.
  • Sigurnosni incident – označava sigurnosnu povredu koja rezultira slučajnim ili nezakonitim uništenjem, gubitkom, izmjenom, neovlaštenim otkrivanjem ili pristupom osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju.

Članak #3

Društvo vodi i održava evidenciju aktivnosti obrade osobnih podataka s propisanim sastavnicama, sukladno odredbama članka 30. GDPR-a, i to za svaku zbirku zasebno. Evidencija o aktivnostima obrade vodi se u elektroničkom obliku, pristup je moguć na prethodni zahtjev. Za vođenje evidencije o poslovima obrade odgovoran je svaki voditelj odjela unutar kojeg se vodi pojedina zbirka, a nadzor provodi ravnatelj.

Članak #4

U društvu ili za potrebe društva smiju se obrađivati ​​samo oni osobni podaci za koje postoji odgovarajuća pravna osnova prema odredbama GDPR ili drugog zakonodavstva. Ukoliko ne postoji zakonska osnova za obradu, potrebno je odmah prestati s aktivnom obradom osobnih podataka i onemogućiti im pristup, te o nepostojanju osnove obavijestiti direktora društva koji određuje daljnje postupanje s tim podacima. Osobni podaci smiju se prikupljati samo u određene i zakonite svrhe i ne smiju se dalje obrađivati ​​na način da bi njihova obrada bila u suprotnosti s tim svrhama, osim ako zakonom nije drugačije određeno. Kada tvrtka namjerava dalje obrađivati ​​osobne podatke u svrhu koja nije svrha za koju su osobni podaci prikupljeni, potrebno je unaprijed provjeriti je li nova svrha kompatibilna s izvornom te o tome pripremiti pisano izvješće. Mjere za osiguranje sigurnosti konkretnih (zbirki) osobnih podataka kao što su pseudonimizacija i enkripcija, ograničenje vremena pohrane i pristupa, ograničenje obrade, ograničenje svrhe i dr., te način provedbe utvrđuje ravnatelj u prijedlog upravitelja.

Prema GDPR-u, vođenje ove evidencije nije potrebno za tvrtke s manje od 250 zaposlenika, OSIM AKO: – nije vjerojatno da obrada predstavlja rizik za prava i slobode pojedinaca (dakle, invazivna je); – obrada NIJE povremena; – obrada uključuje posebne vrste podataka. S obzirom na navedeno, posebice uvjet (ne)učestalosti obrade, preporučamo da evidenciju aktivnosti obrade vode i tvrtke koje imaju manje od 250 zaposlenih. Posebne vrste osobnih podataka smiju se obrađivati ​​samo u skladu s odredbama GDPR-a i drugih zakona. Tijekom obrade ovi podaci moraju biti posebno označeni i osigurani na način da je neovlaštenim osobama onemogućen pristup istima. Pojedinac mora biti obaviješten o obradi osobnih podataka u skladu s odredbama članaka 12., 13. i 14. GDPR-a. Za izradu obavijesti odgovoran je svaki voditelj odjela unutar kojeg se vodi pojedina zbirka. Svaki voditelj službe unutar koje se vodi pojedina zbirka dužan je (za svaku pojedinu zbirku) utvrditi i voditi pisani popis osoba koje, zbog prirode posla i/ili funkcije u društvu, mogu obrađivati ​​određene osobne podatke ili imati pristup zbirkama (u daljnjem tekstu “ovlašteni izvršitelji obrade”). Voditelji odjela dužni su pisani popis ovlaštenih izvršitelja obrade dostaviti direktoru društva. Prije obrade osobnih podataka ovlašteni izvršitelji obrade moraju se upoznati s odredbama GDPR-a i sadržajem ove uredbe, o čemu su dužni potpisati posebnu izjavu „Dodatak ugovoru o obradi podataka”.

Članak #5

Pojedinac ima pravo od tvrtke dobiti potvrdu o tome obrađuju li se njegovi osobni podaci, a ako se obrađuju, pravo na pristup osobnim podacima (uvid) i informacijama iz 1. stavka 15. GDPR-a. Pojedinac ima pravo zahtijevati da tvrtka bez nepotrebnog odgađanja ispravi netočne ili potpune nepotpune osobne podatke koji se na njega odnose. Pojedinac ima pravo zahtijevati da tvrtka izbriše osobne podatke koji se na njega odnose bez nepotrebnog odgađanja, kada postoji jedan od sljedećih razloga: – osobni podaci više nisu potrebni za svrhe za koje su prikupljeni ili na drugi način obrađeni; – pojedinac opozove privolu na temelju koje se obrada odvija, a ne postoji druga pravna osnova za obradu; – pojedinac se protivi obradi, a ne postoje važniji pravni razlozi za njihovu obradu; – osobni podaci obrađeni su nezakonito; – osobni podaci moraju biti izbrisani radi ispunjenja zakonske obveze zbog ispunjenja zakonskih obveza; – osobni podaci prikupljeni u vezi s ponudom usluga informacijskog društva od maloljetne osobe. Pojedinac ima pravo zahtijevati od društva da ograniči obradu kada postoji jedan od sljedećih slučajeva: – pojedinac osporava točnost podataka, i to za razdoblje koje društvu omogućuje provjeru točnosti osobnih podataka; – obrada je nezakonita i pojedinac se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe; – društvo više ne treba osobne podatke za potrebe obrade, ali ih pojedinac treba za podnošenje, provedbu ili obranu pravnih zahtjeva; – pojedinac je podnio prigovor u vezi s obradom dok se ne provjeri prevladavaju li legitimni razlozi voditelja obrade nad razlozima pojedinca na koje se osobni podaci odnose. Pojedinac ima pravo zaprimiti osobne podatke koje daje društvu u strukturiranom, uobičajeno korištenom i strojno čitljivom obliku te pravo proslijediti te podatke drugom voditelju obrade bez da ga društvo u tome ometa, kada: – je obrada na temelju privole i – obrada se provodi automatiziranim sredstvima. Direktor društva je dužan osigurati da pojedinci budu upoznati s pravima iz prethodnih stavaka ovog članka na primjeren način koji je u skladu sa zahtjevima GDPR-a. Ravnatelj također osigurava jedinstvenu kontaktnu točku kojoj se pojedinci mogu obratiti kako bi ostvarili svoja prava. Voditelj je odgovoran za ostvarivanje prava pojedinaca i komuniciranje s njima. Ako se osobni podaci pojedinca nalaze u više zbirki, direktor društva određuje nadležnog voditelja odjela.

Članak #6

Voditelj odjela ili druga osoba koja to otkrije dužna je upozoriti ravnatelja na činjenicu da planirana obrada osobnih podataka, osobito (ali ne isključivo) primjenom novih tehnologija, uzimajući u obzir prirodu, opseg, okolnosti i svrhe obrada osobnih podataka, mogla dovesti do velikog rizika za prava i slobode pojedinca. U tom slučaju ravnatelj odlučuje je li potrebno provesti procjenu utjecaja namjeravanih radnji obrade na zaštitu osobnih podataka. Za samu izradu procjene utjecaja odgovoran je voditelj, odnosno druga osoba koju voditelj ovlasti. Obvezni su sudjelovati svi djelatnici koji mogu dati potrebne podatke i procjene. Procjena učinka provodi se u pisanom obliku i uključuje: – sustavan opis namjeravanih radnji obrade i svrhe obrade, kao i, kada je to prikladno, legitimne interese kojima društvo teži; – procjena nužnosti i razmjernosti radnji obrade u odnosu na njihovu svrhu; – procjena rizika za prava i slobode pojedinaca na koje se osobni podaci odnose; – mjere za rješavanje rizika, uključujući mjere zaštite, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s GDPR-om, uzimajući u obzir prava i legitimne interese ispitanika i drugih dotičnih osoba. Ako voditelj službe ili druga osoba koja je izradila procjenu učinaka utvrdi da bi namjeravana obrada uzrokovala visok rizik da društvo ne poduzme mjere za smanjenje rizika, dužan je o tome obavijestiti direktora društva, prosuditi jesu li potrebne konzultacije s nadzornim tijelima.

Članak #7

Prostori u kojima se nalazi pohrana osobnih podataka, hardver i programska oprema (osigurani prostori) moraju biti zaštićeni organizacijskim i fizičkim i/ili tehničkim mjerama koje onemogućuju neovlaštenim osobama pristup podacima. Pristup je moguć samo tijekom redovnog radnog vremena, a izvan tog vremena samo uz dopuštenje ravnatelja ili voditelja. Ključevi se ne ostavljaju u bravi izvana. Zaštićeni prostori ne smiju ostati bez nadzora, odnosno moraju biti zaključani u odsutnosti radnika koji ih nadziru. Izvan radnog vremena ormari i stolovi s pohranjenim osobnim podacima moraju biti zaključani, računala i ostala hardverska oprema isključena te fizički ili programski zaključana. Zaposlenici ne smiju ostavljati pohranjene osobne podatke na svojim radnim stolovima u prisutnosti osoba koje nemaju pravo uvida. Pohranjeni osobni podaci koji se nalaze izvan osiguranih prostorija (hodnici, zajednički prostori) moraju biti trajno zaključani. Osjetljivi osobni podaci ne smiju se pohranjivati ​​izvan sigurnih područja. Zaposlenik koji u svom radu koristi osobne podatke ili ih na bilo koji način obrađuje ne smije tijekom radnog vremena ostaviti pohranjene osobne podatke bez nadzora na radnom stolu niti ih na drugi način izlagati riziku od pristupa osobnim podacima neovlaštenim osobama. Ključevi, kartice, lozinke i druga sredstva koja omogućuju pristup osiguranim prostorima moraju se štititi, upravljati i čuvati savjesno i pažljivo. Svaki gubitak ili zlouporabu ili sumnju na zlouporabu zaposlenik mora odmah prijaviti.

Članak #8

U prostorijama namijenjenim za rad sa strankama, pohranjeni podaci i računalni zasloni moraju biti postavljeni tako da ih stranke ne vide.

Članak #9

Održavanje i popravak hardvera, računalne i druge opreme dopušteno je samo uz znanje ovlaštene osobe, a mogu ga obavljati samo ovlašteni serviseri i serviseri koji imaju odgovarajući ugovor s Rdečom Oranžom ili izdanu narudžbenicu.

Članak #10

Serviseri prostora, hardvera i softvera, posjetitelji i poslovni partneri smiju se kretati u osiguranim prostorima samo uz znanje ovlaštene osobe. Zaposlenici, poput čistačica, zaštitara i sl., mogu se kretati izvan radnog vremena samo u onim zaštićenim prostorima u kojima je onemogućen pristup osobnim podacima (pohranjeni podaci nalaze se u zaključanim ormarima i stolovima, računala i drugi hardver su isključeni ili na drugi način fizički ili softverski zaključani).

Članak #11

Pristup softveru mora biti zaštićen na način da omogućuje pristup samo unaprijed određenim zaposlenicima ili pravnim ili fizičkim osobama koje obavljaju ugovorene usluge sukladno narudžbi.

Članak #12

Popravak, izmjena i nadopuna sistemskog i aplikativnog softvera dopuštena je samo na temelju odobrenja ovlaštene osobe, a mogu je obavljati samo ovlašteni servisi i organizacije te fizičke osobe koje s Rdečom Oranžom imaju sklopljen odgovarajući ugovor ili su dobile nalog.

Članak #13

Za pohranu i zaštitu aplikacijskog softvera vrijede iste odredbe kao i za ostale podatke iz ove politike.

Članak #14

Sadržaj diskova mrežnog poslužitelja i lokalnih radnih stanica, na kojima se nalaze osobni podaci, stalno se provjerava na prisutnost računalnih virusa. Kada se pojavi računalni virus, on se u što kraćem roku eliminira, a ujedno se utvrđuje uzrok pojave virusa u informatičkom sustavu računala. Svi osobni podaci i programi koji su namijenjeni za korištenje u računalno-informacijskom sustavu, a stižu u Rdeču Oranžu na računalnim medijima za prijenos podataka ili putem telekomunikacijskih kanala, moraju se prije upotrebe provjeriti radi prisutnosti računalnih virusa.

Članak #15

Zaposlenici ne smiju instalirati programe bez znanja osobe odgovorne za rad računalnog informacijskog sustava. Također ne smiju iznositi program iz poslovnog prostora bez dopuštenja direktora.

Članak #16

Pristup podacima putem aplikacijskog softvera zaštićen je sustavom lozinki za autorizaciju i identifikaciju korisnika programa i podataka, a sustav lozinki mora omogućiti i mogućnost naknadnog utvrđivanja kada su pojedini osobni podaci uneseni u bazu, korišteni ili na drugi način obrađeni i tko ih je obradio.

Članak #17

Sve lozinke i procedure koje se koriste za pristup i administriranje mreže osobnih računala (nadzorne ili kontrolne lozinke), administriranje elektroničke pošte i administriranje aplikativnih programa čuvaju se u zatvorenim omotnicama i zaštićene su od pristupa neovlaštenih osoba. Trebaju se koristiti samo u iznimnim okolnostima ili hitnim slučajevima.

Članak #18

Osobni podaci smiju se pohranjivati i obrađivati lokalno (na lokalnim računalima i drugim sličnim uređajima) samo iznimno, kada je to prijeko potrebno zbog prirode posla. Nakon prestanka potrebe za takvom pohranom i obradom osobnih podataka, osobni podaci moraju se prenijeti u centralizirane baze podataka ili trajno izbrisati. Eventualne kopije sadržaja zbirki osobnih podataka na lokalnim medijima (eksterni diskovi, USB ključevi i sl.) čuvaju se u zaključanim ormarima. Za potrebe oporavka računalnog sustava u slučaju kvarova i drugih iznimnih situacija, zajamčene su redovite kopije sadržaja mrežnog poslužitelja i lokalnih stanica, ukoliko se podaci tamo nalaze. Ti se primjerci čuvaju na za to predviđenim mjestima koja moraju biti protupožarna, zaštićena od poplava i elektromagnetskih smetnji, u propisanim klimatskim uvjetima i zaključana.

Članak #19

Pisani ugovor iz druge stavke članka 28. sklapa se sa svakom vanjskom pravnom ili fizičkom osobom koja obavlja pojedinačne poslove u vezi s prikupljanjem, obradom, pohranom ili prijenosom osobnih podataka i registrirana je za obavljanje te djelatnosti (ugovorne ili ugovorene). Opći propisi o zaštiti podataka. U takvom ugovoru moraju biti propisani i uvjeti i mjere za osiguranje zaštite osobnih podataka i njihovo osiguranje. Prije sklapanja ugovora s izvršiteljem obrade, odgovorna osoba (općenito voditelj odjela) dužna je od njega pribaviti podatke koji omogućuju provjeru ispunjava li izvršitelj zahtjeve propisa iz područja zaštite osobnih podataka; ovo također uključuje otkrivanje svih podizvršitelja obrade, uključujući njihova imena i registrirane urede. Prethodno se također odnosi na treće strane koje održavaju hardver i softver te proizvode i instaliraju novi hardver ili softver. Vanjske pravne ili fizičke osobe smiju pružati samo usluge obrade osobnih podataka u okviru ovlaštenja naručitelja te podatke ne smiju obrađivati ​​niti na drugi način koristiti u bilo koju drugu svrhu. Ovlaštena pravna ili fizička osoba koja pruža ugovorene usluge za Rdeču Oranžu izvan prostora operatera mora imati najmanje jednako strog način zaštite osobnih podataka kako je to propisano ovim pravilnikom. Osim ostalih zahtjeva, u ugovorima s izvršiteljima obrade tvrtka mora osigurati pravo na provođenje inspekcijskog nadzora ili revizije iz područja zaštite osobnih podataka kod ugovornog izvršitelja obrade najmanje jednom godišnje. Inspekcijski nadzor ili revizija mora se provesti u slučaju bilo kakve sumnje ili indikacije da izvršitelj obrade krši sklopljen ugovor ili da ne osigurava dovoljnu razinu zaštite osobnih podataka. Revizija se provodi na trošak tvrtke, pri čemu izvršitelj obrade ne smije naplatiti tvrtki angažman svojih ljudi i/ili podugovorenih izvršitelja obrade.

Članak #20

Zaposlenik koji je zadužen za primanje i evidentiranje pošte dužan je poštu s osobnim podacima predati neposredno osobi ili uredu na koji je pošta naslovljena. Radnik zadužen za prijam i evidentiranje pošte otvara i pregledava sve poštanske pošiljke i pošiljke koje pristignu organu uprave na drugi način, a donose ih kupci ili dostavljači, osim pošiljaka iz stavka 3. i 4. ovoga članka. Službenik koji je zadužen za prijam i evidentiranje pošte ne otvara pošiljke koje su naslovljene na drugo tijelo ili organizaciju, a uručene su greškom, kao i pošiljke koje su označene kao osobni podaci ili za koje to proizlazi iz oznaka na omotnice koje se odnose na natječaj. Službenik koji je zadužen za prijam i evidentiranje pošte ne smije otvarati pošiljke naslovljene na zaposlenika, na kojima je na omotnici naznačeno da se osobno uručuju primatelju, kao ni pošiljke na kojima je navedeno osobno ime. Prvo se navodi zaposlenik bez navođenja službenog položaja, a tek potom adresa organa uprave.

Članak #21

Osobni podaci mogu se prenositi samo informacijskim, telekomunikacijskim i drugim sredstvima kada su provedeni postupci i mjere kojima se neovlaštenim osobama sprječava neovlašteno prisvajanje ili uništavanje podataka te neovlašteni pristup njihovom sadržaju. Osjetljivi osobni podaci šalju se primateljima u zatvorenim omotnicama uz potpis u dostavnoj knjizi ili dostavnicom. Osobni podaci šalju se preporučenom poštom. Omotnica u kojoj se prenose osobni podaci mora biti izrađena na način da omotnica ne omogućuje vidljiv sadržaj omotnice pri normalnom svjetlu ili kada su omotnice osvijetljene običnim svjetlom. Također, omotnica mora osigurati da se otvaranje omotnice i upoznavanje sa sadržajem ne može obaviti bez vidljivog traga otvaranja omotnice.

Članak #22

Obrada osjetljivih osobnih podataka mora biti posebno označena i osigurana. Podaci iz prethodne stavke mogu se prenositi putem telekomunikacijskih mreža samo ako su posebno osigurani kriptografskim metodama i elektroničkim potpisom na način da je zajamčena nečitljivost podataka tijekom njihova prijenosa.

Članak #23

Osobni podaci daju se samo onim korisnicima koji dokažu da imaju odgovarajuću pravnu osnovu ili uz pisani zahtjev ili privolu pojedinca na kojeg se podaci odnose. Za svaki prijenos osobnih podataka korisnik je dužan podnijeti pisani zahtjev u kojem mora biti jasno navedena odredba zakona kojom se korisnik ovlašćuje na dobivanje osobnih podataka ili uz zahtjev mora priložiti pisani zahtjev ili privolu pojedinca na kojeg se podaci odnose. U slučaju prikupljanja i prijenosa osobnih podataka između tijela državne uprave, također je potrebno voditi računa o odredbama Uredbe, koja uređuje upravno poslovanje. Izvorni dokumenti se nikada ne dostavljaju, osim u slučaju pisanog sudskog naloga. Izvorni dokument mora se zamijeniti kopijom tijekom odsutnosti.

Članak #24

Nakon isteka roka čuvanja osobni podaci se brišu, uništavaju ili anonimiziraju, osim ako zakonom ili drugim aktom nije drugačije određeno. O brisanju, uništavanju ili anonimizaciji osobnih podataka odlučuje voditelj odjela. O uništenju, brisanju ili anonimizaciji osobnih podataka sastavlja se zapisnik koji ne smije sadržavati osobne podatke pojedinaca čiji su podaci izbrisani, uništeni ili anonimizirani.

Članak #25

Za brisanje podataka s računalnih medija koristi se takav način brisanja da je nemoguće vratiti sve ili dio izbrisanih podataka. Podaci na klasičnim medijima (dokumenti, spisi, upisnik, popis…) uništavaju se na način da je nemoguće pročitati sve ili dio uništenih podataka. Točan način uništenja za pojedine vrste osobnih podataka ili nositelja određuje direktor društva. Na isti se način uništava i pomoćni materijal (npr. matrice, proračuni i dijagrami, skice, probni ili neuspješni ispisi i sl.). Zabranjeno je odlaganje nositelja pohranjenih podataka s osobnim podacima u smeće. Prilikom prijenosa pohranjenih osobnih podataka na mjesto uništenja potrebno je osigurati odgovarajuće osiguranje.  

Članak #26

Zaposlenici su dužni provoditi mjere za sprječavanje zlouporabe osobnih podataka te moraju s osobnim podacima do kojih dođu u radu postupati savjesno i pažljivo na način i po postupcima određenim ovim pravilnikom. O aktivnostima u vezi s otkrivanjem ili neovlaštenim uništavanjem povjerljivih podataka, zlonamjernim ili neovlaštenim korištenjem, prisvajanjem, preinakom ili oštećenjem zaposlenici su dužni odmah obavijestiti ovlaštenu osobu ili voditelja te sami nastojati spriječiti takve radnje. O svakoj sumnji na povredu zaštite osobnih podataka direktor trgovačkog društva dužan je u roku od 72 sata izvijestiti Povjerenika za informiranje. Kada postoji vjerojatnost da povreda zaštite osobnih podataka uzrokuje značajan rizik za prava i slobode pojedinaca, direktor tvrtke mora osigurati da pogođeni pojedinci budu obaviješteni bez nepotrebnog odgađanja da je došlo do povrede zaštite osobnih podataka.

Članak #27

Direktor društva je dužan osigurati da se nakon sigurnosnog incidenta provede analiza uzroka i predlože mjere za smanjenje ili otklanjanje rizika od takvog i budućih sigurnosnih incidenta, te da se, ako je to razumno i moguće, predložene mjere i provode. Ako se ispostavi da je zaposlenik prouzročio ili sudjelovao u sigurnosnom incidentu ili je do sigurnosnog incidenta došlo zbog nepažnje zaposlenika, direktor društva, neovisno o ostalim odredbama ovog pravilnika, poduzima odgovarajuće radnopravne mjere protiv zaposlenika.

Članak #28

Za provedbu postupaka i mjera zaštite osobnih podataka odgovorni su direktor društva i ovlaštene osobe koje nisu u radnom odnosu u društvu. Kontrola iz stavka 1. ovoga članka uključuje i postupke redovitog ispitivanja, procjene i ocjene učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade. U tome su dužni sudjelovati svi zaposlenici i druge osobe u društvu.

Članak #29

Svatko tko obrađuje osobne podatke dužan je provoditi propisane postupke i mjere za sigurnost podataka i zaštitu podataka za koje je saznao ili im je bio poznat u obavljanju svog posla. Obveza zaštite podataka ne prestaje prestankom radnog odnosa. Prije početka rada na radnom mjestu na kojem se obrađuju osobni podaci, zaposlenik mora potpisati posebnu izjavu kojom se obvezuje na zaštitu osobnih podataka. Iz potpisane izjave mora biti pregledno da je potpisnik upoznat s odredbama ovog pravilnika i odredbama Opće uredbe o zaštiti podataka, a izjava mora sadržavati i uputu o posljedicama povrede.

Članak #30

Za povrede odredaba prethodnog članka zaposlenici podliježu stegovnoj odgovornosti, a ostali podliježu ugovornim obvezama.

Članak #31

Ova politika stupa na snagu 25. svibnja 2018. godine.

Članak #32

Ova je politika objavljenja na internet stranici www.oranza.si. Zaposlenici također imaju pristup direktoru.

Datum objave posljednje verzije: 17.3.2023

X