Na temelju članka 39. stavak 5. podstavak 5. Statuta Udruge invalida rada Zagreba (dalje: UIR Zagreba), Upravni odbor UIR Zagreba na svojoj 7. sjednici održanoj 29.10.2020. godine donio je
KODEKS ZAŠTITE OSOBNIH PODATAKA
UDRUGE INVALIDA RADA ZAGREBA
Članak 1.
Ovim Kodeksom, Udruga invalida rada Zagreba (dalje: UIR Zagreba) kao voditelj obrade, uređuje zaštitu, prikupljanje, obradu i korištenje osobnih podataka fizičkih osoba sukladno Uredbi (EU) 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka - dalje : GDPR Uredba) te sukladno Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/18).
OSNOVNI POJMOVI
Članak 2.
Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime i prezime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Obrada znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Ispitanik je fizička osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime i prezime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Voditelj obrade je UIR Zagreba koja nadzire prikupljanje, obradu, korištenje i zaštitu osobnih podataka fizičkih osoba.
Primatelj je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li to treća strana.
Treća strana je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade niti osoba ovlaštena za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
Privola ispitanika je svako dobrovoljno, specificirano, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
NAČELA OBRADE OSOBNIH PODATAKA
Članak 3.
1. Zakonitost, poštenost i transparentnost obrade: Obrada mora biti u skladu s određenim pravnim temeljem, a pojedinac informiran o postupku obrade, njegovim svrhama i svim drugim relevantnim informacijama.
2. Ograničavanje svrhe: Podaci se prikupljaju samo i isključivo u svrhe svakodnevnog rada i izvršavanja poslova UIR Zagreba te se smiju obrađivati i koristiti samo u te svrhe.
3. Smanjenje količine podataka: Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
4. Točnost: Podaci moraju biti točni i ažurni.
5. Cjelovitost i povjerljivost: Podaci moraju biti obrađivani na način kojim se osigurava maksimalna razina sigurnosti.
UIR Zagreba je provela procjenu rizika te definirala mjere za postupanje s rizicima kako bi se isti minimizirali. To uključuje zaštitu od neovlaštene ili nezakonite obrade te zaštitu od slučajnog gubitka, uništenja ili oštećenja osobnih podataka.
PRAVNI TEMELJ OBRADE
Članak 4.
Načelo zakonitosti
UIR Zagreba postupa sukladno odredbama pozitivnih propisa Republike Hrvatske, prije svega Zakona o udrugama (NN 74/14, 70/17, 98/19), prikuplja i obrađuje podatke fizičkih osoba, svojih članova, sukladno odredbama članka 12. stavka 3. Zakona o udrugama. Voditelj obrade provodi obradu u izvršavanju neke od sljedećih zakonskih obveza:
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili za poduzimanje radnji na zahtjev ispitanika prije sklapanja ugovora;
- obrada je nužna radi poštivanja pravnih obveza voditelja obrade;
- obrada je nužna za zaštititu ključnih interesa ispitanika ili drugih fizičkih osoba;
- obrada je nužna za izvršavanje zadaće od javnog interesa ili za izvršavanje službene ovlasti voditelja obrade.
U slučajevima prikupljanja osobnih podataka izvan situacija predviđenih točkama od 1. do 4. ovog članka, voditelj obrade provodi obradu ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha.
OBRADA PODATAKA
Članak 5.
Podaci iz članka 2. stavka 1. ovog Kodeksa prikupljaju se i obrađuju u svrhu redovitog poslovanja UIR Zagreba te ih UIR Zagreba pribavlja osobnim uvidom, skeniranjem, preslikom, elektroničkom komunikacijom te na drugi analogni ili elektronički propisan način. Obrada biometrijskih podataka te podataka o zdravstvenom stanju članova temelji se na privoli te članku 9. stavku d. GDPR uredbe:
"Obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika."
Obrada osobnih podataka zaposlenika UIR Zagreba, a koja se ne može podvesti pod Načelo zakonitosti, sukladno citatu 155 Preambule GDPR uredbe, temelji se na izričitoj privoli zaposlenika UIR Zagreba.
Obrada osobnih podataka putem videonadzora provodi se sukladno odredbama Zakona o provedbi opće uredbe o zaštiti osobnih podataka i posebnim propisima. Za druge podatke, koji nisu nužni za ispunjavanje zakonskih odredbi ili izvršavanje ugovora, od ispitanika će biti zatražena privola u pisanom obliku za obradu osobnih podataka.
Članak 6.
Sukladno odredbama pozitivnih propisa Republike Hrvatske, a vezano uz ostvarivanje članskih prava UIR Zagreba, voditelj obrade dužan je određene podatke davati trećim stranama.
Takve obrade se temelje na izričitoj privoli članova UIR Zagreba te se evidentiraju u posebnoj evidenciji obrade osobnih podataka, sukladno GDPR uredbi.
Članak 7.
U slučajevima obrade koja se temelji isključivo na privoli ispitanika – člana UIR Zagreba, UIR Zagreba obvezna je na pisani zahtjev ispitanika, najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom ispitaniku na njegov zahtjev:
- dostaviti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega ili ne,
- dati obavijest o podacima koji se odnose na njega, a čija je obrada u tijeku te obavijest o izvoru tih podataka,
- dostaviti izvatke, potvrde ili ispise osobnih podataka koji se na njega odnose, a koji moraju sadržavati naznaku svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,
- dostaviti ispis podataka o tome tko je i za koje svrhe te po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega,
- dopuniti, izmijeniti ili brisati njegove osobne podatke ako su nepotpuni, netočni ili neažurni te ako njihova obrada nije u skladu s Uredbom te o izvršenoj dopuni, izmjeni ili brisanju najkasnije u roku od 30 dana obavijestiti ispitanika i primatelje osobnih podataka.
Članak 8.
Obrada posebnih kategorija podataka koji otkrivaju rasno i/ili etničko podrijetlo, politička mišljenja, vjerska i/ili filozofska uvjerenja, članstvo u sindikatu ili seksualnoj orijentaciji pojedinca se provodi ako je isto propisano odredbama pozitivnih propisa Republike Hrvatske ili ako je ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha.
SIGURNOST OBRADE
Članak 9.
Da bi se izbjegao neovlašten pristup osobnim podacima ili njihov gubitak, podaci koji nisu prikupljeni temeljem posebnih propisa pohranjeni u papirnatom obliku, čuvaju se u dosjeima ili registratorima, u zaključanim ormarima i prostorijama kojima mogu pristupiti samo ovlašteni zaposlenici. Za podatke pohranjene u elektroničkom obliku na računalima, ujedno zaštićene sigurnosnim programima i dodjeljivanjem posebnog korisničkog imena i lozinke poznatim samo osobama koje obrađuje te podatke, redovito se izrađuju sigurnosne kopije i pohranjuju na nekoliko vanjskih servera UIR Zagreba.
Članak 10.
U slučaju povrede osobnih podataka za koju je vjerojatno da će prouzročiti rizik za prava i slobode pojedinca, UIR Zagreba će bez odgode, a najkasnije u roku od 72 sata od saznanja o povredi, izvijestiti nadzorno tijelo, a u slučaju da povreda predstavlja visok rizik za prava i slobode pojedinca, voditelj obrade će o tome informirati i ispitanika.
PRAVA ISPITANIKA
Članak 11.
Ispitanik ima pravo na:
Transparentnost: pružanje informacija prilikom prikupljanja osobnih podataka kada voditelj obrade, među ostalim informacijama, ima obvezu obavijestiti ispitanika i o svom identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primateljima, iznošenju u treće zemlje, razdoblju pohrane, mogućnosti povlačenja privole itd.
Pristup podacima: dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te u tom slučaju dobiti pristup tim osobnim podacima i informacije, među ostalim, o obrađenim osobnim podacima koji se na njega odnose, o svrsi te obrade, roku pohrane tih podataka, njihovu iznošenju u treće zemlje itd.
Pravo na ispravak: ispitanik ima pravo zahtijevati ispravak netočnih osobnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Brisanje ("pravo na zaborav"): ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati te osobne podatke bez nepotrebnog odgađanja ako, među ostalim, ti osobni podaci više nisu nužni u odnosu na svrhu obrade, ako je ispitanik povukao privolu za obradu, ako su ti osobni podaci nezakonito obrađeni itd.
Pravo na ograničenje obrade: u pojedinim situacijama ispitanik ima pravo zahtijevati da se obrada ograniči uz iznimku pohrane i nekih drugih vrsta obrade.
To su situacije kada:
- ispitanik osporava točnost osobnih podataka, na razdoblje kojem se voditelju obrade omogućuje provjera točnosti osobnih podataka;
- je obrada nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
- voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
- ispitanik je uložio prigovor na obradu, očekujući potvrdu o tome nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.
Pravo na prenosivost: ispitanik ima pravo zaprimiti svoje osobne podatke, a koje je prethodno pružio voditelju obrade, u strukturiranom obliku te u uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su ti osobni podaci pruženi ako se obrada provodi automatiziranim putem i temelji na privoli ili ugovoru.
Pravo na prigovor: ispitanik ima pravo uložiti prigovor na obradu osobnih podataka koji se na njega odnose. Tada voditelj obrade ne smije više obrađivati osobne podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika.
ZAVRŠNE ODREDBE
Članak 12.
Na sva pitanja u vezi zaštite, prikupljanja, obrade i korištenja osobnih podataka koja nisu uređena ovim Pravilnikom, primjenjuju se odredbe UREDBE (EU) 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, Zakona o provedbi Uredbe (EU) 2016/679 i odredbe drugih važećih propisa kojima se regulira zaštita osobnih podataka.
Članak 13.
Ovaj Kodeks stupa na snagu danom donošenja.
Članak 14.
Kodeks potpisuje Predsjednik UIR Zagreba.
Kodeks će biti objavljen na oglasnoj ploči u sjedištu UIR Zagreba i mrežnim stranicama UIR Zagreba.
U Zagrebu, 30.10.2020. godine.
Predsjednica:
Nada Vorkapić