Temeljem Uredbe (EU) 2016/679 Europskog parlamenata i Vijeća od 27.04.2016.g. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) i drugih propisa u vezi iste (u daljnjem tekstu: Uredba i propisi), tvrtka CRONIQUE turistička agencija j.d.o.o. donosi slijedeću:
DEKLARACIJU O ZAŠTITI OSOBNIH PODATAKA
CRONIQUE turistička agencija j.d.o.o., trgovačko društvo osnovano po hrvatskom pravu, sa sjedištem u Zagrebu, Borovci 17A, OIB; 98874125476 (u daljnjem tekstu: Cronique Agency) je obveznik poštivanja i provedbe Uredbe i propisa, sve kako slijedi:
1. Osnovni pojmovi Uredbe i propisa:
– Voditelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
-Obrada – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
– Osobni podaci – svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
– Izvršitelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
-Treća strana- fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
-Primatelj – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;
2. Načela obrade osobnih podataka:
Cronique Agency je kao voditelj obrade ili izvršitelj obrade osobnih podataka dužan uskladiti tehničke i organizacijske procese u cilju postupanja prema osobnim podacima s posebnom pažnjom, na način da se prikupljaju, pohranjuju i obrađuju osobni podaci prema sljedećim načelima:
– zakonitost, poštenost i transparentnost obrade: obrada treba biti u skladu s određenim pravnim temeljem, a načelima poštene i transparentne obrade zahtijeva se da je pojedinac informiran o postupku obrade i njegovim svrhama, voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka, a osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila;
– ograničavanje svrhe: podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
– smanjenje količine podataka: podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
– točnost i ažuriranost podataka: podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
– ograničenje pohrane: podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; na dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom;
– cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
– pouzdanost: voditelj obrade je odgovoran za poštivanje načela i da je teret dokaza na njemu
Postupanje Cronique Agency-a u skladu s ovom Deklaracijom odnosi se na sve fizičke i pravne osobe koje nam daju na znanje ili korištenje bilo koju vrstu osobnih podataka (zaposlenici, vanjski klijenti, poslovni suradnici i sve ostale treće osobe).
3. Zakonitost obrade i pravni temelj:
Cronique Agency kao voditelj obrade ili izvršitelj obrade osobnih podataka zakonito obrađuje osobne podatke na temelju sljedećih pravnih temelja / osnova obrade:
-ispitanik je dao privole za obradu osobnih podataka u jednu ili više svrha
-obrada je nužna radi izvršenja ugovora u kojoj je ispitanik stranka
-zakonske obveze voditelja obrade
-zaštite ključnih interesa ispitanika ili druge fizičke osobe
-izvršenja zadaće od javnog interesa ili izvršenje službenih ovlasti voditelja obrade
-legitimnog interesa voditelja obrade ili treće strane.
Pravna osnova za obradu utvrđuje se prema Pravu Unije ili pravu države članice kojem Cronique Agency podliježe.
4. Svrha obrade:
Osobni podaci prikupljaju se u svrhu izvršavanja zakonskih obveza Cronique Agency-a, te radi ispunjenja predmeta poslovanja sukladno važećoj registraciji tvrtke.
Podaci se prikupljaju radi korištenja i upravljanja ljudskim potencijalima, ukljućujući praćenja kvalitete profesionalnog rada, radi ostvarivanja prava i obveze iz radnog odnosa, kao i prava i obveza temeljem rada i pružanja usluga turističke agencije, te u druge službene, odnosno poslovne svrhe.
Podaci koji se prikupljaju moraju biti primjereni i relevantni i isključivo u količini koja je nužna za ostvarivanje svrhe obrade osobnih podataka.
5. Kategorije osoba na koje se podaci odnose
Zbirke podataka se odnose prvenstveno na sve osobe koje su sklopile ugovore o radu neposredno s Cronique Agency-om kao poslodavcem (ugovor o radu na određeno, ugovor o radu na neodređeno, ugovor o djelu i sl. ), kao i sve osobe koje su kao klijenti dio pružanja usluga iz djelokruga turističke agencije.
Uz prethodnu privolu, osobni podaci mogu se prikupljati, obrađivati i koristiti dalje za sve klijente koji su zatražili pružanje usluga turističke agencije, kao i ostalih zakonom propisanih djelatnosti Cronique Agency-a.
Ove osobe imaju pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade i čuvanja njihovih podataka, osim ako se radi o obradi i čuvanju podataka prema zakonom propisanoj svrsi i rokovima.
Zbirke se odnose i na sve druge vanjske klijente i poslovne suradnike, te ostale treće osobe kako je navedeno pod točkom 5. ove Deklaracije, Uredbom i propisima.
6. Kategorije podataka i zbirke:
Cronique Agency kao voditelj obrade ili izvršitelj obrade obrađuje sljedeće kategorije osobnih podataka:
-osobne podatke zaposlenika
-osobne podatke vanjskih klijenata
-osobne podatke poslovnih partnera/suradnika/trećih osoba.
Temeljem Uredbe i propisa Cronique Agency uspostavlja i vodi zbirke osobnih podataka, kao i evidencije koje sadrže osnovne informacije o zbirci.
Naziv zbirke:
Zbirka osobnih podataka zaposlenika
Zbirka osobnih podataka o plaćama i računima zaposlenika
Zbirka osobnih podataka vanjskih klijenata
Zbirka osobnih podataka poslovnih suradnika i trećih osoba.
Zbirke podataka moguće je dodavati, mijenjati i brisati ovisno o potrebama poslovanja, sukladno procedurama Uredbe i propisa.
7. Način prikupljanja i čuvanja podataka
Uprava Cronique Agency-a donosi odluku o osobama zaduženim za zaštitu osobnih podataka /službenik/, kao i odluku o osobama koje su osim poslodavca ovlaštene za nadziranje, prikupljanje, obrađivanje, korištenje i dostavljanje osobnih podataka. Podaci o navedenim osobama dostupni su na oglasnoj ploči i internet stranici Cronique Agency-a.
Prije prikupljanja bilo kojih osobnih podataka, djelatnici Cronique Agency-a dužni su informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja obrade ili izvršitelja obrade osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, te pravnoj osnovi za obradu.
Osobni podaci uzimaju se neposredno od ispitanika usmeno ili pisanim putem, kao i na druge dopuštene načine.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku (Zbirke osobnih podataka) čuvaju se u registratorima, u zaključanim prostorijama ili ormarima s ograničenim pristupom odlukom uprave imenovanih zaposlenika, a podaci u računalima zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima koji obrađuju te podatke te se radi daljnje sigurnosti i tajnosti pohranjuju na serveru, koji je zaštićen primjerenim informatičkim i tehničkim zaštitama.
Uništavanje osobne dokumentacije obavlja se s posebnom pažnjom (rezanjem, usitnjavanjem i sl.).
8. Vremensko razdoblje čuvanja i uporabe podataka
Evidencija/zbirka zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na dan prestanka radnog odnosa. Podaci o zaposlenicima predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa uključivo temeljem posebnih popisa arhivskog i registraturnog gradiva s rokovima čuvanja dokumenata.
Evidencija/zbirka o vanjskim klijentima i poslovnim suradnicima, te trećim osobama vodi se od trenutka zasnivanja ugovornog ili drugog poslovnog odnosa, a prestaje se voditi ostvarenjem svrhe za koju su podaci prikupljeni, prestankom važenja ugovora među ugovornim stranama ili raskidom istog odnosno na poseban pisani zahtijev navedenih osoba. Podaci o navedenim osobama u ovom stavku koji predstavljaju dokumentaciju trajne vrijednosti koja se čuva temeljem zakonskih propisa, čuvaju se sukladno posebnim zakonskim propisima uključivo temeljem posebnih propisa arhivskog i registraturnog gradiva s rokovima čuvanja dokumenata.
9. Davanje osobnih podataka na korištenje drugim korisnicima
Osobni podaci sadržani u Zbirkama dostavljaju se na korištenje drugim korisnicima, ako je to potrebno radi obavljanja poslova u okviru zakonskih propisa, privole, ugovornog ili drugog poslovnog odnosa sukladno zakonom utvrđene djelatnosti Cronique Agency-a i drugih korisnika, a sve u skladu i prema proceduri Uredbe i propisa, Pravilniku Cronique Agency-a o zaštiti osobnih podataka, ovoj Deklaracije, te ostalim aktima Cronique Agency-a.
O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom korisniku i o svrsi za koju su dani podaci vodi se posebna evidencija.
10. Mjere zaštite osobnih podataka
Cronique Agency kao voditelj obrade ili izvršitelj obrade obrađuje osobne podatke na način koji jamči sigurnost osobnih podataka, tako da su zaštićeni od neovlaštenog pristupa, nezakonite obrade, slučajnoga gubitka, uništenja ili oštećenja.
Cronique Agency sve navedeno u ovoj točci provodi organizacijskim i tehničkim mjerama.
Cronique Agency kao voditelj obrade ili izvršitelj obrade provodi sljedeće organizacijske i tehničke mjere:
-zaštitu sustava od internih i eksternih rizika
-zaštitu od neovlaštenog pristupa
-zaštitu podataka u fizičkom obliku
-minimiziranje obrade, pseudonimizaciju
-propisivanje pravila – politiku zaštite podataka
-nadležnosti i odgovornosti vlasnika podataka
-periodičku obuku osoblja.
Osoblje Cronique Agency-a koje obrađuje osobne podataka dužno je poštovati organizacijske i tehničke mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili u skladu s odredbama Uredbe i propisa, Pravilnika Cronique Agency-a o zaštiti osobnih podataka, ove Deklaracije i ostalih akata Cronique Agencya.
11. Dužnosti Voditelja obrade ili izvršitelja obrade:
Cronique Agency je kao voditelj obrade ili izvršitelj obrade dužan najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom ispitaniku na njegov zahtjev, odnosno njegovih zakonskih zastupnika ili punomoćnika:
– izdati preslike njegovih osobnih podataka koje obrađuje, bez naplate troškova za prvu presliku (usklađenje s načelom poštenja i transparentnosti te pravom ispitanika na pristup podatcima),
– ispraviti netočne osobne podatke koji se odnose na ispitanika (usklađenje s načelom ažurnosti i točnosti te s pravom ispitanika na ispravak)
– brisati osobne podatke u nekom od navedenih slučajeva (usklađenje s načelom ograničenja pohrane te s pravom ispitanika na brisanje (zaborav))
– brisati osobne podatke ispitanika s interneta i svih poveznica s tim osobnim podatcima, preslika ili rekonstrukcija (usklađenje s načelom ograničenja pohrane i s pravom ispitanika na ograničenost obrade)
– ograničiti obradu osobnih podataka u nekom od navedenih slučajeva (usklađenje s načelom ograničenja pohrane i s pravom ispitanika na ograničenost obrade).
– prenijeti drugom voditelju obrade u strukturiranom, strojnom, čitljivom obliku (USB, CD, e-pošta) osobne podatke ispitanika, ako je ispitanik to zatražio nakon raskida ugovora s voditeljem (usklađenje s pravom ispitanika na prenosivost podataka)
– upozoriti i omogućiti podnošenje prigovora ispitaniku, ako prvi put kontaktira s ispitanikom (potencijalnim kupcem) radi nuđenja proizvoda ili usluga za potrebe izravnog marketinga, podaci se obrađuju na temelju legitimnog interesa, (usklađenje s načelom transparentnosti i s pravom ispitanika na prigovor)
– odrediti osobu nadležnu za zaprimanje zahtjeva ispitanika i upravljanje procesom rješavanja zahtjeva (ako nije imenovao službenika za zaštitu osobnih podataka)
– osigurati način na koji će se ispitanik moći protiviti odluci voditelja obrade na temelju profila i provesti određene sljedeće zaštitne mjere.
12. Prava Ispitanika:
– pravo na informiranost – ispitanik ima pravo znati koji podaci će se prikupljati, zašto, tko će ih prikupljati, za koju svrhu i gdje će ti podaci ići,
– pravo na pristup – ispitanik može zatražiti da vidi koje informacije o njemu voditelj obrade ima,
– pravo na ispravak – ispitanik može zatražiti ispravak ako smatra da su podaci pogrešni ili netočni,
– pravo na brisanje – ispitanik može zatražiti brisanje podataka ako oni više nisu potrebni, izuzev kada postoji i pravna osnova za odbijanje brisanja podataka,
– pravo na ograničavanje obrade – ispitanik ima pravo zatražiti pauziranje obrade podataka ako postoje razlozi da se to učini,
– pravo na prijenos (dijela) podataka – ispitanik ima pravo zatražiti od voditelja obrade da mu preda osobne podatke na prenosnom mediju kako bi ih prenio drugom voditelju obrade,
– pravo na prigovor – ispitanik ima pravo na zaustavljanje obrade podataka,
– pravo da se na ispitanika ne odnosi automatizirano pojedinačno donošenje odluka, uključujući izradu profila.
Ispitanik će o svakoj obradi osobnih podataka biti informiran i to kako se osobni podatci koji se odnose na njega: prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju te do koje se mjere ti osobni podaci obrađuju ili će se obrađivati.
Svaka informacija i komunikacija u vezi s obradom osobnih podataka ispitaniku je lako dostupna i razumljiva jer se prilikom informiranja ispitanika služi jasnim i jednostavnim jezikom.
Ispitanik je upoznat s identitetom voditelja ili izvršitelja obrade i svrhama obrade na internetskim stranicama voditelja ili izvršitelja obrade ili u prostorijama sjedišta / poslovnog prostora istog.
Cronique Agency će obavještavati ispitanika s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja njegovih prava u vezi s obradom podataka putem svoje internetske stranice ili u prostorijama sjedišta / poslovnog prostora u kojem obavlja djelatnost.
Ispitanik se za sve informacije vezano za provedbu Uredbe i propisa može obratiti, od strane Cronique Agency-a, imenovanom službeniku za zaštitu osobnih podataka, Antonio Vukorepa, [email protected].
13. Pravni značaj Deklaracije
Ova Deklaracija je opći akt Cronique Agency-a s tim da svi dokumenti usklađenja obrade osobnih podataka u odnosu na cjelokupni proces poslovanja, kako i odnose s drugim voditeljima obrade, izvršiteljima obrade i tehničkim službama (bilo unutarnjim ili vanjskim), čine sastavni dio ove Deklaracije.