Temeljem odredbi Zakona o provedbi Opće uredbe o zaštiti podataka (NN broj 42/2018) od 9.

svibnja 2018.godine (dalje u tekstu: Zakon) i odredbi Uredbe (EU) broja 2016/679 Europskog

parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih

podataka i o slobodnom kretanju takvih podataka (dalje u tekstu: Uredba), MONTE GIRO d.o.o.

Pula kao voditelj obrade donosi ovaj

PRAVILNIK

O ZAŠTITI OSOBNIH PODATAKA

Članak 1.

Ovim Pravilnikom uređuje se

a) zaštita pojedinca-fizičkih osoba u svezi s obradom njegovih osobnih podataka (u daljnjem

tekstu: ispitanik) u odnosu na prikupljanje, obradu, korištenje i čuvanje osobnih podataka,

b) obveze MONTE GIRO d.o.o. Pula kao Voditelja obrade (u daljnjem testu: voditelj

obrade),

c) prava ispitanika, te

d) provedba organizacijskih, kadrovskih i tehničkih mjera zaštite osobnih podataka,

a sve s ciljem osiguravanja provedbe Uredbe (EU) broja 2016/679 Europskog parlamenta i vijeća

od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o

slobodnom kretanju takvih podataka.

Značenje pojmova bitnih u odnosu na odrednice ovoga pravilnika u odnosu na Uredbu

Članak 2.

„Osobni podaci“ su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može

utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili

neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji,

mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski,

mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Osobni podatak je ime, adresa,

e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama, telefonski

broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice

oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom

zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i bilo koji drugi

podaci povezani sa stvarnom osobom, tj. vlasnikom osobnog podatka koji se mogu upotrijebiti za

direktno ili indirektno identificiranje točno te osobe.

„Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na

skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su

prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje,

obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi

način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

„Voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje

samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;

„Izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje

obrađuje osobne podatke u ime voditelja obrade;

„Primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se

otkrivaju osobni podaci, neovisno o tome je li on treća strana;

„Treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije

ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka

pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

„Privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje

želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih

podataka koji se na njega odnose;

"Sustav pohrane" znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim

kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj

osnovi

"Povreda osobnih podataka" znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog

uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su

preneseni, pohranjeni ili na drugi način obrađivani

„Osoba koja se može identificirati“ je osoba čiji se identitet može utvrditi (izravno ili neizravno)

posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički,

psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

„Posebna kategorija osobnih podataka“ odnosi se na rasno ili etničko podrijetlo, politička

stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka

o kaznenom i prekršajnom postupku.

Članak 3.

Voditelj obrade:

1. obrađuje osobne podatke ispitanika na način da su točni, potpuni i ažurni u svim

evidencijama u kojima su podaci pohranjeni, neovisno o njihovu obliku vođenja.

2. osobne podatke ispitanika:

a) prikuplja samo

- u svrhu sa kojom je ispitanik upoznat, koja je navedena prilikom njegovog

prikupljanja, i

- u svrhu izvršavanja svojih zakonskih i ostalih obveza u skladu sa svojom djelatnošću

b) obrađuje samo u svrhu za koju su podaci prikupljeni, odnosno u svrhu koja se podudara

sa svrhom njenog prikupljanja.

3. koristi osobne podatke ispitanika samo u vremenu koje je nužno za ostvarenje određene

svrhe, osim ako posebnim zakonom nije određeno duže razdoblje te se protekom vremena

istog moraju brisati, ako posebnim zakonom nije što drugo određeno,

4. mora osigurati tehničke mjere zaštite osobnih podataka,

5. mora osigurati čuvanje i arhiviranje osobnih podataka na način i u vremenu u skladu s

posebnim zakonskim propisima i internim aktima koji određuju vrijeme čuvanja osobnih

podataka, njihova brisanja ili uništavanja, te prostore i uvjete njihova arhiviranja.

Članak 4.

Voditelj obrade može na temelju ugovora, a koji mora biti u pisanom obliku, pojedine poslove u

svezi s obradom osobnih podataka u okvirima svojeg djelokruga posla povjeriti njihovu obradu

drugoj fizičkoj ili pravnoj osobi (izvršitelju obrade).

Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je

registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja

odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava

uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.

Članak 5.

Voditelj obrade svojom odlukom imenuje odgovornu osobu i njenu zamjenu u svakom pojedinom

djelu obrade koji je naveden u prethodnom članku ovog Pravilnika, a koja će odgovarati voditelju

obrade za postupanje djelatnika unutar odjela obrade sukladno odredbama ovog Pravilnika i koje

će biti odgovorne za komunikaciju i pružanje informacija službeniku za zaštitu osobnih podataka.

Članak 6.

Osobni podaci koje voditelj obrade prikuplja i obrađuje, a gdje neka druga fizička ili pravna osoba

može imati ili ima pristup takvim osobnim podacima temeljem Ugovora, takav poslovni odnos

mora se urediti posebnim odredbama Ugovora u skladu sa Uredbom u dijelu koji se odnosi na

njihovu tajnost, zaštitu probojnosti s uključenim mjerama zaštite.

Članak 7.

Voditelj obrade sakuplja osobne podatke koji se odnose na:

- zaposlenike, djeca i bračni drug zaposlenika,

- tijela trgovačkog društva (članovi uprave, skupštine, nadzornog odbora),

- vanjske suradnike,

- korisnike osnovne djelatnosti,

- poslovni klijenti,

- studenti, učenici,

- ugovorne korisnike.

Članak 8.

Voditelj obrade dužan je postupati u odnosu na osobne podatke u skladu sa pozitivnim zakonskim

propisima ( zakoni, pravilnici, kolektivni i ostali obvezujući ugovori, uredbe, i sl. ) kojima se uređuje

prikupljanje, obrada i čuvanje osobnih podataka ispitanika.

Članak 9.

U slučajevima kada se osobni podaci ne prikupljaju temeljem važećih zakonskih propisa ili ugovora,

voditelj obrade će prilikom prikupljanja osobnih podataka pribaviti privolu od ispitanika za

prikupljanje i obradu osobnih podataka.

U slučaju ako voditelj obrade podatke obrađuje temeljem legitimnog interesa u smislu Uredbe, tada

je voditelj obrade dužan obaviti test ravnoteže kako bi opravdao legitimni interes.

Članak 10.

Prilikom prvog kontakta sa ispitanikom osobe koje prikupljaju podatke osobne od ispitanika u ime

i za račun voditelja obrade dužne su mu predati:

a) Izjavu o zaštiti osobnih podataka ili

b) drugi dokument koji opisuje i upoznaje ispitanika sa njegovim pravima, te u slučaju ako je

za obradu pojedinog osobnog podatka potreba privola dužni su prije obrade osobnog

podataka istu ishoditi, a prema obrascu privole.

Nakon što je ispitaniku predana izjava o zaštiti osobnih podataka i predana privola, potvrde o

primitku Izjave o zaštiti osobnih podataka i potvrde o privoli biti će predane neposredno

nadređenoj osobi ili drugoj osobi koju ona odredi na kraju radnog dana radi evidencije u središnjem

sustavu dobivenih obrazaca privole i arhiviranja istih.

Privole će se čuvati za vrijeme dok se čuvaju i osobni podaci na koje se ona odnosi, te će se nakon

prestanka potrebe za njihovo čuvanje uništiti fizički uz sastavljanje zapisnika o uništenju od strane

odgovorne osobe i/ili će se vratiti ispitaniku, sve u skladu s odlukom voditelja obrade.

U slučaju ako ispitanik izjavi da mu nije jasno pojedina pravo ili traži dodatna pojašnjenja, osoba

koja prikuplja podatke u ime i za račun voditelja obrade dužna mu ih je dati.

Članak 11.

Ako voditelj obrade nije primio osobne podatke od ispitanika, prilikom prve komunikacije

djelatnici odnosno osobe koje kontaktiraju ispitanika u ime voditelja obrade moraju pružiti

ispitaniku slijedeće informacije:

a) identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, te kontakt

podatke služ benika za zaštitu osobnih podataka,

b) svrhu obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu obrade,

c) kategoriju osobnih podataka koji se obrađuju,

d) kategorije primatelja,

e) ako postoji, namjeru o prijenosu podataka u treću zemlju ili međunarodnu organizaciju,

f) razdoblje pohranjivanja, odnosno kriterije za utvrđivanja razdoblja,

g) ako se obrada temelji na legitimnim interesima informirati ispitanika o legitimnom interesu

voditelja obrade,

h) postojanje prava na pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili

ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu

te prava na prenosivost podataka,

i) pravo na povlačenje privole,

j) pravo na podnošenja prigovora nadležnom tijelu,

k) izvor osobnih podataka,

l) informaciju da li postoji automatizirana obrada osobnih podataka.

Članak 12.

Prilikom obrade osobnih podataka, Voditelj obrade dužan je voditi računa osobito o slijedećim

rokovima i obavezama:

- Kada se obrada temelji na privoli ispitanika, Voditelj obrade dužan je pribaviti privolu za

obradu osobnih podataka te mora u svakom trenutku moći dokazati da je ispitanik dao

privolu za obradu svojih podataka,

- Voditelj obrade dužan je bez odgode, a najkasnije u roku od mjesec dana dostaviti ispitaniku

sve informacije u vezi obrade njegovih osobnih podataka, a na koje ima pravo sukladno

Općoj uredbi. U slučaju složenosti i većeg broja zahtjeva taj se rok može produžiti za

dodatna dva mjeseca, a u kojem slučaju je potrebno izvijestiti ispitanika o toj činjenici u

roku od mjesec dana od primitka zahtjeva sa obrazloženjem za produženje roka,

- U slučajevima da informacije nisu dobivene od ispitanika, Voditelj obrade dužan je odmah

kod prve komunikacije sa ispitanikom, a najkasnije u roku od mjesec dana od dobivanja

osobnih podataka, pružiti ispitaniku informaciju o obradi njegovih osobnih podataka

sukladno odredbama Opće uredbe,

- Voditelj obrade dužan je obavijestiti ispitanika o pravu na prigovor prilikom prve

komunikacije sa ispitanikom,

- U slučaju povrede osobnih podataka, Voditelj obrade dužan je izvijestiti nadzorno tijelo

bez odgode, a najkasnije u roku od 72 sata od saznanja za nastalu povredu. U slučaju

kašnjenja izvješćivanja, potrebno je dostaviti nadzornom tijelu i razloge kašnjenja,

- U slučaju povrede osobnih podataka koje će prema procijeni Voditelja obrade vjerojatno

prouzročiti visok rizik za prava i slobode pojedinca, Voditelj obrade dužan je o istome bez

odgode obavijestiti ispitanika,

- Kada je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode

ispitanika, Voditelj obrade je dužan provesti procjenu uč inka na zaštitu podataka prije

početka obrade podataka,

- U slučajevima kada se temeljem provedene procjene učinka na zaštitu podataka utvrdilo da

bi obrada bez donošenja dodatnih mjera zaštite za ublažavanje rizika dovela do visokog

rizika za prava i slobode pojedinca, Voditelj obrade dužan je prije obrade savjetovati se sa

nadzornim tijelom,

- Voditelj obrade dužan je sve osobne podatke brisati (ili anonimizirati) prestankom svrhe u

koju su prikupljeni, povlačenjem privole ispitanika, odnosno prestankom ugovornog

odnosa i svim ostalim slučajevima sukladno Općoj uredbi, a najkasnije po isteku svih

zakonskih obveza povezanih s čuvanjem osobnih podataka, osim u slučaju da je pokrenut

postupak prisilne naplate neplaćenih potraživanja ili ako je uložen prigovor na proizvod ili

uslugu u roku, sve do konačnog dovršetka postupka po prigovoru u skladu s važećim

propisima,

- U slučajevima kada je na zahtjev ispitanika izvršena dopuna, izmjena ili brisanje osobnih

podataka, o izvršenom ispravku potrebno je izvijestiti osobu na koju se osobni podaci

odnose i primatelje osobnih podataka i to u roku od 30 dana od ispravka.

Članak 13.

Zahtjevi ispitanika kojima ispitanik traži od voditelja obrade neko od svojih prava iz Uredbe moraju

biti u pisanom obliku.

Na zahtjeve ispitanika voditelj obrade je dužan odgovoriti u što kraćem roku, ali najdulje u roku

od mjesec dana od dana primitka zahtjeva.

Prilikom podnošenja zahtjeva potrebno je utvrditi identitet osobe koja podnosi zahtjev uvidom u

osobnu iskaznicu, ili uvidom u putovnicu.

Nije moguće postupanje po zahtjevu prije nesumnjivog utvrđivanja identiteta ispitanika.

Voditelj obrade ne smije prenijeti osobi niti jedan osobni podatak prije nego što se utvrdi identitet.

Tehničke mjere zaštite

Članak 14.

Voditelj obrade dužan je voditi računa da pristup osobnim podacima imaju samo ovlaštene osobe

i to najmanje na način:

a) da redovito mijenja lozinke koje služe za otključavanje računala, i to najmanje jednom u tri

mjeseca,

b) da se lozinke za otključavanje kompjutera čuvaju na siguran način i da pristup istima imaju

samo osobe koje zaduži Voditelj obrade odlukom,

c) da lozinke po broju znakova i kompleksnosti osiguraju što veću razinu zaštite,

d) da se onemogući da se istekle lozinke ponovo koriste,

e) da postoji sustav koji će upozoriti voditelja obrade u slučaju neovlaštenog pristupa osobnim

podacima,

f) da se nakon određenog broja pokušaja unošenja netočne lozinke računalo automatski

zaključa.

Članak 15.

Voditelj obrade je dužan osigurati zaštitu informatičkog sustava, i to na način da osigura da su

informatička mreža i sistemi zaštićeni od:

- požara,

- poplave,

- gubitka napajanja,

- neovlaštenog pristupa,

- da se koriste antivirusne zaštite,

- enkripcija i

- pseudonimizacija podataka kada je moguć e kao i druge odgovarajuće mjere kojima će se

osigurati što veća razna informacijske sigurnosti.

Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u

registratorima, u zaključanim ormarima, u sefovima, a podaci u računalu zaštićuju se dodjeljivanjem

korisničkog imena i lozinke koja je poznata zaposlenicima koji obrađuju te podatke, te se radi

daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije i backup na serveru.

Službenik za zaštitu osobnih podataka

Članak 16.

Voditelj obrade će imenovati službenika za zaštitu osobnih podataka.

Službenik za zaštitu osobnih podataka može biti i osoba koja nije zaposlenik Voditelja obrade

osobnih podataka.

Službenik za zaštitu osobnih podataka direktno odgovara odgovornoj osobi voditelja obrade i ne

smije primati upute od drugih zaposlenika Voditelja obrade podataka i zadužen je za izravan

kontakt sa nadležnim nadzornim tijelom.

Voditelj obrade je dužan javno objaviti kontakt podatke Službenika za zaštitu osobnih podataka na

svojim web stranicama i na svaki drugi prikladan način.

Članak 17.

Službenik za zaštitu osobnih podataka treba imati vještine i stručnost koje podrazumijevaju:

a) stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite osobnih

podataka, uključujući dubinsko razumijevanje Uredbe,

b) aktivno razumijevanje u provođenju postupaka obrade,

c) razumijevanje informacijskih tehnologija i sigurnosti osobnih podataka,

d) poznavanje sustava poslovne i radne organizacije voditelja obrade,

e) sposobnost promicanja kulture zaštite osobnih podataka unutar djelatnosti voditelja

obrade.

Članak 18.

Ovisno o prirodi postupaka obrade te djelatnosti i veličini voditelja obrade službeniku za zaštitu

podataka potrebno je pružiti sljedeće:

a) aktivnu potporu višeg rukovodstva funkciji službenika za zaštitu osobnih podataka,

b) dostatno vrijeme kako bi službenik za zaštitu osobnih podataka ispunio svoje dužnosti,

c) primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti,

oprema) i prema potrebi osoblja,

d) službenu obavijest o imenovanju službenika za zaštitu osobnih podataka upućenu svim

osobama,

e) pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu osobnih

podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,

f) kontinuirano osposobljavanje.

Članak 19.

Voditelj obrade ne smije:

a) službeniku za zaštitu osobnih podataka davati upute za izvršavanje zadaća,

b) službenika za zaštitu osobnih podataka razriješiti dužnosti ili kazniti zbog izvršavanja

zadaća,

c) postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti.

Službenik za zaštitu osobnih podataka ne smije biti:

a) zakonski zastupnik Voditelja obrade,

b) osoba koji prikuplja i obrađuje osobne podatke,

c) voditelj odjela za marketing, javnost,

d) voditelj ljudskih resursa

e) voditelj odjela za informacijsku tehnologiju

f) ili bilo koja druga osoba koja je pozicionirana u višem rukovodstvu ali i osoba koja na

svojem položaju utvrđuje svrhu i način obrade osobnih podataka.

Imenovanje vanjskog službenika za zaštitu osobnih podataka

Članak 20.

Voditelj obrade za Službenika za zaštitu osobnih podataka može odrediti i imenovati vanjsku

fizičku ili pravnu osobu koja nije zaposlena kod Voditelja obrade temeljem Ugovora o izvršavanju

poslova službenika za zaštitu osobnih podataka temeljenog na Uredbi i ovom Pravilniku, posebice

uvažavajući odredbe prethodnih članka ovoga Pravilnika koji se odnose na Službenike za zaštitu

osobnih podataka.

Vanjski službenih za zaštitu osobnih podataka mora jamčiti voditelju obrade da ima stručna znanja,

potrebne resurse i pouzdanost za provedbu tehničkih i organizacijskih mjera koje se, pri obradi

osobnih podataka u funkciji izvršenja Ugovora, primjenjuju sukladno propisima iz područja zaštite

osobnih podataka, Uredbe i ovoga Pravilnika, neposredno ili posredno putem vanjskih stručnih

suradnika.

Evidencija aktivnosti obrade

Članak 21.

Voditelj obrade, kao i Izvršitelj obrade ukoliko on kao takav postoji, temeljem članka 30. Uredbe

mora učiniti i voditi Evidenciju aktivnosti obrade gdje će iskazati slijedeće informacije:

a) ime i kontaktne podatke voditelja obrade

b) ime i kontaktne podatke službenika za zaštitu podataka;

c) svrhe obrade;

d) opis kategorija ispitanika

e) opis kategorija osobnih podataka;

f) kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,

g) predviđene rokove za brisanje različitih kategorija podataka;

h) opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. 2.

Evidencija iz prednjeg stavka ovog članka Pravilnika mora biti u pisanom obliku, uključujući

elektronički oblik.

Obveze iz ovog članka Pravilnika primjenjuju se:

a) na pravnu osobu u kojoj je zaposleno više od 250 osoba,

b) ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode

ispitanika,

c) ako obrada nije povremena i kada obrada uključuje posebne kategorije podataka iz

članka 9. stavka 1. Uredbe ili

d) je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivi

Za vođenje evidencije obrade osobnih podataka osoba ovlaštena na zastupanje voditelja obrade

će imenovati odgovornu osobu.

Procjene učinka na privatnost

Članak 22.

Voditelj obrade u slučaju ispunjenja uvjeta određenih Uredbom kojeg obvezuje izraditi procjenu

učinka na privatnost prilikom obrade osobnih podataka posebnih kategorija kao i gdje je utvrdio

da osobni podaci mogu prouzročiti visok rizik za prava i slobode pojedinaca, izraditi će predmetnu

procjenu

U slučaju novih vrsta obrade koje bi putem novih tehnologija i uzimajući u obzir prirodu, opseg,

kontekst i svrhe obrade, mogle prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade

prije obrade obvezan je obaviti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih

podataka.

Prilikom procjene učinka na privatnost voditelj obrade je dužan zatražiti savjet od službenika za

zaštitu osobnih podataka.

Pohrana i čuvanje osobnih podataka

Članak 23.

Voditelj obrade u odnosu na način i pohranu arhivske građe i vremenu njenog čuvanja uređuje u

skladu s zakonskim propisima i općim aktom, u kojima su obuhvaćeni osobni podaci ispitanika u

odnosu na utvrđenje načina i vremena njihova pohranjivanja i čuvanja, tehničkim mjerama zaštite,

kao i prostorijama i opremi gdje i kako se čuvaju.

Evidencija zaposlenika počinje se voditi na dan zasnivanja radnog odnosa, a prestaje se voditi na

dan prestanka radnog odnosa. Osobni podaci o zaposlenicima predstavljaju dokumentaciju trajne

vrijednosti koja se čuva temeljem zakonskim propisa i općeg akta o zaštiti arhivskog i registraturnog

gradiva s rokovima čuvanja dokumenata.

Evidenciju od članovima tijela trg. društva (članovi uprave - direktor, nadzornog odbora, skupštine)

počinje se voditi na dan njihova imenovanja/upisa u trg. registar suda, a prestaje se voditi na dan

prestanka njihova mandata/izlaska iz trg. društva. Ovi osobni podaci predstavljaju dokumentaciju

trajne vrijednosti koja se čuva temeljem zakonskih propisa ili općeg akta.

Evidencija o građanima i vanjskim suradnicima vodi se od trenutka podnošenja zahtjeva ili od

trenutka sklapanja ugovora, a prestaje se voditi ostvarenjem svrhe za koju su podaci prikupljeni.

Podaci se čuvaju temeljem zakonskih propisa ili općeg akta.

Davanje osobnih podataka na korištenje drugim korisnicima

Članak 24.

Osobni podaci koje prikuplja i obrađuje Voditelj obrade daju se na korištenje na temelju pisanog

zahtjeva drugim korisnicima ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene

djelatnosti takvog korisnika.

Prije davanja osobnih podataka na korištenje drugim korisnicima Voditelj obrade će o tome

obavijestiti ispitanika (usmeno, elektronskim putem).

O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom korisniku i o svrsi za

koju su dani podaci vodi se posebna evidencija.

Odgovornost osobe koja prikuplja i obrađuje osobne podatke

Čanak 25.

Stručno i administrativno osoblje Voditelja obrade koje prikuplja i obrađuje osobne podataka

(imenovanih i određenih od Voditelja obrade) dužno je:

a) postupati u skladu s Uredbom, ovim Pravilnikom i ostalim aktima i odlukama koje se

odnose na osobne podatke ispitanika,

b) poduzeti sve mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili

od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene,

nedopuštenog objavljivanja i svake druge zlouporabe,

koji propust čini osobito tešku povredu radne obveze zbog koje se može izreći izvanredni otkaz

radnog odnosa prema osobi počinitelju.

Navedene osobe dužne su potpisati Izjavu o povjerljivosti kojom će se obvezati:

a) da će čuvati povjerljivost svih osobnih podataka na kojima ima pravo i ovlast pristupa a

koji se nalaze u zbirkama osobnih podataka

b) da će osobne podatke koristiti isključivo u točno određenu (propisanu) svrhu

c) da će se s osobnim podacima služiti onoliko vremena koliko je to nužno za ostvarenje svrhe

za koju su uzeti te ih neću dalje obrađivati u neku drugu svrhu

d) da osobne podatke na kojima imam pravo i ovlast pristupa neće dostavljati/davati na

korištenje niti na bilo koji drugi način učiniti dostupnima trećim (neovlaštenim) osobama,

e) da će povjerljivost osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim

podacima.

Ostale odredbe

Članak 26.

Za pitanja koja nisu navedena ovim Pravilnikom primjenjuju se odredbe Uredbe (EU) broja

2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016. godine o zaštiti pojedinca u vezi

s obradom osobnih podataka i o slobodnom kretanju takvih podataka, Zakona o provedbi Opće

uredbe o zaštiti podataka (NN broj 42/2018) od 9. svibnja 2018.godine i ostali pozitivni zakonski

propisi RH koji uređuju provedbu Uredbe ili se odnose na osobne podatke.

Članak 27.

Ovaj Pravilnik stupa na snagu 8 dana od dana objave na oglasnoj ploči.

Direktor:

Darko Buršić, ing.