OPĆA UREDBA O ZAŠTITI OSOBNIH PODATAKA
POLITIKA ZAŠTITE OSOBNIH PODATAKA
U Splitu, 23.5.2018.
Na temelju Opće uredbe u zaštiti podataka (Uredba EU 2016/679), DENTECH d.o.o. 23.5.2018. godine donosi dokument
POLITIKA ZAŠTITE OSOBNIH PODATAKA
I. POJMOVNIK
Osobni podatak – podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik“)
Ispitanik – jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
Obrada osobnih podatka – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
Voditelj obrade – znači fizička ili pravna osoba, koja samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;
Izvršitelj obrade – znači fizička ili pravna osoba, koja obrađuje osobne podatke u ime voditelja obrade;
Informacijski sustav – sveobuhvatnost tehnološke infrastrukture, organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz te distribuciju informacija kao i raspolaganje njima. Informacijski sustav moguće je definirati i kao međudjelovanje informacijske tehnologije, podataka i postupaka za procesiranje podataka te ljudi koji prikupljaju navedene podatke i njima se koriste.
Nadzorno tijelo – neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska u svrhu kontrole i osiguranja provođenja Uredbe
Povjerljivost – svojstvo informacija (podataka) da nisu dostupne ili otkrivene neovlaštenim subjektima.
Integritet – svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno mijenjani.
Privola – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
Pseudonimizacija – obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
Povreda osobnih podataka – znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
Izrada profila – svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca
Treće strane –fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
Distributivni kanali – predstavljaju sredstva i načine preko kojih je omogućen pristup, ugovaranje, korištenje proizvoda i usluga DENTECH d.o.o. te slanje komercijalnih informacija i ponuda vezanih uz proizvode i usluge DENTECH d.o.o., a obuhvaćaju i ugovorne partnere i izvršitelje, web stranicu DENTECH d.o.o.: https://dentech.hr , https://miglioridentisti-croazia.it/ , https://dentech-croazia.it/, https://zahnklinikkroatien.de, https://best-dentists-croatia.co.uk/
Informacija, o dostupnim distributivnim kanalima DENTECH d.o.o., je klijentu u svakom trenutku dostupna putem e-maila na info@dentech.hr .
Obvezujuća korporativna pravila – politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastankom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar DENTECH d.o.o.
II. TEMELJNE ODREDBE
U smislu ove politike DENTECH d.o.o. , sve lokacije i web stranice.
Zaštita podataka zauzima značajno mjesto u poslovanju DENTECH d.o.o. (u daljnjem tekstu: DENTECH d.o.o. ) koja u svom svakodnevnom poslovanju prikuplja i obrađuje osobne podatke klijenata, zaposlenika, poslovnih partnera ili drugih osoba s kojima ostvaruje poslovnu suradnju (u daljnjem tekstu: ispitanici).
Politika zaštite osobnih podataka (u daljnjem tekstu: Politika) je temeljni akt koji opisuje svrhu i ciljeve prikupljanja, obrade i upravljanja osobnim podacima unutar DENTECH d.o.o. , a koji se temelji na vodećim svjetskim praksama iz područja zaštite osobnih podataka. Politika osigurava adekvatnu razinu zaštite podataka u skladu s Općom uredbom o zaštiti podataka (u nastavku: Uredba) i drugim primjenjivim važećim zakonima vezanim uz zaštitu osobnih podataka.
III. OPSEG I CILJ
Politika zaštite osobnih za svrhu ima uspostavljanje okvira zaštite osobnih podataka sukladno Općoj uredbi o zaštiti podataka. Politika utvrđuje pravila povezana sa zaštitom pojedinaca u pogledu prikupljanja i obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima ispitanika, odnosno klijenata, zaposlenika, poslovnih partnera članica DENTECH d.o.o. i drugih osoba čiji se osobnih podaci obrađuju.
IV. NAČELA OBRADE PODATAKA
Načela obrade podataka su osnovna pravila kojih se DENTECH d.o.o. pridržava prilikom obrade osobnih podataka ispitanika, a obrade koje se provode sukladno niže navedenim načelima smatraju se zakonitima.
DENTAL CENTAR RADOVIĆ d.o.o. osobne podatke obrađuje u skladu sa sljedećim načelima obrade:
1. Zakonito i pošteno – s obzirom na ispitanike i njihova prava, DENTECH d.o.o. će obrađivati osobne podatke ispitanika sukladno važećim zakonima i pokrivajući sva prava ispitanika.
2. Transparentno – DENTECH d.o.o. će osigurati transparentnost obrada osobnih podataka te će, sukladno Uredbi, pružiti ispitanicima sve potrebne informacije i na zahtjev osigurati ispitanicima uvid u njihove podatke, obrazloženja obrada, temelje i zakonitosti obrade i sl. 3. Uz ograničenje svrhe – osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
4. Uz ograničenje pohrane – DENTECH d.o.o. osigurava da su osobni podaci ispitanika čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.
5. Koristeći samo potrebne podatke (smanjenje količine podataka) – DENTECH d.o.o. osobne podatke prikuplja i obrađuje na način da su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
6. Točnost – DENTECH d.o.o. osigurava da su podaci točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave.
7. Osigurava sigurnost, nadzor i kontrolu nad podacima i obradama podataka (Cjelovitost i povjerljivost) – DENTECH d.o.o. prikuplja i obrađuje podatke na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Sukladno navedenim načelima, podacima ispitanika pristupat će djelatnici DENTECH d.o.o. ovisno o njihovim ovlaštenjima i radnim mjestima, kako bi uspješno ispunili poslove definirane za njihovo radno mjesto.
V. ZAKONITOST OBRADE
DENTECH d.o.o. osobne podatke ispitanika smatra njihovim vlasništvom te se prema njima tako i odnosi. Sukladno tome, osobni podaci ispitanika obrađuju se kada je zadovoljen jedan od niže navedenih uvjeta:
a) obrada je nužna radi poštovanja pravnih obveza DENTECH d.o.o. (važeći zakonski propisi) – u svakom trenutku kada zakon ovlašćuje ili obvezuje na određenu obradu, DENTECH d.o.o. će temeljem tog zakona obrađivati osobne podatke ispitanika. b) obrada je nužna za potrebe legitimnih interesa DENTECH d.o.o. ili treće strane – osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
c) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik ima pravo u svakom trenutku povući svoju privolu (povlačenje privole mora biti jednako jednostavno kao i davanje privole). DENTECH d.o.o. će ispitanika zatražiti privole za obrade podataka i kontaktiranje zbog potreba direktnog marketinga putem kontakt podatka koje je ispitanik ustupio.
d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
f) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
VI. PRAVA ISPITANIKA
DENTECH d.o.o. smatra kako su osobni podaci ispitanika njegovo vlasništvo te iako su nam ti podaci neophodni za pružanje usluge, ispitanici u svakom trenutku zadržavaju određena prava u odnosu na obrade njihovih podataka te DENTECH d.o.o. podatke prikuplja i obrađuje samo uz postojanje gore navedenih zakonitosti obrade.
DENTECH d.o.o. će u trenutku prikupljanja informacija od ispitanika pružiti sljedeće informacije:
identitet i kontaktne podatke voditelja obrade,
kontaktne podatke službenika za zaštitu podataka,
svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i
pravnu osnovu za obradu,
legitimne interese, primatelje ili kategorije primatelja osobnih podataka,
namjeru prijenosa osobnih podataka trećim zemljama (ako postoji),
razdoblje pohrane podataka ili kriterije koji definiraju to razdoblje,
prava vezana uz privole,
potencijalno postojanje automatiziranog donošenja odluka što podrazumijeva i izradu profila (smislene informacije o kojoj je logici obrade riječ te potencijalnim posljedicama i važnosti same obrade za ispitanika) te postojanje niže navedenih prava.
U slučaju da se podaci ne prikupljaju izravno od ispitanika, uz navedene podatke navodi se i izvor osobnih podataka.
Pravo na brisanje („pravo na zaborav“) – ispitanik ima pravo od DENTECH d.o.o. ishoditi brisanje osobnih podataka koji se na njega odnose, a DENTECH d.o.o. ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
a. osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni
b. ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za obradu
c. ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje imaju veću težinu od legitimnog interesa DENTECH d.o.o. za obradu i/ili čuvanje osobnih podataka
d. osobni podaci nezakonito su obrađeni
e. osobni podaci moraju se brisati radi poštovanja pravne obveze
Pravo na pristup podacima – ispitanik ima pravo dobiti od DENTECH d.o.o. potvrdu obrađuju li se njegovi osobni podaci te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni, i sl.
Pravo na ispravak – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od DENTECH d.o.o. ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave. Pravo na prijenos podataka – ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio DENTECH d.o.o. u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade. Potrebno je uzeti u obzir da se pravo prijenosa odnosi isključivo na osobne podatke ispitanika.
Pravo na prigovor – ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega.
DENTECH d.o.o. u takvoj situaciji više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Nadalje, ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom
Pravo na ograničenje obrade – ispitanik ima od DENTECH d.o.o. pravo tražiti pravo na ograničenje obrade u slučaju da osporava točnost osobnih podataka, kada smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe, te u slučaju kada je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika
Ispitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od gore navedenih prava. DENTECH d.o.o. ispitaniku na zahtjev pruža informacije o poduzetim radnjama vezanim uz navedena prava, najkasnije u roku od 3 mj. od zaprimanja zahtjeva (ovisno o količini i kompleksnosti zahtjeva) – svi zahtjevi će se pokušati adresirati unutar 1 mjeseca te će rok produljiti najviše za dodatna 2 mjeseca kada je to nužno.
Ako DENTECH d.o.o. ne postupi po zahtjevu ispitanika, bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvijestit će ispitanika o razlozima zbog kojih nije postupila.
VII. OBVEZE DENTECH d.o.o. SUKLADNO UREDBI
DENTECH d.o.o. kontinuirano provodi odgovarajuće tehničke i organizacijske mjere zaštite uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.
Spomenute mjere uključuju provedbu odgovarajućih politika zaštite podataka:
– Osobni podaci ispitanika čuvaju se u skladu s internim standardima sigurnosti
– Nije dozvoljeno neovlašteno prikupljanje, obrada ili korištenje osobnih podataka.
– Zaposlenicima je strogo zabranjeno korištenje osobnih podataka ispitanika u bilo koju svrhu koja nije u skladu s uvjetima definiranim u poglavlju IV. Zakonitost obrade.
– Osobni podaci se štite od neovlaštenog pristupa, korištenja, izmjene te gubitka.
– Pridržavanje ove Politike te ostalih politika i procedura vezanih uz zaštitu podataka se također redovito provjerava a provjeru provodi Službenik za zaštitu podataka
VIII. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
DENTECH d.o.o. ne obrađuje podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu ili seksualnoj orijentaciji pojedinca.
Obrada gore navedenih posebnih kategorija osobnih podataka provodit će iznimno u sljedećim uvjetima:
– ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha
– obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik
– obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva
DENTECH d.o.o. posebno štiti osobne podatke djece, budući da djeca mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Djecom se smatraju osobe mlađe od šesnaest godina.
IX. PRIJENOS OSOBNIH PODATAKA
Na zahtjev ispitanika prijenos osobnih podataka je moguć i partnerima DENTECH d.o.o. kojima je povjereno obavljanje određenih usluga. Prilikom prijenosa podataka ispitanika vanjskim partnerima strogo se poštuje načelo ograničenja obrade uz prijenos minimalne količine podataka koja je potrebna kako bi se realizirala tražena usluga.
X. KORIŠTENJE OSOBNIH PODATAKA U POSLOVANJU S POSLOVNIM KORISNICIMA
Poslovni korisnici unutar DENTECH d.o.o. mogu biti svaka pravna osoba, tijelo državne vlasti, jedinica lokalne ili područne samouprave te njihova tijela, udruga i društvo (sportsko, kulturno, dobrotvorno i sl.), kao i svaka fizička osoba (ne potrošač) koja djeluje unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja.
DENTECH d.o.o. prikuplja i obrađuje podatke o poslovnim korisnicima, transakcijama, korištenju proizvoda i usluga i osobne podatke fizičkih osoba (ne potrošača) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja te osobne podatke fizičkih osoba (potrošača) koje su povezane s poslovnim korisnicima.
XI. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO)
DENTECH d.o.o. imenovao je Službenika za zaštitu podataka koji je neovisan i kao takav djeluje u interesu zaštite prava ispitanika i njihovih osobnih podataka. Njegova je odgovornost da primjenjuje Politika zaštite osobnih podataka te ostale politike i procedure koje definiraju pravila postupanja prilikom prikupljanja i obrade osobnih podataka ispitanika. On je na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka.
Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
– informiranje i savjetovanje DENTECH d.o.o. te zaposlenika koji obavljaju obradu o njihovim obvezama iz Uredbe te drugim odredbama Europske unije ili Republike Hrvatske o zaštiti podataka;
– praćenje poštovanja Uredbe te drugih odredaba Europske Unije ili Republike Hrvatske o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
– pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
– suradnja s nadzornim tijelom;
– djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te savjetovanje, prema potrebi, o svim drugim pitanjima.
Ispitanici mogu Službenika za zaštitu osobnih podataka kontaktirati putem email adrese privola@dentech.hr.
XII. PROCJENA UČINKA
Službenik za zaštitu osobnih podataka odgovoran je da osigura provedbu „procjene učinka na zaštitu podataka“, odnosno da bude podrška prilikom izrade procjene. DENTECH d.o.o. obvezno provodi procjenu učinka na zaštitu podataka u slučaju:
– sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
– opsežne obrade posebnih kategorija osobnih podataka
– sustavnog praćenja javno dostupnog područja u velikoj mjeri
– u slučajevima obrada koje propiše nadzorno tijelo (Agencija za zaštitu osobnih podataka)
Procjena učinka sadrži minimalno:
– sustavan opis predviđenih postupaka obrade i svrha obrade
– procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
– procjenu rizika za prava i slobode ispitanika iz stavka;
– mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba
XIII. REGISTAR OBRADA OSOBNIH PODATAKA
DENTECH d.o.o. vodi evidenciju aktivnosti obrada za koje je odgovoran, odnosno u slučajevima kada je u ulozi voditelja obrade ili zajedničkog voditelja obrade. Ta evidencija je u elektroničkom obliku i sadržava najmanje sljedeće informacije:
ime i kontaktne podatke voditelja obrade i Službenika za zaštitu podataka;
svrhe obrade
opis kategorija ispitanika i kategorija osobnih podataka
kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući ime treće zemlje ili naziv međunarodne organizacije
predviđene rokove za brisanje različitih kategorija podataka, ako je to moguće
opći opis tehničkih i organizacijskih sigurnosnih mjera
Službenik za zaštitu osobnih podataka odgovoran je za održavanje registra obrada.
XIV. INCIDENTI/CURENJE PODATAKA I PRAVO NA PRITUŽBU
DENTECH d.o.o. poduzima značajne procesne i tehnološke mjere kako bi zaštitila osobne podatke ispitanika. DENTECH d.o.o. je incident dužan prijaviti Agenciji za zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, ako je to izvedivo.
XV. ZAVRŠNE ODREDBE
Ova Politika stupa na snagu danom donošenja, a primjenjuje se od 25.05.2018. godine.