Politika zaštite osobnih podataka

1. Uvod

InFin, vl. Ines Štifanić, obrt za knjigovodstvene usluge poštuje privatnost svojih klijenata, suradnika, poslovnih partnera i korisnika svojih usluga. Naše poslovanje temelji se na uzajamnom povjerenju i transparentnosti, a ključan dio tog povjerenja čini zaštita osobnih podataka koje nam povjeravate. Obrada osobnih podataka odvija se sukladno odredbama Opće uredbe o zaštiti podataka (EU) 2016/679 Europskog parlamenta i Vijeća od 27.4.2016. (dalje u tekstu: Uredba) i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18).

Uredba jasno definira prava ispitanika, odnosno vlasnika podataka, te obveze voditelja obrade, u ovom slučaju obrta InFin. Njome se osigurava zaštita prava i sloboda fizičkih osoba te ograničava obrada osobnih podataka bez njihovog znanja.

Sukladno Uredbi, osobni podaci moraju se prikupljati, obrađivati i pohranjivati na zakonit i pošten način, neovisno o tome jesu li pohranjeni elektronički, na papiru ili na drugim medijima. Obrt InFin dužan je podatke koristiti isključivo u zakonite svrhe, čuvati ih sigurnima i spriječiti njihovo nezakonito otkrivanje.

Ovom Politikom definiraju se pravila i načela obrade osobnih podataka koja su obvezujuća za obrt InFin, njegove suradnike, ugovorne partnere i sve druge osobe koje obrađuju podatke u ime obrta. Cilj je osigurati visoke standarde zaštite u skladu s važećim zakonodavstvom.

Ova Politika usmjerena je na sprječavanje sigurnosnih rizika povezanih s obradom osobnih podataka i osiguravanje njihove odgovarajuće zaštite. Time se nastoji izbjeći povreda povjerljivosti, koja se može dogoditi ako se podaci obrađuju na neprimjeren način ili se neovlašteno otkriju trećim stranama. Također, Politika osigurava pravo ispitanika na slobodan izbor o načinu na koji se njihovi osobni podaci koriste, čime se jamči zakonita i transparentna obrada podataka. Konačno, primjenom propisanih sigurnosnih mjera smanjuje se rizik od povreda integriteta, poput neovlaštenih hakerskih napada, koji mogu dovesti do ugrožavanja reputacije i povjerenja u obrt InFin kao odgovornog voditelja obrade podataka.

 

 

 

1. Definiranje ključnih pojmova

Sjedište predstavlja glavno mjesto poslovanja voditelja obrade osobnih podataka u Europskoj uniji, gdje se donose ključne odluke o svrsi i načinima obrade osobnih podataka. Kod izvršitelja obrade, sjedište se odnosi na administrativno središte u kojem se odvijaju glavne aktivnosti vezane uz obradu podataka.

Osobni podaci uključuju sve informacije koje se odnose na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati izravno ili neizravno, posebno uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te osobe.

Obrada osobnih podataka označava svaki postupak ili skup postupaka koji se provode na osobnim podacima ili njihovim skupovima, bilo automatiziranim ili neautomatiziranim sredstvima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu, izmjenu, pronalaženje, uporabu, prijenos, širenje, brisanje, uništavanje i druge oblike raspolaganja podacima.

Ograničavanje obrade podrazumijeva označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti, kako bi se spriječila daljnja neovlaštena ili nepotrebna obrada.

Voditelj obrade jest fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhu i način obrade osobnih podataka.

Izvršitelj obrade odnosi se na fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade na temelju pisanog ugovora ili zakonskog ovlaštenja.

Primatelj je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci. To ne uključuje tijela javne vlasti koja primaju podatke u okviru zakonom propisane istrage, pri čemu je obrada podataka sukladna svrsi obrade i zakonodavnim zahtjevima.

Treća strana označava fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

Vlasnik podataka jest fizička osoba čiji osobni podaci podliježu obradi, odnosno ispitanik. Vlasnik podataka ima pravo znati kako se njegovi podaci obrađuju, pravo na pristup podacima, ispravak ili brisanje podataka, kao i pravo ograničiti obradu u skladu s odredbama Uredbe.

Privola jest dobrovoljna, specifična, informirana i nedvosmislena izjava volje ispitanika kojom on daje pristanak za obradu svojih osobnih podataka. Privola može biti povučena u bilo kojem trenutku, čime se prestaje zakonita obrada podataka koja se temeljila na prethodno danoj privoli.

Povreda osobnih podataka označava svako kršenje sigurnosti koje može dovesti do slučajnog ili nezakonitog uništenja, izmjene, gubitka, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađeni.

Dijete, prema Uredbi, podrazumijeva osobu mlađu od 16 godina, dok je prema zakonodavstvu Republike Hrvatske dijete svaka osoba mlađa od 18 godina. Obrada podataka djeteta dopuštena je isključivo uz privolu roditelja ili zakonskog skrbnika, osim ako nacionalno zakonodavstvo drugačije ne odredi, primjerice za usluge informacijskog društva.

Informacijski sustav obuhvaća tehnološku infrastrukturu, ljude, postupke i organizaciju koja omogućuje prikupljanje, obradu, pohranu, prijenos, prikaz i distribuciju informacija te upravljanje njima u sigurnosno i zakonodavno usklađenom okruženju.

Nadzorno tijelo označava neovisno tijelo javne vlasti osnovano u skladu s nacionalnim zakonodavstvom svake države članice Europske unije, čija je zadaća kontrola i osiguranje provedbe Uredbe. U Republici Hrvatskoj, nadzorno tijelo je Agencija za zaštitu osobnih podataka (AZOP), koja djeluje sukladno odredbama Zakona o provedbi Opće uredbe o zaštiti podataka.

 

• Izjava

 

IZJAVA O POVJERLJIVOSTI

InFin, vl. Ines Štifanić, obrt za knjigovodstvene usluge, sa sjedištem u Labincima, svi njegovi zaposlenici, kao i fizičke i pravne osobe koje djeluju u ime ili za račun obrta, obvezuju se na potpuno poštivanje svih relevantnih zakona Europske unije i Republike Hrvatske koji reguliraju zaštitu osobnih podataka i prava ispitanika. Ove obveze uključuju poštovanje Uredbe (EU) 2016/679 o zaštiti osobnih podataka (Opća uredba o zaštiti podataka – GDPR) i Zakona o provedbi Opće uredbe o zaštiti podataka.

Usklađenost s propisima osigurava se primjenom ove Politike, kao i drugih povezanih politika i procedura obrta InFin. Ova Politika odnosi se na sve aktivnosti koje uključuju obradu osobnih podataka, uključujući, ali ne ograničavajući se na, podatke o klijentima, zaposlenicima, dobavljačima, suradnicima i svim drugim osobama čiji podaci dolaze u posjed obrta.

Odgovorna osoba za zaštitu podataka odgovoran je za redovito preispitivanje evidencija obrade osobnih podataka kako bi osigurao njihovu usklađenost s važećim zakonima i mogućim promjenama u djelatnostima obrta InFin. Također, procjene rizika povezane s obradom podataka provode se sustavno, a rezultati tih procjena dostupni su na zahtjev nadležnog tijela.

Pravila opisana ovom Politikom primjenjuju se na sve zaposlenike obrta InFin te na treće strane koje djeluju u ime ili po nalogu obrta, uključujući vanjske suradnike, ugovorne partnere i ostale povezane subjekte. Svako kršenje Uredbe ili pravila ove Politike smatrat će se ozbiljnim prekršajem i, prema potrebi, prijaviti odgovarajućim nadležnim tijelima.

Od svih partnera i trećih strana koje djeluju u ime obrta InFin ili imaju pristup osobnim podacima, očekuje se da se u potpunosti pridržavaju pravila ove Politike. Pristup osobnim podacima nije dopušten bez prethodnog sklapanja Ugovora o povjerljivosti i/ili Ugovora o obradi podataka koji jasno definira obveze treće strane sukladno pravilima o zaštiti osobnih podataka. Ovi ugovori uključuju pravo odgovorne osobe za zaštitu podataka obrta InFin na provođenje revizija kako bi se osigurala usklađenost s uvjetima navedenim u Ugovoru o povjerljivosti i/ili Ugovoru o obradi podataka.

1. Načela obrade osobnih podataka

Zakonitost, transparentnost i poštenje: Obrt obrađuje osobne podatke u skladu s važećim zakonima te osigurava ispitanicima sve relevantne informacije o svrsi, pravnoj osnovi i načinu obrade njihovih podataka. Ispitanici se pravovremeno, prije samog prikupljanja podataka, informiraju o identitetu voditelja obrade, svrsi obrade, razdoblju pohrane te pravima koja mogu ostvariti. Na zahtjev, obrt omogućuje ispitanicima uvid u njihove osobne podatke te obrazloženje zakonitosti i svrhe obrade.

Ograničavanje svrhe: Osobni podaci prikupljaju se u posebne, izričite i zakonite svrhe te se ne smiju dalje obrađivati na način koji nije u skladu s tim svrhama. Obrt osigurava da se daljnja obrada provodi isključivo u slučaju arhiviranja u javnom interesu, znanstvenog ili povijesnog istraživanja ili statističke obrade, u skladu s odredbama Uredbe.

Smanjenje količine podataka: Obrt prikuplja samo one osobne podatke koji su primjereni, relevantni i ograničeni na ono što je nužno za ostvarenje definiranih svrha. Obrt ne prikuplja suvišne podatke, a svi procesi obrade podliježu internim kontrolama radi osiguravanja primjene ovog načela.

Točnost: Obrt osigurava da su osobni podaci koje obrađuje točni i ažurni. Svaka razumna mjera poduzima se kako bi se netočni podaci ispravili ili izbrisali bez odlaganja. Ispitanici koji su u ugovornom ili poslovnom odnosu s obrtom dužni su dostaviti točne podatke i pravovremeno obavijestiti obrt o bilo kakvim promjenama.

Ograničavanje pohrane: Osobni podaci ispitanika čuvaju se samo onoliko dugo koliko je potrebno za ispunjenje svrhe obrade, osim u slučajevima kada postoji legitimni interes za dulju pohranu, primjerice u slučaju sudskog postupka ili arhiviranja u javnom interesu.

Cjelovitost i povjerljivost: Obrt primjenjuje tehničke i organizacijske mjere kako bi osigurao sigurnost osobnih podataka. To uključuje zaštitu od neovlaštenog pristupa, nezakonite obrade, gubitka ili uništenja podataka. Korištenjem sigurnosnih protokola, enkripcije i kontrola pristupa, obrt osigurava da osobni podaci ostaju povjerljivi i zaštićeni.

Zaštita podataka djece: U slučajevima kada se osobni podaci prikupljaju od djece, obrt provodi posebne mjere kako bi osigurao da su djeca dovoljno informirana i sposobna razumjeti posljedice davanja svojih podataka. Obrt osigurava pristanak roditelja ili zakonskih skrbnika, sukladno odredbama Uredbe i Zakona.

Pristup podacima: Osobni podaci dostupni su samo zaposlenicima ili vanjskim suradnicima ovlaštenima za njihovu obradu, a u skladu s opisima poslova ili ugovornim obvezama. Svaka organizacijska jedinica unutar obrta odgovorna je za pridržavanje ovih načela prilikom obrade podataka za koje je nadležna.

Prosljeđivanje podataka trećim stranama: obrt InFin prosljeđuje osobne podatke trećim pravnim ili fizičkim osobama samo kada za to postoji zakonska osnova. Takvi slučajevi uključuju dostavljanje podataka državnim institucijama ili drugim tijelima kada je to propisano zakonima Republike Hrvatske. Obrt osigurava da su svi primatelji podataka upoznati s načelima zaštite osobnih podataka te da postupe u skladu s njima.

1. Privola

Obrt InFin, smatra Privolu dobrovoljnom, specifičnom, informativnom i nedvosmislenom izjavom kojom ispitanik, kao vlasnik osobnih podataka, daje suglasnost na obradu svojih osobnih podataka ili podataka osoba koje zastupa. Privola mora biti dana slobodno, bez prisile ili zablude, kako bi bila pravno valjana, te se može povući u bilo kojem trenutku, na približno jednostavan način na koji je i dana.

Za obrt InFin davanje Privole podrazumijeva da je ispitanik prethodno u potpunosti obaviješten o svrsi i načinu obrade njegovih osobnih podataka. Privola dobivena pod prisilom ili na temelju nepotpunih ili netočnih informacija smatra se nevažećom i ne može biti temelj za obradu osobnih podataka.

Dobivanje Privole zahtijeva aktivnu komunikaciju između voditelja obrade i ispitanika. Privola se ne može pretpostaviti niti može biti implicitna, poput neodgovaranja na postavljeni zahtjev. Voditelj obrade, u ovom slučaju obrt InFin, obvezan je dokazati da je Privola dana sukladno propisima i u skladu s načelima zaštite podataka.

Za obradu posebnih kategorija podataka, Privola mora biti dana u pisanom obliku, kako je definirano internim postupcima. U slučajevima kada postoji alternativna pravna osnova za obradu, davanje Privole nije obvezno i može biti izostavljeno, pod uvjetom da je osnova za obradu jasno definirana i opravdana.

1. Prava ispitanika

Pravo na pristup osobnim podacima omogućuje ispitanicima da od obrta InFin zatraže informacije o tome obrađuju li se njihovi podaci. Ako se osobni podaci obrađuju, ispitanici imaju pravo dobiti uvid u podatke, kao i informacije o svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će podaci biti otkriveni te pravima koja mogu ostvariti, uključujući pravo na ispravak, brisanje ili ograničenje obrade.

Pravo na ispravak osobnih podataka omogućuje ispitanicima da zatraže ispravljanje netočnih ili nepotpunih podataka koji se na njih odnose. Ovaj zahtjev može uključivati dostavljanje dodatnih informacija kako bi osobni podaci bili potpuni i ažurni, čime se osigurava njihova točnost i primjerenost svrsi obrade.

Pravo na brisanje – „pravo na zaborav“, daje ispitanicima mogućnost da zatraže brisanje svojih osobnih podataka ako više nisu potrebni za svrhu za koju su prikupljeni ili ako su obrađeni nezakonito. Obrt je obvezan bez odgađanja postupiti po takvom zahtjevu ako za zadržavanje podataka ne postoji druga pravna osnova. Ovo pravo također se primjenjuje kada ispitanik povuče privolu za obradu ili uloži prigovor koji ima prednost nad legitimnim interesima voditelja obrade.

Pravo na ograničenje obrade osigurava da ispitanici mogu zatražiti ograničavanje obrade svojih podataka u određenim situacijama. To uključuje osporavanje točnosti podataka tijekom razdoblja potrebnog za njihovu provjeru, kao i slučajeve kada obrada nije zakonita, ali ispitanik umjesto brisanja traži ograničenje uporabe. Osim toga, ako podaci više nisu potrebni voditelju obrade, ali su potrebni ispitaniku radi ostvarivanja ili obrane pravnih zahtjeva, obrada može biti ograničena na njegov zahtjev.

Pravo na prigovor omogućuje ispitaniku da se usprotivi obradi osobnih podataka koja se temelji na legitimnim interesima voditelja obrade ili na javnoj zadaći. Ako ispitanik uloži prigovor, obrt je obvezan obustaviti obradu, osim ako dokaže da postoje uvjerljivi legitimni razlozi koji nadilaze prava i slobode ispitanika ili ako su podaci potrebni radi ostvarivanja ili obrane pravnih zahtjeva. U slučaju obrade podataka za potrebe izravnog marketinga, prigovor ispitanika automatski dovodi do prestanka takve obrade.

Pravo na prenosivost podataka omogućuje ispitaniku da svoje podatke dobije u strukturiranom, uobičajenom i strojno čitljivom formatu te da ih prenese drugom voditelju obrade, pod uvjetom da je tehnički izvedivo.

Pravo na pritužbu

Ukoliko ispitanik smatra da je obrada njegovih osobnih podataka nezakonita, ima pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP) ili drugom nadležnom tijelu.

Obrt InFin obvezuje se odgovoriti na svaki zahtjev ispitanika u roku od 30 dana od zaprimanja zahtjeva. U složenijim slučajevima, ovaj rok može biti produljen za dodatnih 60 dana, uz obavijest ispitaniku o razlozima produljenja. Sve informacije dostavljaju se u pisanom obliku ili elektroničkim putem, ovisno o zahtjevu ispitanika. Ako zahtjev nije moguće udovoljiti, ispitanik će biti obaviješten o razlozima te o mogućnosti podnošenja pritužbe nadležnom tijelu.

• Zakonitost obrade

Obrada osobnih podataka u obrtu InFin smatra se zakonitom isključivo kada su zadovoljeni uvjeti utvrđeni Općom uredbom o zaštiti podataka (GDPR). Zakonitost obrade podrazumijeva postojanje jasno definirane pravne osnove za svaki proces obrade i stoga obrada se smatra zakonitom ako je ispunjen najmanje jedan od sljedećih uvjeta:

1. Privola ispitanika – Obrada je zakonita ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više specifičnih svrha. Privola mora biti dobrovoljna, informirana, jasno izražena i dokaziva. Ispitanik ima pravo u svakom trenutku povući privolu, pri čemu povlačenje mora biti jednako jednostavno kao i njezino davanje. Obrt će zatražiti privolu od ispitanika za aktivnosti poput direktnog marketinga putem kontakt podataka koje je ispitanik ustupio.
2. Izvršenje ugovora – Obrada je nužna za izvršenje ugovora u kojem je ispitanik stranka ili za poduzimanje radnji na zahtjev ispitanika prije sklapanja ugovora. Ovo je primjenjivo kod pružanja knjigovodstvenih usluga koje zahtijevaju obradu osobnih podataka klijenata.
3. Pravne obveze – Obrada je nužna radi ispunjenja zakonskih obveza voditelja obrade, kao što su obveze iz računovodstvenih i poreznih propisa te drugih relevantnih zakona.
4. Zaštita ključnih interesa – Obrada je dopuštena kada je nužna za zaštitu ključnih interesa ispitanika ili drugih fizičkih osoba.
5. Javni interes ili službene ovlasti – Obrada je zakonita ako je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službenih ovlasti obrta kao voditelja
6. Legitimni interesi – Obrada je nužna za potrebe legitimnih interesa Društva, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Svaka organizacijska jedinica unutar obrta InFin dužna je identificirati zakonitost za svaku obradu osobnih podataka koja spada u njezinu nadležnost, osiguravajući pritom da obrada bude poštena i transparentna. Poštena obrada podrazumijeva pružanje ispitanicima svih potrebnih informacija o obradi njihovih podataka, posebice u situacijama kada se podaci prikupljaju izravno od njih. Transparentnost se osigurava dostavljanjem relevantnih informacija na jasan i razumljiv način, u skladu s člancima 12., 13. i 14. Opće uredbe o zaštiti podataka, čime se ispitanicima omogućuje potpuno razumijevanje svrhe i načina obrade njihovih osobnih podataka.

Obrada posebnih kategorija osobnih podataka

Obrada posebnih kategorija osobnih podataka, uključujući osobne podatke koji se odnose na kaznene osude i kažnjiva djela, provodi se isključivo pod nadzorom nadležnog službenog tijela ili temeljem pravnih osnova utvrđenih pravom Europske unije ili Republike Hrvatske, uz propisane zaštitne mjere za prava i slobode ispitanika. Registre kaznenih osuda smije voditi isključivo službeno tijelo vlasti.

• Odgovornost i uloge

Odgovornost vlasnika

Obrt InFin kao voditelj obrade osobnih podataka, sukladno Uredbi (EU) 2016/679, osigurava provedbu svih zakonskih obveza i pravila definiranim ovom Politikom. Vlasnik obrta ima ključnu odgovornost za imenovanje odgovorne osobe za zaštitu podataka, koji djeluje u interesu zaštite prava ispitanika i njihovih osobnih podataka. Odgovorna osoba za zaštitu podataka, koji je izravno odgovoran vlasniku obrta, ima zadatak savjetovati i informirati obrt o obvezama prema Uredbi, osigurati praćenje poštivanja propisa i internih akata, te surađivati s nadzornim tijelima u pitanjima zaštite osobnih podataka.

Odgovornost zaposlenika

Zaposlenici obrta dužni su postupati u skladu s ovom Politikom i osiguravati usklađenost svih aktivnosti obrade s relevantnim zakonskim propisima. Nepridržavanje propisanih mjera, uključujući slučajno ili namjerno kršenje sigurnosti osobnih podataka, predstavlja povredu radnih obveza i može rezultirati disciplinskim mjerama. Zaposlenici su također odgovorni za ažuriranje vlastitih podataka i obavještavanje nadležnih o promjenama koje mogu utjecati na točnost evidencije.

Odgovornost odgovorne osobe za zaštitu podataka

Odgovorna osoba za zaštitu podataka djeluje neovisno, s primarnim ciljem zaštite prava ispitanika i njihovih osobnih podataka. Njegove ključne zadaće uključuju informiranje i savjetovanje obrta i zaposlenika o obvezama iz Opće uredbe o zaštiti podataka (GDPR) te drugim relevantnim propisima Europske unije i Republike Hrvatske koji se odnose na zaštitu podataka.

Osim toga, odogvorna osoba osigurava praćenje usklađenosti s GDPR-om, internim aktima i procedurama, uključujući raspodjelu odgovornosti, podizanje svijesti o zaštiti podataka te osposobljavanje osoblja uključenog u obradu podataka. Također pruža savjete u vezi s procjenom učinka na zaštitu podataka i prati njezinu provedbu. Odgovorna osoba surađuje s nadležnim nadzornim tijelom te djeluje kao kontaktna točka za sva pitanja povezana s obradom osobnih podataka i savjetovanjem.

Odgovorna osoba za zaštitu podataka također je odgovorna za osiguravanje da se najmanje jednom godišnje provodi revizija rokova čuvanja osobnih podataka, u skladu s internim procedurama i zakonodavnim zahtjevima. Podaci koji više nisu potrebni za svrhu obrade moraju se pravovremeno izbrisati, uništiti ili anonimizirati, pri čemu se primjenjuju definirani postupci za sigurno odlaganje medija za pohranu podataka.

Ispitanici imaju pravo kontaktirati odgovornu osobu za zaštitu osobnih podataka radi upita ili ostvarivanja svojih prava putem e-mail adrese navedene u podacima o voditelju/izvršitelju obrade osobnih podataka.

1. Sigurnost osobnih podataka

Odgovorna osoba za zaštitu podataka u obrtu InFin osigurava da se svi osobni podaci obrađuju uz primjenu odgovarajućih tehničkih i organizacijskih mjera kako bi se minimizirali rizici od neovlaštenog pristupa, gubitka, izmjene ili uništenja podataka.

Odgovorna osoba redovito provodi procjenu rizika, uzimajući u obzir sve okolnosti koje mogu utjecati na sigurnost obrade podataka, uključujući moguće posljedice povrede podataka po pojedince, ugled obrta te povjerenje klijenata, zaposlenika i ostalih dionika. U skladu s procjenom, odgovorna osoba za zaštitu podataka uspostavlja i prati provedbu mjera zaštite koje uključuju primjenu strogo definiranih politika zaštite lozinki, automatsko zaključavanje uređaja u stanju mirovanja, ograničenje uporabe prijenosnih medija poput USB uređaja, implementaciju antivirusnih zaštita i vatrozida, te definiranje pristupnih prava temeljenih na ulogama unutar organizacije. Nadalje, osigurava se enkripcija prijenosnih uređaja koji napuštaju poslovne prostorije kako bi se zaštitili podaci u slučaju gubitka ili krađe uređaja, a sigurnost mrežnih sustava održava se redovitim ažuriranjem i primjenom naprednih sigurnosnih protokola. Dodatno, koriste se metode poput pseudonimizacije i anonimizacije osobnih podataka gdje je to prikladno, dok se sigurnosni standardi kontinuirano unapređuju kako bi bili usklađeni s najnovijim tehnološkim dostignućima.

Ove mjere omogućuju visoku razinu sigurnosti obrade podataka, osiguravajući usklađenost s važećim zakonodavnim zahtjevima i najboljim praksama u zaštiti osobnih podataka.

1. Evidencija, čuvanje i postupanje

Evidencija aktivnosti obrade osobnih podataka

Sukladno zahtjevima Opće uredbe o zaštiti podataka (GDPR), obrt InFin vodi i održava evidenciju svih aktivnosti obrade osobnih podataka. Ova evidencija omogućuje transparentan uvid u postupke obrade te osigurava usklađenost poslovanja s propisanim pravnim okvirima.

Evidencija obuhvaća ključne informacije o svakoj aktivnosti obrade, uključujući:

• Identifikaciju svrhe obrade podataka.
• Pravnu osnovu za obradu u skladu s člankom 6. Uredbe.
• Opis kategorija ispitanika i vrsta osobnih podataka koji se obrađuju.
• Kategorije primatelja kojima se osobni podaci otkrivaju, uključujući primatelje u trećim zemljama ili međunarodnim organizacijama.
• Razdoblje čuvanja podataka ili kriterije za njegovo utvrđivanje.
• Opis tehničkih i organizacijskih sigurnosnih mjera primijenjenih na podatke.

Odgovorna osoba za zaštitu podataka odgovorna je za održavanje, ažuriranje i nadzor nad evidencijom aktivnosti obrade. U skladu s Uredbom, odgovorna osoba osigurava da je evidencija dostupna nadležnom nadzornom tijelu na zahtjev.

Svi podaci koji se obrađuju bez odgovarajuće pravne osnove moraju biti odmah izbrisani ili anonimizirani na siguran način. Nadalje, osobni podaci se mogu prenositi u treće zemlje samo uz prethodnu izričitu privolu ispitanika ili u slučajevima predviđenim Uredbom, uz primjenu odgovarajućih zaštitnih mjera.

Evidencija aktivnosti obrade ključna je za postizanje transparentnosti i povjerenja te služi kao osnova za procjenu i poboljšanje sigurnosti osobnih podataka unutar obrta. Redovitim ažuriranjem i praćenjem evidencije, obrt InFin osigurava da su svi postupci obrade u skladu s najvišim standardima zaštite podataka.

Postupanje s osobnim podacima

• Fizička sigurnost podataka : Svi fizički zapisi i dokumenti koji sadrže osobne podatke čuvaju se u zaključanom ormariću unutar prostorije pod ključem. Pristup toj prostoriji dopušten je isključivo ovlaštenim osobama. Osiguranje pristupa prostornim resursima osigurava da neovlaštene osobe nemaju fizički pristup osjetljivim podacima.
• Digitalna zaštita podataka : Digitalni podaci obrađuju se isključivo na službenom računalu, koje je opremljeno ESET sigurnosnim softverom. Ovo uključuje 24/7 zaštitu u realnom vremenu, koja štiti od zlonamjernih programa i sigurnosnih prijetnji, sigurno online bankarstvo i zaštitu preglednika, čime se štiti financijska komunikacija, brzo skeniranje bez smetnji, osiguravajući učinkovit rad bez ugrožavanja podataka.  .
• Pristup podacima : Pristup osobnim podacima ograničen je ovlaštene osobe. Prilikom obrade osobnih podataka na računalu, računalni ekrani postavljeni su na način da nisu vidljivi trećim osobama. Ova praksa minimizira rizik neovlaštenog otkrivanja. Pristup digitalnim podacima zaštićen je lozinkama, koje se redovito ažuriraju i poznate su samo ovlaštenim osobama
• Sigurnost i povjerljivost: Vlasnik obrta i zaposlenici potpisuju izjavu o povjerljivosti i pridržava se politike zaštite podataka koja osigurava da podaci nisu dostupni neovlaštenim osobama niti korišteni u svrhe koje nisu unaprijed definirane.
• Čuvanje podataka : Podaci se čuvaju onoliko dugo koliko je potrebno za ispunjenje svrhe obrade ili sukladno zakonskim zahtjevima. U slučajevima kada se podaci čuvaju dulji period, kao što je za potrebe javnog interesa, znanstvenih i povijesnih istraživanja ili statističkih svrha, primjenjuju se dodatne tehničke i organizacijske mjere. To uključuje šifriranje digitalnih podataka, ograničavanje pristupa na osnovi potrebe i redovite provjere sigurnosti i usklađenosti s politikama obrade podataka.
• Postupci brisanja i uništavanja podataka : Kada osobni podaci više nisu potrebni za obradu, isti se brišu ili uništavaju na siguran način. Fizički zapisi uništavaju se rezanjem ili spaljivanjem, dok se digitalni podaci brišu uz primjenu alata za nepovratno uklanjanje datoteka.
• Dulji rokovi čuvanja podataka : U slučajevima kada je zakonito čuvati podatke dulje od standardnog perioda, kao što su situacije od javnog interesa ili za statističke svrhe, provode se dodatne provjere kako bi se osigurala usklađenost s propisima te zaštita prava ispitanika. Sve dulje čuvanje mora biti opravdano i dokumentirano.
• Redovne revizije i ažuriranja : Periodične revizije evidencija osiguravaju da se podaci čuvaju isključivo u skladu s važećim politikama i zakonskim propisima. Odgovorna osoba za zaštitu podataka vodi evidenciju o svim aktivnostima obrade i prilagođava postupke u skladu s novim zahtjevima ili sigurnosnim izazovima.

Objavljivanje osobnih podataka

Objavljivanje osobnih podataka od strane obrta InFin može se provesti isključivo u situacijama koje dopušta zakon, poput zahtjeva agencija ili državnih tijela za provođenje zakona. U takvim slučajevima, obrt će postupiti u skladu s propisima i prije bilo kakvog otkrivanja podataka osigurati da je zahtjev zakonit, uz savjetovanje s pravnim stručnjacima ili nadležnim tijelima za zaštitu podataka. Obrt InFin osigurava da se osobni podaci ne otkrivaju neovlaštenim osobama ili trećim stranama, uključujući prijatelje, privatne subjekte ili policiju, osim u situacijama izričito predviđenima zakonom. Svaki zahtjev za otkrivanje podataka mora biti popraćen odgovarajućom dokumentacijom i zahtijeva prethodno odobrenje odgovorne osobe za zaštitu podataka, a zaposlenici su obvezni postupati prema definiranim protokolima kako bi se osigurala zaštita podataka i spriječila neovlaštena distribucija.

Prijenos podataka u treće zemlje

Prijenos osobnih podataka izvan Europskog ekonomskog prostora (EEA) dopušten je isključivo uz poštivanje odredbi Uredbe koje osiguravaju zaštitu temeljnih prava i sloboda ispitanika. Prijenos podataka u treće zemlje moguće je samo ako je utvrđeno da te zemlje osiguravaju odgovarajuću razinu zaštite prava ispitanika, što potvrđuje Europska komisija. U slučaju kada treća zemlja ne zadovoljava navedene kriterije, prijenos je moguć jedino uz prethodnu privolu ispitanika, uz upozorenje na moguće rizike, ili kada je prijenos nužan za izvršenje ugovora, zaštitu vitalnih interesa ispitanika, ispunjenje zakonskih obveza, ili zbog javnog interesa. Obrt InFin osigurava da su svi takvi prijenosi podataka u potpunosti u skladu s primjenjivim pravnim propisima, uz primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite, te da se za svaki prijenos vodi odgovarajuća dokumentacija.

Upravljanje incidentima

Obrt InFin uspostavlja i održava stroge mjere za upravljanje incidentima povezanima sa zaštitom osobnih podataka, osiguravajući pravovremeno reagiranje i usklađenost s važećim zakonskim propisima. Zaposlenici su obvezni bez odgađanja obavijestiti odgovornu osobu za zaštitu podataka o svakom incidentu koji uključuje potencijalnu povredu sigurnosti osobnih podataka.

U slučaju povrede podataka, obrt je dužan obavijestiti nadležno tijelo, Agenciju za zaštitu osobnih podataka (AZOP), u roku od 72 sata od saznanja za povredu, osim ako je malo vjerojatno da bi incident mogao uzrokovati rizik za prava i slobode pojedinca. Ako se povreda procijeni kao visokorizična za prava i slobode ispitanika, obrt će bez nepotrebnog odgađanja obavijestiti ispitanike čiji su podaci pogođeni.

Međutim, obavijest ispitaniku može biti izostavljena ako su poduzete odgovarajuće tehničke mjere zaštite, poput enkripcije, koje osiguravaju nerazumljivost podataka neovlaštenim osobama, ili ako su poduzete naknadne mjere koje smanjuju rizik na prihvatljivu razinu. Također, u slučajevima kada bi pojedinačno obavješćivanje ispitanika predstavljalo nerazmjeran napor, obrt će koristiti javne objave ili slične mjere kako bi ispitanici bili pravovremeno i učinkovito informirani.

Ispitanici imaju pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka u slučaju povrede koja se odnosi na njihove osobne podatke ili ako smatraju da obrt ne postupa u skladu s Uredbom. Obrt InFin kontinuirano ulaže napore u detekciju neovlaštenih pristupa i potencijalnih curenja podataka te implementira odgovarajuće organizacijske i tehničke mjere kako bi minimizirao mogućnost pojave incidenata.

1. Podaci o voditelju obrade osobnih podataka

PODACI O VODITELJU/IZVRŠITELJU OBRADE OSOBNIH PODATAKA

Obrt InFin, vl.Ines Štifanić, obrt za knjigovodstvene usluge je Voditelj obrade osobnih podataka kako je definirano Člankom 4, točkom 7. Uredbe (EU) 2016/679. Osim uloge Voditelja obrade, obrt InFin preuzima i ulogu Izvršitelja obrade u okviru obavljanja svoje osnovne djelatnosti, pružanja računovodstvenih usluga klijentima.

 

Za sva pitanja vezana uz obradu vaših osobnih podataka, možete nas kontaktirati putem sljedećih podataka:

• e-mail: info@infin.hr
• telefon: 099 862 43 74
• pismeno ili osobno na adresu:

InFin, vl. Ines Štifanić, obrt za knjigovodstvene usluge,

Labinci 41, 52464 Kaštelir

• Završne odredbe

Ova Politika zaštite osobnih podataka obrta InFin, stupa na snagu dana 10. listopada 2024. godine.

Svi zaposlenici obrta, kao i treće strane koje djeluju u ime i za račun obrta, obvezni su pridržavati se odredbi propisanih ovom Politikom. Svako kršenje odredbi ove Politike može rezultirati disciplinskim ili pravnim posljedicama, sukladno važećim zakonima i internim aktima obrta.

Ova Politika podložna je povremenim izmjenama i dopunama radi usklađivanja s promjenama zakonodavnog okvira, poslovnih procesa i tehnoloških rješenja. Svaka izmjena Politike bit će objavljena na službenim stranicama obrta u roku od 7 dana od stupanja na snagu, kako bi svi dionici bili obaviješteni o promjenama.

Obrt InFin zadržava pravo revizije ove Politike najmanje jednom godišnje ili prema potrebi.

Za sva dodatna pitanja ili informacije u vezi s ovom Politikom, molimo vas da kontaktirate odgovornu osobu za zaštitu podataka putem kontakt podataka navedenih u poglavlju “Podaci o Voditelju/Izvršitelju obrade osobnih podataka.”

 

Vlasnik dokumenta: Ines Štifanić, vlasnik obrta InFin obrt za knjigovodstvene usluge, Labinci 41, 52464 Kaštelir, OIB: 73722130395