Pravila privatnosti

Prepoznajući važnost zaštite privatnosti po svekolike slobode pojedinca, školski odbor Prirodoslovne skole Karlovac, Stjepana Mihalića 43, 47000 Karlovac (U daljnjem tekstu: škola) je na sjednici školskog odbora održanoj dana 17.12.2018. g. donio dokument:

 

Politika zaštite privatnosti

Uvod:

Donošenjem ove Politike Škola želi naglasiti svoju predanost zaštiti privatnosti pojedinca u skladu s Općom uredbom o zaštiti podataka i važećim propisima Republike Hrvatske. Jedna od zadaća Škole, kao pravne osobe koja obavlja javnu službu je provoditi proces obrade osobnih podataka učenika, zaposlenika i suradnika škole. Pod: proces obrade se podrazumijeva ukupnost postupanja s podacima, za razliku od užeg pojma: obrada podataka. Ova Politika je jednostrani pravno obvezujući akt za Školu i njezine zaposlenike. Isti ne obvezuje fizičke osobe čiji se osobni podaci obrađuju (U daljnjem tekstu: Subjekt podataka).

Cilj:

Cilj Politike zaštite privatnosti (U daljnjem tekstu: Politika) je svim subjektima Škole koji učestvuju u njezinim aktivnostima pružiti jasne informacije o korištenju njihovih osobnih podataka kako bi im se omogućio uvid i upravljanje s istima.

Zadatak:

Zadatak Politike je osigurati^ razumijevanje zaposlenika i o njihovim obvezama i odgovornostima u postupanju Škole s osobnim podacima, kao i o potrebi usklađenosti tih postupanja s Općom uredbom o zaštiti podataka (U daljnjem tekstu: Uredba).

Podaci:

Osobni podaci predstavljaju informaciju pomoću koje se može jednoznačno odrediti određena fizička osoba.

Uredba se odnosi na podatke:

  • koji su zabilježeni u digitalnom obliku i pohranjeni su na digitalnim medijima,
  • koji su pohranjeni u arhivama, na mikrofilmovima, ili u bilo kojem drugom obliku.

Posebne kategorije osobnih podataka Posebne kategorije osobnih podataka sačinjavaju osobni podaci koji otkrivaju:

  • rasno ili etničko podrijetlo,
  • politička mišljenja,
  • vjerska ili filozofska uvjerenja,
  • sadržaj biometrijskih podataka,
  • sadržaj genetskih podataka,
  • podatke koji se odnose na zdravlje,
  • podatke o spolnom životu ili seksualnoj orijentaciji pojedinca.

Obrada posebnih kategorija osobnih podataka je posebno regulirana. Načelno se ovi podaci ne smiju prikupljati ni obrađivati osim u posebnim slučajevima.

Obrade:

Način postupanje Škole s osobnim podacima proizlazi iz njezinog zakonom određenog statusa: Pravna osoba koja obavlja javnu službu. Taj status obvezuje Školu na postupanje s osobnim podacima u skladu s dva osnova:

  • Iz statusa Škole kao Pravne osobe proizlazi njezina obveza postupanja s podacima u skladu s Uredbom,
  • Iz prava Škole da obavlja javnu službu, slijedi njezina obveza prikupljanja određenih, zakonom propisanih grupa osobnih podataka i njihovog uključivanja u proces obrade.

Osim postupanja s osobnim podacima temeljenim na statusu Škole, ista može uz posebno odobrenje Subjekta podataka prikupljati i obrađivati osobne podatke van zakonom određenih grupa osobnih podataka. To odobrenje nazivamo: Suglasnost ili Privola. Suglasnošću Subjekt podataka ovlašćuje Školu da prikuplja i uključuje prikupljene podatke u proces obrade, isključivo pod uvjetima odobrenim Suglasnošću.

Zakonitost obrade:

Kako bi postigla da se obrađuju samo minimalno potrebni osobni podaci, Uredba je uvela pojam: Zakonitih obrada. Osobni podaci se smiju obrađivati samo kroz Zakonite obrade. Ako se isti cilj može postići na drugi razuman način, obradu se ne može tretirati kao zakonitu.

Prije početka obrade potrebno je odrediti je li obrada zakonita. Obrada osobnih podataka je zakonita samo:

  • ako postoji osnova za obradu (Pravna osnova) i
  • ako se poštuju načela obrade određena

Osnova za obradu (Pravna osnova)

Obrada osobnih podataka je zakonita ako se temelji na barem jednoj od šest Pravnih osnova:

  • Izvršavanje zadaće od javnog interesa ili u okviru službene ovlasti (Registar zaposlenih, e-matica),
  • Nužnost za ispunjenje ugovora ili radnji koje prethode ugovoru, a vezane su za fizičku osobu (Radnje zasnivanja radnog odnosa),
  • Poštivanje pravnih obveza Škole (osobni podaci potrebni radi plaćanja alimentacije, podaci o stažu, o mirovinskom osiguranju, podaci police osiguranja u slučaju prometne nezgode, mjesečnog iznos rate kredita vjerovniku i si.),
  • Ispunjenje legitimnog interesa Škole kad je isti dominantan (obrada u svrhu prisilne naplate neplaćenog računa za stanarinu u učeničkom domu) ,
  • Zaštita vitalnih interesa pojedinca (ne javljaju se na telefon roditelji učenika koji nekoliko dana za redom nije došao u školu, stoga se otkriva njegova adresa socijalnoj službi; ili dojava hitnoj pomoći krvne grupe nastradalog u prometnoj nesreći),
  • Dobivena je Suglasnost (odobrenje, privola) za obradu osobnih podataka u jednu ili više posebnih svrha (objava imena i prezimena predsjednika razreda na web stranicama škole).

Škola je dužna moći dokazati poštivanje odabranog Osnova obrade za svaku od obrada koje provodi.

Načela obrade:

Drugi od dva uvjeta koje treba poštivati kako bi obrada osobnih podataka bila zakonita je istu provoditi u skladu s načelima obrade navedenim u Uredb\. Škola je dužna moći dokazati poštivanje navedenih načela obrade, prema kojima, da bi obrada bila Zakonita ista mora biti:

  • zakonita, poštena i transparentna,
  • provođena u skladu sa zakonitim svrhama,
  • priređena na način da se svrha postigne s minimalnom količinom upotrijebljenih osobnih podataka,
  • izvršena nad točnim podacima,
  • sposobna omogućiti ograničeno vrijeme pohrane osobnih podataka,
  • otporna na neovlašten pristupe, nenamjerna oštećenja te gubitak ili uništenje podataka.

Obrada posebnih kategorija podataka

Zabranjeno je prikupljanje i obrada posebnih kategorija podataka, osim u slučajevima:

  • ako je pravom države propisana dozvola njihovog prikupljanja i obrade,
  • ako je obrada nužna radi potreba javnog interesa, pristupa sudu, u slučajevima prijetnje zdravlju nacije ili radi arhiviranja u svrhu javnog interesa,
  • ako je obrada bitna za zaštitu životno važnih interesa pojedinca,
  • ukoliko je Subjekt podataka svojom suglasnošću ili objavom odobrio njihovo prikupljanje i obradu.

Obrada papirnatih dokumenata

Proces obrade papirnih dokumenata je usklađen s Uredbom jedino ako Škola može potvrdno odgovoriti na sljedeća pitanja:

  • Je li ustrojen način pretrage za svaku grupu papirnatih dokumenata?
  • Mogu li se jednostavno i brzo pronaći traženi dokumenti?
  • Je li poznato koliko kopija i koliko različitih verzija istog dokumenta čuvamo?
  • Je li osiguran način da papirnatim dokumentima mogu pristupiti samo ovlaštene osobe?
  • Prati li Škola period važenja papirnatih dokumenata i da li se isti uništavaju na zakonit način?

Principi

Kako bi se procesi obrade odvijali u skladu s Uredbom, Škola će kontinuirano raditi na provođenju donjih principa prilikom prikupljanja i obrade osobnih podataka učenika, zaposlenika i partnera:

Podaci

  • U proces obrade će se uključivati samo osobni podaci koji su:

o određeni zakonom ili

o potpisanom suglasnošću odobreni od strane Subjekta podataka,

  • Podaci će se prikupljati i uključivati samo u procese obrade dozvoljene Uredbom,
  • Koristit će se samo minimalno potrebni osobni podaci,
  • Osobni podaci će se izlagati u najmanje mogućoj mjeri,
  • Osobni podaci će se, u najkraćem mogućem roku uništavati nakon prestanka potrebe za istima, ukoliko ne postoji zakonska odredba za njihovim arhiviranjem,
  • Zahtijevat će se striktno provođenje povjerljivosti od strane svih zaposlenika koji imaju pristup osobnim podacima.

Proces obrade

  • Proces obrade će se provoditi na zakonit, korektan i transparentan način.
  • Ustrojit će se ažurna evidencija svakog od procesa obrade koja će sadržavati:
    • o Naziv i adresu Škole, o Svrhu obrade,
    • o Kategoriju Subjekta podataka i opis grupe osobnih podataka, o Period čuvanja podataka, o Primatelje osobnih podataka,
    • o Opis tehničkih i organizacijskih mjera zaštite podataka.

Zaštita podataka

Škola će u cilju zaštite podatka od eventualnog neovlaštenog ili nezakonitog pristupa te gubitka, oštećenja, uništenja ili nestanka tih podataka provoditi propisane tehničke i organizacijske mjere u skladu s Uredbom.

Video nadzor

Škola će sve učenike, zaposlenike i posjetitelje na prikladan način obavijestiti o uspostavljenom video nadzoru u pojedinim prostorima. Ti prostori će biti vidljivo obilježeni znacima upozorenja da su pod video nadzorom. Od video nadzora će biti isključeni svi prostori u kojima je potrebno osigurati privatnost. Snimke video nadzora će se čuvati šest mjeseci. Pristup snimkama je dozvoljen samo ovlaštenim osobama.

Izlaganje podataka

Javno se smiju izlagati samo posebne grupe osobnih podataka za koje je izlaganje:

  • Posebno odobreno od strane Subjekta podataka,
  • Precizirano Pravilnikom, a nije u suprotnosti s Uredbom.

Suradnja i informiranje

  • Razvijat će se suradnja s učenicima te njihovom roditeljima/skrbnicima, zaposlenicima i partnerima Škole, uz osiguranja njihovih prava te ohrabrenja za aktivnim učešćem u informiranju i praćenju stanja vlastitih osobnih podataka,
  • Osigurat će se informativne podloge prilagođene različitim skupinama sudionika u postupanju s osobnim podacima, na način da iste odgovaraju dobi i očekivanoj razini poznavanja tematike,
  • Učenike te njihove roditelje/skrbnike, zaposlenike i partnere će Škola na prikladan način informirati o postupanju s osobnim podacima, te o postupcima za ostvarenje prava vezanih za osobne podatke.

Odgovornost

  • Za osiguranje i kontrolu usklađenosti postupanja pravnih osoba s Uredbom u Republici Hrvatskoj je odgovorno Državno tijelo: Agencija za zaštitu osobnih podataka (Skraćeno: AZOP).
  • Ravnatelj određuje odgovornost pojedinih zaposlenika vezano za procese obrade osobnih podataka, vodi evidenciju o dodijeljenim im pravima pristupa, i odgovoran je za ažuriranje prava pristupa ovisno o kadrovskoj situaciji u Školi.
  • Zaposlenici s pravom pristupa pojedinim obradama su odgovorni za podatke u istima^
  • Svi zaposlenici Škole su odgovorni za sigurnost podataka u skladu sa zakonodavstvom te za poštivanje ove Politike o zaštiti privatnosti.
  • Ravnatelj Škole je ovisno o obradi, sam, ili zajedno sa zakonom određenim Voditeljem obrade odgovoran za provođenje i sigurnost podataka određene obrade.
  • Ravnatelj Škole je odgovoran za ustrojavanje i poštivanje ove Politike te za provođenje navedenih Principa. Od njega se očekuje da iste u svakom trenutku može demonstrirati i dokazati njihovu usuglašenost s Uredbom.

Prava Subjekta podataka

Škola mora prije početka obrade upoznati Subjekt podataka o pravima u vezi njegovih osobnih podataka koji se obrađuju, ili će se obrađivati. Prava su regulirana III poglavljem Uredbe, u člancima 12. do 23. Ista su detaljizirana na način da osiguraju:

Transparentnost

Osobni podaci moraju biti čuvani na način da se Subjektu podataka mogu, na njegov zahtjev, u bilo kom trenutku prikazati na njemu razumljiv način. Stoga isti moraju biti jasni, koncizni i razumljivi.

Informiranje o izvoru i pravu pristupa osobnim podacima Subjekt podataka mora dobiti informacije o izvoru i o vrsti prikupljenih podatka. U tu svrhu je za svaki osobni podatak potrebno navesti:

  1. Naziv i kontakt podatke Škole,
  2. Kontakt podatke o ranijim obradama,
  3. Podatke o Službeniku za zaštitu podataka.
  4. Razlog i pravnu osnovu prikupljanja,
  5. Kategoriju osobnih podataka i da li se isti nekome prosljeđuju,
  6. Razdoblje čuvanja podataka,
  7. Pravnu osnovu obrade,
  8. Popis prava koja Subjekt podataka ima u odnosu na Školu,
  9. Mogućnost povlačenja Suglasnosti,
  10. Mogućnost prigovora,
  11. Izvor podataka,
  12. Mogućnost otkrivanja osobnih podataka drugoj osobi,
  13. Mogućnost upotrebe osobnih podataka za drugu namjenu osim izvorne,
  14. Rok u kome Škola mora odgovoriti na upit Subjekta podataka.

Ispravak podataka

Subjekt podataka ima pravo zahtijevati neodgodiv ispravak svojih netočnih, ili nadopunu svojih nepotpunih osobnih podataka. On može dostaviti i dodatnu Izjavu vezanu za osobne podatke koje želi ispraviti ili dopuniti.

Brisanje

Ukoliko je došlo do promjene vezano za osobne podatke Subjekta podataka na način da su isti:

  • Nepotrebni za svrhu radi koje su prikupljeni,
  • Postali nezakoniti jer je Subjekt podataka povukao ranije danu Suglasnost,
  • Podložni opravdanom prigovoru na obradu od strane Subjekta podataka,
  • Dosadašnjim postupanjem nezakonito obrađivani,
  • Podložni brisanju temeljem prava države,

Subjekt podataka ima pravo od Škole ishoditi brisanje tih podataka, osim kad je Pravna osnova:

  1. Javni interes, ili
  2. Pravne obveze.

Ograničenje obrade

Subjekt podataka ima pravo od Škole ishoditi ograničenje obrade u sljedećim slučajevima:

  • Podaci su netočni,
  • Obrada je nezakonita,
  • Osobni podaci više nisu potrebni,
  • Uložen je prigovor.

Subjekt podataka ima pravo zaustaviti obradu dok se ne istraži prihvatljivost zahtijeva za ukidanjem. Gornje četiri točke se na poseban način tretiraju ako se radi o obradi čiji je Pravna osnova Javni interes ili Pravne obveze kojima podliježe Škola. Obaveza komuniciranja Škola je dužna svaki ispravak, brisanje ili ograničenje obrade osobnih podataka Subjekta podataka saopćiti svim primateljima podataka, ukoliko je isto u granicama njezine mogućnosti.

Prenosivost

Ako su podaci prikupljeni temeljem Suglasnosti, ili u svrhu Izvršenja ugovora, Škola je dužna Subjektu podataka dostaviti podatke koji se na njega odnose u lako prenosivom formatu, kako bi ovaj mogao s istima raspolagati.

Prigovor

Subjekt podataka može u bilo kom trenutku staviti prigovor na obradu svojih osobnih podataka.

Suglasnost (Odobrenje ili Privola)

Dobivena Suglasnost je jedini način na koji Škola može obrađivati osobne podatke koji nisu propisani zakonom.

Pri tome Škola treba razlikovati Osnovu za obradu: Legitimni interes od Osnove za obradu: Suglasnost, kako slijedi:

  • Suglasnost je dokument kojim osoba prihvaća objašnjenje Škole o načinu na koji će ova postupati s njezinim osobnim podacima.
  • Legitimni interes je objašnjenje Škole o namjeri postupanja s osobnim podacima osobe na način za koji Škola vjeruje da neće naštetiti osobi i moli je da tu namjeru Škole ne spriječi.

Da bi Suglasnost bila valjana ista mora biti:

  • pisana,
  • razumljiva,
  • dobrovoljna,
  • bez mogućih posljedica po davatelja,
  • jednoznačna i
  • dokaziva

Suglasnost se, osim za pravo prikupljanja i obrade osobnih podataka van zakonom određenih kategorija, najčešće koristi za:

  • Objavu osobnih podataka i iznošenje istih u javnosti,
  • Izlaganje osobnih podataka na digitalnim platformama.

Sigurnost podataka

Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera. Radi osiguranja sukladnosti s Uredbom Škola će provesti mjere koje ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.

Tehnička zaštita podataka

U fazi projektiranja i izvođenja obrade Škola će provoditi odgovarajuće tehničke i organizacijske mjere, za osiguranje primjene načela zaštite podataka, kao što su:

  • smanjenje količine podataka,
  • uključenje zaštitnih mjera u obradu.

Integrirana zaštita podataka

Škola provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu obradu. Ta se obveza primjenjuje na:

  • količinu prikupljenih osobnih podataka,
  • opseg njihove obrade,
  • razdoblje pohrane i
  • njihovu dostupnost.

Točnije, ovim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinaca.

Sigurnost obrade

Škola je obavezna provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurala odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

  • pseudonimizaciju i enkripciju osobnih podataka,
  • sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade,
  • sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta,
  • proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

Škola će poduzimati mjere kako bi osigurala da svaki pojedinac koji djeluje pod odgovornošću Ravnatelja, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama Ravnatelja, osim ako je to obvezan učiniti po zakonskim propisima.

Proboj podataka

U slučaju povrede osobnih podataka Škola će najkasnije u roku od 72 sata izvijestiti AZOP o povredi. Škola mora u što kraćem roku obavijestiti i osobe na čija bi prava i slobode mogao utjecati incident. Škola će odmah nakon ustanovljavanja proboja podataka poduzeti sve potrebne mjere da sanira ili umanji nastalu štetu.

Informiranost

Škola će osigurati da sve zainteresirane osobe budu pravovremeno i na prikladan način upoznate s obvezom prikupljanja osobnih podataka i uključivanja tih podataka u proces obrade sukladno statusu Škole:

Pravna osoba koja obavlja javnu službu.

Za provođenje ove Politike odgovoran je ravnatelj Škole. Za eventualne nejasnoće može se kontaktirati Službenika za zaštitu podataka na: zoran@apsplit.hr

Ova Politika stupa na snagu danom objave. Objavljena je na oglasnoj ploči Škole dana 17.12.2018. godine.

Politika_zastite_privatnosti

Skip to content