portal bolytv.hu za posjetitelje web stranice i registrirane korisnike
Preuzimanje
Primjena Pravilnika o zaštiti i obradi podataka
|
Naziv organizacije: |
Sághy-Sat Kft |
|
Sjedište organizacije: |
7754 Bóly, Ady Endre u. 9, Mađarska |
|
Osoba odgovorna za sadržaj pravilnika: |
Sághy Ferenc |
|
Datum stupanja na snagu pravilnika: |
25.05.2018. |
Ovaj Pravilnik utvrđuje pravila povezana sa zaštitom fizičkih osoba u pogledu obrade osobnih podataka i pravila povezana sa slobodnim protokom osobnih podataka. Odredbe ovog Pravilnika primjenjuju se tijekom konkretnih aktivnosti obrade podataka te prilikom izdavanja uputa i obavijesti koje reguliraju upravljanje podacima.
Obveza imenovanja službenika za zaštitu podataka odnosi se na sva tijela javne vlasti ili druga tijela koja obavljaju javne zadaće (bez obzira na podatke koji se obrađuju), kao i na druge organizacije čije se osnovne aktivnosti sastoje od sustavnog i opsežnog praćenja pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikom broju.
Organizacija zapošljava službenika za zaštitu podataka.
U slučaju zapošljavanja službenika za zaštitu podataka:
|
Ime: |
Sághy Ferenc |
|
Radno mjesto: |
Izvršni direktor |
|
Kontakt podaci: |
+36 69-368-162 |
Domet Pravilnika
Ovaj Pravilnik vrijedi do opoziva; njegov domet proširuje se na dužnosnike organizacije, zaposlenike i službenika za zaštitu podataka organizacije.
Datum: Bóly, 23.05.2018.
Cilj Pravilnika
Cilj ovog Pravilnika je uskladiti odredbe drugih internih pravilnika organizacije u pogledu aktivnosti obrade podataka u svrhu zaštite temeljnih prava i sloboda fizičkih osoba, te osigurati pravilno rukovanje osobnim podacima.
Tijekom svojih aktivnosti organizacija namjerava u potpunosti poštivati zakonske zahtjeve za obradu osobnih podataka, posebno odredbe Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća.
Važan cilj izdavanja Pravilnika također je da kroz njegovo upoznavanje i pridržavanje, zaposlenici organizacije budu sposobni zakonito provoditi obradu podataka fizičkih osoba.
Značajni pojmovi, definicije
GDPR (General Data Protection Regulation) je nova Opća uredba o zaštiti podataka Europske unije.
voditelj obrade: fizička ili pravna osoba, tijelo javne vlasti, agencija ili bilo koje drugo tijelo koje, samo ili zajedno s drugima, određuje svrhe i sredstva obrade osobnih podataka;
obrada: bilo koji postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenje ili stavljanje na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
izvršitelj obrade: fizička ili pravna osoba, tijelo javne vlasti, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
osobni podaci: svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (ispitanik); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, gospodarski, kulturni ili socijalni identitet tog pojedinca;
treća strana: fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade ovlaštene za obradu osobnih podataka;
privola ispitanika: svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
ograničavanje obrade: označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;
pseudonimizacija: obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu čiji je identitet utvrđen ili se može utvrditi;
sustav pohrane: svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo da je centraliziran, decentraliziran ili raspršen na funkcionalnoj ili zemljopisnoj osnovi;
povreda osobnih podataka: kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
Načela obrade podataka
Osoba koja obrađuje osobne podatke mora to činiti zakonito, pošteno i na transparentan način u odnosu na ispitanika.
Osobni podaci smiju se prikupljati samo u određene, eksplicitne i zakonite svrhe.
Svrha obrade osobnih podataka mora biti primjerena, relevantna i ograničena na ono što je nužno.
Osobni podaci moraju biti točni i ažurni. Netočne osobne podatke potrebno je bez odgađanja izbrisati.
Osobni podaci moraju se čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno. Pohrana na dulje razdoblje dopuštena je samo ako je to u svrhu arhiviranja u javnom interesu, u svrhu znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Obrada osobnih podataka mora se provoditi na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Načela zaštite podataka primjenjuju se na svaku informaciju koja se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Zaposlenik organizacije koji provodi obradu podataka snosi stegovnu, odštetnu, prekršajnu i kaznenu odgovornost za zakonito rukovanje osobnim podacima. Ako zaposlenik sazna da su osobni podaci koje obrađuje netočni, nepotpuni ili zastarjeli, dužan ih je ispraviti ili pokrenuti ispravak kod kolege odgovornog za bilježenje podataka.
Obrada osobnih podataka
Budući da se fizičke osobe mogu povezati s mrežnim identifikatorima koje pružaju uređaji, aplikacije, alati i protokoli koje koriste, kao što su IP adrese i identifikatori kolačića, ti podaci, u kombinaciji s drugim informacijama, prikladni su i mogu se koristiti za izradu profila fizičkih osoba i identifikaciju određene osobe.
Obrada podataka može se provesti samo ako ispitanik dade svoju dobrovoljnu, posebnu, informiranu i nedvosmislenu privolu za obradu podataka jasnom potvrdnom radnjom, kao što je pisana - uključujući elektroničku - ili usmena izjava.
Označavanje kućice prilikom pregledavanja internetske stranice također se smatra privolom za obradu podataka. Šutnja, unaprijed označena kućica ili nečinjenje ne predstavljaju privolu.
Privolom se smatra i ako korisnik izvrši tehničke postavke u tu svrhu prilikom korištenja elektroničkih usluga, ili dade izjavu ili radnju koja jasno ukazuje na pristanak ispitanika na obradu njegovih osobnih podataka u danom kontekstu.
Osobni podaci koji se odnose na zdravlje uključuju podatke povezane sa zdravstvenim stanjem ispitanika koji nose informacije o prošlom, trenutnom ili budućem fizičkom ili psihičkom zdravstvenom stanju ispitanika. To uključuje sljedeće:
registraciju za usluge zdravstvene zaštite;
broj, simbol ili podatak dodijeljen fizičkoj osobi u svrhu njezine jedinstvene identifikacije u zdravstvene svrhe;
informacije proizašle iz testiranja ili ispitivanja dijela tijela ili tvari iz tijela, uključujući genetske podatke i biološke uzorke;
informacije o bolesti, invaliditetu, riziku od bolesti, povijesti bolesti, kliničkom liječenju ili fiziološkom ili biomedicinskom stanju ispitanika, bez obzira na izvor, koji može biti npr. liječnik ili drugi zdravstveni djelatnik, bolnica, medicinski proizvod ili dijagnostički test.
Genetski podaci definiraju se kao osobni podaci povezani s naslijeđenim ili stečenim genetskim obilježjima fizičke osobe koji su rezultat analize biološkog uzorka uzetog od ispitanika – posebno analize kromosoma, ili ispitivanja deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK).
Osobni podaci djece zaslužuju posebnu zaštitu jer ona mogu biti manje svjesna rizika, posljedica i jamstava te prava povezanih s obradom osobnih podataka. Ova posebna zaštita trebala bi se prvenstveno primjenjivati na korištenje osobnih podataka djece u marketinške svrhe ili u svrhu izrade osobnih ili korisničkih profila.
Osobnim podacima mora se rukovati na način koji osigurava odgovarajuću razinu sigurnosti i povjerljivosti, uključujući sprječavanje neovlaštenog pristupa osobnim podacima i opremi koja se koristi za obradu.
Moraju se poduzeti svi razumni koraci kako bi se netočni osobni podaci ispravili ili izbrisali.
Zakonitost obrade
Obrada osobnih podataka zakonita je ako je ispunjeno jedno od sljedećeg:
ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
obrada je nužna za izvršavanje ugovora u kojem je ispitanik jedna od strana, ili je nužna za poduzimanje koraka na zahtjev ispitanika prije sklapanja ugovora;
obrada je nužna radi ispunjenja zakonske obveze voditelja obrade;
obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
obrada je u javnom interesu ili je nužna za izvršavanje zadaće koja se provodi u okviru izvršavanja javnih ovlasti voditelja obrade;
obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika, posebno ako je ispitanik dijete.
U smislu gore navedenog, obrada podataka smatra se zakonitom ako je nužna u okviru ugovora ili namjere sklapanja ugovora.
Ako se obrada provodi radi ispunjenja zakonske obveze voditelja obrade, ili ako je nužna za izvršavanje zadaće od javnog interesa, obrada mora imati pravnu osnovu utvrđenu u pravu Unije ili pravu države članice.
Obrada se mora smatrati zakonitom kada se dogodi u zaštiti života ispitanika ili interesa drugih gore spomenutih fizičkih osoba. U načelu, obrada osobnih podataka temeljena na ključnim interesima druge fizičke osobe smije se provesti samo ako se predmetna obrada ne može provesti na bilo kojoj drugoj pravnoj osnovi.
Neke vrste obrade osobnih podataka mogu istovremeno služiti važnom javnom interesu i ključnim interesima ispitanika, npr. u slučajevima kada je obrada nužna iz humanitarnih razloga, uključujući praćenje epidemija ili u humanitarnim kriznim situacijama (prirodne katastrofe).
Legitimni interes voditelja obrade – uključujući voditelja kojem se podaci mogu otkriti – ili treće strane može pružiti pravnu osnovu za obradu. Takav legitimni interes može postojati npr. kada postoji relevantan odnos između ispitanika i voditelja obrade (npr. ispitanik je klijent ili zaposlenik).
Obrada osobnih podataka strogo nužna za sprječavanje prijevara također predstavlja legitimni interes. Obrada za potrebe izravnog marketinga također se može smatrati utemeljenom na legitimnom interesu.
Za utvrđivanje legitimnog interesa mora se pažljivo ispitati može li ispitanik u trenutku prikupljanja razumno očekivati da će se obrada u tu svrhu dogoditi. Interesi ispitanika mogu nadvladati interese voditelja obrade ako se podaci obrađuju u okolnostima u kojima ispitanici ne očekuju daljnju obradu.
Obrada osobnih podataka u mjeri strogo nužnoj i razmjernoj za jamčenje mrežne i informacijske sigurnosti od strane tijela javne vlasti, timova za odgovor na računalne sigurnosne incidente ili pružatelja elektroničkih komunikacijskih mreža predstavlja legitimni interes.
Obrada osobnih podataka u svrhe različite od onih za koje su izvorno prikupljeni dopuštena je samo ako je obrada kompatibilna s izvornim svrhama. U tom slučaju nije potrebna posebna pravna osnova različita od one koja je omogućila prikupljanje.
Obrada osobnih podataka od strane vlasti radi postizanja ciljeva službeno priznatih vjerskih zajednica utvrđenih ustavnim ili međunarodnim pravom smatra se utemeljenom na javnom interesu.
Privola ispitanika, uvjeti
Ako se obrada temelji na privoli, voditelj obrade mora biti u mogućnosti dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Ako ispitanik dade privolu u okviru pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predstavljen na način koji ga jasno razlikuje od tih drugih pitanja.
Ispitanik ima pravo povući svoju privolu u bilo kojem trenutku. Povlačenje privole ne utječe na zakonitost obrade temeljene na privoli prije njezinog povlačenja. Prije davanja privole, ispitanik mora biti o tome obaviješten. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
Prilikom utvrđivanja je li privola bila dobrovoljna, u najvećoj mogućoj mjeri mora se uzeti u obzir je li izvršenje ugovora – uključujući pružanje usluga – uvjetovano privolom za obradu podataka koji nisu nužni za izvršenje tog ugovora.
Obrada osobnih podataka povezana s uslugama informacijskog društva koje se nude izravno djetetu zakonita je ako dijete ima najmanje 16 godina. Ako je dijete mlađe od 16 godina, obrada je zakonita samo ako je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.
Zabranjena je obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, kao i obrada genetskih i biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca, osim ako je ispitanik dao izričitu privolu za obradu tih podataka u jednu ili više posebnih svrha.
Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela može se provoditi samo pod nadzorom tijela javne vlasti.
Obrada koja ne zahtijeva identifikaciju
Ako svrhe u koje voditelj obrade obrađuje osobne podatke ne zahtijevaju ili više ne zahtijevaju identifikaciju ispitanika, voditelj obrade nije dužan zadržati dodatne informacije.
Ako voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, o tome će ga, ako je moguće, obavijestiti na odgovarajući način.
Informiranje ispitanika, prava
Načelo poštene i transparentne obrade zahtijeva da ispitanik bude obaviješten o činjenici i svrhama obrade.
Ako se osobni podaci prikupljaju od ispitanika, ispitanik se mora obavijestiti i o tome je li obvezan pružiti podatke te koje su posljedice uskrate podataka. Ove se informacije mogu dopuniti standardiziranim ikonama radi lakšeg razumijevanja.
Informacije o obradi moraju se pružiti ispitaniku u trenutku prikupljanja, ili u razumnom roku ako podaci nisu prikupljeni izravno od njega.
Ispitanik ima pravo na pristup podacima prikupljenim o njemu te pravo na jednostavno ostvarivanje tog prava u razumnim intervalima kako bi provjerio zakonitost obrade.
Ispitanik ima pravo na brisanje svojih podataka ("pravo na zaborav") ako prikupljanje ili obrada više nisu nužni u odnosu na izvorne svrhe ili ako je ispitanik povukao privolu.
Ako se obrada provodi u svrhu izravnog marketinga, ispitaniku se mora osigurati pravo da u bilo kojem trenutku i besplatno prigovori na takvu obradu.
Pregled osobnih podataka
Kako bi se osiguralo da pohrana osobnih podataka bude ograničena na nužno trajanje, voditelj obrade utvrđuje rokove za brisanje ili redoviti pregled.
|
Rok za redoviti pregled koji je utvrdio voditelj organizacije: 1 godina. |
Zadaće voditelja obrade
Voditelj obrade primjenjuje odgovarajuća interna pravila zaštite podataka radi osiguranja zakonite obrade. Ova regulacija obuhvaća nadležnost i odgovornost voditelja obrade.
Dužnost voditelja obrade je provesti odgovarajuće mjere i moći dokazati da su aktivnosti obrade u skladu s važećim propisima.
Ove mjere moraju se donijeti uzimajući u obzir prirodu, opseg, okolnosti i svrhe obrade, kao i rizike za prava i slobode ispitanika.
Voditelj obrade provodi tehničke i organizacijske mjere s obzirom na promjenjivu vjerojatnost i ozbiljnost rizika. Na temelju ovog Pravilnika, on pregledava ostale interne pravilnike i po potrebi ih ažurira.
Voditelj ili izvršitelj obrade vodi evidenciju o aktivnostima obrade. Obvezni su surađivati s nadzornim tijelom i tu evidenciju staviti na raspolaganje na zahtjev.
Prava povezana s obradom podataka
Pravo na traženje informacija
Svaka osoba može zatražiti informaciju o tome koje njezine podatke, na kojoj pravnoj osnovi, u koju svrhu, iz kojeg izvora i koliko dugo organizacija obrađuje. Informacija se mora poslati bez odgađanja, a najkasnije u roku od 30 dana.
Pravo na ispravak
Svaka osoba može zatražiti izmjenu svojih podataka. Mjere se moraju poduzeti bez odgađanja, najkasnije u roku od 30 dana.
Pravo na brisanje
Svaka osoba može zatražiti brisanje svojih podataka putem navedenih kontakata. To se mora učiniti najkasnije u roku od 30 dana.
Pravo na blokiranje, ograničavanje
Svaka osoba može zatražiti blokiranje svojih podataka. Blokiranje traje dok navedeni razlog čini pohranu podataka nužnom. Postupak traje do 30 dana.
Pravo na prigovor
Svaka osoba može uložiti prigovor na obradu podataka. Prigovor se ispituje u najkraćem roku, a najkasnije u roku od 15 dana.
Mogućnosti pravne zaštite
Nacionalno tijelo za zaštitu podataka i slobodu informiranja (Mađarska - NAIH)
Poštanska adresa: 1530 Budapest, Pf.: 5.
Adresa: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat (at) naih.hu
URL: https://naih.hu
U slučaju kršenja prava, ispitanik se može obratiti sudu protiv voditelja obrade. Sud u predmetu postupa hitno.
Zadaće organizacije za odgovarajuću zaštitu podataka
Svijest o zaštiti podataka. Mora se osigurati stručna spremnost za usklađenost sa zakonima. Stručna priprema zaposlenika i upoznavanje s pravilnikom su neophodni.
Potrebno je pregledati svrhe i koncepte obrade podataka. Mora se osigurati zakonita obrada u skladu s Pravilnikom o zaštiti podataka.
Odgovarajuće informiranje ispitanika. Mora se obratiti pozornost na to da, u slučaju sumnje, voditelj obrade mora dokazati da je ispitanik dao privolu za obradu.
Informacije koje se pružaju ispitaniku trebaju biti sažete, lako dostupne i lako razumljive, napisane jasnim i jednostavnim jezikom.
Zahtjev transparentne obrade jest da ispitanik dobije informacije prije početka obrade, a to pravo traje tijekom cijele obrade.
Glavna prava ispitanika su:
pristup osobnim podacima;
ispravak osobnih podataka;
brisanje osobnih podataka;
ograničavanje obrade;
prigovor na izradu profila i automatiziranu obradu;
pravo na prenosivost podataka.
Voditelj obrade obavještava ispitanika bez nepotrebnog odgađanja, najkasnije u roku od mjesec dana. U složenim slučajevima rok se može produžiti za još dva mjeseca.
Potrebno je osigurati ostvarivanje prava na informacijsko samoodređenje. Na zahtjev ispitanika podaci se moraju odmah izbrisati ako on povuče privolu.
Iz privole ispitanika mora nedvosmisleno proizlaziti pristanak na obradu. U slučaju dječjih podataka, mlađih od 16 godina, privolu daje nositelj roditeljske odgovornosti.
U slučaju povrede osobnih podataka, postoji obveza prijave nadzornom tijelu (NAIH) u roku od 72 sata, osim ako povreda vjerojatno neće prouzročiti rizik za prava ispitanika.
Ako povreda predstavlja visok rizik, ispitanika je potrebno odmah izravno obavijestiti. U određenim slučajevima voditelj obrade mora provesti procjenu učinka na zaštitu podataka.
Ako osnovne aktivnosti uključuju opsežno i sustavno praćenje ispitanika, mora se imenovati službenik za zaštitu podataka radi jačanja sigurnosti.
Sigurnost podataka
Podaci se moraju štititi odgovarajućim mjerama protiv neovlaštenog pristupa, izmjene, prijenosa, objave ili uništenja, kao i protiv slučajnog gubitka ili oštećenja.
Prilikom planiranja sigurnosti mora se uzeti u obzir trenutačni razvoj tehnologije. Potrebno je odabrati rješenje koje osigurava višu razinu zaštite podataka.
Službenik za zaštitu podataka
Imenovanje službenika za zaštitu podataka obvezno je u sljedećim slučajevima:
obradu obavljaju tijela javne vlasti, osim sudova u okviru sudbene nadležnosti;
osnovne aktivnosti uključuju sustavno i opsežno praćenje ispitanika;
osnovne aktivnosti odnose se na opsežnu obradu podataka o kaznenim osudama.
Službenik se imenuje na temelju stručnih sposobnosti i poznavanja prava zaštite podataka. Može biti zaposlenik ili vanjski suradnik. Njegovi podaci moraju biti objavljeni i prijavljeni nadzornom tijelu.
Pravni položaj službenika za zaštitu podataka
Voditelj obrade osigurava da službenik bude pravodobno uključen u sva pitanja zaštite podataka. On ne smije primati upute o izvršavanju svojih zadaća i ne smije biti kažnjen zbog njihova obavljanja. Odgovara izravno najvišoj upravi.
Ispitanici se mogu obratiti službeniku u vezi sa svim pitanjima obrade svojih podataka. Službenika obvezuje povjerljivost podataka.
Obrada u svrhe administracije i evidencije
Organizacija može obrađivati osobne podatke u svrhe administracije (zaposlenici, partneri). Dokumenti (npr. životopisi) moraju se uništiti nakon završetka predmeta, osim ako postoji privola za daljnje čuvanje. Evidencija se revidira jednom godišnje.
Zakonski propisi koji su osnova obrade
UREDBA (EU) 2016/679 (GDPR).
Mađarski Zakon CXII iz 2011. o informacijskom samoodređenju.
Zakon CVIII iz 2001. o elektroničkoj trgovini.
