Na temelju čl. 3. st. 1. Opće uredbe o zaštiti podataka (EU) 2016/679 i direktorica društva Make over beautiful inside & out d.o.o., za zdravstvene djelatnosti dana 01. listopada 2020. donijela je
ODLUKU O PRAVILNIKU O OBRADI I ZAŠTITI OSOBNIH PODATAKA
OPĆE ODREDBE
Članak 1.
U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka Poliklinika Makeover Beautiful Inside & Out d.o.o., za zdravstvene djelatnosti (u daljnjem tekstu: Društvo) je obveznik primjene Opće uredbe o zaštiti podataka (EU) 2016/679.
Članak 2.
Društvo je sukladno čl. 4. Opće uredbe voditelj obrade osobnih podataka koji sam ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka u skladu s nacionalnim zakonodavstvom ili pravom EU.
Članak 3.
U skladu sa Općom uredbom o zaštiti podataka pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:
„osobni podatak“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;
„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;
„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
Članak 4.
Društvo osobne podatke obrađuje poštujući sljedeća načela:
zakonitost, poštenost i transparentnost obrade: obrada treba biti u skladu s određenim pravnim temeljem, te da je pojedinac informiran o postupku obrade i njegovim svrhama koje mu je voditelj obrade obvezan pružiti:
• ograničavanje svrhe: podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
• smanjenje količine podataka: podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost: podaci moraju biti točni i prema potrebi ažurni;
ograničenje pohrane: podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom;
• cjelovitost i povjerljivost: podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost: voditelj obrade odgovoran za poštivanje načela i teret dokaza je na njemu.
SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak 5.
Društvo imenuje službenika za zaštitu podataka. Službenik za zaštitu podataka imenuje se iz redova zaposlenika Društva. Kontakt podatke službenika za zaštitu podataka Društvo objavljuje na svojim web stranicama te o osobi imenovanoj za službenika obavještava nadzorno tijelo.
Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja odgovornih osoba Društva i njegovih zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili države članice o zaštiti, omoguće prava ispitanika te surađuje s nadzornim tijelom. Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.
III. OBRADA OSOBNIH PODATAKA
Članak 6.
Društvo osobne podatke obrađuje samo i u onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka
da je obrada nužna radi poštovanja pravnih obveza Društva
da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju javnih ovlasti Društva
ili
da je obrada nužna za potrebe legitimnih interesa Društva ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Članak 7.
Privola kojom ispitanik Društvu daje pristanak za obradu osobnih podataka koji se na njega odnose mora biti dobrovoljna, dana u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
Ako se radi o obradi osobnih podataka djeteta ispod dobne granice od 16 godina, privolu na način opisanom u stavku 1. ovog članka daje nositelj roditeljske odgovornosti nad djetetom (roditelj ili zakonski skrbnik djeteta).
Članak 8.
U postupku obrade osobnih podataka Društvo na odgovarajući način (pisano ili izravno usmeno) ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovu za obradu podataka, legitimnim interesima Društva, namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade, prava na ulaganje prigovora i dr.
Članak 9.
Obrada osobnih podataka putem video nadzora u Društvu provodit će se u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, uzimajući u obzir interese ispitanika. Video nadzorom je obuhvaćen prostor ulaza i izlaza u Društvu.
Na vidljivim mjestima označeno je naljepnicama da se vanjske površine objekta snimaju video nadzorom, čime se uvažava načelo transparentnosti obrade. Pravo pristupa osobnim podacima prikupljenim putem video nadzora te zaštita prikupljenih podataka u nadležnosti je direktora Društva. Rok čuvanja osobnih podataka prikupljenim putem video nadzora iznosi 15 dana od dana nastanka zapisa. Zapis je zapisan na memoriji računala.
PRAVA ISPITANIKA
Članak 10.
Ispitanik ima pravo uvida u osobne podatke sadržane u sustavu pohrane Društva koji se na njega odnose. Ispitanik ima pravo ispisa osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose. Društvo će bez odgađanja, na zahtjev ispitanika ispraviti netočne podatke koji se na njega odnose odnosno temeljem traženja ispitanika iste dopuniti.
Društvo će bez odgađanja, temeljem zahtjeva ispitanika, provesti brisanje osobnih podataka koji se na njega odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji.
Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Općom uredbom o zaštiti podataka ima pravo podnijeti zahtjev za utvrđivanje povrede prava nadležnom tijelu.
Članak 11.
U svrhu zaštite osobnih podataka Društvo, u svim slučajevima kada je to moguće, a posebice prilikom javnog objavljivanja informacija sukladno Zakonu o pravu na pristup informacijama, provodi pseudonimizaciju podataka.
SUSTAV POHRANE
Članak 12.
Društvo prikuplja i obrađuje sljedeće vrste osobnih podataka:
osobni podaci zaposlenika
osobnih podataka korisnika usluga
osobnih podataka o zdravstvenom stanju korisnika usluga
osobnih podataka o zaposlenicima Društva
osobnih podataka o kandidatima koji sudjeluju objavljenim pozivima za zasnivanje radnog odnosa
osobnih podataka vanjskih suradnika.
Članak 13.
Za osobne podatke navedene u članku 11. ovog članka Društvo vodi evidenciju aktivnosti obrade koja se nalazi u prilogu ovog Pravilnika i smatra se njezinim sastavnim dijelom.
Evidencija aktivnosti obrade sadrži najmanje sljedeće podatke:
ime i kontaktne podatke Društva predstavnika Društva i službenika za zaštitu podataka;
svrha obrade
opis kategorija ispitanika i kategorija osobnih podataka;
kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni
predviđene rokove za brisanje različitih kategorija podataka
opći opis tehničkih i organizacijskih sigurnosnih mjera za zaštitu podataka.
Članak 14.
Direktor Društva donosi odluku o osobama zaduženim za obradu i zaštitu osobnih podataka iz čl. 11. ovog Pravilnika.
MJERE ZA ZAŠTITU OSOBNIH PODATAKA
Članak 15.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci se u pisanom obliku čuvaju u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima zaduženim za obradu podataka, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije.
Članak 16.
Osobe zadužene za obradu osobnih podataka dužne su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe,
Ovaj Pravilnik objavljen je na oglasnoj ploči Društva dana 01. listopada 2020., a stupa na snagu 01. listopada 2020. godine.