POLITIKA ZAŠTITE OSOBNIH PODATAKA

Temeljem  Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) i  Zakona o provedbi opće uredbe o zaštiti podataka (NN 42/2018)  Uprava društva RENAISSANCE CAPITAL d.o.o. donosi dana 3. siječnja 2023. godine

POLITIKA ZAŠTITE OSOBNIH PODATAKA

CILJ POLITIKE

Politika zaštite osobnih podataka RENAISSANCE CAPITAL d.o.o. (dalje u tekstu skraćeno: Politika) je temeljni akt putem kojeg se uspostavlja okvir za zaštitu osobnih podataka i utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu prikupljanja i obrade osobnih podataka u poslovanju društva RENAISSANCE CAPITAL d.o.o. te njegovih povezanih društava RENAISSANCE REAL ESTATE d.o.o., RENAISSANCE BIOENERGY d.o.o., Petrinja Chicken Company d.o.o. i LUXCONSULT d.o.o. (dalje  u tekstu: članice Grupe RC). Politiku primjenjuje sve članice Grupe RC nakon što je usvoje odlukama svojih nadležnih tijela.

Cilj Politike je uspostaviti procese zaštite i upravljanja osobnim podacima zaposlenika, ispitanika, poslovnih partnera članica Grupe RC kao i drugih osoba čiji se podaci obrađuju.  

Politika se primjenjuje na sve obrade osobnih podataka unutar članica Grupe RC osim u slučajevima gdje se obrađuju anonimizirani podaci ili su obrade takve prirode da se radi o obradama iz kojih nije moguće identificirati pojedinca.

DEFINICIJE

Osobni podaci –  svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Obrada - svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Ograničavanje obrade - označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti.

Izrada profila - svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca; 

Pseudonomizacija -  obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi

Voditelj obrade -  fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

Izvršitelj obrade -  fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade

Primatelj -  fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana

Treća strana - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade

Privola ispitanika -  svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose

Povreda osobnih podataka - kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

Obvezujuća korporativna pravila - znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću

Nadzorno tijelo – Agencija za zaštitu osobnih podataka Republike Hrvatske

Distributivni kanali – predstavljaju sredstva i načine preko kojih je omogućen pristup, ugovaranje i/ili korištenje proizvoda i usluga RENAISSANCE CAPITAL i članica Grupe RC, te slanja komercijalnih ponuda i informacija vezanih uz proizvode i usluge

Službenik za zaštitu osobnih podataka – zaposlenik RENAISSANCE CAPITAL d.o.o. imenovan odlukom Uprave društvo u skladu s člankom 37 Opće uredbe o zaštiti podataka.

NAČELA OBRADE OSOBNIH PODATAKA

Prilikom obrade osobnih podataka ispitanika RENAISSANCE CAPITAL i članice Grupe RC dužne su pridržavati se niže navedenih načela, kako bi se obrada smatrala zakonitom, te je svaka članica Grupe RC kao voditelj obrade osobnih podataka odgovorna za usklađenost sa načelima obrade te ih mora biti u mogućnosti dokazati (“načelo pouzdanosti”).

Članice Grupe RC obrađuju osobne podatke u skladu sa slijedećim načelima:

• Zakonitost i poštenost– u skladu s važećim zakonima i ispunjavajući sva prava ispitanika,
• Transparentnost – pružajući ispitanicima sve potrebne informacije i na zahtjev osigurati ispunjene njihovih prava
• Uz ograničavanje svrhe-  osobni podaci prikupljeni u posebne, izričite i zakonite svrhe neće se obrađivati na način koji nije u skladu s tim svrhama
• Uz ograničenje pohrane– osobni podaci ispitanika biti će čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko koliko je potrebo u svrhe radi kojih se osobni podaci obrađuju (izuzev obveza koje proizlaze iz Zakona o arhivskom gradivu i arhivima) ili legitimnog interesa (npr. u slučaju sudskog spora)
• Smanjenje količine podataka– osobni se podaci prikupljaju na način da su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhu zbog koje se obrađuju
• Točnost – osobni podaci moraju biti točni i ažurni  uz poduzimanje razumnih mjera radi osiguranja da se osobni podaci koji nisu točni bez odlaganja izbrišu ili izmijene
• Cjelovitost i povjerljivost – podaci se obrađuju na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

Zaposlenici članica Grupe RC pristupat će podacima ispitanika ovisno o njihovim ovlaštenjima i radnim mjestima kako bi ispunili obveze sukladno svojim radnim mjestima. Prilikom sklapanja ugovora o poslovnim suradnjama s drugim pravnim osobama članice Grupe RC vodite će računa o reguliranju obrade osobnih podataka ugovornim odredbama i utvrđivanju odgovarajućih uloga ugovornih strana u pogledu obrade osobnih podataka.

ZAKONITOST OBRADE OSOBNIH PODATAKA

Kako bi pružile usluge ispitaniku, članice Grupe RC moraju obraditi set osobnih podataka neophodan za pružanje pojedine usluge – u protivnim neće biti u mogućnosti pružiti uslugu.

Stoga s ciljem zakonite obrade osobnih podataka članice Grupe RC obrađuju osobne podatke kada je zadovoljen jedan o niže navedenih uvjeta:

• obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
• obrada je nužna radi poštivanja pravnih obveza voditelja obrade – npr. u slučaju prikupljanja podataka vezanih za Zakon o sprečavanju pranja novca i financiranja terorizma (članice Grupe RC će prikupljati i obrađivati set podataka a ako ispitanik odbije ustupiti traženi set podataka Članica Grupe RC neće biti u mogućnosti pružiti usluge)
• obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. Pod legitimnim interesom podrazumijeva se primjerice poduzimanje mjera zaštite osoba, prostora ili imovine članica Grupe RC što uključuje kontrolu ili evidenciju ulaska, izlaska i pristupa poslovnim prostorima ili štićenim prostorima, uključujući obradu osobnih podataka putem sustava videonadzora u poslovnim prostorima ili pojedine obrade u svrhu upravljanja operativnim ili reputacijskim rizicima, te obrade u svrhu izravnog marketinga u mjeri u kojoj se ispitanici nisu suprotstavili takvoj obradi,
• obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
• obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade,
• ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola mora biti dana dobrovoljno i mora biti dokaziva, pisana lako razumljivim jezikom. Ispitanik može povući privolu u svako doba, o čemu ispitanik mora biti obaviješten unaprijed, te je postupak povlačenja jednostavan kao i postupak davanje privole.

Svaka organizacijska jedinica unutar članica Grupe RC dužna je identificirati zakonitost za svaku obradu osobnih podataka koja je u njihovoj nadležnosti, te će pri tom uključiti Službenika za zaštitu osobnih podataka koji će ih savjetovati.

PRAVA ISPITANIKA

Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije: identitet i kontaktne podatke voditelja obrade, kontaktne podatke službenika za zaštitu podataka, svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu,  legitimne interese, primatelje ili kategorije primatelja osobnih podataka, namjeru prijenosa osobnih podataka trećoj zemlji (ako postoji), razdoblje u kojem će osobni podaci biti pohranjeni ili kriterije pohrane, prava vezano uz privole, potencijalno postojanje automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika, te postojanje niže navedenih prava. U slučaju da se podaci ne prikupljaju izravno od ispitanika, uz navedene informacije navodi se i izvor osobnih podataka.

Članice Grupe RC podatke obrađuju sukladno pravima ispitanika kako su navedena u nastavku:

• Pravo na zaborav - Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
• osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;
• ispitanik povuče privolu na kojoj se obrada temelji a ne postoji druga pravna osnova za obradu;
• ispitanik uloži prigovor na obradu u skladu a ne postoje jači legitimni razlozi za obradu,
• osobni podaci nezakonito su obrađeni;
• osobni podaci moraju se brisati radi poštovanja pravne obveze.

• Pravo na ograničenje obrade -Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:
• ispitanik osporava točnost osobnih podataka,
• obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
• voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
• ispitanik je uložio prigovor na obradu te očekuje potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.
• Pravo na ispravak – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih podataka koji se na njega odnose – kao i nadopuniti nepotpune osobne podatke
• Pravo na prigovor – ispitanik ima pravo u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. Članice Grupe RC tada više ne smiju obrađivati osobne podatke osim ako dokažu da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese ili prava ispitanika, ili radi postavljanja ili odbacivanja pravnih zahtjeva. Kada se osobni podaci obrađuju na temelju legitimnog interesa za potrebe izravnog marketinga, ispitanik u svakomtrenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvih izravnim marketingom.

Ispitanik ima u svakom trenutku zahtijevati realizaciju bilo kojeg od svojih prava. Članica Grupe RC - voditelj obrade pruža informacije ispitaniku temeljem njegova zahtjeva o poduzetim radnjama bez nepotrebnog odgađanja a najkasnije  u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade obavještava ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.

Ispitanik koji nakon obraćanja članici Grupe RC nije uspio ostvariti svoja prava ili smatra da mu je povrijeđeno pravo na zaštitu osobnih podataka može se obratiti Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanjem povrede prava na zaštitu osobnih podataka na: www.azop.hr.

Informacije pružene radi realizacije prava ispitanika pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:

• naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu;
• ili odbiti postupiti po zahtjevu.

OBVEZE ČLANICA GRUPE RC

Članice Grupe RC se u nekim poslovnim procesima pojavljuju kao voditelji obrade a u drugim kao zajednički voditelji obrade, dok mogu biti i u ulozi izvršitelja obrade.

Članica Grupe RC je voditelj obrade u poslovnim procesima gdje je samostalno odredila svrhu i način obrade osobnih podataka, dok je zajednički voditelj obrade u poslovnim procesima gdje s drugim voditeljima, određuje svrhu i način obrade osobnih podataka ispitanika. Pojedina članica Grupe RC može biti i izvršitelj obrade u situacijama u kojima obrađuje podatke u ime voditelja obrade.

Članice Grupe RC kontinuirano provode odgovarajuće tehničke i organizacijske mjere zaštite uzimajući u obzir prirodu, opseg i svrhu obrade a što uključuje:

• kontinuirano se poduzimaju organizacijske i tehničke mjere u cilju zaštite osobnih podataka ispitanika, primjenjuju se u mjeri gdje je moguće i kriptografske metode zaštite podataka te se kontinuirano unaprjeđuju sustavi radi zaštite i sprečavanja curenja podataka (putem vatrozida, lozinka, antivirusnih programa, enkripcije i sl.),
• oprema na koju se pohranjuju osobni podaci smještena je u sigurno okruženje s ograničenim fizičkim pristupom,
• zaposlenicima Članica Grupe RC je strogo zabranjeno korištenje osobnih podataka osim u svrhu u koju se isti prikupljaju,
• zaposlenici Članica Grupe RC su obvezani na povjerljivost podataka koje saznaju u izvršavanju svojih radnih zadataka,
• provođenje Politike upravljanja osobnih podacima, kao i Procedura i uputa vezanih uz zaštitu osobnih podataka se redovito provjerava unutar članica Grupe RC, a provjeru provodi Službenik za zaštitu podataka, odjel za usklađenost te Ured unutarnje revizije,
• redovito se provode edukacije unutar članica Grupe RC kako bi svijest o važnosti zaštite osobnih podataka bila zadovoljavajuća.

AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA

Članice Grupe RC u svom poslovanju ne primjenjuju automatiziranu obradu podataka koja bi rezultirala negativnim pravnim posljedicama za ispitanika.

OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

Članice Grupe RC u redovitom poslovanju ne obrađuju podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu ili seksualnu orijentaciju  pojedinca.  

KORIŠTENJE OSOBNIH PODATAKA U POSLOVANJU S POSLOVNIM SUBJEKTIMA

Poslovni subjekti unutar članica Grupe RC mogu biti svaka pravna osoba, tijelo državne vlasti, lokalne ili područne samouprave i njihova tijela, udruge i ustanove kao i svaka fizička osoba (nepotrošač) koja djeluje unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja.

Članice Grupe RC prikupljaju i obrađuju podatke o poslovnim subjektima, transakcijama, korištenju proizvoda i usluga i osobne podatke fizičkih osoba (nepotrošača) koje djeluju unutar područja svoje registrirane djelatnosti ili slobodnog zanimanja te osobne podatke fizičkih osoba (potrošača) koje su povezane s poslovnim subjektima (fizičke osobe vlasnici poslovnog subjekta, osobe ovlaštene za zastupanje poslovnog subjekta, opunomoćenici i druge fizičke osobe čije je osobne podatke dao poslovni subjekt članici Grupe RC na korištenje za svrhu uspostave i održavanja poslovnog odnosa). Te podatke članice Grupe RC prikupljaju, obrađuju i dijele u skladu s zakonitom obradom podataka i to  u slijedećim slučajevima:

• utvrđivanja identiteta,
• prevencije rizika koji mogu proizaći iz poslovnog odnosa,
• usklađivanja sa pravnim okvirom Republike Hrvatske i Europske Unije,
• ugovaranjem i korištenjem proizvoda i usluga koje članice Grupe RC pruža,
• naplate potraživanja,
• izvještavanja,
• statističke obrade,
• rontaktiranja u svrhu ispunjenja ugovornog odnosa,
• kontaktiranja u marketinške svrhe.

Članice Grupe RC mogu podijeliti podatke o poslovnim subjektima koji uključuju osobne podatke fizičkih osoba (nepotrošača) koji djeluju unutar područja svoje registrirane djelatnosti ili slobodnog zanimanja te osobne podatke fizičkih osoba (potrošača) koje su povezane s poslovnim subjektima uz zadovoljavanje zakonitosti obrade te u skladu s definiram načelima obrade prema:

• nekoj od članica Grupe RC,
• zakonodavnim, nadzornim i regulatornim tijelima unutar i izvan područja Republike Hrvatske,
• financijskim institucijama s kojima članica Grupe RC surađuje,
• revizorima i konzultantima unutar i izvan članica Grupe RC.

ROKOVI POHRANE PODATAKA

Članice Grupe RC osobne podatke obrađuju odnosno pohranjuju sve dok je to potrebno za izvršenje ugovornih i zakonskih obveza. Posebnim internim aktom utvrđeni su rokovi čuvanja dokumentacije i podataka koje članica Grupe RC obrađuje u svom poslovanju. Osobni se podaci čuvaju primjerice temeljem Zakona o računovodstvu 11 godina od godine u kojoj je poslovni odnos prestao, dok temeljem Zakona o sprečavanju pranja novca i financiranju terorima članice Grupe RENAISSANCE CAPITAL su dužne čuvati 10 godina nakon prestanka poslovnog odnosa, odnosno obavljanja povremene transakcije.

SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

Članice Grupe RC imenovale su zajedničkog Službenika za zaštitu osobnih podataka koji je neovisan i odgovoran za sustav zaštite osobnih podataka ispitanika unutar članica Grupe RC. On odgovara izravno najvišim rukovodećim razinama članica Grupe RC i obvezan je tajnošću i povjerljivošću u vezi s obavljanjem svojih zadaća.

Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:

• informira i savjetuje voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim obvezama iz Opće Uredbe o zaštiti podataka te ostalim propisima koji se odnose na zaštitu osobnih podataka,
• prati poštivanje propisa iz područja zaštiti podataka, politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podiže svijest i osposobljava osoblje koje sudjeluje u postupcima obrade te povezane revizije,
• pruža savjete u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja,
• surađuje s nadzornim tijelom,
• djeluje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade.

Službenik za zaštitu podataka je ujedno i primarna točka za kontakt ispitanicima koji žele ostvariti svoja prava ili poslati upit vezan uz zaštitu osobnih podataka, zatražiti dodatne informacije, podnijeti prigovor vezano uz zaštitu osobnih podataka.

Ispitanici mogu Službenika za zaštitu osobnih podataka kontaktirati putem email adrese: dpo@renaissance.hr.

PROCJENA UČINKA NA ZAŠTITU PODATAKA

Svaka pojedina članica Grupe RC dužna je, kada je ulozi voditelja obrade, provesti procjenu učinka  ako je vjerojatno da će neka vrsta obrade, prouzročiti visok rizik za prava i slobode ispitanika i to prije započinjanja obrade osobnih podataka (npr. kod uporabe novih tehnologija ili tehnoloških rješenja za obradu osobnih podataka ili obrade osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje rada i sl.). Službenik zaštite podataka uspostaviti će proces i biti podrška prilikom provođenja predmetne procjene.

Procjena učinka sadrži minimalno:

• opis predviđenih postupaka obrade i svrhu obrade uključujući legitiman interes,
• procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama,
• procjenu rizika za prava i slobode ispitanika,
• mjere predviđene za rješavanje problema rizika – zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka.

EVIDENCIJA AKTIVNOSTI OBRADA

Članice Grupe RC vode svoje evidencije obrade u elektroničkom obliku i sadržavaju najmanje slijedeće podatke:

• ime i kontaktne podatke voditelja obrade, ili izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje i Službenika za zaštitu podataka,
• svrhu obrade,
• opis kategorija ispitanika i kategorije osobnih podataka,
• kategorije primatelja kojima će osobni podaci biti otkriveni uključujući treće zemlje ili naziv međunarodne organizacije,
• predviđene rokove za brisanje različitih kategorija podataka ako je moguće,
• opći opis tehničkih i organizacijskih mjera sigurnosti

Službenik za zaštitu osobni podataka odgovoran je za održavanje evidencije aktivnosti obrada i uspostavu procesa upravljanja evidencijama obrada, a sve organizacijske jedinice unutar pojedinih članica Grupe RC su odgovorne za dostavu točnih i pravovremenih informacija kako bi evidencija bila ažurna.

INCIDENTI

Članice Grupe RC svakodnevno poduzimaju procesne i tehnološke mjere kako bi zaštitile osobne podatke ispitanika. Zaposlenici su dužni obavijestiti Službenika za zaštitu osobnih podataka u slučaju incidenta koji predstavlja povredu osobnih podataka.

U slučaju da je vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinca, Članica Grupe RC obavještava Agenciju za zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, te o istome obavještava i samog ispitanika.

Članica Grupe RC iznimno nije dužna obavijestiti samog ispitanika:

• ako su na osobne podatke primijenjene odgovarajuće tehničke mjere (enkripcija – pa bi to činilo neovlaštenim osobama nerazumljive podatke)
• ili je poduzela naknadne mjere kojima  se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika.
• ako bi to podrazumijevalo nerazmjeran napor te će se u takvom slučaju primijeniti javno obavješćivanje  ili slična mjera kojom će se ispitanici obavijestiti na jednako djelotvoran način.

ZAVRŠNE ODREDBE

Službenik za zaštitu podataka dužan je redovito provjeravati i ažurirati Politiku zaštite osobnih podataka, te predložiti Upravi odgovarajuće izmjene ili dopune.

Politika stupa na snagu i primjenjuje se danom donošenja.