96.

Na temelju odredaba Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, Zakona o provedbi Opće uredbe o zaštiti podataka (»Narodne novine«, broj 42/18) i članka 47. Statuta Grada Malog Lošinja (»Službene novine« broj 26/09, 32/ 09, 10/13, 24/17 - pročišćeni tekst, 9/18) gradonačelnica Grada Malog Lošinja dana 16. listopada 2018. godine donosi sljedeći

I N T E R N I P R A V I L N I K
O ZAŠTITI OSOBNIH PODATAKA VODITELJA OBRADE GRADA MALOG LOŠINJA

I. OPĆE ODREDBE

Članak 1.

Internim Pravilnikom o zaštiti osobnih podataka voditelja obrade Grada Malog Lošinja (udaljnjem tekstu: Pravilnik) utvrđuju se pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. Grad Mali Lošinj (u daljnjem tekstu: Grad) obveznik je primjene UREDBE (EU )2016/679 EUROPSKOG PARLAMENTA I VIJEĆA o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka(u daljnjem tekstu: Uredba).

Članak 2.

U skladu sa čl. 4. st. 7. Uredbe, Grad je voditelj obrade osobnih podataka koja određuje svrhu i sredstva obrade osobnih podataka te ih usklađuje s pravom Unije i nacionalnim zakonodavstvom.

Članak 3.

U skladu sa Uredbom pojedini izrazi imaju sljedeće značenje:

»osobni podaci« znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (»ispitanik«); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

»obrada« znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, šire njem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

»izrada profila« znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

»pseudonimizacija« znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

»sustav pohrane« znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

»voditelj obrade« znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

»izvršitelj obrade« znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

»primatelj«znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

»treća strana« znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

»privola«ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

»povreda osobnih podataka« znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

»usluga informacijskog društva« znači usluga kako je definirana člankom 1. stavkom 1.točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća.

Članak 4.

Voditelj obrade odgovoran je za provedbu propisa iz oblasti zaštite podataka.

Službenik za zaštitu podataka odgovoran je za svoju zadaću koju definira čl. 39. Uredbe.

Svaki zaposlenik koji je ovlašten ujedno je i odgovoran za poslove prikupljanja, obrade i čuvanja podataka.

Zaposlenici ili osobe ovlaštene za obradu osobnih podataka kod voditelja obrade obvezali su se na potpisivanje izjave o povjerljivosti i privatnosti te podliježu zakonskim obvezama.

Članak 5.

U skladu s načelima obrade osobnih podataka Grad osobne podatke fizičkih osoba obrađuje zakonito, pošteno i transparentno. Osobni podaci obrađuju se u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.

Grad osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih i organizacijskih mjera.

Grad osobne podatke čuva samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju u trajanju propisanim Pravilnikom o zaštiti i obradi arhivskog i registraturnog gradiva i Posebnim popisom gradiva s rokovima čuvanja kojeg je odobrio nadležni državni arhiv, te drugim nadležnim propisima.

Osobni podaci mogu se obrađivati u svrhu arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

II. OBRADA OSOBNIH PODATAKA

Članak 6.

Načela obrade osobnih podataka - osobni podaci moraju biti:

(a) zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (»zakonitost, poštenosti transparentnost«);

(b) prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. Uredbe ne smatra se neusklađenom s prvotnim svrhama (»ograničavanje svrhe«);

(c) primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (»smanjenje količine podataka«);

(d) točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (»točnost«);

(e) čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. Uredbe, što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika (»ograničenje pohrane«);

(f) obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (»cjelovitost i povjerljivost«).

Grad odgovara za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (»pouzdanost«).

Članak 7.

Grad zakonito obrađuje osobne podatke i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

-ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

-obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

-obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

-obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

-obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

-obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Članak 8.

Grad od ispitanika traži privolu, dobrovoljnu suglasnost za obradu osobnih podataka koji se na njega odnose, u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta, radi izvršavanja zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.

Ukoliko se radi o obradi osobnih podataka djeteta ispod dobne granice od 16 godina, privolu na način opisanom u stavku 1. ovog članka daje nositelj roditeljske odgovornosti nad djetetom (roditelj, punomoćnik ili zakonski skrbnik djeteta).

Ispitanik ima pravo u svakom trenutku povući svoju privolu što ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole jednako je jednostavno kao i njezino davanje.

Članak 9.

U postupku obrade osobnih podataka Grad na odgovarajući način (pisanim i izravno usmeno) ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovi za obradu podataka, legitimnim interesima Grada, kontaktnim podacima službenika za zaštitu podataka, namjeri za predaju osobnih podataka trećim osobama u slučaju kada postoje nadležni propisi, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika da se može zatražiti pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka.

III. PRAVA ISPITANIKA

Članak 10.

Grad, ispitaniku pruža sve informacije u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku. Stoga su napravljeni obrasci zahtjeva za pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka koji su dostupni na službenoj Internet stranici.

Članak 11.

Grad će ispitaniku na zahtjev pružiti informacije o poduzetim radnjama bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Grad obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.

Ukoliko Grad ne postupi po zahtjevu ispitanika, Grad bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka.

Članak 12.

Gradće odgovoriti najkasnije u roku od 30 dana od dana podnošenja zahtjeva svakomispitaniku na njegov zahtjev i ustupiti sljedeće informacije koje ispitanik označi ili opišeu zahtjevu:

-informirati o svrsi obrade, kategoriji osobnih podataka o kojima je riječ, primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama,ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja, postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu,ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

-napraviti ispravak ili dopunu podataka;

-provesti brisanje osobnih podataka (»pravo na zaborav«) koji se na ispitanika odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način;

-provesti brisanje osobnih podatka ukoliko su se ispunjavaju uvjeti u kojima osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni, zatim ukoliko ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) Uredbe i ako ne postoji druga pravna osnova za obradu, ukoliko ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. Uredbe te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2. Uredbe, ukoliko su osobni podaci nezakonito obrađeni i ukoliko su osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1. Uredbe;

-postupiti po prigovoru ispitanika u slučajevima u kojim u skladu s člankom 6. stavkom 1. točkom (e) ili (f) Uredbe, uključujući izradu profila koja se temelji na tim odredbama, voditelj obrade više ne smije obrađivati osobne podatke osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva, zatim ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom, zatim ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe. U kontekstu služenja uslugama informacijskog društva i neovisno o Direktivi 2002/58/EZ ispitanik može ostvariti svoje pravo na prigovor automatiziranim putem koji se koristi tehničkim specifikacijama te ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe na temelju članka 89. stavka 1. Uredbe, ispitanik na temelju svoje posebne situacije ima pravo uložiti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za provođenje zadaće koja se obavlja zbog javnog interesa;

-postupiti po ograničenju obrade u slučajevima u kojim ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka,obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe, voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva i ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. Uredbe očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

Članak 13.

Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku. Ispitanika koji je ishodio ograničenje obrade temeljem čl. 18. st. 1. Uredbe, Grad izvješćuje prije nego što ograničenje obrade bude ukinuto.

Članak 14.

Grad informacije pružene u skladu s čl. 12. pruža bez naknade i osigurava kopiju osobnih podataka koji se obrađuju. Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani Grad će naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti.

Za sve dodatne kopije koje zatraži ispitanik, Grad će naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku. Pravo na dobivanje kopije ne smije negativno utjecati na prava i slobode drugih.

Članak 15.

Ispitanik koji smatra da je Grad povrijedio neko njegovo pravo zajamčeno Uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede prava nadležnom tijelu - Agenciji za zaštiti osobnih podataka na e-mail azop@azop.hr ili na adresu Martićeva ulica 14, 10000 Zagreb.

IV. SUSTAV POHRANE

Članak 16.

Grad prikuplja i obrađuje sljedeće vrste osobnih podataka:

-osobni podaci zaposlenika Grada

-osobni podaci o članovima Gradskog vijeća

-osobni podaci o gradonačelniku i zamjeniku gradonačelnika

-osobni podaci o članovima Odbora za statutarna - pravna pitanja

-osobni podaci o članovima Odbora za izbor i imenovanja

-osobni podaci o članovima Mandatne komisije

-osobni podaci o članovima Odbora za gospodarstvo i razvoj

-osobni podaci o članovima Odbora za zaštitu okoliša

-osobni podaci o članovima Odbora za prostorno planiranje

-osobni podaci o članovima Odbora za međugradsku i međunarodnu suradnju

-osobni podaci o članovima Ocjenjivačkog suda

-osobni podaci o članovima Povjerenstva za procjenu šteta od elementarnih nepogoda

-osobni podaci o članovima Komisije za provedbu natječaja za raspolaganje nekretninama u vlasništvu grada

-osobni podaci o članovima Komisije za unapređivanje i razvitak manjih mjesta

-osobni podaci o članovima Odbora za socijalnu zaštitu građana

-osobni podaci o članovima Odbora za obitelj

-osobni podaci o članovima Povjerenstva za imenovanje naselja, ulica i trgova na području Grada Malog Lošinja

-osobni podaci o članovima Povjerenstva za davanje na korištenje javne površine

-osobni podaci o članovima Vijeća za dodjelu koncesijskih odobrenja

-osobni podaci o članovima Savjeta za turizam

-osobni podaci o članovima Savjeta za zdravstvo

-osobni podaci o članovima Savjeta za kulturu i prosvjetu

-osobni podaci o članovima Savjeta za poljoprivredu, ribarstvo i ruralni razvoj

-osobni podaci o članovima Savjeta za sport

-osobni podaci o članovima Komisije za poslovni prostor

-osobni podaci o članovima Komisije za procjenu stabala koja prijete urušavanjem na javnim površinama

-osobni podaci o članovima Komisije za procjenu nekretnina u vlasništvu grada

-osobni podaci o članovima Savjeta za zaštitu potrošača javnih usluga Grada Malog Lošinja

-osobni podaci o članovima Povjerenstva za provedbu javnog natječaja za prodaju i zakup poljoprivrednog zemljišta u vlasništvu RH na području Grada Malog Lošinja

-osobni podaci o članovima Povjerenstva za provedbu programa društveno poticane stanogradnje POS-a

-osobni podaci o članovima Povjerenstva za dodjelu potpora za poljoprivredu, obrt, malo i srednje poduzetništvo

-osobni podaci o članovima Povjerenstva za kriterije i dodjelu studentskih stipendija

-osobni podaci o članovima Savjeta mladih

-osobni podaci o članovima Dječjeg gradskog vijeća

-osobni podaci o članovima UV Javne vatrogasne postrojbe Grada Mali Lošinj

-osobni podaci o članovima UV Dječjeg vrtića Cvrčak

-osobni podaci o članovima UV Pučkog otvorenog učilišta Mali Lošinj

-osobni podaci o članovima UV Lošinjskog muzeja

-osobni podaci o članovima UV Gradske knjižnice i čitaonice

-osobni podaci o članovima Povjerenstva za ravnopravnost spolova

-osobni podaci o članovima Povjerenstva za dodjelu prava uporabe zajedničkog žiga »miomirisi i okusi Lošinja«

-osobni podaci o članovima Mjesnog odbora Belej

-osobni podaci o članovima Mjesnog odbora Ustrine

-osobni podaci o članovima Mjesnog odbora Osor

-osobni podaci o članovima Mjesnog odbora Punta Križa

-osobni podaci o članovima Mjesnog odbora Nerezine - Sveti Jakov

-osobni podaci o članovima Mjesnog odbora Ćunski

-osobni podaci o članovima Mjesnog odbora Artatore

-osobni podaci o članovima Mjesnog odbora Veli Lošinj

-osobni podaci o članovima Mjesnog odbora Susak - Srakane

-osobni podaci o članovima Mjesnog odbora Ilovik

-osobni podaci o članovima Mjesnog odbora Unije

-osobni podaci o kandidatima koji sudjeluju u natječajnom postupku za zasnivanje radnog odnosa

-osobni podaci vanjskih suradnika

-osobni podaci o obveznicima komunalne naknade, komunalnog doprinosa, spomeničke rente, poreza na kuću za odmor, poreza na potrošnju, poreza na korištenje javnih površina

-osobni podaci o ugovornim stranama iz ugovora o zakupu, najmu, o kupoprodaji, donaciji, stipendije kao i drugih ugovornih odnosa

-osobni podaci o korisnicima socijalnog programa.

Članak 17.

Za osobne podatke navedene u članku 16. ovog Pravilnika Grad vodi evidenciju aktivnosti obrade koja mora biti u pisanom obliku, uključujući elektronički oblik.

Članak 18.

Evidencija aktivnosti obrade sadrži najmanje sljedeće podatke:

-ime i kontaktne podatke Grada, gradonačelnika i službenika za zaštitu podataka

-svrhe obrade

-opis kategorija ispitanika i kategorija osobnih podataka

-kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni

-predviđene rokove za brisanje različitih kategorija podataka

-opći opis tehničkih i organizacijskih sigurnosnih mjera za zaštitu podataka

Članak 19.

Svi zaposleni potpisuju Izjavu o povjerljivosti i privatnosti kojom izjavljuju da će štititi tajnost osobnih i privatnih podataka i čuvati povjerljivost svih informacija i podataka koje saznaju u obavljanju svojih dužnosti kao i nakon prestanka obavljanja dužnosti kako bi se zaštitili osobni podaci u skladu sa Uredbom.

V.SIGURNOST OBRADE, PROCJENA UČINKA I MJERE ZA ZAŠTITU OSOBNIH PODATAKA

Članak 20.

Za sigurnost podataka, Grad uzima u obzir rizike koji predstavljaju obradu osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

Članak 21.

Ukoliko je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, Grad treba prije obrade provoditi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

Grad poduzima mjere kako bi osiguralo da svaki pojedinac koji to nije prema uputama Grada, osim ako je to obvezan učiniti prema pravu Unije ili nacionalnim propisima.

Članak 22.

VI. IZVRŠITELJ OBRADE

Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade - Grada.

Obrada koju provodi izvršitelj obrade uređena je ugovorom ili drugim pravnim aktom, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navodi predmet i trajanje obrade, priroda i svrha obrade, vrsta osobnih podataka i kategoriju ispitanika te obveze i prava Grada.

Izvršitelj obrade u obavljanju svojih prava i obveza utemeljenih ugovorom može se koristi drugim izvršiteljima obrade uz prethodnog posebnog ili općeg pisanog odobrenja Grada. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje Grad o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time Gradu omogućio da uloži prigovor na takve izmjene.

Izvršitelji obrade dužni su Gradu dostaviti ovjerenu Izjavu o obvezama i povjerljivosti izvršitelja obrade.

Grad koristi e-sustave propisane nacionalnim zakonodavstvom i druge e-sustave koji olakšavaju redovan rad.

Grad na zahtjev može tražiti od izvršitelja obrade dostavu procedure/politiku čuvanja baze podataka sa utvrđenim rizicima tj. dokument koji opisuje na koji način se čuvaju osobni podaci i štitite e-sustavi za podatke koji se u njih unose.

VII. ČUVANJE PODATAKA

Članak 23.

Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima zaduženim za obradu podataka, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije.

Članak 24.

Dokumenti koji su nastaju ili su zaprimljeni u elektroničkom obliku, drugi elektronički dokumenti i zapisi nastali u redovnom poslovanju i baze podataka čuvaju se i osiguravanju od neovlaštenog pristupa, brisanja, mijenjanja i gubitka prema važećim standardima i dobroj poslovnoj praksi upravljanja te zaštite sustava.

Svaki e-sustav koristi se za pohranu ili rad s elektroničkim dokumentima i zapisima, a svaki djelatnik ima odgovornost za zaštitu podataka iz svog područja rada, redovitu izradu sigurnosnih kopija i postupak obnove podataka u slučajevima pogreške ili gubitka podataka te mogućnost izrade sigurnosnih kopija i cjelovitu obnovu podatka u kratkom roku.

Članak 25.

Osobe zadužene za obradu osobnih podataka odgovorne su za zaštitu osobnih podataka od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe.

VIII. SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 26.

Grad imenuje službenika za zaštitu podataka.

Službenik za zaštitu podataka ima odgovarajuću stručnu spremu, a imenuje se iz redova zaposlenika Grada.

Kontaktni podaci službenika za zaštitu podataka dostupni su na službenoj Internet stranici Grada.

Članak 27.

Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:

-obavlja poslove informiranja i savjetovanja odgovornih osoba Grada i njegovih zaposlenika koji obavljaju obradu osobnih podataka o njihovim obvezama iz Uredbe te drugih odredba Unije ili države članice o zaštiti;

-praćenje poštovanja ove Uredbe te drugih odredba Unije ili države članice o zaštiti podataka i politika Grada ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;

-pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. Uredbe;

-suradnja s nadzornim tijelom;

-djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. Uredbe te savjetovanje, prema potrebi, o svim drugim pitanjima.

-pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.

Članak 28.

Službenik za zaštitu podataka potpisuje Izjavu o povjerljivosti i privatnosti službenika za zaštitu podataka kojom izjavljuje da će štititi tajnost osobnih i privatnih podataka i čuvati povjerljivost svih informacija i podataka koje sazna u obavljanju svojih dužnosti kao i nakon prestanka obavljanja dužnosti kako bi se zaštitili osobni podaci u skladu sa Uredbom.

IX. ZAVRŠNE ODREDBE

Članak 29.

Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Službenim novinama PGŽ«, a objavit će se na oglasnoj ploči i službenim web stranicama Grada i dostupan je javnosti u skladu sa odredbama Zakona o pravu na pristup informacijama (»Narodne novine«, broj 25/13, 85/15).

KLASA: 041-02/18-01/01

URBROJ:2213/01-01-18-3

Mali Lošinj, 16. listopada 2018. godine

Gradonačelnica
Grada Malog Lošinja
Ana Kučić, mag.oec. v.r.