30.
Na temelju čl. 3. st. 1. Opće uredbe o
zaštiti podataka (EU) 2016/679 i temeljem čl. 41. Statuta Općine Mrkopalj
(Službene novine Primorsko-goranske županije br 24/
09,34/09-ispr.,13/13,19/13,8/18) Općinski načelnik Općine Mrkopalj donosi
PRAVILNIK
O OBRADI I ZAŠTITI OSOBNIH PODATAKA
I. OPĆE ODREDBE
Članak
1.
1. U postupku obrade osobnih podataka i
zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa
slobodnim kretanjem osobnih podataka Općina Mrkopalj (u daljnjem tekstu: Općina)
obveznik je primjene Opće uredbe o zaštiti podataka (EU) 2016/679 (dalje u
tekstu: Opća uredba).
2. Ovim se Pravilnikom propisuju se pravila o
prikupljanju, obradi i korištenju te zaštiti osobnih podataka.
3. Ova se pravila odnose na sve službenike i
namještenike Općine, općinsko vijeće, , općinskog načelnika i njihova radna
tijela te davatelje usluga koji mogu prikupljati, obrađivati ili imati pristup
podacima. Primjenjuje se na sve osobe koje imaju prebivalište ili boravište na
području općine ili se informiraju o ili na koji drugi način stupaju u kontakt
s općinom
4. Odgovornost je navedenih je da se upoznaju
s ovim Pravilnikom i osiguraju odgovarajuću usklađenost s njim.
5. Ova se pravila odnose na sve informacije i
zapise koji se koriste u Općini kao što su: elektronička pošta, fizički
dokumenta, dokument u elektroničkom obliku, video i audio zapisi.
Članak
2.
1. Sukladno čl. 4. toč. 7. Opće uredbe Općina
je voditelj obrade osobnih podataka koja određuje svrhu i sredstva obrade
osobnih podataka u skladu s nacionalnim zakonodavstvom i/ili pravom EU.
Članak
3.
1. U skladu sa Općom uredbom pojedini izrazi
u ovom Pravilniku imaju sljedeće značenje:
a. »osobni podatak« označava sve podatke koji
se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi
(»ispitanik«); pojedinac čiji se identitet može utvrditi jest osoba koja se
može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao
što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili
uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki,
genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
b. »obrada« znači svaki postupak ili skup
postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih
podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su
prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili
izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom,
širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili
kombiniranje, ograničavanje, brisanje ili uništavanje;
c. »sustav pohrane« znači svaki strukturirani
skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su
centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili
zemljopisnoj osnovi;
d. »voditelj obrade« znači fizička ili pravna
osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s
drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i
sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj
obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom
Unije ili pravom države članice;
e. »primatelj« znači fizička ili pravna
osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni
podaci, neovisno o tome je li on treća strana;
f. »treća strana« znači fizička ili pravna
osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik,
voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih
podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
g. »privola ispitanika« znači svako
dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika
kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih
podataka koji se na njega odnose;
h. »povreda osobnih podataka« znači kršenje
sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka,
izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su
preneseni, pohranjeni ili na drugi način obrađivani;
i. »pseudonimizacija« znači obrada osobnih
podataka na način da se osobni podaci više ne mogu pripisati određenom
ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije
drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se
osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet
utvrđen ili se može utvrditi.
2. Izrazi koji se koriste u ovom Pravilniku,
a imaju rodno značenje, odnose se jednako na muški i ženski rod.
Članak
4.
1. Načela i pravila o zaštiti pojedinaca u
vezi s obradom njihovih osobnih podataka poštuju temeljna prava i slobode
Ispitanika, a posebno njihovo pravo na zaštitu osobnih podataka. Načela zaštite
podataka definirana su sukladno čl. 5. Opće uredbe.
a. Načelo zakonitosti, poštenosti i
transparentnosti: osobni podaci moraju biti obrađeni zakonito, pošteno i na
transparentan način u odnosu na ispitanika.
b. Načelo ograničavanja svrhe: osobni podaci
moraju se prikupljati u određene, eksplicitne i legitimne svrhe, a ne dalje
obrađivati na način koji nije u skladu s tim ciljevima.
c. Načelo smanjenja količine podataka: osobni
podaci moraju biti adekvatni, relevantni i ograničeni na ono što je neophodno u
odnosu na svrhe za koje se obrađuju. Društvo je dužno primijeniti anonimizaciju
ili pseudonimizaciju osobnih podataka, ako je to moguće kako bi se smanjili
rizici za ispitanike na koje se odnose.
d. Načelo točnosti: Osobni podaci moraju biti
točni i, ako je potrebno, ažurirani; potrebno je poduzeti razumne korake kako
bi se osiguralo da se osobni podaci koji su netočni, imajući u vidu svrhe za
koje se obrađuju, pravodobno brišu ili ispravljaju.
e. Načelo ograničenja pohrane: osobni podaci
moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo
onoliko dugo koliko je potrebno da se ostvari svrha radi koje se ti osobni
podaci obrađuju.
f. Načelo cjelovitosti i povjerljivosti:
osobni podaci moraju se obrađivati na način kojim se osigurava odgovarajuća
sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite
obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih
tehničkih ili organizacijskih mjera.
g. Voditelj obrade odgovoran je za
usklađenost s načelima te ih mora biti u mogućnosti dokazati (»pouzdanost«).
II. OBRADA OSOBNIH PODATAKA
Članak
5.
1. Općina osobne podatke obrađuje samo i u
onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
a. da je ispitanik dao privolu za obradu
svojih osobnih podataka u jednu ili više posebnih svrha,
b. da je obrada nužna za izvršavanje ugovora
u kojem je ispitanik stranka,
c. da je obrada nužna radi poštovanja pravnih
obveza Općine,
d. da je obrada nužna kako bi se zaštitili
ključni interesi ispitanika ili druge fizičke osobe
e. da je obrada nužna za izvršavanje zadaće
od javnog interesa ili pri izvršavanju javnih ovlasti Općine,
f. da je obrada nužna za potrebe legitimnih
interesa Općine ili treće strane, osim u slučaju kada su od tih interesa jači
interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu
osobnih podataka, osobito ako je ispitanik dijete.
Članak
6.
1. Privola kojom ispitanik Općini daje
pristanak za obradu osobnih podataka koji se na njega odnose jest dobrovoljna,
u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno
naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
2. Ako se radi o obradi osobnih podataka
djeteta ispod dobne granice od 16 godina, privolu na način opisanom u stavku 1.
ovog članka daje nositelju roditeljske odgovornosti nad djetetom (roditelj ili
zakonski skrbnik djeteta).
Članak
7.
1. U postupku obrade osobnih podataka Općina
na odgovarajući način (pisano ili izravno usmeno) ispitaniku pruža sve
informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi
obrade podataka, pravnoj osnovu za obradu podataka, legitimnim interesima
Općine, o namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će
osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim
podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade,
prava na ulaganje prigovora i dr.
III. PRAVA ISPITANIKA
Članak
8.
1. Općina će odmah, a najkasnije u roku od 30
dana od dana podnošenja zahtjeva ispitanika ili njegovog zakonskog zastupnika
ili punomoćnika:
a. informirati ispitanika o svrsi obrade
njegovih osobnih podataka, kategorijama osobnih podataka koji se obrađuju, o
primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili
će im biti otkriveni, predviđenom razdoblju u kojem će osobni podaci biti
pohranjeni te, u slučaju kada se osobni podaci ne prikupljaju od ispitanika, o
njihovu izvoru,
b. dostaviti ispitaniku ispis osobnih
podataka sadržanih u sustavu pohrane koji se na njega odnose,
c. ispraviti netočne podatke ili podatke
dopuniti,
d. provesti brisanje osobnih podataka koji se
na ispitanika odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na
svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se
obrada temelji.
2. Rok iz st. 1. ovog članka može se prema
potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj
zahtjeva. Općina obavješćuje ispitanika o svakom takvom produljenju u roku od
mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
3. Ako je zahtjev ispitanika podnesen
elektroničkim putem, Općina informaciju pruža elektroničkim putem ako je to
moguće, osim ako ispitanik zatraži drugačije.
4. O razlozima odbijanja zahtjeva ispitanika
iz st. 1. ovog članka. Općina će bez odgađanja, a najkasnije jedan mjesec od
primitka zahtjeva, izvijestiti ispitanika o razlozima odbijanja zahtjeva.
Članak
9.
1. Općina informacije pružene u skladu s čl.
8. pruža bez naknade.
2. Iznimno, ako su zahtjevi ispitanika očito
neutemeljeni ili pretjerani Općina će naplatiti razumnu naknadu uzimajući u
obzir administrativne troškove pružanja informacija ili obavijesti.
Članak
10.
1. Ispitanik koji smatra da je Općina
povrijedila neko njegovo pravo zajamčeno Općom uredbom ima pravo podnijeti
zahtjev za utvrđivanje povrede prava nadležnom tijelu.
IV. SUSTAV POHRANE
Članak
11.
1. Općina prikuplja i obrađuje sljedeće vrste
osobnih podataka:
a. osobni podaci djelatnika Općine,
b. osobni podaci o članovima Općinskog vijeća
te drugih radnih tijela,
c. osobni podaci podnositelja zahtjeva,
d. osobni podaci o kandidatima koji sudjeluju
u natječajnom postupku,
e. osobni podaci vanjskih suradnika,
f. osobni podaci osoba s prebivalištem i
boravištem u Općini, osobe koje se informiraju ili na koji drugi način stupaju
u kontakt s općinom (osobni podaci pomoću kojih se osoba može identificirati,
kontakt podaci, financijski podaci).
2. Općina je odgovorna za informiranje,
edukaciju i podizanje svijesti kod zaposlenika koji sudjeluju u postupcima
obrade.
3. Ako su osobni podaci koji se odnose na
ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja
osobnih podataka ispitaniku daje obavijest o privatnosti.
4. Obavijest o privatnosti mora najmanje
sadržavati: svrhu obrade za koju su podaci namijenjeni, period zadržavanja
podataka, objašnjenje o obvezi davanja podataka i štetnim posljedicama uskrate
davanja podataka osobito glede ostvarivanja prava i obveza iz radnog odnosa.
5. Prije prikupljanja bilo kojih osobnih
podataka, djelatnici dužni su informirati ispitanika čiji se podaci prikupljaju
o identitetu službenika za obradu osobnih podataka, te o svrsi obrade u koju su
podaci namijenjeni.
Članak
12.
1. Za osobne podatke navedene u članku 11.
ovog članka Općina vodi evidenciju aktivnosti obrade koja se čuva zajedno s
ostalom dokumentacijom vezanom uz zaštitu osobnih podataka, a Ispitanik je na
zahtjev može dobiti na uvid.
2. Evidencija aktivnosti obrade sadrži
najmanje sljedeće podatke:
a. naziv i kontaktne podatke voditelja obrade
i imenovanog službenika za zaštitu podataka,
b. svrhu obrade,
c. opis kategorija ispitanika i kategorija
osobnih podataka,
d. kategorije primatelja kojima su osobni
podaci otkriveni ili će im biti otkriveni ,
e. predviđene rokove za brisanje različitih
kategorija podataka,
f. opći opis tehničkih i organizacijskih
sigurnosnih mjera za zaštitu podataka.
V. SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak
13.
1. Općinski načelnik imenuje službenika za
zaštitu podataka.
2. Službenik za zaštitu podataka ima
odgovarajuću stručnu spremu, a imenuje se iz redova zaposlenika Općine ili
putem ugovora o djelu izvan redova Općine.
3. Kontakt podaci službenika za zaštitu podataka
dostupni su na web stranicama Općine.
4. Službenik za zaštitu podataka obavlja
poslove informiranja i savjetovanja odgovornih osoba Općine i njegovih
zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim
obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili
države članice o zaštiti, pomaže u ostvarivanju prava Ispitanika te surađuje s
nadzornim tijelom.
5. Službenik za zaštitu podataka dužan je
čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.
VI. VREMENSKO RAZDOLJE ČUVANJA PODATAKA
Članak
14.
1. Općina podatke čuva u skladu s posebnim
popisom arhivskog i registraturnog gradiva s rokovima čuvanja.
2. Općina propisuje način čuvanja dokumenata
za koje je predviđeno trajno čuvanje.
VII. MJERE ZA ZAŠTITU OSOBNIH PODATAKA
Članak
15.
1. Voditelj obrade i izvršitelj obrade
poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod
odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup
osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja
obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države
članice
Članak
16.
1. Da bi se izbjegao neovlašteni pristup
osobnim podacima, podaci u pisanom obliku čuvaju se u prostoru pod nadzorom i
zaštićeni mehaničkim mjerama zaštite, a podaci u računalu zaštićuju tehničkim
mjerama zaštite te dodjeljivanjem korisničkog imena i lozinke koja je poznata
samo zaposlenicima zaduženim za obradu podataka, te se radi daljnje sigurnosti
i tajnosti izrađuje sigurnosna kopija.
Članak
17.
1. Općina će po potrebi, a posebice prilikom
objave podataka koji bi se mogli pripisati određenom ispitaniku, provoditi
pseudonimizaciju kao jednu od tehničkih mjera zaštite osobnih podataka.
Članak
18.
1. Osobe zadužene za obradu osobnih podataka
odgovorne su za zaštitu osobnih podataka od slučajnog gubitka ili uništenja, od
nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i
svake druge zlouporabe.
2. Svaka sumnja u kršenje ovog Pravilnika mora
odmah biti prijavljena službeniku za zaštitu osobnih podataka. Istražit će se
svi slučajevi sumnje o povredama Pravilnika i poduzeti odgovarajuće mjere.
VIII. IZVJEŠTAVANJE U SLUČAJU POVREDE OSOBNIH
PODATAKA
Članak
19.
1. U slučaju povrede osobnih podataka,
voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72
sata nakon saznanja o toj povredi, izvješćuje nadležno nadzorno tijelo.
2. U slučaju povrede osobnih podataka,
voditelj obrade bez nepotrebnog odgađanja obavješćuje Ispitanika o povredi
osobnih podataka.
3. Izvještaj iz st. 1. i st. 2. mora
sadržavati:
a. prirodu povrede osobnih podataka,
uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te
kategorije i približan broj dotičnih evidencija osobnih podataka,
b. navesti ime i kontaktne podatke službenika
za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još
informacija,
c. opisati vjerojatne posljedice povrede
osobnih podataka,
d. opisati mjere koje je voditelj obrade
poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka,
uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih
posljedica.
IX. ZAVRŠNE ODREDBE
Članak
20.
Ovaj Pravilnik stupa na snagu osmog dana po
objavi u »Službenim novinama Primorsko-goranske županije«.
Klasa: 022/05/19-01/01
Ur. broj: 2112-05-02-19-51
Mrkopalj, 25.11.2019.
Općinski
načelnik
Josip
Brozović, v. r.
