Opća uredba o zaštiti osobnih podataka – GPDR
Uvod
GDPR je Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine i predstavlja najznačajniju promjenu vezanu uz zaštitu osobnih podataka u posljednja dva desetljeća. Dizajnirana i izvedena je na takav način da u potpunosti ispunjuje potrebe digitalnog doba.
Dvadeset i prvo stoljeće donosi širu primjenu tehnologije u svakodnevnom životu, kao i nove definicije osobnih podataka. Cilj GPDR-a jest standardizirati zakone o zaštiti podataka na području Europske unije i time pružiti pojedincima veća i konzistentnija prava vezana uz pristup i kontrolu njihovim osobnim informacijama.
Naša predanost zaštiti podataka
TEA-MEDICINA d.o.o. (u tekstu označeno kao i mi, naše) je u potpunosti predana cilju pružanja sigurnosti i zaštite osobnih podataka korisnika koji se obrađuju, kao i pružiti svojim korisnicima konzistentan pristup zaštiti podataka. Uvijek smo nastojali imati robustan i efektivan program zaštite podataka koji je u skladu s aktualnim zakonima, kao i osnovnim principima zaštite podataka. Unatoč tome, prepoznajemo potrebu za njegovim unapređenjem kako bi u potpunosti zadovoljio smjernice GDPR-a i zakone Republike Hrvatske.
Kako se pripremamo za GPDR
TEA-MEDICINA d.o.o. na svim organizacijskim razinama ima konzistentnu razinu politiku i procese zaštite podataka, no kako smo od 25. svibnja 2018. godine u potpunosti usklađeni sa smjernicama GDPR-a, morali smo proveli sljedeće korake:
Reviziju informacija – na svim organizacijskim razinama je provedena revizija prikupljenih osobnih podataka, odnosno provjeren je njihov sadržaj, način na koji su prikupljeni, zašto se obrađuju i kome se otkrivaju.
Politika i procedure – provedene su revizije i uvedene nove politike i procedure zaštite podataka koje ispunjavaju sve potrebe GDPR-a i svih pripadajućih zakona te uključuju sljedeće:
Zaštita podataka – glavni dokument o politici i postupku zaštite podataka revidiran je kako bi ispunio standarde i zahtjeve GDPR-a. Odgovornosti i mjere upravljanja su uspostavljene kako bi se osiguralo da razumijemo, adekvatno širimo i dokazujemo naše obveze i odgovornosti s posebnim naglaskom na privatnost dizajna i prava pojedinaca
Zadržavanje i brisanje podataka – ažurirali smo pravila i raspored zadržavanja kako bismo osigurali da zadovoljavamo načela “minimiziranja podataka” i “ograničenja pohrane” te da se osobni podaci pohranjuju, arhiviraju i uništavaju etički i u skladu s njima. Imamo konkretne postupke brisanja kako bismo ispunili novu obvezu “prava na brisanje” i svjesni smo kad se primjenjuju i ostala prava subjekta podataka – uz sve izuzetke, vremenske okvire odgovora i odgovornosti za obavještavanje
Upravljanje prekršajima – naši postupci upravljanja prekršajima predstavljaju zaštitne mjere i postupke kako bismo identificirali, procijenili, istražili i prijavili kršenje osobnih podataka što je prije moguće. Naši postupci su robusni i dostupni svim zaposlenicima, a predstavljaju niz konkretnih koraka koje treba provesti.
Međunarodni prijenosi podataka i objavljivanje trećim strana – gdje TEA-MEDICINA d.o.o. pohranjuje ili prenosi osobne podatke izvan EU-a, postoje robusni postupci i zaštitne mjere kojima su podaci osigurani, šifrirani i održana je njihova cjelovitost. Naši postupci uključuju kontinuirani pregled zemalja s dovoljnim odlukama o adekvatnosti, kao i odredbe o obvezujućim korporativnim pravilima, kao i standardne klauzule zaštite podataka ili odobrenih kodeksa ponašanja za one zemlje bez dotičnih odluka. Provodimo stroge provjere o dubinskom pregledu sa svim primateljima osobnih podataka kako bismo procijenili i potvrdili da imaju odgovarajuće zaštitne mjere kako bi zaštitili informacije, osigurali provediva prava na predmetne podatke i imali učinkovite pravne lijekove za subjekte podataka gdje je to primjenjivo.
Zahtjev za pristup subjektu (Subject Access Request – SAR) – izmijenili smo procedure SAR-a kako bismo udovoljili izmijenjenom vremenskom okviru od 30 dana za pružanje traženih informacija i za besplatnu naplatu ove odredbe. Naši novi postupci detaljno potvrđuju podatke, koje korake poduzimaju za obradu zahtjeva za pristup, koja se izuzeća primjenjuju i niz predložaka odgovora kako bi se osiguralo da su komunikacija s podacima o podacima sukladna, dosljedna i odgovarajuća.
Pravni temelj za obradu – pregledavamo sve aktivnosti obrade kako bismo utvrdili pravne osnove za obradu i osiguranje na takav način da svaka baza bude prikladna za djelatnost na koju se odnosi. Tamo gdje je primjenjivo, također vodimo evidenciju o obradbenim aktivnostima, osiguravajući da su ispunjene obveze prema članku 30. GDPR-a i Priloga 1 Zakona o zaštiti podataka
Obavijest i pravila privatnosti – izmijenili smo obavijesti o privatnosti kako bismo se pridržavali GDPR-a, čime je osigurano da svi pojedinci čiji se osobni podaci obrađuju budu obaviješteni o tome zašto su nam podaci potrebni, kako se koriste, koja su njihova prava i koje zaštitne mjere postoje kako bi se podaci zaštitili.
Obavijest i pravila privatnosti – izmijenili smo obavijesti o privatnosti kako bismo se pridržavali GDPR-a, čime je osigurano da svi pojedinci čiji se osobni podaci obrađuju budu obaviješteni o tome zašto su nam podaci potrebni, kako se koriste, koja su njihova prava i koje zaštitne mjere postoje kako bi se podaci zaštitili.
Dobivanje suglasnosti – revidirali smo mehanizme pristanka za prikupljanje osobnih podataka, osiguravajući da pojedinci razumiju ono što pružaju, zašto i kako ih upotrebljavamo te dajemo jasne i definirane načine da pristanu na obradu osobnih informacija. Razvili smo stroge postupke za snimanje pristanka, pazeći da možemo dokazati potvrdni opt-in, zajedno s vremenom i datumom zapisa. Na ovaj način lako je vidjeti i pristupiti načinu povlačenja suglasnosti u bilo kojem trenutku.
Izravni marketing – revidirali smo tekst i postupke za izravni marketing te uključili jasne mehanizme za prijavu u direktni pretplatnički marketing (newsletter), kao i jasnu obavijest i način otklanjanja i pružanja značajki otkazivanja pretplate na svim naknadnim marketinškim materijalima
Procjena utjecaja na zaštitu podataka (Data Protection Impact Assessments – DPIA) – gdje obrađujemo osobne podatke koji se smatraju visokim rizikom, uključujući obradu velikih razmjera ili podatke o posebnim kategorijama/kaznenim uvjerenjima, razvili smo stroge postupke i predloške procjene za provođenje procjena utjecaja koji su u potpunosti u skladu sa zahtjevima članka 35. GDPR-a. Proveli smo dokumentacijske procese koji bilježe svaku procjenu, omogućuju nam da procjenjujemo rizik koji predstavlja obrada i provode mjere ublažavanja kako bismo smanjili rizik koji je izložen predmetu.
Ugovori o vanjskoj obradi podataka – gdje koristimo neku treću stranu za obradu osobnih podataka u naše ime (npr. plaće, zapošljavanje, hosting i slično), sastavili smo odgovarajuće ugovore o procesima i postupke dubinske analize kako bismo osigurali da je sve u skladu s našim i njihovim obvezama prema GDPR-u. Ove mjere uključuju početne i stalne revizije pružene usluge, nužnost djelatnosti obrade, tehničke i organizacijske mjere i usklađenost s GDPR-om.
Podaci posebne kategorije – u situacijama gdje pribavljamo i obrađujemo podatke posebne kategorije, svi su postupci u skladu s zahtjevima članka 9. i prisutno je šifriranje i zaštita na visokoj razini nad svim podacima ovog tipa. Podaci posebne kategorije obrađuju se samo tamo gdje je to potrebno i obrađuju se samo kada smo najprije identificirali odgovarajuću bazu članka 9. stavka 2. ili uvjet Priloga 1 Zakona o zaštiti podataka. Tamo gdje se oslanjamo na suglasnost za obradu, eksplicitno je potvrđeno potpisom, s pravom na izmjenu ili uklanjanje pristanka koji je jasno označen
Prava osobe čiji su podaci prikupljeni
Pored prethodno navedenih pravila i postupaka kojima se pojedincima mogu osigurati njihova prava na zaštitu podataka, pružamo pristup putem naših web stranica o pravu pojedinca za pristup svim osobnim podacima koje TEA-MEDICINA d.o.o. obrađuje o njima. Osobe čiji su podaci prikupljeni imaju pravo zatražiti informacije o:
Svim osobnim podacima koje posjedujemo o njima
Svrsi obrade podataka
Kategorijama osobnih podataka koje se obrađuju
Svim stranama koje će imati uvid u osobne podatke
Kako dugo će osobni podaci biti pohranjeni
Izvoru podataka, ukoliko nismo prikupili podatke osobno od njih
Pravu na ispravljanje nepotpunih ili pogrešnih podataka o njima, kao i procesu za pokretanje ispravljanja i nadopune podataka
Pravu o zahtjevu za brisanje osobnih podataka ili zahtjevu za ograničavanje obrade podataka u skladu sa svim relevantnim zakonima za zaštitu podataka te pravu za ulaganje prigovora na bilo koji oblik direktnog marketinga prema njima i dobivanju uvida u sve automatizirane procese direktnog marketinga kojima je on proveden
Pravu za ulaganju prigovora ili traženju pravnog lijeka te koga je potrebno kontaktirati u tim situacijamaravu za ulaganju prigovora ili traženju pravnog lijeka te koga je potrebno kontaktirati u tim situacijama
Sigurnost informacija te tehničko/organizacijske mjere
TEA-MEDICINA d.o.o. ozbiljno shvaća privatnost i sigurnost pojedinaca, kao i njihovih osobnih podataka te poduzima sve razumne mjere i mjere opreza kako bi podaci koji se obrađuju bili zaštićeni. Postoje robusne sigurnosne politike i procedure za zaštitu osobnih podataka od neovlaštenog pristupa, izmjene, otkrivanja ili uništenja koje imaju nekoliko slojeva sigurnosnih mjera, uključujući:
Kontrolu pristupa
Pravila o lozinkama
Šifriranje
Ograničenja
Autentifikacija
GDPR uloge i zaposlenici
U ime tvrtke TEA-MEDICINA d.o.o. određena Mateja Bosilj kao osoba zadužena za sigurnost podataka te je formirana grupa zadužena za implementaciju pravila i procedura u skladu s GDPR-om. Dotična grupa je zadužena za promicanje svijesti o GDPR-u u organizaciji, razumijevanje zaposlenika te kontinuiranu usklađenost s GDPR-om. Proveden je program osposobljavanja zaposlenika koji će biti dostupan svim zaposlenicima prije 25. svibnja 2018., a dio je i godišnjeg programa obuke na razini cjelokupne organizacije.
Izjava o povjerljivosti na temelju Zakona o zaštiti osobnih podataka Republike Hrvatske
Ovom izjavom poduzeće TEA-MEDICINA d.o.o. obvezuje se da će sukladno članku 18. stavku 2. Zakona o zaštiti osobnih podataka (Narodne novine, br. 106/12. – pročišćeni tekst) čuvati povjerljivost svih osobnih podataka kojima ima pravo i ovlast pristupa a koji se nalaze u zbirkama osobnih podataka poduzeća. Također, obvezuje se da će iste osobne podatke koristiti isključivo u točno određenu (propisanu) svrhu.
Nadalje, poduzeće TEA-MEDICINA d.o.o. se obvezuje da osobne podatke kojima ima pravo i ovlast pristupa neće dostavljati/davati na korištenje niti na bilo koji drugi način učiniti dostupnima trećim (neovlaštenim) osobama te se obvezuje da će povjerljivost istih osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim podacima.
Poduzeće TEA-MEDICINA d.o.o. je upoznato s time da bilo kakvo neovlašteno raspolaganje osobnim podacima kojima ima pravo pristupa u svojem radu predstavlja povredu radne obveze.
Izjava o kolačićima
U svrhu poboljšanja korisničkog iskustva prilikom korištenja internet stranice teamed.hr, dalje u tekstu WEB STRANICA, i njezinih funkcionalnosti, WEB STRANICA sprema na vaše računalo određenu količinu podataka u obliku tekstualnih datoteka, tzv. kolačića (cookies). Primjeri podataka koji se najčešće spremaju u kolačiće, ali nisu isključivi, su:
korisničke postavke,
postavke web stranice,
pristupni podaci (kako biste mogli ostati prijavljeni),
jezik web stranice, itd.
Nakon što se kolačić spremi na vaše računalo, sljedeći put kad pristupite WEB STRANICI, vaš će internetski preglednik poslati natrag kolačiće koji joj pripadaju. Na ovaj način WEB STRANICA može sačuvati vaše preferencije i postavke te vam na taj način poboljšati iskustvo prilikom korištenja i pregleda WEB STRANICE.
Kolačići mogu sadržavati široki raspon podataka, uključujući i dio osobnih informacija, međutim svi podaci mogu biti spremljeni jedino ako vi to omogućite. WEB STRANICA ne može dobiti pristup podacima koje joj korisnik nije dao te ne može pristupiti kolačićima drugih web stranica i drugim datotekama na računalu.
Postoje dvije vrste kolačića ovisno o načinu na koji se pohranjuju, odnosno uklanjaju s računala:
Privremeni kolačići (Session cookies),
Stalni kolačići (Permanent cookies).
Kolačiće možete i ne morate omogućiti na svom računalu i možete ih u svakom trenu obrisati, ali blokiranjem kolačića određene funkcionalnosti WEB STRANICE možda vam neće biti dostupne. Vlasnici WEB STRANICE isključuju svaku odgovornost za bilo kakav gubitak funkcionalnosti usluge i kvalitete sadržaja na WEB STRANICI u svim slučajevima odabira regulacije primanja kolačića od strane korisinika.
Posjetom i korištenjem WEB STRANICE pristajete na upotrebu kolačića, a ukoliko ih želite onemogućiti to možete učiniti u postavkama svog internetskog preglednika.
Što su privremeni kolačići?
Privremeni kolačići ili kolačići sesije (Session cookies) uklanjaju se s računala po zatvaranju internet preglednika. Pomoću njih web stranice pohranjuju privremene podatke.
Što su stalni kolačići?
Stalni ili spremljeni kolačići (Permanent cookies) ostaju na računalu nakon zatvaranja programa internet preglednika i spremeljeni su na određeni vremenski period, što može biti nekoliko minuta ili nekoliko godina. Pomoću njih web stranice pohranjuju podatke, kao što su pristupni podaci, tako da se ne morate prijavljivati prilikom svakog posjeta određenom dijelu web stranice.
Kolačići prve strane
Kolačići prve strane (First party cookies) su kolačići koje sprema i koristi web stranica koju trenutno pregledavate.
Kolačići trećih strana
Kolačići trećih strana (Third party cookies) nisu postavljeni od strane WEB STRANICE već potječu od drugih, partnerskih web stranica ili servisa koji su dostupni putem web stranice koje trenutno pregledavate.
Kako onemogućiti kolačiće?
Kolačiće možete i ne morate omogućiti na svom računalu i možete ih u svakom trenu obrisati, ali blokiranjem kolačića određene funkcionalnosti WEB STRANICE možda vam neće biti dostupne.
Postavke s kolačićima mogu se kontrolirati i konfigurirati u vašem internetskom preglednik ili uređaju, a postoje i alati trećih strana pomoću kojih možete blokirati kolačiće.
Upute za postavke kolačića u vašem pregledniku možete pronaći na sljedećim adresama:
Google Chrome
Mozilla Firefox
Internet Explorer
Safari
Više o kolačićima možete pročitati ovdje:
http://www.allaboutcookies.org/
http://www.youronlinechoices.com/hr/
http://www.aboutads.info/choices/
Ukoliko imate dodatnih pitanja o pravilima privatnosti i korištenju cookiesa, obratite nam se na teamed@teamed.hr