Zaštita podataka
Poštovani,
obaviještavamo Vas da se poslovanje u Veterinarskoj ambulanti privatne prakse i veterinarskoj ljekarni Ferarica d.o.o. odvija u skladu sa Općom uredbom o zaštiti osobnih podataka /GDPR/ koja stupa na snagu 25. svibnja 2018. Temeljem odredbi Zakona o provedbi opće uredbe o zaštiti osobnih podataka ("Narodne novine broj" 42/2018), Zakona o radu ("Narodne novine" br. 93/14 i 127/17), Zakona o zaštiti na radu ("Narodne novine" br. 71/14, 118/14 i 154/14) i članka 1 Društvenog ugovora,
Tamara Ferari Miškulin direktor veterinarske ambulante i veterinarske ljekarne "Ferarica" d.o.o, Kozala 51, 51000 Rijeka, dana 23. svibnja 2018. godine, donosi sljedeći
PRAVILNIK O ZAŠTITI, NADZORU NAD PRIKUPLJANJEM, OBRADI I KORIŠTENJU OSOBNIH PODATAKA
I. Opće odredbe
Članak 1.
Ovim Pravilnikom Veterinarske ambulante i veterinarske ljekarne "Ferarica" d.o.o., uređuju se opća pravila zaštite osobnih podataka.
U postupku zaštite, nadzoru nad prikupljanjem, obrade i korištenju osobnih podataka primjenjuju se odredbe UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA, od 27. travnja 2016., o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (u daljnjem tekstu Uredba) i Zakona o provedbi Opće uredbe zaštite osobnih podataka EU 2016/679 ( Narodne novine broj: 42/2018) (u daljnjem tekstu Zakon)
U skladu s člankom 3. Uredbe, Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, Kozala 51, 51000 Rijeka, obveznik je primjene Uredbe te je dužna nadzirati prikupljanje, obradu, korištenje i zaštitu osobnih podataka svih fizičkih osoba čije podatke uzima i koristi.
Članak 2.
Sukladno članku 4. točka 7. Uredbe, Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, Kozala 51, 51000 Rijeka, je voditelj obrade osobnih podataka koji određuje svrhe i sredstva obrade osobnih podataka.
Članak 3.
U skladu s člankom 4. Uredbe ovim Pravilnikom se utvrđuje značenje pojedinih pojmova i to:
- „osobni podaci” - svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
- „obrada” - svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
- „ograničavanje obrade” - označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;
- „izrada profila” - svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
- „pseudonimizacija” - obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
- „sustav pohrane” - svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;
- „voditelj obrade” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti
pravom Unije ili pravom države članice; - „izvršitelj obrade” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
- „primatelj” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;
- „treća strana” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
- „privola ispitanika" - svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
- „povreda osobnih podataka” - kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
- „genetski podaci” - osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;
- „biometrijski podaci” - osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;
- „podaci koji se odnose na zdravlje” - osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;
Značenje ostalih pojmova koji su u vezi s primjenom Uredbe i Zakona izravno se primjenjuju prema definiciji iz članka 4. stavka 1. točke 16., 17., 18., 19., 20., 21., 22., 23., 24., 25. i 26. Uredbe.
II. Službenik za zaštitu osobnih podataka
Članak 4.
Sukladno članku 37. Uredbe, Veterinarska ambulanta i Veterinarska ljekarna "Ferarica" d.o.o, Kozala 51, 51000 Rijeka, kao voditelj zbirke osobnih podataka dužna je imenovati službenika za zaštitu osobnih podataka. Službenika za zaštitu osobnih podataka odlukom u pisanom obliku imenuje Tamara Ferari Miškulin, direktor Veterinarske ambulante i veterinarske ljekarne "Ferarica" d.o.o. (Odluka o imenovanju službenika za zaštitu osobnih podataka, Izvješće o imenovanju službenika za zaštitu osobnih podataka)
Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, Kozala 51, 51000 Rijeka, kao Voditelj zbirke osobnih podataka dužna je o imenovanju službenika za zaštitu osobnih podataka izvijestiti Agenciju za zaštitu osobnih podataka, te službene kontakt podatke službenika za zaštitu osobnih podataka učiniti javno dostupnim na svojim web stranicama ili na drugi odgovarajući način.
Na Veterinarsku ambulantu i veterinarsku ljekarnu "Ferarica" d.o.o, voditelja i izvršitelja obrade, primjenjuje se odredba članka 37. Uredbe i to:
- Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
- (a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti;
- Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja zadaća iz članka 39. Uredbe;
- Službenik za zaštitu osobnih podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu.
- Voditelj obrade ili izvršitelj obrade objavljuje kontaktne podatke službenika za zaštitu osobnih podataka i priopćuje ih nadzornom tijelu.
Članak 5.
- Voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka.
- Voditelj obrade i izvršitelj obrade podupiru službenika za zaštitu podataka u izvršavanju zadaća iz članka 39. Uredbe pružajući mu potrebna sredstva za izvršavanje tih zadaća i ostvarivanje pristupa osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja.
- Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade.
- Ispitanici mogu kontaktirati službenika za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz Uredbe.
- Službenik za zaštitu osobnih podataka obvezan je tajnošću ili povjerljivošću u vezi s obavljanjem svojih zadaća, u skladu s pravom Unije ili pravom Republike Hrvatske.
- Službenik za zaštitu osobnih podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti službenika za zaštitu osobnih podataka ne dovedu do sukoba interesa.
Članak 6.
Službenik za zaštitu osobnih podataka dužan je voditi brigu o zakonitosti i sigurnosti obrade osobnih podataka, informirati i savjetovati voditelja zbirke osobnih podataka o nužnosti primjene propisa o zaštiti osobnih podataka, upoznavati sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim obvezama u svrhu zaštite osobnih podataka te brinuti o izvršenju obveza iz članka 39. Uredbe.
III. Prikupljanje i obrada osobnih podataka
Članak 7.
Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, kao voditelj obrade osobnih podataka obavlja prikupljanje i obradu osobnih podataka korisnika svojih usluga, odnosno vlasnika i/ili posjednika životinja i zaposlenika na temelju odredbi Zakona o veterinarstvu, odredbi radnog zakonodavstva te odredbi članka 6. stavka 1. točke b), c) i e) Uredbe.
Članak 8.
Voditelj zbirke osobnih podataka mora prikupljati i obrađivati osobne podatke zakonito, pošteno i transparentno.
Osobni podaci koji se prikupljaju moraju biti primjereni, relevantni, moraju biti točni, potpuni i ažurirani i ograničeni na ono što je nužno te se ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha prikupljanja podataka.
Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju i/ili dalje obrađuju.
Sama obrada prikupljenih osobnih podataka mora osiguravati odgovarajuću sigurnost podataka.
Članak 9.
Prikupljanje i obrada osobnih podataka ostvarivo je uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu, osim u slučajevima propisanim člankom 6. stavkom 1. točke b), c) i e) Uredbe, kada se podaci prikupljaju i obrađuju bez privole korisnika usluga, u svrhu ispunjavanja zakonskih obveza, obavljanja poslova javnih ovlast definiranim odredbama Zakona o veterinarstvo kao i u slučajevima kada se prikupljaju i obrađuju podaci zaposlenika temeljem propisa iz područja radnog zakonodavstva.
U slučajevima kada se prikupljanje i obrada osobnih podataka obavljaju na temelju privole, mora se osigurati dokaz u obliku pisane izjave kojim se dokazuje da je ispitanik dao privolu za obradu svojih osobnih podataka. U navedenom slučaju, obrazac privole prilaže se općim pravilima i njegov je sastavni dio, a ispitanik u svakom trenutku može povući svoju privolu.
U slučaju kada se prikupljanje i obrada podataka obavlja putem video nadzora, voditelj obrade dužan je označiti da je objekt, odnosno pojedina prostorija pod video nadzorom, a sama oznaka mora biti vidljiva najkasnije prilikom ulaska u perimetar snimanja. Obavijest, odnosno oznaka o video nadzoru mora sadržavati sliku i tekst kojim se ispitaniku pružaju informacije da je prostor pod video nadzorom, podatak o voditelju obrade te kontaktne podatke putem kojih ispitanik može ostvariti svoja prava. Sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba, voditelj je dužan uspostaviti sustav logova za evidentiranje pristupa snimkama, a same snimke mogu se čuvati najduže 6 mjeseci. Ako nadzorne kamere čitavo vrijeme prate sve pokrete zaposlenika tijekom obavljanja posla, iste se mogu koristiti samo na temelju pisane suglasnosti zaposlenika. U slučaju korištenja video nadzora voditelj zbirke mora u dokumentaciji navesti lokacije nadzornih kamera i osobe koje imaju pravo pristupa snimkama video nadzora.
Članak 10.
Voditelj zbirke osobnih podataka ili izvršitelj obrade dužan je prije prikupljanja osobnih podataka informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka, o svrsi obrade, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose o primateljima ili kategorijama primatelja osobnih podataka te radi li se o dobrovoljnom ili obveznom davanju podataka te o mogućim posljedicama uskrate davanja podataka.
IV. Davanje osobnih podataka
Članak 11.
Voditelj zbirke osobnih podataka ovlašten je osobne podatke dati na korištenje drugim primateljima na temelju pisanog zahtjeva primatelja ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja.
Pisani zahtjev mora sadržavati svrhu i pravni temelj za korištenje osobnih podataka te vrstu osobnih podataka koji se traže.
Članak 12.
Prije davanja osobnih podataka na korištenje drugim primateljima voditelj zbirke osobnih podataka dužan je poslati ispitaniku Obavijest o davanju osobnih podataka drugim primateljima.
Članak 13.
Odredbe članka 11. i 12. ovog Pravilnika ne odnose se na slučaj kada se podaci dostavljaju tijelima javne vlasti.
V. Prava i zaštita ispitanika
Članak 14.
Voditelj zbirke osobnih podataka dužan je najkasnije u roku od 30 dana od podnošenja zahtjeva ispitanika ili njegovih zakonskih zastupnika ili punomoćnika:
- dostaviti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega ili ne,
- dati obavijest u razumljivom obliku o podacima koji se odnose na njega čija je obrada u tijeku te o izvoru tih podataka,
- omogućiti uvid u evidenciju zbirke osobnih podataka te uvid u osobne podatke sadržane u zbirci osobnih podataka koji se odnose na njega te njihovo prepisivanje,
- dostaviti izvatke, potvrde ili ispise osobnih podataka sadržanih u zbirci osobnih podataka koji se odnose na njega, a koji moraju sadržavati i naznaku svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,
- dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega,
- dati obavijest o logici bilo koje automatske obrade podataka koja se na njega odnosi.
Prava ispitanika tumače se i primjenjuju u skladu sa odredbama članka 14., 15., 16., 17., 18., 19., 20., 21., 22. i 23. Uredbe.
Članak 15.
Na zahtjev ispitanika, njegovih zakonskih zastupnika ili opunomoćenika voditelj zbirke osobnih podataka dužan je dopustiti, izmijeniti ili brisati osobne podatke ako su podaci nepotrebni, netočni, neažurirani ili ako njihova obrada nije u skladu s odredbama Uredbe.
Zahtjev se podnosi pisanim putem imenovanom službeniku za zaštitu osobnih podataka.
Članak 16.
Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede svojih prava Agenciji za zaštitu osobnih podataka.
VI. Zbirke osobnih podataka
Članak 17.
Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, kao Voditelj zbirke osobnih podataka uspostavlja zbirku osobnih podataka temeljem primjene odredbi Zakona o veterinarstvu, njegovih pod zakonskih akata, zakonskih odredaba iz područja radnih odnosa, računovodstva i dr. i to:
- Ambulantni dnevnik ( vodi se u računalnom / pisanom obliku),
- Kadrovska evidencija ( vodi se u pisanom obliku),
- Zbirka o plaćama zaposlenih (vodi se u pisanom obliku),
- Evidencija kupaca i dobavljača (vodi se u pisanom obliku),
- druge zbirke koje nastaju obavljanjem poslova iz djelatnosti veterinarske ambulante.
Za svaku zbirku osobnih podataka koju vodi, Voditelj zbirke osobnih podataka mora imati sljedeće podatke:
- naziv zbirke,
- naziv voditelja i njegovo sjedište, odnosno adresu,
- svrhu obrade,
- pravni temelj uspostave zbirke podataka,
- kategorije osoba na koje se podaci odnose,
- vrste podataka sadržanih u zbirci podataka,
- način prikupljanja i čuvanja podataka,
- vremensko razdoblje čuvanja i uporabe podataka,
- osobno ime, odnosno naziv primatelja zbirke, njegovu adresu, odnosno sjedište,
- naznaku unošenja, odnosno iznošenja podataka iz Republike Hrvatske s naznakom države, odnosno međunarodne organizacije i inozemnog primatelja osobnih podataka te svrhe za to unošenje, odnosno iznošenje propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim pristankom osobe na koju se podaci odnose,
- naznaku poduzetih mjera zaštite osobnih podataka.
Za uredno vođenje podataka iz svake pojedine zbirke podataka zadužen je zaposlenik kojemu prema opisu poslova njegova radnog mjesta prema Pravilniku o organizaciji i sistematizaciji spada vođenje i zaštita tih podataka.
VII. Zaštita osobnih podatka
Članak 18.
Voditelj Zbirke osobnih podataka dužan je poduzimati tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka od slučaja gubitka, uništenja, nedopuštenog pristupa, promjene, objavljivanja ili svake druge zlouporabe osobnih podataka.
Članak 19.
Zaposlenici Veterinarske ambulante i veterinarske ljekarne "Ferarica" d.o.o, Kozala 51, 51000 Rijeka potpisali su Odluku o obvezi čuvanja povjerljivosti podataka koja podrazumijeva osobne podatke vlasnika i/ili posjednika životinja, odnosno korisnika usluga, osobne podatke zaposlenih te osobne podatke komitenata, kao i podatke o poslovanju Veterinarska ambulanta i veterinarska ljekarna "Ferarica" d.o.o, Kozala 51, 51000 Rijeka
Članak 20.
Osobni podaci sadržani u zbirkama osobnih podataka pohranjuju se na informatičke medije uporabom metoda koje jamče sigurnost i tajnost tako pohranjenih osobnih podataka te u papirnatom obliku zaključano u ormarima s ograničenim pristupom.
VIII. Prijelazne i završne odredbe
Članak 21.
U dijelu o zaštiti, nadzoru nad prikupljanjem, obradi i korištenju osobnih podataka koji nije uređen ovim Pravilnikom, neposredno se primjenjuje Uredba 2016/679 te Zakon o provođenju navedene Uredbe.
Članak 22.
Ovaj Pravilnik stupa na snagu danom donošenja, a primjenjuje počevši od 25. svibnja 2018. godine te će isti biti objavljen na web stranici ili na drugi prikladan način.
DIREKTOR
Tamara Ferari Miškulin dr.vet.med.univ.mag.