Pravila o privatnosti
Ahifi sro Direktiva za osiguranje obveza koje proizlaze iz Uredbe (EU) br. 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ i iz Zakona o obradi osobnih podataka br. 110/2019 Zb.
Datum stupanja na snagu: 1.1.2019.
Zadnje ažuriranje: 17.3.2025.
Odobrio: Ing. Karel Šudák
1. Uvodne odredbe
1.1 Predmet i svrha Direktive:
Ova Direktiva služi za osiguranje obveza koje proizlaze iz Uredbe Europskog parlamenta
i Vijeća (EU) br. 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu „Opća uredba“).
Ahifi sro (u daljnjem tekstu Društvo ili Administrator) izjavljuje da je procijenio potencijalne obveze koje proizlaze iz Zakona br. 171/2023 Zb. o zaštiti zviždača te da od datuma ažuriranja ove direktive ispunjava uvjete izuzeća od provedbe internog sustava izvješćivanja koji proizlaze iz članka 8. stavka 1. točke a).
1.2 Definicija pojmova:
Skupovi podataka
su skupine podataka koje čine osobne podatke sličnog opsega, obrađene u istu svrhu s istim pravnim naslovom.
Pravni naslov
je pravni naziv legitimnog interesa Kontrolora, koji se primjenjuje na takvu obradu osobnih podataka gdje legitimni interesi ili prava Kontrolora prevladavaju nad interesima ili pravima ispitanika, uzimajući u obzir razumna očekivanja ispitanika na temelju njihovog odnosa s Kontrolorom. To uključuje, na primjer, zaštitu imovine Kontrolora, života i zdravlja zaposlenika te osoba koje ulaze u prostorije Kontrolora.
Ovlaštena osoba
je svaki zaposlenik Kontrolora koji zbog obavljanja svog posla za Kontrolora dolazi u kontakt s osobnim podacima ili ih obrađuje. Ovlaštene osobe moraju biti upućene, upoznate sa sadržajem ovog internog propisa, o uputi
i o toj informaciji se vodi pisani zapis. Ovlaštene osobe moraju se više puta obavijestiti ako dođe do promjene u njihovoj radnoj klasifikaciji ili bilo koje druge promjene koja rezultira promjenom ili opsegom radnih aktivnosti ovlaštene osobe u vezi s obradom osobnih podataka. Pristup osobnim podacima ispitanika strogo je ograničen samo na informirane ovlaštene osobe.
Odgovorna osoba
je zaposlenik Administratora s odgovarajućim ovlaštenjima i pristupom osobnim podacima,
koji su nužni za obavljanje njegovih/njezinih radnih dužnosti.
Osobni podaci
je bilo koja informacija o identificiranoj ili identifikabilnoj fizičkoj osobi (ispitaniku). Identificirana fizička osoba je fizička osoba koja se može identificirati, izravno ili neizravno.
Kršenje
je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene ili neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju.
Ovlaštena osoba
je zaposlenik Društva kojem je povjeren određeni posao ili zadatak koji nije dio njegovog/njezinog glavnog opisa posla.
Profiliranje
svaki oblik automatizirane obrade osobnih podataka kojim se procjenjuju osobni aspekti koji se odnose na fizičku osobu, posebno u svrhu analize ili predviđanja aspekata koji se odnose na radni učinak ispitanika, njegovu ekonomsku situaciju, zdravstveno stanje, osobne preferencije ili interese, pouzdanost ili ponašanje, mjesto prebivališta ili kretanje, ako to ima pravne učinke na njega ili nju ili na sličan način značajno utječe na njega ili nju.
Primatelj
fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, bez obzira je li riječ o trećoj strani ili ne.
Dijeljeni disk
je dijeljeni pogon za e-poštu i mrežna pohrana (Google Drive) kojim upravlja Google Ireland, PDV broj: IE6388047V, sa sjedištem na adresi Gordon House, Barrow Street, Dublin 4, Irska.
Poslužitelj s dijeljenim procesorom
je dijeljeni poslužitelj tvrtke Shean sro
Mapa zaposlenika
je skup dokumenata o zaposleniku, uključujući posebno: ugovor o radu, osobni upitnik, životopis i protokol primopredaje.
Sporazum
Privola ispitanika je svaka slobodno dana, specifična, informirana i nedvosmislena izjava volje kojom ispitanik, izjavom ili drugom jasnom potvrdom radnjom, označava suglasnost s obradom svojih osobnih podataka.
Kontrolor osobnih podataka
Ahifi sro sa sjedištem na adresi Trnkova 3140/119g, Líšeň, 62800 Brno je subjekt koji određuje svrhe i sredstva obrade osobnih podataka i odgovoran je za obradu.
Subjekt podataka
je fizička osoba na koju se odnose obrađeni osobni podaci.
Treća strana
fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ili osoba izravno podređena voditelju obrade ili izvršitelju obrade, a koje je ovlašteno obrađivati osobne podatke
Podaci o zaposlenicima
su osobni podaci zaposlenika Društva. Poseban popis nalazi se u Prilogu br. 1 ove Direktive.
Obrađivač osobnih podataka
je subjekt koji obrađuje osobne podatke za voditelja obrade na temelju potpisanog ugovora o obradi osobnih podataka. Obrađivači osobnih podataka su: ABRA Software as, ID tvrtke: 25097653, sa sjedištem na adresi Jeremiášova 1422/7b, Stodůlky, 155 00 Prague 5, 22HLAV sro, ID tvrtke: 64052907 sa sjedištem na adresi Všebořická 82/2, Bukov, 400 01 Ústí nad Labem, LexFortis ACC sro ID tvrtke: 07883625 Potoční 1094, Frýdek, 738 01 Frýdek-Místek, Shean sro ID tvrtke: 26968479 Bezručova 2297/2, 678 01 Blansko, Walk Solutions sro ID tvrtke: 26414201 Plzeň - Východní Předměstí, Veverkova 298/5, poštanski broj 30100, BDO Legal sro, odvjetnički ured ID tvrtke: 08559791 V parku 2316/12, Chodov, 148 00 Prague 4, tvrtka PPL CZ sro IČO 25194798 K Borovému 99, Jažlovice, 251 01 Říčany, Češka pošta, sp IČO 47114983 Prag 1, Politických vězňů 909/4, poštanski broj 22599, tvrtka Zásilkovna sro IČO 28408306, Českomoravská 2408/1a, Libeň, 190 00 Prag 9, tvrtka Microsoft Corporation, sjedište Konrad-Zuse-Str.1, 85716 Unterschleißheim, Njemačka, Roman Dvořáček IČO 74334301, tvrtka Google Irska, PDV br.: IE6388047V, sjedište Gordon House, Barrow Street, Dublin 4, Irska (u daljnjem tekstu i "Google Ireland"), tvrtka O2 Czech Republic as, ID tvrtke 60193336, Prague 4 - Michle, Za Brumlovkou 266/2, ZIP 14022, IT4YOU sro, ID tvrtke 03102289, Sobotkova 447/34, Štýřice, 639 00 Brno, tvrtka beinspired sro, ID tvrtke 05711959 Nové sady 988/2, Staré Brno, 602 00 Brno, tvrtka Zásilkovna sro, ID tvrtke 28408306, Českomoravská 2408/1a, Libeň, 190 00 Prag 9, LiveAgent CZ sro, ID tvrtke 07166753 Zoubkova 548/45, Nový Lískovec, 634 00 Brno
1.3 Sudska praksa:
● Zakon br. 110/2019 Zb., Zakon o obradi osobnih podataka
● Zakon br. 127/2005 Zb., Zakon o elektroničkim komunikacijama
● Zakon br. 171/2023 Zb., Zakon o zaštiti zviždača
● Zakon br. 435/2004 Zb., Zakon o radu
● Zakon br. 563/1991 Zb., Zakon o računovodstvu
● Zakon br. 582/1991 Zb., Zakon o organizaciji i provedbi socijalnog osiguranja
● Zakon br. 592/1992 Zb., Zakon o premijama javnog zdravstvenog osiguranja
● Zakon br. 586/1992 Zb., Zakon o porezu na dohodak
● Zakon br. 262/2006 Zb., Zakon o radu
● Uredba br. 82/2018 Zb. o sigurnosnim mjerama, incidentima kibernetičke sigurnosti, reaktivnim mjerama, zahtjevima za podnošenje zahtjeva u području kibernetičke sigurnosti i uništavanja podataka
● Zakon br. 256/2004 Zb., Zakon o poduzetništvu na tržištu kapitala
● Zakon br. 253/2008 Zb., Zakon o određenim mjerama protiv legalizacije prihoda od kriminala i financiranja terorizma
● Zakon br. 127/2005 Zb., Zakon o elektroničkim komunikacijama
● Zakon br. 89/2012 Zb., Zakon o građanskom zakoniku
● Zakon br. 93/2009 Zb., Zakon o revizorima
1.4. Postupak obrade osobnih podataka
Opis pojedinačnih aktivnosti obrade osobnih podataka raščlanjenih na pojedinačne skupove podataka dostupan je u Dodatku br. 1.
2. Odgovorne osobe
Svi zaposlenici Društva koji obrađuju osobne podatke ispitanika u sklopu svojih radnih aktivnosti.
3. Ostvarivanje prava i obveza voditelja obrade osobnih podataka
3.1 Obveze odgovornih osoba:
A. Odgovorne osobe navedene u Poglavlju 2 dužne su osigurati obrađene osobne podatke.
B. Odgovorne osobe štite podatke pohranjene na osobnim računalima, uključujući prijenosna računala i servere, osiguravajući osobne podatke na način koji sprječava neovlašteni ili slučajni pristup, izmjenu, uništenje ili gubitak, neovlašteni prijenos, obradu, kao i drugu zlouporabu takvih osobnih podataka.
C. Odgovorne osobe iz Poglavlja 2. ove Direktive ovlaštene su obrađivati samo one osobne podatke koji su im potrebni za obavljanje njihovih radnih dužnosti.
D. Ovlaštene osobe mogu obrađivati osobne podatke samo u svrhu ispunjavanja svojih radnih dužnosti, u skladu sa svrhom obrade s legitimnim pravnim naslovom.
E. Odgovorne osobe iz Poglavlja 2. ove Direktive dužne su održavati obrađene osobne podatke ažurnima i točnima.
F. Odgovorne osobe dužne su osobi koju je ovlastila uprava priopćiti sve informacije koje utječu na sigurnost, pravodobnost i točnost evidencije obrađenih osobnih podataka.
G. Odgovorne osobe dužne su uredno voditi sve evidencije o obradi osobnih podataka prema opsegu svojih nadležnosti i radnih zadataka.
H. Odgovorne osobe dužne su obrađivati osobne podatke u skladu s načelima obrade navedenima u Poglavlju 3.2. Odgovorne osobe obrađuju osobne podatke isključivo u prostorijama Društva. Sve odgovorne osobe koje na bilo koji način obrađuju osobne podatke potpisuju klauzulu o povjerljivosti, vidi Dodatak br. 2.
3.2 Načela obrade osobnih podataka:
3.2.1 Zakonitost, pravednost i transparentnost
A. Za svaku svrhu obrade postoji legitimni pravni naslov prema točkama a - f:
a. Ispitanik je pristao na obradu svojih osobnih podataka u jednu ili više određenih svrha, zaposlenici vide Dodatak br. 3
i. ako kontrolor obrađuje osobne podatke na temelju izričite privole, ispitanik je može povući u bilo kojem trenutku bez utjecaja na zakonitost obrade podataka na temelju privole dane prije njezina povlačenja
b. obrada je nužna za izvršenje ugovora čija je stranka ispitanik ili radi provedbe mjera poduzetih prije sklapanja ugovora na zahtjev ispitanika;
c. obrada je nužna za ispunjavanje zakonske obveze kojoj podliježe voditelj obrade;
d. obrada je nužna radi zaštite vitalnih interesa ispitanika ili druge fizičke osobe;
e. obrada je nužna za obavljanje zadatka koji se provodi u javnom interesu ili u izvršavanju službene ovlasti dodijeljene kontroloru;
f. obrada je nužna za potrebe legitimnih interesa koje provodi voditelj obrade ili treća strana, osim kada su takvi interesi jači od interesa ili temeljnih prava i sloboda ispitanika koji zahtijevaju zaštitu osobnih podataka, posebno kada je ispitanik dijete.
3.2.2 Ograničenja temeljena na svrsi
● osobni podaci moraju se prikupljati u određene, eksplicitne i legitimne svrhe te se ne smiju dalje obrađivati na način koji nije kompatibilan s tim svrhama
● svrhe obrade pojedinačnih skupova osobnih podataka mogu se vidjeti u Dodatku br. 1
3.2.3 Minimizacija
● obrađeni osobni podaci ograničeni su na opseg koji je potreban u odnosu na svrhu obrade
● zabranjeno je obrađivati osobne podatke koji nisu nužno potrebni za ispunjenje svrhe
3.2.4 Točnost
● ovlaštena osoba održava osobne podatke točnima i, prema potrebi, ažuriranima
● netočni podaci, uzimajući u obzir svrhu obrade, bit će ispravljeni bez odgode
● ako se netočni osobni podaci ne mogu ispraviti, moraju se bez odgode izbrisati
3.2.5 Ograničenja pohrane
● zabranjeno je pohranjivanje osobnih podataka u obliku koji omogućuje identifikaciju ispitanika dulje nego što je potrebno za svrhu za koju se obrađuju
3.2.6 Integritet i povjerljivost
● obrada osobnih podataka od strane kontrolora podataka dopuštena je samo u skladu s ovom Direktivom
4. Obrada osobnih podataka od strane tvrtke
● pregledna tablica obrađenih skupova podataka Društva i njihovog sadržaja
za pregled u Prilogu br. 1 ove direktive
● Zaposlenik je obaviješten o načinu obrade svih osobnih podataka zaposlenika od strane Društva prije potpisivanja ugovora o radu putem internih smjernica. Zaposlenik potpisivanjem protokola potvrđuje svoju upoznatost i suglasnost s ovim internim smjernicama.
● Klijent je obaviješten o načinu obrade svih osobnih podataka klijenta od strane Društva prije potpisivanja ugovora prihvaćanjem ovih načela zaštite osobnih podataka
4.1 Društvo kao voditelj obrade osobnih podataka
4.1.1 Podaci o zaposlenicima
A. Dokumenti koji dokazuju postojanje radnog odnosa, legitimnost boravka stranca, prestanak radnog odnosa i procjene plaća zaposlenika čuvaju se u papirnatom obliku u registriranom sjedištu Administratora u zaključanoj arhivi, a njihove kopije pohranjuju se u elektroničkom obliku kod obrađivača LexFortis ACC sro u mapi na cloud poslužitelju obrađivača i u računovodstvenom i obračunskom sustavu plaća AbraFlexi, s ograničenim pristupom za upravu Društva i ovlaštene zaposlenike u svrhu ispunjavanja Zakona br. 435/2004 Zb. s pravnim naslovom prema Poglavlju 3.2.1, točki A) slovu c) u razdoblju od 10 godina od prestanka radnog odnosa.
B. Datoteka zaposlenika čuva se u papirnatom obliku u registriranom sjedištu Administratora u zaključanom prostoru i elektronički kod obrađivača LexFortis ACC sro u mapi na cloud poslužitelju obrađivača i u računovodstvenom i obračunskom sustavu AbraFlexi s ograničenim pristupom za upravu Društva i ovlaštene zaposlenike u svrhu ispunjavanja Zakona br. 435/2004 Zb. s pravnim naslovom prema Poglavlju 3.2.1, točki A) slovu b) do prestanka radnog odnosa, a zatim se brišu.
C. Dokumentacija o plaćama obrađena u svrhu ispunjavanja Zakona br. 582/1991 Zb., Zakona Češkog nacionalnog vijeća o organizaciji i provedbi socijalnog osiguranja, Zakona br. 586/1992 Zb. i Zakona o radu s pravnim naslovom prema Poglavlju 3.2.1., točki A), slovu c) za razdoblje od 10 godina, počevši od prvog dana kalendarske godine koja slijedi godinu na koju se odnose.
a. Specifičan popis osobnih podataka u dokumentaciji o plaćama može se pronaći u Prilogu br. 1 ove direktive, vidi skupove podataka DOKUMENTACIJA O PLAĆAMA 1 - 4.
b. Dokumentacija o obračunu plaća zaposlenika Društva pohranjena je u programu za obračun plaća i računovodstvo AbraFlexi kod obrađivača LexFortis ACC sro, a također je sigurnosno kopirana u pohranu u oblaku obrađivača i u papirnatom obliku u zaključanoj arhivi Administratora.
c. Pristup dokumentaciji o plaćama ograničen je na upravu Društva i, gdje je to primjenjivo, ovlaštene zaposlenike.
d. Čuvanje u razdoblju od 10 godina u skladu s Poglavljem 4.1.1 točkom C) ne odnosi se na dokumente registracijskog lista koji se brišu nakon 3 godine, počevši od prvog dana kalendarske godine koja slijedi godinu na koju se odnose.
e. Razdoblje čuvanja od 10 godina u skladu s Poglavljem 4.1.1, točkom C) ne odnosi se na platne liste, koje se čuvaju 45 godina, počevši od prvog dana kalendarske godine koja slijedi godinu na koju se odnose.
D. Osobni podaci zaposlenika objavljeni na web stranici https://www.ahifi.cz/ u svrhu prezentacije obrađuju se na temelju pravnog naslova prema poglavlju 3.2.1, točki A), slovu a) do prestanka radnog odnosa ili do povlačenja privole za obradu osobnih podataka u tu svrhu, kada se privole ažuriraju najmanje jednom svakih 12 mjeseci.
E. Ako Društvo obrađuje druge dokumente koji sadrže osobne podatke trenutnih zaposlenika osim onih navedenih u Poglavlju 4.1.1, točkama A) do D), oni se obrađuju isključivo u svrhu obrade kadrovskih evidencija s pravnim naslovom prema Poglavlju 3.2.1, točki
A) slovo b) do prestanka radnog odnosa.
F. Tijekom postupka odabira, Društvo prima životopise od kandidata za posao. Ovlaštena osoba ih registrira u svojoj e-pošti ili ih ima dostupne pod svojim pristupnim podacima na Google pohrani u oblaku. Nakon njihove evaluacije, brišu se iz pristigle pošte. Na pohrani u oblaku Microsoft 365 njima upravlja subjekt podataka u skladu s dogovorenim ugovornim uvjetima. Obrada osobnih podataka unutar postupka odabira je sljedeća:
a. Životopisi kandidata za posao obrađuju se u elektroničkom obliku ograničeno vrijeme tijekom postupka odabira s isključivim pristupom uprave tvrtke i zaposlenika koje ona ovlasti, te se brišu nakon završetka postupka odabira. U papirnatom obliku se uništavaju, a u elektroničkom obliku se brišu iz pohrane u oblaku. Obrađivač, Microsoft Corporation, svakodnevno vrši sigurnosne kopije diska i briše ih nakon 30 dana.
b. Životopisi kandidata za posao koji su sudjelovali u osobnom razgovoru za posao i bili zaposleni uređeni su Poglavljem 4.1.1, točkom B).
4.1.2 Interni podaci
A. Računovodstveni dokumenti, računovodstvene knjige, planovi amortizacije, popisi zaliha, kontni plan
i izvješća Društva registrirana su u računovodstvenom programu AbraFlexi kod obrađivača LexFortis ACC sro u svrhu ispunjavanja obveza koje proizlaze iz Zakona br. 563/1991 Zb., Zakona o računovodstvu, s pravnim naslovom prema Poglavlju 3.2.1, točki A) slovu c) pohranjuju se 10 godina nakon godine na koju se odnose s ograničenim pristupom za obrađivača, sve kopije pohranjuju se na mrežnom disku u prostorijama Društva i na zajedničkom poslužitelju obrađivača 22HLAV sro u skladu sa Zakonom br. 93/2009 Zb., Zakonom o revizorima.
B. Računovodstvene evidencije kojima Društvo dokumentira vođenje računa u svrhu ispunjavanja obveza koje proizlaze iz Zakona br. 563/1991 Zb., Zakona o računovodstvu (§33)
s pravnim naslovom prema poglavlju 3.2.1, točki A) slovu c) pohranjuje se 5 godina nakon godine na koju se odnosi s ograničenim pristupom za obrađivača, sve kopije pohranjuju se na zajedničkom poslužitelju obrađivača 22HLAV sro u skladu sa Zakonom br. 93/2009 Zb., Zakonom o revizorima.
C. Godišnje izvješće i financijski izvještaji Društva čuvaju se u skladu sa zakonom
br. 563/1991 Zb., Zakona o računovodstvu, i čuva se 10 godina nakon godine na koju se odnosi.
a. Osobni podaci zaposlenika uključeni u godišnje izvješće Društva izvan područja primjene Zakona br. 563/1991 Zb. (vidi skup podataka: godišnje izvješće u Prilogu br. 1. ove Direktive) obrađuju se u svrhu predstavljanja Društvu pravnog naslova u skladu s Poglavljem 3.2.1, točkom A) slovom a).
b. Godišnje izvješće, uključujući financijske izvještaje i izvješće neovisnog revizora, objavljuje se u javnom registru.
D. Narudžbe, komunikacija s klijentima, ugovori o uslugama ili sporazumi o suradnji bilježe se:
a. Radi ispunjenja predmeta ugovora s pravnim naslovom prema Poglavlju 3.2.1, točki A) slovu b) do kraja ugovora.
b. Za potrebe računovodstvenih dokumenata s pravnim naslovom prema poglavlju 3.2.1, točki A), slovu c), 10 godina nakon godine na koju se odnose.
c. Dokumentacija u vezi s pružanjem usluga i robe Društva kupcima evidentira se u računovodstvenom SW AbraFlexi, licenciranom od strane obrađivača LexFortis ACC sro, u skladištu SW Touchstore od strane obrađivača Walk Solutions sro, na poslužitelju operatera e-trgovine Ahifi.cz od strane obrađivača Shean sro na temelju ugovora o obradi osobnih podataka s ograničenim pristupom za zaposlenike obrađivača. Obrađivači svakodnevno izrađuju sigurnosne kopije podataka i brišu ih nakon 30 dana.
d. Radni dokumenti i elektronička komunikacija s klijentima koje obrađuju zaposlenici Društva, a koja sadrži osobne podatke, bilježe se u zaštićenoj pohrani u oblaku izvršitelja obrade kod Googlea s ograničenim pristupom za zaposlenike izvršitelja obrade. Obrađivač svakodnevno izrađuje sigurnosne kopije diska i briše ih nakon 30 dana.
e. Ime i prezime pošiljatelja/primatelja poštanske pošiljke i njezin sadržaj obrađuju se u svrhu evidentiranja pošte s pravnim naslovom prema poglavlju 3.2.1, točki A), slovu f) tijekom 3 godine počevši od prvog dana kalendarske godine koja slijedi godinu primitka/slanja poštanske pošiljke i pohranjuju se u pohrani u oblaku tvrtke Microsoft 365 s pristupom za sve zaposlenike.
4.1.3 Podaci o partneru
A. Odnosi dobavljača i kupaca zabilježeni su u softveru AbraFlexi i Touchstore te u Googleovoj pohrani u oblaku s pravnim naslovom u skladu s poglavljem 3.2.1 točkom A) slovima b) do f).
B. Ugovorna, projektna dokumentacija ili narudžbe koje sadrže osobne podatke navedene u obračunu plaća, likvidacijskim listovima, narudžbenicama, otpremnicama, izvodima s bankovnih računa, evidenciji prisutnosti, ugovorima obrađuju se u svrhu s pravnim naslovom prema poglavlju 3.2.1, točki A), slovu b). Nadalje, osobni podaci poput IP adrese u internetskom okruženju web stranica Društva obrađuju se s pravnim naslovom prema poglavlju 3.2.1, točki A), slovu f).
a. Dokumentacija se pohranjuje u elektroničkom obliku u AbraFlexi softveru, podaci se pohranjuju u Google cloud pohrani s ograničenim pristupom putem dvostruke autentifikacije za upravu Društva i osobe koje je ono ovlastilo.
b. Arhiviranje dokumentacije, uključujući priložene dokumente koji sadrže osobne podatke, regulirano je ugovornim uvjetima. Za narudžbe, obično 3 kalendarske godine nakon godine posljednje transakcije, za ugovore do isteka ugovora. Obrađivač svakodnevno izrađuje sigurnosne kopije diska i briše ih nakon 30 dana.
c. Ispitanici se obavještavaju o prijenosu osobnih podataka trećoj strani (poslovnom partneru, pravnoj osobi s kojom surađuju):
i. zaposlenike čitanjem ove direktive
ii. prilikom podnošenja prijave za događaj ili prilikom potpisivanja popisa prisutnih
iii. ispunjavanjem, potvrdom i slanjem podataka na web stranici Administratora
C. Ako dokumentacija uključuje i fotografije s događaja, njihovo stjecanje, objavljivanje i prijenos trećoj strani regulirani su pravnim naslovom prema Poglavlju 3.2.1, točki A) slovu a).
4.1.4 Podaci o klijentu
A. Izvori osobnih podataka
a. Web-stranica: https://www.ahifi.cz/
i. kao rezultat automatske obrade prilikom posjeta web stranici, vidi Dodatak br. 4
ii. web obrasci (na primjer, narudžbe proizvoda)
b. Telefonski/audiovizualni razgovori ili e-pošta ili bilo koja druga pisana komunikacija. Telefonski pozivi snimaju se korištenjem usluge O2 Call Recording, koju obrađuje O2 Czech republic as, a komunikaciju putem e-pošte posreduju Googleov obrađivač i LiveAgent CZ sro obrađivač.
c. Drugi javni ili privatni pravni subjekti s pravnom osobnošću ili bez nje (npr. ugovorni obrađivači osobnih podataka, tijela u obavljanju svojih zakonskih dužnosti, uključujući kontrolu i istragu, npr. Češka trgovinska inspekcija)
d. Ekonomski resursi, npr.: dodjela potraživanja, akvizicije, spajanja, stjecanje imovine
e. Treće strane
i. U slučaju prijenosa osobnih podataka trećoj strani, Društvo potvrđuje sljedeće:
1. subjekt podataka dao je prethodnu privolu za korištenje svojih osobnih podataka te je Treća strana time ovlaštena koristiti ih u tu svrhu (prijenos i otkrivanje osobnih podataka)
2. u slučaju obrade osobnih podataka koje prenosi Treća strana, ta je strana dužna ispitaniku pružiti potrebne informacije o obradi osobnih podataka čak i ako ih je prenijela
B. Proizvodi koji se prodaju u e-trgovini:
a. E-trgovina je dostupna na web stranici Društva https://www.ahifi.cz/, a njezine aktivnosti regulirane su uvjetima prodaje u skladu sa Zakonom br. 89/2012 Građanskog zakonika
b. Podatke s pravnim naslovom u skladu s Poglavljem 3.2.1, točkom A, slovima a) do c) obrađuje Administrator od strane izvršitelja obrade LexFortis ACC sro u softveru AbraFlexi, izvršitelja obrade Walk Solutions sro u softveru Touchstore te nadalje od strane pružatelja e-trgovine Shean sro i pružatelja usluga dostave PPL CZ, sro, Česká pošta sp i Zásilkovna sro
c. Administrator pohranjuje osobne podatke u razdoblju potrebnom za ostvarivanje prava i obveza koje proizlaze iz ugovornog odnosa između ispitanika i administratora te za ostvarivanje potraživanja iz tih ugovornih odnosa u razdoblju od 3 kalendarske godine nakon godine prestanka ugovornog odnosa, a u slučaju privole ne dulje od njezina opoziva.
i. Administrator ima pravo redovito slati informacije vezane uz pruženu uslugu/proizvod kupcima e-trgovine u obliku biltena na temelju pravnog naslova u skladu s Poglavljem 3.2.1. točkom A slovom f). Kupac, ispitanik, ima pravo odbiti slanje ovih informacija, a Administrator mora omogućiti to pravo u jednostavnom, korisniku prilagođenom obliku.
4.1.5 Uvjeti pristupa
Administrator je ovlašten otkriti osobne podatke na temelju zakonite svrhe, vidi poglavlje 3.2.1 točka A) slova b) do f) u slučaju prijenosa:
A. samom subjektu podataka i osobama koje je on ovlastio
B. ugovornim obrađivačima osobnih podataka
C. institucije u vezi sa sklapanjem transakcije (banke, tijela vlasti)
D. poslovni partneri / investitori / primatelji
E. državnim institucijama na temelju ispunjavanja zakonodavnih obveza koje proizlaze iz sudske prakse, vidi poglavlje 1.3.
4.1.6 Web-stranice trećih strana
Voditelj osobnih podataka ne snosi odgovornost za sadržaj i rad web stranica trećih strana kojima subjekt podataka može pristupiti putem web stranice Voditelja podataka (npr. Google, Heureka.cz). Ispitanik prihvaća da klikom na vanjsku web stranicu, podatke poput IP adrese, vremena pristupa ili vrste preglednika korisnika (ispitanika) može obrađivati treća strana.
4.1.7 Sustav kamera
Administrator upravlja sustavom kamera na temelju zakonite svrhe, vidi Poglavlje 3.2.1, točka A) slovo f). Kako bi se potvrdila legitimnost rada sustava kamera, proveden je test proporcionalnosti. Na temelju procjene legitimnosti obrade osobnih podataka ispitanika utvrđeno je da interesi tvrtke Ahifi sro nadmašuju interese i prava ispitanika, s obzirom na to da ne postoji nametljiva obrada koja bi predstavljala rizik za prava i slobode ispitanika. Administrator ispunjava obvezu informiranja u vezi s radom sustava kamera putem Dodatka br. 5.
4.1.8 Prava ispitanika
A. Pravo pristupa znači pravo na dobivanje potvrde od Kontrolora osobnih podataka
činjenicu obrađuju li se osobni podaci ili ne, a ako da, koji
o pravo na pristup osobnim podacima i informacijama o obradi;
B. Pravo na ispravak znači pravo na ispravak netočnih osobnih podataka i/ili nepotpunih osobnih podataka bez nepotrebnog odgađanja, uključujući i davanjem dopunske izjave;
C. Pravo na brisanje/pravo na zaborav znači pravo na brisanje osobnih podataka bez nepotrebnog odgađanja ako osobni podaci više nisu potrebni za svrhe za koje su prikupljeni ili na drugi način obrađeni ili ne postoji druga zakonska osnova za obradu; ili ako se ispitanik protivi obradi i ne postoje prevladavajući legitimni interesi za daljnju obradu; ili se osobni podaci moraju izbrisati radi ispunjavanja zakonske obveze kojoj podliježe Kontrolor. Gore navedene osnove ne primjenjuju se kada je obrada osobnih podataka potrebna: za ostvarivanje prava na slobodu izražavanja
i informacije; ili poštivanje zakonske obveze koja zahtijeva obradu osobnih podataka prema zakonu kojem podliježe Kontrolor, ili obavljanje zadatka koji se provodi u javnom interesu ili u izvršavanju službene ovlasti dodijeljene Kontroloru; ili iz razloga javnog interesa u području javnog zdravstva; ili u svrhu arhiviranja u javnom interesu, u svrhu znanstvenih ili povijesnih istraživanja ili u statističke svrhe, kada je vjerojatno da će pravo na brisanje/pravo na zaborav vjerojatno onemogućiti ili ozbiljno ugroziti postizanje ciljeva takve obrade; ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
D. Pravo na ograničenje obrade osobnih podataka znači ograničenje obrade ako ispitanik osporava točnost svojih osobnih podataka, na razdoblje koje omogućuje Kontroloru podataka da pravilno provjeri točnost osobnih podataka ispitanika; ili je obrada nezakonita, a ispitanik pristaje na brisanje svojih osobnih podataka.
i umjesto toga tražite ograničenje njihove upotrebe; ili Voditelju podataka više nisu potrebni osobni podaci za potrebe obrade, ali ispitanik ih zahtijeva za pokretanje, ostvarivanje ili obranu pravnih zahtjeva; ili je ispitanik prigovorio na obradu osobnih podataka, dok se ne provjeri jesu li legitimni interesi Voditelja podataka važniji od interesa ispitanika;
E. Pravo na prenosivost podataka znači pravo na dobivanje osobnih podataka koje je ispitanik dostavio Kontroloru podataka u strukturiranom, uobičajeno korištenom formatu.
i strojno čitljivom formatu te pravo prijenosa tih osobnih podataka drugom voditelju obrade osobnih podataka, ako je to tehnički izvedivo i ako se obrada temelji na privoli ili izvršenju ugovora te se obrada provodi automatiziranim sredstvima;
F. Pravo na prigovor znači pravo prigovora u bilo kojem trenutku, iz razloga koji se odnose na posebnu situaciju ispitanika, na obradu njegovih osobnih podataka koja se temelji na obavljanju zadatka koji se obavlja u javnom interesu ili u izvršavanju službene ovlasti koja nam je dodijeljena, ili na obradu koja se temelji na legitimnim interesima, uključujući profiliranje na temelju takvih interesa, što dovodi do prestanka obrade vaših osobnih podataka, osim ako ne dokažemo uvjerljive legitimne interese za obradu koji nadilaze vaše interese, prava i slobode ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
G. Pravo na povlačenje privole u bilo kojem trenutku bez utjecaja na zakonitost obrade na temelju privole dane prije njezina povlačenja, ako je pravna osnova za obradu od strane Kontrolora izričita privola ispitanika;
H. Pravo na podnošenje pritužbe Uredu za zaštitu osobnih podataka na adresi Pplk. Sochora 27, 170 00, Prag 7, putem e-pošte: posta@uoou.cz ili putem ID-a podatkovnog pretinca: qkbaa2n;
I. Pravo da ne budete predmetom odluke koja se temelji isključivo na automatiziranoj obradi, uključujući profiliranje, koja proizvodi pravne učinke u vezi s ispitanikom ili na sličan način značajno utječe na njega, osim ako je takva obrada nužna za sklapanje ili izvršenje ugovora između Voditelja obrade i Voditelja obrade ili je dopuštena zakonom kojem podliježe Voditelj obrade, a koji također propisuje odgovarajuće mjere za zaštitu prava i sloboda ispitanika.
i legitimnih interesa ili se temelji na izričitoj privoli. Uz iznimku prava na podnošenje pritužbe Uredu za zaštitu osobnih podataka, kako je gore navedeno, ova prava mogu se ostvariti slanjem zahtjeva putem e-pošte: dotazy@ahifi.cz ili na adresu za dopisivanje Ahifi, sro, Trnkova 3140/119g, Brno, 628 00. Voditelj osobnih podataka dužan je obavijestiti ispitanika o konkretnim koracima koje će poduzeti na temelju primitka zahtjeva u roku od mjesec dana od dana primitka zahtjeva. Ovaj se rok može produžiti do dva mjeseca ako je potrebno. U takvom slučaju, voditelj osobnih podataka obavijestit će ispitanika o svakom produljenju u roku od mjesec dana od dana primitka zahtjeva, uključujući razloge kašnjenja u obradi zahtjeva.
5. Sigurnost upravljanih podataka
Uređeno je u skladu s Uredbom br. 82/2018 Zb., člancima 33. i 34. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.
5.1 Sigurnost sustava:
5.1.1 Mobilni telefon
A. Telefonske kontakte pohranjene na mobilnom telefonu obrađuju ovlaštene osobe u svrhu komunikacije sa zaposlenicima i partnerima, s pravnim naslovom prema poglavlju 3.2.1. točki A) slovima a) do f) do prestanka radnog ili partnerskog odnosa ili do povlačenja privole.
B. Mobilni telefon, u smislu ove Direktive, jest mobilni uređaj koji se koristi za obavljanje radnih dužnosti.
C. Zaposlenici su dužni:
a. osigurati i zaštititi telefon od pristupa neovlaštenih osoba,
b. biti zaključan lozinkom, grafičkom bravom za otključavanje zaslona,
ili biometrijsku bravu poput otiska prsta ili skeniranja lica.
c. postavite vidljivost dolaznih obavijesti tek nakon otključavanja zaslona telefona,
d. imati instaliran antivirusni program i redovito ažurirati svoj uređaj
D. Zaposlenicima je zabranjeno:
a. Fotografirati, snimati i na drugi način bilježiti osobne podatke pojedinaca,
osim spremanja telefonskih kontakata na uobičajen način.
b. Slanje osobnih podataka pojedinaca putem SMS-a/MMS-a, s izuzetkom slanja telefonskih kontakata putem SMS-a ili mobilnih posjetnica.
5.1.2 E-pošta
A. Svi privitci e-pošte moraju se skenirati na viruse.
B. Potencijalno opasni priključci moraju biti blokirani.
C. Zabranjeno je koristiti elektroničku poštu na način koji ugrožava ispitanika.
D. Slanje osobnih podataka pojedinaca, osim kontaktnih podataka koji se obično navode na posjetnicama, putem e-pošte je zabranjeno.
E. Točka D) se ne primjenjuje ako je e-pošta šifrirana ili ako se osobni podaci šalju u privitku e-pošte zaštićenom lozinkom.
5.1.3 Računalo i prijenosno računalo
Zaposlenici Društva koriste računalo ili prijenosno računalo Društva za obavljanje svog posla.
A. Zaposlenici su dužni osigurati i zaštititi računalo ili prijenosno računalo Društva od pristupa neovlaštenih osoba.
B. Računalo ili prijenosno računalo Društva mora biti zaključano lozinkom za pristup aktivnom korisničkom računu i osigurano čuvarom zaslona.
C. Lozinka za prijavu na račun zaposlenika mora imati najmanje 8 znakova
i sadrže velika i mala slova, brojeve ili simbole te se moraju mijenjati barem jednom svaka 3 mjeseca.
D. Obavezno je imati instaliran antivirusni program na računalu ili prijenosnom računalu Društva i redovito ažurirati uređaj.
E. Priključene medije za pohranu podataka potrebno je provjeriti antivirusnim programom.
F. Slanje osobnih podataka pojedinaca putem online pohrane je zabranjeno.
5.1.4 Dijeljeni disk
A. Zaposlenici tvrtke koriste dijeljenu pohranu u oblaku od Googlea za pohranu i dijeljenje podataka. Dijeljeni disk je propisno osiguran, kako s gledišta pohranjenih podataka, tako i s gledišta komunikacije s diskom - pohrane i preuzimanja podataka.
5.2 Sigurnost podataka i fizička sigurnost
5.2.1 Podaci i sigurnosne mjere
A. Prilikom zapošljavanja, zaposlenici Društva dobivaju ključeve ili pristupne podatke za svoje radno mjesto.
a. Posljednji zaposlenik koji napušta svoje radno mjesto provjerit će ga, osigurati i zaključati (zatvoriti i provjeriti prozore, ugasiti svjetla i zaključati).
b. Zaposlenik koji posljednji napušta zgradu radnog mjesta provjerit će jesu li svjetla ugašena i zaključati glavna ulazna vrata u zgradu prije odlaska.
B. Zaposlenici su dužni pridržavati se načela čistog stola, što znači da u njihovoj odsutnosti na radnom mjestu ne smiju biti ostavljeni slobodno dostupni dokumenti, prijenosni mediji ili softverski otključani uređaji (računalo, prijenosno računalo, mobilni telefon).
5.2.2 Izvještavanje o sigurnosnim incidentima
A. Zaposlenici Društva dužni su prijaviti sigurnosne incidente upravi Društva ili ovlaštenoj osobi u skladu s internim propisima Društva. Ovlaštena osoba je izvršni direktor ugovornog obrađivača - IT4you sro, g. Zdeněk Cupák
B. Ovlaštena osoba zatim postupa u skladu s Uredbom br. 82/2018 Zb. i u skladu s člancima 33. i 34. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.
5.3 Praćenje usklađenosti s direktivom
A. Ovlaštena osoba mora osigurati osposobljavanje svih zaposlenika Društva na koje se odnosi ova direktiva, najmanje jednom tijekom jedne kalendarske godine.
B. Sadržaj edukacije iz poglavlja 5.3, točke A) uglavnom su prava i obveze osoba odgovornih za obradu osobnih podataka, Društva u ulozi Voditelja obrade osobnih podataka i sigurno korištenje tehnologija i sustava Društva.
C. Ovlaštena osoba ažurirat će ove smjernice tijekom godine kako bi bile
u skladu s obvezama koje za Društva proizlaze iz opće uredbe.
5.4 Završne odredbe
A. Uklanjanje dokumenata s osobnim podacima prema ovoj Direktivi, posebno brisanje ili uništavanje, koji sadrže podatke o zaposlenicima ili partnerima, ne primjenjuje se u slučaju da:
da će se pokrenuti sudski ili drugi postupak u kojem bi se dokumenti koristili kao dokaz. U tom slučaju, dokumenti se arhiviraju radi mogućnosti pružanja dokaza s pravnim naslovom prema poglavlju 3.2.1, točki A), slovu f) do završetka postupka, a zatim se brišu.
B. Kršenje obveza odgovornih osoba koje proizlaze iz ove Direktive smatrat će se teškim kršenjem obveza koje proizlaze iz primjenjivih zakonskih odredbi.
na posao koji je zaposlenik obavljao i može biti razlog za prestanak radnog odnosa.
C. Ako odgovorna osoba prouzroči štetu poslodavcu zbog kršenja obveza koje proizlaze iz ove Direktive, zaposlenik je dužan nadoknaditi poslodavcu štetu nastalu njegovom krivnjom.
D. Opseg i način naknade štete uređeni su Zakonom br. 262/2006 Zb.