Personal data policy

OPĆA POLITIKA O ZAŠTITI OSOBNIH PODATAKAU DRUŠTVU TRAVEL CROATIA d.o.o.

Trgovačko društvo TRAVEL CROATIA d.o.o. (u daljnjem tekstu Društvo) na temelju UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu Opća uredba o zaštiti podataka) i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018, u daljnjem tekstu Zakon) donosi i objavljuje sljedeću

 

 

OPĆU POLITIKU O ZAŠTITI OSOBNIH PODATAKA

U DRUŠTVU TRAVEL CROATIA d.o.o.

 

I              OPĆE ODREDBE

Predmet Opće politike o zaštiti osobnih podataka

 

Članak 1.

 

Ovom Općom politikom o zaštiti osobnih podataka (u daljnjem tekstu Politika) utvrđuju se pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka, zaštita osobnih podataka o fizičkim osobama, te prikupljanje, obrada i korištenje osobnih podataka.

 

Pravo na zaštitu osobnih podataka pripada svim ispitanicima na jednak način i pod jednakim uvjetima i ispitanici su ravnopravni u njegovu ostvarivanju.

 

Ova Politika primjenjuje se na obradu osobnih podataka fizičkih osoba koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

 

Ova Politika ne odnosi se na obradu osobnih podataka:

  • koju provodi fizička osoba koja obrađuje osobne podatke isključivo radi osobne svrhe ili za potrebe kućanstva
  • koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih dijela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja
  • koje obavljaju države članice vezano uz mjere nacionalne sigurnosti i sigurnosti Europske unije
  • koji se tiču pravnih osoba, uključujući ime i oblike pravne osobe i kontaktne podatke pravne osobe.

 

Svrha ove Politike je definiranje opće politike i pravila koja se primjenjuju za zaštitu osobnih podataka koji se odnose na fizičke osobe, a do kojih Društvo dolazi tijekom svog redovitog poslovanja.

 

Ova Politika primjenjuje se u cijeloj organizaciji Društva na sve obrade u kojima se koriste osobni podaci fizičke osobe (ispitanika).

 

Članak 2.

 

Društvo poštuje i štiti osobne podatke ispitanika, te je svjesno da uspješnost Društva ovisi o zadovoljstvu njegovih radnika, korisnika usluga u turizmu koje pruža Društvo (turista, gosta, putnika i slično), dobavljača, klijenata, partnera i/ili trećih fizičkih osoba koje sudjeluju u poslovnim procesima Društva.

 

Društvo je svjesno da njegova uspješnost ovisi i o mjerama koje Društvo poduzima u pogledu zaštite prava radnika, korisnika usluga u turizmu koje pruža Društvo (turista, gosta, putnika i slično), dobavljača, klijenata, partnera i/ili trećih fizičkih osoba s kojima Društvo u svojem poslovanju dolazi u kontakt obzirom na osobne podatke koje nužno prikuplja i obrađuje i obzirom na svrhu obrade i pozitivne zakonske propise koje Društvo primjenjuje u svom poslovanju.

 

U skladu s ovom Politikom, Općom uredbom o zaštiti podataka, drugim internim aktima Društva kojima se uređuje zaštita osobnih podataka sukladno svrhama obrada i zakonskoj osnovi i važećim propisima u Republici Hrvatskoj (u daljnjem tekstu RH) i Europskoj Uniji (u daljnjem tekstu EU) zaštita osobnih podataka svih ispitanika u svim postupcima koje Društvo svakodnevno provodi radi ispunjavanja poslovnih i zakonskih obveza jedna je od temeljnih politika i obveza kojih se Društvo pridržava u svom poslovanju.

 

Društvo nastoji kroz sustavni pristup upravljanja zaštitom osobnih podataka stvoriti sigurno okruženje za sve fizičke osobe (ispitanike) uključujući radnike, korisnike usluga u turizmu koje pruža Društvo (turista, gosta, putnika i slično), dobavljača, klijenata, partnera i/ili trećih fizičkih osoba koje sudjeluju u poslovnim procesima Društva i s kojima Društvo u svojem poslovanju dolazi u kontakt, te osigurati privatnost, temeljne slobode i prava u odnosu na osobne podatke.

 

Društvo donošenjem ove Politike i drugih pripadajućih dokumenata regulira i uvodi pravila i odgovornosti, procese, metode, tehnike i alate kojima obvezuje sve osobe zaposlene u Društvu, te ostale osobe koje sudjeluju u poslovnim procesima Društva na primjenu ove Politike, načela i pravila u pogledu zaštite osobnih podataka.

 

Provođenje načela i smjernica utvrđenih ovom Politikom obvezno je u svim segmentima poslovanja Društva.

 

Uz ovu Politiku Društva primjenjuju se i drugi interni akti Društva kojima se regulira zaštita osobnih podataka sukladno svrhama obrade i zakonskoj osnovi.

Definicije

 

Članak 3.

 

U skladu s Općom uredbom o zaštiti podataka pojedini izrazi u ovoj Politici imaju sljedeće značenje:

  1. „Osobni podaci“ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (”ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

 

  1. „Obrada“ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

 

  1. „Ograničavanje obrade“ znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

 

  1. „Izrada profila“ znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekta povezanih s pojedincem, posebno za analizu ili predviđanje aspekta u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

 

  1. „Pseudonimizacija“ znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

 

  1. „Sustav pohrane“ znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

 

  1. „Voditelj obrade“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice. U skladu s odredbama ove Politike voditelj obrade je Društvo.

 

  1. „Izvršitelj obrade“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

 

  1. „Primatelj“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;

 

  1. „Treća strana“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

 

  1. „Privola ispitanika“ znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

 

  1. „Povreda osobnih podataka“ znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

 

  1. „Biometrijski podaci“ znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

 

  1. „Podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

 

  1. „Predstavnik“ znači fizička ili pravna osoba s poslovnim nastanom u Europskoj Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem, a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju Opće uredbe o zaštiti podataka (imenuje se ako voditelj ili izvršitelj obrade nema sjedište u Europskoj Uniji);

 

  1. „Poduzeće“ znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koje se redovno bave gospodarskom djelatnošću;

 

  1. ”Nadzorno tijelo” znači Agencija za zaštitu osobnih podataka.

II             OBRADA OSOBNIH PODATAKA

Načela obrade osobnih podataka

 

Članak 4.

 

Načela na kojima Društvo temelji svoju politiku zaštite osobnih podataka i prema kojoj sustavno gradi i unaprjeđuje svoje procese, obrade i mjere zaštite osobnih podataka, proizlaze iz načela obrade osobnih podataka koja su definirana u članku 5. Opće uredbe o zaštiti podataka. U skladu s time obvezna je primjena sljedećih načela u Društvu:

 

  • Zakonitost, poštenost, transparentnost

 

Društvo osobne podatke svih pojedinaca (ispitanika) prikuplja i obrađuje zakonito, pošteno i transparentno. U skladu s načelom zakonitosti, poštenosti i transparentnosti Društvo je obvezno na jasan i razumljiv način informirati svakog pojedinca (ispitanika) o svrsi prikupljanja i obradi osobnih podataka, načinu i vremenu pohrane tih podataka te pravima koja ispitanici mogu ostvariti u pogledu svojih osobnih podataka.

 

  • Ograničavanje svrhe i smanjenje količine podataka

 

Društvo obrađuje samo primjerene i relevantne osobne podatke i to isključivo u posebne, izričite i zakonite svrhe. Osobni podaci prikupljeni u posebne, izričite i zakonite svrhe se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Prikupljanje osobnih podataka od ispitanika potrebno je ograničiti isključivo u svrhu ispunjenja obveza preuzetih ugovornim odnosom s ispitanikom ili u svrhu ispunjenja zakonskih obveza. Prilikom prikupljanja podataka od ispitanika potrebno je osigurati prikupljanje samo onih osobnih podataka koji su neophodni kako bi se ispunila svrha pojedine obrade.

 

  • Točnost osobnih podataka

 

Osobni podaci koje Društvo prikuplja i obrađuje moraju biti točni i prema potrebi ažurni. Društvo mora poduzeti svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave.

 

  • Ograničenje pohrane

 

Društvo čuva osobne podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, u skladu s definiranim internim i zakonskim pravilima i rokovima čuvanja podataka. Iznimno, osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

 

  • Cjelovitost i povjerljivost

 

U svim obradama osobnih podataka moraju se primijeniti odgovarajuće tehničke i organizacijske mjere koje će osigurati odgovarajuću sigurnost osobnih podataka što uključuje zaštitu od neovlaštene ili nezakonite obrade te zaštitu od slučajnog gubitka, uništenja ili oštećenja.

 

  • Pouzdanost

 

Društvo je obvezno u postupcima prikupljanja i obrade osobnih podataka osigurati odgovarajuće zapise pomoću kojih u svakom trenutku može dokazati pouzdanost i usklađenost obrada u skladu s gore navedenim načelima.

 

Članak 5.

 

Društvo prikuplja i obrađuje osobne podatke samo uz uvjete određene Općom uredbom o zaštiti podataka, ovom Politikom i drugim internim aktima Društva kojima se uređuje zaštita osobnih podataka te se obrada osobnih podataka smatra zakonitom ako je:

 

  • ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

 

  • obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

 

  • obrada nužna radi poštovanja pravnih obveza Društva;

 

  • obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

 

  • obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Društva;

 

  • obrada nužna za potrebe legitimnih interesa Društva ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

Kako bi obrada bila zakonita, u smislu uvjeta navedenih u prethodnom stavku ovog članka Društvo obrađuje osobne podatke na temelju privole ispitanika ili neke druge zakonske osnove (primjerice propisi RH) utvrđene u ovoj Politici i/ili drugim aktima Društva (pravilnicima, procedurama i slično) donesenim na temelju ove Politike, uključujući obvezu poštivanja pravne obveze kojoj podliježe Društvo ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.

Privola ispitanika

 

Članak 6.

 

Kada se obrada temelji na privoli, Društvo mora dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.

 

Privola ispitanika za obradu osobnih podataka daje se u obliku pisane izjave, te mora biti dobrovoljna, jasna, jednostavnog jezika, bez nepoštenih uvjeta i mora sadržavati svrhu.

 

Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.

Privola djeteta u odnosu na uslugu informacijskog društva

 

Članak 7.

 

Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka.

 

Pravo na posebnu zaštitu djece u pogledu osobnih podataka odnosi se na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.

 

Prikupljanje i obrada osobnih podataka djeteta elektroničkim putem (u pogledu nuđenja usluga informacijskog društva izravno djetetu) zakonita je ako je takvu privolu dalo dijete koje ima najmanje 16 godina.

 

Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio roditelj ili zakonski skrbnik djeteta.

 

Društvo mora uložiti razumne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio roditelj ili zakonski skrbnik djeteta, uzimajući u obzir dostupnu tehnologiju.

 

Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i obrađivati u skladu s Općom uredbom o zaštiti podataka, ovom Politikom i drugim internim aktima Društva kojima se uređuje zaštita osobnih podataka uz propisane mjere zaštite.

 

Članak 8.

 

Ispitanik ima pravo u svakom trenutku povući svoju privolu (odustati od privole) i zatražiti prestanak daljnje obrade njegovih podataka.

 

Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.

 

Prije davanja privole, ispitanik će se obavijestiti da ima pravo u svakom trenutku povući svoju privolu.

 

Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

III            OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

 

Članak 9.

 

Zabranjeno je prikupljanje i obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

 

Iznimno, posebni osobni podaci iz stavka 1. ovog članka mogu se prikupljati i obrađivati:

 

  • ako je ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha;

 

  • ako je obrada nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Društva ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti;

 

  • ako je obrada nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca kada ispitanik fizički ili pravno nije u mogućnosti dati privolu;

 

  • ako se obrada provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;

 

  • ako se obrada odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

 

  • ako je obrada nužna za sudski ili upravni postupak;

 

  • ako je obrada nužna za potrebe značajnog javnog interesa koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

 

  • ako je obrada nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama;

 

  • ako je obrada nužna u svrhu javnog interesa u području javnog zdravlja;

 

  • ako je obrada nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

 

U slučaju prikupljanja i obrade posebnih kategorija podataka navedenih u ovom članku obrada podataka mora biti posebno označena i zaštićena.

IV           PRAVA ISPITANIKA

Članak 10.

 

U skladu s Općom uredbom o zaštiti podataka, ovom Politikom i drugim internim aktima Društva kojima se uređuje zaštita osobnih podataka ispitanik ima sljedeća prava:

 

  • pravo na informiranje (transparentnost);

 

  • pravo pristupa osobnim podacima;

 

  • pravo na ispravak osobnih podataka;

 

  • pravo na zaborav;

 

  • pravo na ograničenje obrade;

 

  • pravo na prenosivost podataka;

 

  • pravo na prigovor;

 

  • pravo protivljenja profiliranju.

 

Ispitanik svoja prava iz prethodnog stavka ovog članka može ostvariti podnošenjem pisanog zahtjeva Društvu.

 

Ako ispitanik podnese zahtjev putem elektronske pošte (e-maila) smatrat će se da je podnesen pisani zahtjev.

 

U slučaju da ispitanik zahtjev podnese usmeno ili putem telefona, ispitanik će se informirati da svoja prava može ostvariti podnošenjem pisanog zahtjeva Društvu.

Pravo na informiranje

 

Članak 11.

 

Društvo prikuplja osobne podatke na način da ih ispitanik daje Društvu izravno, ponekad ih Društvo prikuplja samo ili ponekad Društvo prima podatke o ispitanicima od trećih osoba.

 

Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, Društvo u trenutku prikupljanja osobnih podataka od ispitanika, istome je dužno pružiti sljedeće informacije:

 

  • identitet i kontaktne podatke Društva kao voditelja obrade;

 

  • kontaktne podatke Službenika za zaštitu podataka;

 

  • svrsi obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

 

  • ako se obrada temelji na legitimnim interesima, navesti o kojim se to legitimnim interesima radi;

 

  • primatelje ili kategorije primatelja osobnih podataka;

 

  • namjeru prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, ako Društvo namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji;

 

Osim informacija navedenih u stavku 2. ovog članka, Društvo u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:

 

  • razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

 

  • postojanje prava da se od Društva zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

 

  • postojanje prava na povlačenje privole;

 

  • postojanje prava na podnošenje prigovora nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;

 

  • informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

 

  • postojanje automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.

 

Članak 12.

 

Društvo je dužno u slučaju kada osobni podaci nisu dobiveni od ispitanika izravno, ispitaniku pružiti sljedeće informacije:

 

  • identitet i kontaktne podatke Društva kao voditelja obrade;

 

  • kontaktne podatke Službenika za zaštitu podataka;

 

  • svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;

 

  • kategorije osobnih podataka o kojima je riječ;

 

  • namjeru prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, ako Društvo namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji;

 

Osim informacija navedenih u stavku 1. ovog članka Društvo ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:

 

  • razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

 

  • ako se obrada temelji na legitimnim interesima, navesti o kojim se to legitimnim interesima radi;

 

  • postojanje prava da se od Društva zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

 

  • postojanje prava na povlačenje privole;

 

  • postojanje prava na podnošenje prigovora nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;

 

  • izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;

 

  • postojanje automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.

 

Društvo je dužno kod obrade osobnih podataka koji nisu prikupljeni i dobiveni izravno od ispitanika, ispitanika informirati:

 

  • unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

 

  • najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom, ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom;

 

  • najkasnije u trenutku kada su osobni podaci prvi put otkriveni, ako je predviđeno otkrivanje podataka drugom primatelju.

 

Ako Društvo namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, Društvo prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2. ovog članka.

 

Društvo nije dužno informirati ispitanika:

 

  • ako ispitanik već posjeduje te informacije;

 

  • pružanje takvih informacija nije moguće ili bi zahtijevalo nerazmjerne napore (primjerice kod arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe);

 

  • kada je dobivanje ili otkrivanje podataka izričito propisano zakonom;

 

  • ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne ili poslovne tajne.

Pravo pristupa osobnim podacima

 

Članak 13.

 

Ispitanik ima pravo dobiti od Društva potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:

 

  • svrsi obrade;

 

  • kategorijama osobnih podataka o kojima je riječ;

 

  • primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

 

  • ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

 

  • postojanju prava da se od Društva zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu;

 

  • pravo na podnošenje pritužbe nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;

 

  • ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

 

  • postojanju automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.

Pravo na ispravak osobnih podataka

 

Članak 14.

 

Ispitanik ima pravo bez nepotrebnog odgađanja tražiti od Društva brisanje netočnih osobnih podataka koji se na njega odnose.

 

Uzimajući u obzir svrhu obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke i dati dodatnu izjavu.

Pravo na brisanje osobnih podataka

 

Članak 15.

 

Ispitanik ima pravo od Društva tražiti brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja.

 

Društvo ima obvezu brisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:

 

  • osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;

 

  • ispitanik povuče privolu u skladu s odredbama ove Politike i Opće uredbe o zaštiti podataka;

 

  • ispitanik uloži prigovor na obradu a ne postoje jači legitimni razlozi za obradu;

 

  • osobni podaci su nezakonito obrađeni;

 

  • ako je brisanje osobnih podataka propisano pravom RH ili EU;

 

  • osobni podaci su prikupljeni u vezi s ponudom usluga informacijskog društva djetetu.

 

Ako je Društvo javno objavilo osobne podatke i dužno je u skladu sa stavkom 1. i 2. ovog članka obrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, Društvo poduzima razumne mjere, uključujući tehničke mjere, kako bi informirao osobe koje sudjeluju u obradi osobnih podataka unutar Društva da je ispitanik zatražio od Društva da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka.

 

Stavak 1., 2. i 3. ovog članka neće se primjenjivati u mjeri u kojoj je obrada osobnih podataka nužna:

 

  • radi ostvarivanja prava na slobodu izražavanja i informiranja;

 

  • radi poštivanja i ispunjenja pravne obveze propisane propisom RH i EU za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Društva;

 

  • zbog javnog interesa u području javnog zdravlja;

 

  • u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;

 

  • radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo na ograničenje obrade

 

Članak 16.

 

Ispitanik ima pravo od Društva zahtijevati ograničenje obrade u sljedećim slučajevima:

 

  • ako ispitanik osporava točnost osobnih podataka, na razdoblje kojim se Društvu omogućava provjera točnosti osobnih podataka;

 

  • obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;

 

  • Društvo više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

 

  • ispitanik je uložio prigovor na obradu očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

 

Ako je obrada ograničena stavkom 1. ovog članka, takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa RH ili EU.

 

Ispitanika koji je ishodio ograničenje obrade, voditelj obrade izvješćuje prije nego što ograničenje obrade bude ukinuto.

 

Članak 17.

 

Društvo priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 14., člankom 15. i člankom 16. ove Politike svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor.

 

Društvo obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.

Pravo na prenosivost podataka

 

Članak 18.

 

Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio Društvu u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva kojem su osobni podaci pruženi:

 

  • ako se obrada temelji na privoli ili ugovoru i

 

  • ako se obrada provodi automatiziranim putem.

 

Prilikom ostvarivanja svojih prava na prenosivost podataka na temelju stavka 1. ovog članka ispitanik ima pravo na izravni prijenos od jednog voditelja obrade druge ako je to tehnički izvedivo.

Pravo na prigovor

 

Članak 19.

 

Ispitanik ima pravo u svakom trenutku uložiti prigovor na obradu njegovih osobnih podataka koji se obrađuju na temelju javnog interesa ili legitimnih interesa Društva uključujući izradu profila.

 

Društvo više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

 

Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.

 

Ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe.

 

Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na pravo iz stavaka 1., 2. i  3. ovog članka te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.

 

Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, ispitanik na temelju svoje posebne situacije ima pravo uložiti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za provođenje zadaće koja se obavlja zbog javnog interesa.

Pravo protivljenja profiliranju

 

Članak 20.

 

Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

 

Stavak 1. ovog članka neće se primjenjivati ako je odluka:

 

  • potrebna za sklapanje ili izvršenje ugovora između ispitanika i Društva;

 

  • dopuštena je propisom RH ili EU;

 

  • temeljena je na izričitoj privoli ispitanika.

 

U slučajevima iz stavka 2. točke 1. i 3. ovog članka Društvo provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju Društva, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

V             SUSTAV OBRADE OSOBNIH PODATAKA

Kategorije osobnih podataka

 

Članak 21.

 

Društvo prikuplja i obrađuje sljedeće kategorije osobnih podataka:

 

  • osobni podaci radnika Društva;

 

  • osobne podatke kandidata za posao;

 

  • osobne podatke dobavljača;

 

  • osobne podatke korisnika usluga u turizmu

 

  • osobne podatke članova društva.

 

Detaljni popis kategorija osobnih podataka koje Društvo prikuplja i obrađuje, Društvo vodi i održava u Evidenciji obrada osobnih podataka koja čini sastavni dio dokumentacije cjelovitog sustava zaštite osobnih podataka u Društvu.

Vrste osobnih podataka

 

Članak 22.

 

Društvo prikuplja i obrađuje različite vrste osobnih podataka primjerice ime i prezime, adresa, datum rođenja, OIB, broj telefona, e-mail adresa, a dodano i po potrebi Društvo može od ispitanika tražiti informacije o spolu, državljanstvu, te broju kreditne kartice zajedno s ostalim informacijama potrebnim za naplatu kartice ukoliko ispitanik odabere taj način plaćanja.

 

Društvo može ovisno o okolnostima svakog pojedinog slučaja prikupljati i obrađivati posebno zaštićene kategorije osobnih podataka koji otkrivaju vjerska ili filozofska uvjerenja, članstvo u sindikatu i podatke koji se odnose na zdravlje korisnika usluge.

 

Detaljni popis vrsta osobnih podataka koje Društvo prikuplja i obrađuje, Društvo vodi i održava u Evidenciji obrada osobnih podataka koja čini sastavni dio dokumentacije cjelovitog sustava zaštite osobnih podataka u Društvu.

Svrhe obrade

 

Članak 23.

 

Društvo prikuplja i obrađuje osobne podatke u svrhu:

 

  • izrade ponude;
  • izvršenja ugovornih ili poslovnih obveza;
  • obavještavanja korisnika usluga o uslugama i proizvodima;
  • evidencije radnika i obračuna plaće;
  • evidentiranja i čuvanje podataka o korisnicima usluga
  • ispunjavanja zakonskih obveza Društva;
  • u marketinške svrhe.

 

Detaljni popis svih obrada osobnih podataka koje se provede u Društvu redovno se vodi i održava u Evidenciji obrada osobnih podataka koja čini sastavni dio dokumentacije cjelokupnog sustava zaštite osobnih podataka u Društvu.

 

Izvršenje obrade

 

Članak 24.

 

Obrade osobnih podataka radnika obavljaju se isključivo temeljem zakonskih obveza vezano za radne odnose radi ostvarivanja prava i obveza iz radnog odnosa i u svezi s radnim odnosima.

 

Svi podaci radnika čuvaju se i obrađuju na području RH, u sjedištu Društva te u opsegu u kojem je to potrebno u poslovnim jedinicama Društva.

 

Matične evidencije, evidencije prisustva na radu i ostale evidencije o radnicima vode se korištenjem poslovnog informacijskog sustava —————. (navesti sustav koji se primjenjuje u Društvu)

 

Prijenos podataka trećim osobama obavlja se isključivo u svrhu ispunjenja zakonskih obveza Društva (obvezni podaci koji se dostavljaju u HZMO, Poreznu upravu i druge državne institucije).

 

Članak 25.

 

Obrade osobnih podataka kandidata za posao u Društvu obavljaju se povremeno, temeljem odluke Uprave Društva.

 

Sve obrade osobnih podataka kandidata za posao obavljaju se u sjedištu Društva uključujući opremu, pravila i procedure koje koristi organizacijska jedinica nadležna ljudske resurse.

 

Članak 26.

 

Obrade osobnih podataka putnika/klijenata, dobavljača obavljaju se u svrhu ispunjenja ugovorne obveze.

 

Putnici/klijenti su informirani o svrhama obrade i ostalim informacijama koje im omogućuju ostvarivanje prava u pogledu zaštite osobnih podataka.

 

Članak 27.

 

Društvo može provoditi obradu osobnih podataka u marketinške svrhe s ciljem povećanja prodaje proizvoda.

 

Društvo može provoditi reklamne kampanje te prikupljati i obrađivati osobne podatke ciljanih skupina ispitanika u mjeri u kojoj je to nužno radi ostvarenja marketinške svrhe i prodaje proizvoda.

 

Pravila zaštite osobnih podataka prilikom provođenja marketinških obrada definirana su dokumentima Društva i to:

 

  • Politika privatnosti (dostupna na web stranicama Društva);

 

Članak 28.

 

Društvo vodi evidenciju aktivnosti obrade.

 

Evidencija aktivnosti obrade sadržava sve sljedeće informacije:

 

–      ime i kontaktne podatke Društva;

 

–      svrhe obrade;

 

–      opis kategorija ispitanika i kategorija osobnih podataka;

 

–      kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni;

 

–      ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju;

 

–      ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka (rok čuvanja);

 

–      mjere zaštite (opći opis tehničkih i organizacijskih sigurnosnih mjera).

 

Evidencija iz stavka 1. ovog članka mora biti u pisanom obliku, uključujući elektronički oblik.

 

Društvo je dužno evidenciju iz stavka 1. ovog članka dati na uvid tijelu koje provodi nadzor nad zaštitom osobnih podataka u skladu sa propisima RH i EU.

VI           SLUŽBENIK ZA ZAŠTITU PODATAKA

 

Članak 29.

 

Društvo imenuje službenika za zaštitu podataka.

 

Službenik za zaštitu podataka ima najvišu odgovornost za usklađenost cjelokupnog sustava zaštite osobnih podataka u Društvu.

 

Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća utvrđenih Općom uredbom o zaštiti podataka.

 

Službenika za zaštitu podataka imenuje Uprava Društva.

 

Zadaće, dužnosti i odgovornosti službenika za zaštitu podataka detaljno su uređene internim pravilima Društva za zaštitu osobnih podataka i to u dokumentu Organizacija, uloge i odgovornosti za zaštitu osobnih podataka.

VII          MJERE ZA ZAŠTITU OSOBNIH PODATAKA

Sigurnost obrade

 

Članak 30.

 

Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, Društvo provodi odgovarajuće tehničke i organizacijske mjere kako bi osiguralo odgovarajuću razinu sigurnosti s obzirom na rizik.

 

Uvođenjem odgovarajućih mjera zaštite i redovnim nadzorom njihove primjene Društvo nastoji kontinuirano podizati razinu sigurnosti u svim obradama osobnih podataka.

 

Primjena tehničkih i organizacijskih mjera definirana je za svaku obradu u okviru Evidencije obrade osobnih podataka.

 

Članak 31.

 

Osobni podaci pohranjuju se na vlastitoj opremi u službenim prostorima Društva.

 

Rokovi čuvanja i pohrane osobnih podataka evidentiraju se u okviru Evidencije obrada osobnih podataka, a procedurama koje propisuju pravila obrade propisani su rokovi i način pohrane te pravila pristupa tim podacima.

 

Radi zaštite od neovlaštenog pristupa osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima, a podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata samo radnicima zaduženim za obradu podataka, te se radi daljnje sigurnosti i tajnosti pohranjuju na prenosive memorije.

 

Članak 32.

 

Primjena odgovarajućih mjera zaštite osobnih podataka i privatnosti ispitanika obavezna je u svim novim obradama koje Društvo uvodi u poslovanje.

 

Prilikom razvoja novih proizvoda i usluga ili bilo koje druge vrste obrade obavezno je pridržavanje pravila koja su definirana kroz procese i procedure dizajna i razvoja novih proizvoda i usluga.

 

Za redovno praćenje i kontrolu primjene tih procesa i procedura zaduženi su svi voditelji, Službenik za zaštitu podataka i Uprava Društva.

 

Procjena učinka na zaštitu podataka

 

Članak 33.

 

Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade za zaštitu osobnih podataka.

 

Pri provođenju procjene učinka na zaštitu osobnih podataka voditelj obrade traži savjet od službenika za zaštitu podataka.

 

Procjenu provode osobe zadužene za izvršenje obrade.

 

Procjene se provode pomoću metodologije i alata za provedbu procjena učinka (DPIA analize) o čemu se vode i spremaju zapisi u Evidenciji procjene učinka obrade na osobne podatke.

 

Za obrade koje imaju srednji i veći procijenjeni učinak, obavezno je provođenje procjene rizika te predlaganje odgovarajućih mjera za ublažavanje rizika. Prepoznati rizici evidentiraju se u Evidenciji rizika, a odluku o primjeni mjera za ublažavanje rizika donosi Uprava.

 

Članak 34.

 

Svi radnici Društva imaju dužnost i obvezu kontinuiranog podizanja razine znanja i svijesti o zahtjevima zaštite osobnih podataka.

Upravljanje zahtjevima ispitanika

 

Članak 35.

 

Svim radnicima i ostalim ispitanicima omogućeno je ostvarivanje njihovih prava u skladu sa ovom Politikom i Općom uredbom o zaštiti podataka.

Upravljanje incidentima i obavješćivanje ispitanika o povredi osobnih podataka

 

Članak 36.

 

U cilju pravovremenog poduzimanja odgovarajućih mjera u slučaju povrede prava ispitanika definirana je Procedura za postupanje u slučaju povrede osobnih podataka koja se obavezno primjenjuje u svim organizacijskim jedinicama/dijelovima Društva.

 

Za zaprimanje prigovora i prijava o povredama osobnih podataka zadužen je Službenik za zaštitu podataka.

 

Sve prijave i tijek njihova rješavanja evidentiraju se u Evidenciji povreda osobnih podataka.

VIII         ODGOVORNOSTI

 

Članak 37.

 

Ovom Politikom definirana je organizacija i odgovornosti za zaštitu osobnih podataka u Društvu.

 

Najvišu odgovornost za usklađenost cjelokupnog sustava sa zahtjevom Opće uredbe o zaštiti podataka ima Službenik za zaštitu podataka.

 

Osim Službenika za zaštitu podataka, Uprava, svi radnici Društva i treće osobe koje na bilo koji način surađuju sa Društvom imaju odgovornost:

 

  • kontinuirano primjenjivati temeljna načela, propisana pravila i procedure za zaštitu osobnih podataka, svatko u svom djelokrugu rada;
  • kontinuirano provoditi edukacijske aktivnosti radi podizanja razine svijesti o zahtjevima Opće uredbe o zaštiti podataka i potrebi zaštite podataka.

 

IX            PRIJELAZNE I ZAVRŠNE ODREDBE

 

Članak 38.

 

Ova Politika Društva primjenjuje se od __.__.2019.

 

Članak 40.

 

Autentično tumačenje odredaba ove Politike Društva daje uprava Društva.

 

 

TRAVEL CROATIA d.o.o.

direktor

LUCIJA BORAS