Pravilnik o zaštiti podataka o ličnosti

Na osnovu Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018) i Opšte uredbe – GDPR (EU) 2016/679od27.04.2016, i čl.60 Pravilnika o radu, direktor “ATRIKOD” D.O.O.Kruševac, Sanela Đokić, dana 22.11.2019.god., donosi

 

PRAVILNIK O ZAŠTITI PODATAKA O LIČNOSTI

“ATRIKOD” D.O.O.KRUŠEVAC

 

Ovim Pravilnikom “ATRIKOD” D.O.O.Kruševac, (u daljem tekstu: “ATRIKOD”) uređuje postupak prikupljanja podataka i mere za zaštitu podataka, radi sprečavanja slučajnog, nenamernog ili namernog, neovlašćenog uništenja podataka, njihove izmene ili gubitka, kao i neovlašćenog pristupa, obradi, korišćenja ili dostavljanja podataka o ličnosti.

Saglasnost pojedinca za obradu podataka o ličnosti potrebna je samo u slučaju kad ne postoji drugi zakonski osnov za obradu podatakao ličnosti ili je predviđena zakonom.

Pre prikupljanja podataka koji se obrađuju, lice se obaveštava o sledećem:

 

  1. o identitetu Rukovaoca, odnosno imenu i adresi ili firmi, odnosno identitetu lica koje je odgovorno za obradu podataka u skladu sa zakonom;
  2. o svrsi prikupljanja i dalje obrade podataka;
  3. o načinu korišćenja podataka;
  4. o identitetu lica ili vrsti lica koja koriste podatke;
  5. o obaveznosti i pravnom osnovu, odnosno dobrovoljnosti davanja podataka i obrade;
  6. o pravu da pristanak za obradu opozove, kao i pravne posledice u slučaju opoziva;
  7. o pravima koja pripadaju licu u slučaju nedozvoljene obrade;
  8. o drugim okolnostima čije bi nesaopštavanje licu na koje se odnosepodaci, odnosno drugom licu bilo suprotno savesnom postupanju,

 

Obaveštenja o ovim činjenica su i obavezna sadržina Pravilnika o zaštiti podataka o ličnosti.

 

IdentitetRukovaoca

Rukovalac je: “ATRIKOD” d.o.o. Kruševac, Brvenička br.8, 37000 Kruševac, Srbija, Mat.br.17558145

Direktor rukovaoca je odgovoran za obradu podataka u skladu sa zakonom.

 

Direktor posebnom Odlukom, definiše ovlašćenja, nadležnosti i procedure pristupa mreži, serveru, računskom centru i podacima o ličnosti, kao i kontinuitet funkcionisanja u vanrednim situacijama.

 

Svrha prikupljanja

Svrha i pravni osnov obrade zavise od vrste poslovnog odnosa koji se zasniva, podaci se obrađuju samo u obimu koji je nužan za ispunjenje svrhe u koju se prikupljaju.

Svrha prikupljanja i obrade podataka je izvršavanje zakonskih obaveza,izvršavanje različitih vrstaugovora, priprema ponuda ili drugi legitimni interes Rukovaoca.

 

Način korišćenja podataka

Podaci se koriste za izvršavanje zakonskih i ugovorenih obaveza, evidentiranje i identifikaciju poslovnih partnera i zaposlenih, u skladu sa važećim propisima.

 

 

Identitet lica ili vrsta lica koja koriste podatke

Podatke koriste zaposleni u svrhu izvršavanja poslova na kojima su zaposleni ili na drugi način angažovana lica sa posebnim ovlašćenjem da koriste podatke.

 

Obaveznost i pravni osnov, odnosno dobrovoljnost davanja podataka

Davanje podataka o ličnosti je obavezno kada je to zakonom propisano i Rukovalac ima obavezu prikupljanja, ili podatke prikuplja u smislu odredbi Zakona o obligacionim odnosima kojima se uređuje identifikacija ugovornih strana, ili ima legitimni interes prikupljanja i obrade podataka.

Pravo na opoziv pristanka, kao i pravne posledice opoziva

Svako lice koje je dalo pristanak za prikupljanje i obradu podataka može bez ikakvog obrazloženja opozvati pristanak, time prestaje svaka dalja obrada podataka.

 

Rukovalac je u obavezi da obavesti lice o konkretnim i mogućim pravnim posledicama opoziva, kao što može biti prestanak ili neostvarivanje nekih prava, pružanja usluga, dostupnost servisa, dospevanje svih neizmirenih obaveza ili posledice propisane zakonom.

 

Prava u slučaju nedozvoljene obrade

U slučaju nedozvoljene obrade, lica imaju prava na zaštitu podataka o ličnosti, koja mogu ostvarivati putem Poverenika za zaštitu podataka o ličnosti, kao i sudskim putem.

 

Druge okolnosti čije bi nesaopštavanje bilo suprotno savesnom postupanju

U skladu sa načelima savesnosti, poštenja i dobrim poslovnim običajima, Rukovalac će obavestiti lica o prikupljanju podataka koji su van okvira potrebnog za redovno poslovanje, ukoliko iste prikuplja.

 

Rukovalac vrši isključivo obradu neophodnih podataka po zakonu i ugovoru, i to onih lica koja su dala pristanak za obradu, u jasno određenu svrhu za koju je pristanak dat, na zakonom dozvoljen način.

 

Podaci se ne otkrivaju trećim licima, osim u svrhu i pod uslovima predviđenim ovim Pravilnikom, kao i u slučaju kada je to izričito zakonom propisano.

 

Rukovalac ne odgovara za tačnost podataka koje su unela druga lica, kao ni za rezultat eventualne obrade podataka koja je za predmet imala takve podatke.

 

Ukoliko se podaci prikupljaju putem Interneta, svako je odgovoran da u okviru sopstvene računarske mreže koja je povezana na Internet, osigura bezbednost i integritet podataka.

 

Obaveze »ATRIKOD«-a kao rukovaoca

Rukovalac je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada podataka o ličnosti vrši u skladu sa Zakonom o zaštiti podataka o ličnosti i Opštom uredbom i kako bi bila u mogućnosti da to i dokaže, polazeći od prirode, obima, svrhe obrade i verovatnoće nastupanja rizika za prava i slobode lica na koja se podaci odnose, uključujući i primenu odgovarajućih internih akata- odluka Direktora.

 

Rukovalac je prilikom određivanja načina obrade i u toku obrade dužan da:

 

– obezbedi da se obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje pojedinačnih svrha obrade i da isti budu dostupni samo zaposlenim u procesu ostvarivanja svrhe obrade.

 

Ako dva ili više rukovaoca zajednički obrađuju podatke o ličnosti, oni se smatraju zajedničkim rukovaocem i prava, dužnost i odgovornost uređuju sporazumno osim kada je njihova odgovornost uređena zakonom.

 

Rukovalac obradu podataka o ličnosti može poveriti trećem licu – obrađivaču, ali to može biti samo lice koje vrši obradu u ime “ATRIKOD”-a kao rukovaoca i koje u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši zakonito.

 

Obrađivač može poveriti obradu drugom obrađivaču samo ako ga rukovalac zato ovlasti pismenim ovlašćenjem. Obrada od strane obrađivača mora biti uređena ugovorom odnosno, pravno obavezujućim aktom.

 

VIDEO NADZOR

Video nadzor se koristi u svrhu zaštite ljudi i imovine.

 

Područja gde se sprovodi video nadzor moraju biti obeležena na odgovarajući način: nalepnica (obaveštenje pod plastificiranom folijom) sa upozorenjem i telefonskim brojem na koji se mogu dobiti informacije u vezi sa video nadzorom.

 

Zaposleni, koji su tokom rada podvrgnuti video nadzoru,o tome su prethodno obavešteni u pisanom obliku, vidnim i jasnim obeležavanjem na ulazu u radni prostor.

 

Svako, ko želi uvid u video snimak, na kome se nalazi, podnosi pisani zahtev, i uvid  se omogućava uz potpisivanje izjave o zaštiti informacija do kojih dođe.

 

Prilikom pregleda tih snimaka prisutan je i rukovodilac zaštite.

 

Svaki uvid, u video snimke, po zahtevu, se evidentira.

 

Video nadzor je zabranjeno vršiti u garderobama i toaletima.

 

Period čuvanja podataka

Podaci o ličnosti se čuvaju onoliko vremena koliko je potrebno za obezbeđivanje svrhe za koju su lični podaci prikupljeni, osim ako zakon ili drugi akt ne određuju duže čuvanje.

 

Brisanje podataka

Posle isteka roka čuvanja podaci o ličnosti se brišu, uništavaju, blokiraju ili anonimizuju, osim ako zakon ili drugi akt ne određuju drugačije.

 

Rokovi, posle kojih se ličnipodaci brišu iz zbirke podataka, vidljivi su iz evidencije odelatnosti obrade ličnih podataka.

 

Za brisanje podataka sa računarskih medija koristi se takav metod da je onemogućeno obnavljanje svih ili dela izbrisanih podataka.

 

Podaci na klasičnim medijima (isprave, kartoteke, registar, spisak…) uništavaju se na način koji onemogućava čitanje svih ili dela uništenih podataka na način regulisan zakonom.

 

Na isti način se uništava pomoćni materijal (npr. kalkulacije i grafikoni, skice, probni odnosno neuspešni ispisi isl.).

 

Otpadne nosače podataka, koji sadrže lične podatke, zabranjeno je bacati u kantu za smeće.

 

Preduzimanje mera u slučaju sumnje na neovlašćeni ili neosnovani pristup

Zaposleni “ATRIKOD”-a, koji je ovlašćen za obradu određenih vrsta ličnih podataka, njih može da obrađuje samo i isključivo u poslovne svrhe i zbog poslovnih razloga. Obrada u bilo koje druge svrhe znači neosnovanu obradu i kršenje u skladu sa odredbama ovog Pravilnika.

 

Zaposleni su dužni da o aktivnostima, koje su povezane sa otkrivanjem ili neovlašćenim uništavanjem poverljivih podataka, zlonamernim ili neovlašćenom korišćenjem, prisvajanjem, menjanjem ili oštećivanjem, odmah obaveštavaju ovlašćeno lice za zaštitu ličnih podataka, a sami su dužni da pokušaju da takvu aktivnost spreče.

 

Preduzimanje mera u slučaju kršenja zaštite ličnih podataka

U slučaju kršenja zaštite ličnih podataka, kada bi time bila ugrožena prava i slobode pojedinca, “ATRIKOD” bez nepotrebnog odlaganja, posle upoznavanja sa kršenjem, o tome obaveštava Poverenika za informacije u oblikui na način, kako to odredi Poverenik za informacije, osim ako nije verovatno da bi kršenjem zaštite ličnih podataka bila ugrožena prava i slobode pojedinca.

 

Kada je verovatno da kršenje zaštite podataka o ličnosti stvara veliki rizik za prava i slobode pojedinaca, “ATRIKOD” bez nepotrebnog odlaganja obaveštava pojedinca, na kog se odnose podaci o ličnosti, da je došlo do kršenja zaštite ličnih podataka.

 

Obaveštenje pojedinca nije potrebno ako su sprovedene odgovarajuće tehničke i organizacione mere, naročito mere, na osnovu kojih lični podaci postaju nerazumljivi svima koji nisu ovlašćeni za pristup njima; ako su usvojene naknadne mere za obezbeđivanje; ako bi to zahtevalo nesrazmeran napor; i ako je predviđeno objavljivanje javnog obaveštenja.

Odgovornost za izvođenje sigurnosnih mera i postupaka

Rukovalac je dužan da u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, sprovede odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigao odgovarajući nivo bezbednosti u odnosu na rizik.

 

Za izvođenje postupaka i tehničkih i organizacionih mera za zaštitu ličnih podataka odgovoran je Direktor ili lice koje ovlasti posebnom Odlukom u skladu sa Pravilnikom o zaštiti podataka o ličnosti.

 

Svako, ko obrađuje lične podatke, dužan je da sprovodi propisane postupke i mere za zaštitu ličnih podataka, sa kojima je upoznat u obavljanju svog posla. Obaveza zaštite podataka ne prestaje prestankom radnog odnosa.

 

Svi zaposleni se upoznaju sa obavezom zaštite podataka o ličnosti i odgovornostima u smislu važećih propisa i Pravilnika o zaštiti podataka o ličnosti, posebnim obaveštenjem.

 

Svi zaposleni imaju pristup inernetu uz upotrebu svoje šifre za pristup računaru, a postoji i posebna šifra za pristup internetu, dostupna određenom broju zaposlenih, prema odluci direktora.

 

Pristup serveru je takođe ograničen. “Back up” sistem se sprovodi redovno, kao način funkcionisanja u kriznim situacijama.

 

Zabranjeno je korišćenje interneta u private svrhe.

 

Za zaposlene, nepoštovanje odredaba Pravilnika o zaštiti podataka o ličnosti znači povredu radnih obaveza, što za posledicu može imati radnopravne sankcije, kao i odštetnu odgovornost, sve u skladu sa važećim propisima.

 

Na sva pitanja koje nisu uređena ovim Pravilnikom primenjuju se direktno važeći propisi iz oblasti zaštite podataka o ličnosti.

 

Pravilnik stupa na snagu i proizvodi pravana dejstva 8 dana od dana objavljivanja na oglasnoj tabli Društva.