Službeni glasnik broj 7 - 3. lipnja 2019.Objavljeno: 03.06.19.
80. Opća politika o zaštiti osobnih podataka Grada Dubrovnika
Na temelju UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu Opća uredba o zaštiti podataka) i Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“ broj 42/2018, u daljnjem tekstu Zakon o provedbi Opće uredbe o zaštiti podataka) gradonačelnik Grada Dubrovnika donosi
OPĆU POLITIKU O ZAŠTITI OSOBNIH PODATAKA
GRADA DUBROVNIKA
I. OPĆE ODREDBE
Članak 1.
Grad Dubrovnik u postupku obrade osobnih podataka fizičkih osoba obveznik je primjene Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka.
Temeljem odredbe članka 4. stavak 1. točka 7. Opće uredbe o zaštiti podataka Grad Dubrovnik je voditelj obrade osobnih podataka.
Grad Dubrovnik kao voditelj obrade osobnih podataka određuje svrhu i sredstva obrade osobnih podataka u skladu sa odredbama Opće uredbe o zaštiti podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka i drugim važećim propisima Republike Hrvatske i Europske unije u području zaštite osobnih podataka.
Pravila ove Opće politike o zaštiti osobnih podataka (u daljnjem tekstu Politika zaštite podataka) odnose se na sve osobe u službi i zaposlene u upravnim tijelima Grada Dubrovnika, gradske vijećnike kao i na sve treće osobe koje rade za ili po nalogu Grada Dubrovnika u svezi s obradom osobnih podataka fizičkih osoba koje Grad Dubrovnik prikuplja i obrađuje.
Predmet Opće politike o zaštiti osobnih podataka
Članak 2.
Ovom Politikom zaštite podataka utvrđuju se pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka, zaštita osobnih podataka o fizičkim osobama, te prikupljanje, obrada i korištenje osobnih podataka.
Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
Pravo na zaštitu osobnih podataka pripada svim ispitanicima na jednak način i pod jednakim uvjetima i ispitanici su ravnopravni u njegovu ostvarivanju.
Zaštita osobnih podataka osigurana je svakoj fizičkoj osobi bez obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri, političkom ili drugom uvjerenju, nacionalnom ili socijalnom podrijetlu, imovini, rođenju, naobrazbi, društvenom položaju ili drugim osobinama u skladu s odredbama Opće uredbe o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka.
Ova Politika zaštite podataka sadrži odredbe koje su u skladu s aktima Europske unije: člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima (”Povelja”), člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) kojima se utvrđuje da svatko ima pravo na zaštitu svojih osobnih podataka, Općom uredbom o zaštiti podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka i drugim propisima kojima se uređuje zaštita osobnih podataka.
Članak 3.
Grad Dubrovnik poštuje i štiti osobne podatke fizičkih osoba, te nastoji kroz sustavni pristup upravljanja zaštitom osobnih podataka stvoriti sigurno okruženje za sve fizičke osobe (ispitanike) i osigurati privatnost, temeljne slobode i prava u odnosu na osobne podatke.
Grad Dubrovnik donošenjem ove Politike zaštite podataka i drugih pripadajućih dokumenata regulira i uvodi pravila i odgovornosti, procese, metode, tehnike i alate kojima obvezuje sve osobe u službi i zaposlene u upravnim tijelima Grada Dubrovnika, gradske vijećnike i treće osobe koje ne bilo koji način surađuju sa Gradom Dubrovnikom u vezi s obradom osobnih podataka na primjenu ove Politike zaštite podataka, načela i pravila u pogledu zaštite osobnih podataka.
Definicije
Članak 4.
U skladu s Općom uredbom o zaštiti podataka pojedini izrazi u ovoj Politici imaju sljedeće značenje:
1. „Opća uredba o zaštiti podataka“ je uredba koju je donijela EU komisija u travnju 2016. godine i koja ima zakonsku snagu za sve države članice EU. Uredba regulira prava i obveze u području zaštite osobnih podataka fizičkih osoba;
2. „Zakon o provedbi Opće uredbe o zaštiti podataka“ znači nacionalne odredbe kojima se osigurava provedba Opće uredbe o zaštiti podataka;
3. „Osobni podaci“ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (”ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
4. „Obrada“ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
5. „Ograničavanje obrade“ znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;
6. „Izrada profila“ znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekta povezanih s pojedincem, posebno za analizu ili predviđanje aspekta u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
7. „Pseudonimizacija“ znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
8. „Sustav pohrane“ znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;
9. „Voditelj obrade“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice. U skladu s odredbama ove Politike zaštite podataka voditelj obrade je Grad Dubrovnik.
10. „Izvršitelj obrade“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
11. „Primatelj“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana;
12. „Treća strana“ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
13. „Privola ispitanika“ znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
14. „Službenik za zaštitu podataka“ osoba imenovana od strane gradonačelnika Grada Dubrovnika koja prati poštivanje odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka;
15. „Povreda osobnih podataka“ znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
16. „Biometrijski podaci“ znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;
17. „Podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;
18. „Predstavnik“ znači fizička ili pravna osoba s poslovnim nastanom u Europskoj Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem, a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju Opće uredbe o zaštiti podataka (imenuje se ako voditelj ili izvršitelj obrade nema sjedište u Europskoj Uniji);
19. „Poduzeće“ znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koje se redovno bave gospodarskom djelatnošću;
20. ”Nadzorno tijelo” znači Agencija za zaštitu osobnih podataka.
II. OBRADA OSOBNIH PODATAKA
Načela obrade osobnih podataka
Članak 5.
Načela na kojima Grad Dubrovnik temelji svoju politiku zaštite osobnih podataka i prema kojoj sustavno gradi i unaprjeđuje svoje procese, obrade i mjere zaštite osobnih podataka, proizlaze iz načela obrade osobnih podataka koja su definirana u članku 5. Opće uredbe o zaštiti podataka. U skladu s time obvezna je primjena sljedećih načela u Gradu Dubrovniku:
― Zakonitost, poštenost, transparentnost
Grad Dubrovnik osobne podatke svih pojedinaca (ispitanika) prikuplja i obrađuje zakonito, pošteno i transparentno. U skladu s načelom zakonitosti, poštenosti i transparentnosti Grad Dubrovnik, uključujući upravna tijela Grada Dubrovnika, obvezni su na jasan i razumljiv način informirati svakog pojedinca (ispitanika) o svrsi prikupljanja i obradi osobnih podataka, načinu i vremenu pohrane tih podataka te pravima koja ispitanici mogu ostvariti u pogledu svojih osobnih podataka.
― Ograničavanje svrhe i smanjenje količine podataka
Grad Dubrovnik obrađuje samo primjerene i relevantne osobne podatke i to isključivo u posebne, izričite i zakonite svrhe, a prvenstveno u svrhe izvršavanja poslova iz samoupravnog djelokruga u skladu s odredbama Zakona o lokalnoj i područnoj (regionalnoj) samoupravi te izvršavanja zakonskih obveza Grada Dubrovnika kao voditelja obrade. Osobni podaci prikupljeni u posebne, izričite i zakonite svrhe dalje se ne smiju obrađivati na način koji nije u skladu s tim svrhama. Prikupljanje osobnih podataka od ispitanika potrebno je ograničiti isključivo u svrhu ispunjenja obveza preuzetih ugovornim odnosom s ispitanikom ili u svrhu ispunjenja zakonskih obveza. Prilikom prikupljanja podataka od ispitanika potrebno je osigurati prikupljanje samo onih osobnih podataka koji su neophodni kako bi se ispunila svrha pojedine obrade.
― Točnost osobnih podataka
Osobni podaci koje Grad Dubrovnik prikuplja i obrađuje moraju biti točni, potpuni i prema potrebi ažurni. Grad Dubrovnik mora poduzeti svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave.
― Ograničenje pohrane
Grad Dubrovnik čuva osobne podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, u skladu s definiranim internim i zakonskim pravilima i rokovima čuvanja podataka. Iznimno, osobni podaci mogu se pohraniti na dulja razdoblja, uz jasno određenu svrhu, u smislu zakonske obveze ili legitimnog interesa (primjerice sudski spor) ili ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
― Cjelovitost i povjerljivost
U svim obradama osobnih podataka moraju se primijeniti odgovarajuće tehničke i organizacijske mjere koje će osigurati odgovarajuću sigurnost osobnih podataka što uključuje zaštitu od neovlaštene ili nezakonite obrade te zaštitu od slučajnog gubitka, uništenja ili oštećenja.
― Pouzdanost
Grad Dubrovnik obvezan je u postupcima prikupljanja i obrade osobnih podataka osigurati odgovarajuće zapise pomoću kojih u svakom trenutku može dokazati pouzdanost i usklađenost obrada u skladu s gore navedenim načelima.
Osnove za prikupljanje i daljnju obradu osobnih podataka
Članak 6.
Grad Dubrovnik prikuplja i obrađuje osobne podatke samo uz uvjete određene Općom uredbom o zaštiti podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka, ovom Politikom zaštite podataka i drugim propisima i aktima kojima se uređuje zaštita osobnih podataka te se obrada osobnih podataka smatra zakonitom samo i u onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
― ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
― obrada je nužna za izvršavanja ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
― obrada je nužna radi poštovanja pravnih obveza Grada Dubrovnika kao voditelja obrade;
― obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
― obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Grada Dubrovnika kao voditelja obrade;
― obrada je nužna za potrebe legitimnih interesa Grada Dubrovnika kao voditelja obrade ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Pravna osnova za prikupljanje, korištenje, obrađivanje i prijenos podataka određuje se odvojeno za svaku zbirku osobnih podataka koju vodi Grad Dubrovnik kao voditelj obrade, a na temelju zakona i drugih podzakonskih propisa, općih akata, pravnih poslova i privola.
Privola ispitanika
Članak 7.
Kada se obrada temelji na privoli, Grad Dubrovnik mora dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Privola ispitanika za obradu osobnih podataka daje se u obliku pisane izjave, te mora biti dobrovoljna, jasna, jednostavnog jezika, bez nepoštenih uvjeta i mora sadržavati svrhu.
Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.
Privola za prikupljanje i obradu osobnih podataka maloljetnih osoba
Članak 8.
Maloljetne osobe zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka.
Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i obrađivati uz suglasnost zakonskog zastupnika ili punomoćnika.
Članak 9.
Ispitanik ima pravo u svakom trenutku povući svoju privolu (odustati od privole) i zatražiti prestanak daljnje obrade njegovih podataka.
Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja.
Prije davanja privole, ispitanik će se obavijestiti da ima pravo u svakom trenutku povući svoju privolu.
Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
Povjeravanje poslova obrade osobnih podataka izvršitelju obrade
Članak 10.
Grad Dubrovnik može, uzimajući u obzir poslovne potrebe i opravdanost, te na temelju ugovora, pojedine poslove u vezi s obradom osobnih podataka u okvirima svog djelokruga povjeriti drugoj fizičkoj ili pravnoj osobi odnosno izvršitelju obrade. U takvim slučajevima ugovor između Grada Dubrovnika i izvršitelja obrade mora biti sklopljen u pisanom obliku.
Grad Dubrovnik će poslove u svezi s obradom osobnih podataka povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.
Ugovorom koji Grad Dubrovnik sklopi sa izvršiteljem obrade uredit će se međusobna prava i obveze, a osobito uz obvezu izvršitelja obrade da obavlja poslove na temelju naloga Grada Dubrovnika, te da ne smije osobne podatke davati na korištenje drugim primateljima niti ih smije obrađivati za bilo koju drugu svrhu osim ugovorene.
Izvršitelj obrade ujedno osigurava provođenje odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka sukladno važećim zakonskim propisima kao i zahtjevima Grada Dubrovnika u području zaštite osobnih podataka.
Davanje podataka primateljima
Članak 11.
Grad Dubrovnik je ovlašten osobne podatke dati na korištenje drugim primateljima na temelju pisanog zahtjeva primatelja ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja.
Pisani zahtjev mora sadržavati svrhu i pravni temelj za korištenje osobnih podataka te vrstu osobnih podataka koji se traže.
Ugovorna obrada osobnih podatka i sklapanje ugovora o poslovnoj suradnji
Članak 12.
Sklapanjem ugovora o poslovnoj suradnji koji zahtijeva i prijenos osobnih podataka trećoj strani radi njihove obrade, izrade i testiranja programskih aplikacija i drugih poslova, Grad Dubrovnik kao voditelj obrade može pojedine poslove u vezi s obradom podataka, a radi postizanja unaprijed određenih svrha obrade, u okvirima svog djelokruga, provjeriti drugoj pravnoj ili fizičkoj osobi kao izvršitelju obrade.
Članak 13.
Prije sklapanja ugovora o poslovnoj suradnji na temelju kojeg bi pravna ili fizička osoba imala pristup osobnim i/ili povjerljivim podacima koje Grad Dubrovnik vodi u svojim zbirkama, Grad Dubrovnik će provesti procjenu rizika.
Uz ugovor o poslovnoj suradnji, a kojim bi se trećoj strani omogućio pristup osobnim podacima, ugovorne strane će sklopiti sporazum o povjerljivosti osobnih podataka kojim se izvršitelj obrade i/ili treća strana obvezuje na poštivanje povjerljivosti i osiguravanje mjera zaštite osobnih podataka i informacijskog sustava.
III. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
Članak 14.
Zabranjeno je prikupljanje i obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
Iznimno, posebni osobni podaci iz stavka 1. ovog članka mogu se prikupljati i obrađivati:
― ako je ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha;
― ako je obrada nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Grada Dubrovnika ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti;
― ako je obrada nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca kada ispitanik fizički ili pravno nije u mogućnosti dati privolu;
― ako se obrada provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
― ako se obrada odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
― ako je obrada nužna za sudski ili upravni postupak;
― ako je obrada nužna za potrebe značajnog javnog interesa koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
― ako je obrada nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama;
― ako je obrada nužna u svrhu javnog interesa u području javnog zdravlja;
― ako je obrada nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
U slučaju prikupljanja i obrade posebnih kategorija podataka navedenih u ovom članku obrada podataka mora biti posebno označena i zaštićena.
IV. PRAVA ISPITANIKA
Članak 15.
U skladu s Općom uredbom o zaštiti podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka i ovom Politikom zaštite podataka ispitanik ima sljedeća prava:
― pravo na informiranje (transparentnost);
― pravo pristupa osobnim podacima;
― pravo na ispravak osobnih podataka;
― pravo na zaborav;
― pravo na ograničenje obrade;
― pravo na prenosivost podataka;
― pravo na prigovor;
― pravo protivljenja profiliranju.
Grad Dubrovnik dužan je omogućiti ispitaniku ostvarivanje prava iz prethodnog stavka ovog članka.
Pravila, aktivnosti i postupci kod zaprimanja i obrade zahtjeva ispitanika propisani su u Proceduri za obradu zahtjeva ispitanika u vezi osobnih podataka koju je Grad Dubrovnik donio u sklopu procesa implementacije Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka.
U svrhu pravodobnosti ostvarivanja prava ispitanika Grad Dubrovnik, Upravni odjel za poslove gradonačelnika, Odsjek za opće poslove, Pododsjek za pisarnicu i arhivu vodit će posebnu internu dostavnu knjigu – knjigu primljene pošte kao posebnu evidenciju u koju će se upisivati pošiljke na čijoj je omotnici pored naziva voditelja obrade – Grad Dubrovnik, naznačeno Službenik za zaštitu podataka. Takve upisane pošiljke, uz potpis, se predaju Službeniku za zaštitu podataka.
Pravo na informiranje
Članak 16.
Prije prikupljanja osobnih podataka neposredno od ispitanika, Grad Dubrovnik pruža ispitaniku sve relevantne podatke u svezi s obradom osobnih podataka, a posebice sljedeće informacije:
― identitet i kontaktne podatke Grada Dubrovnika kao voditelja obrade;
― kontaktne podatke Službenika za zaštitu podataka;
― svrsi obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
― ako se obrada temelji na legitimnim interesima, navesti o kojim se to legitimnim interesima radi;
― primatelje ili kategorije primatelja osobnih podataka;
― namjeru prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, ako Grad Dubrovnik namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji.
― razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
― postojanje prava da se od Grada Dubrovnika kao voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih podataka te prava na prenosivost podataka;
― postojanje prava na povlačenje privole;
― postojanje prava na podnošenje prigovora nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;
― informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
― postojanje automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.
Članak 17.
Grad Dubrovnik, kao voditelj obrade dužan je u slučaju kada osobni podaci nisu dobiveni od ispitanika izravno, ispitaniku pružiti sljedeće informacije:
― identitet i kontaktne podatke Grada Dubrovnika kao voditelja obrade;
― kontaktne podatke Službenika za zaštitu podataka;
― svrsi obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;
― kategorije osobnih podataka o kojima je riječ;
― namjeru prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, ako Grad Dubrovnik namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji;
― razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
― ako se obrada temelji na legitimnim interesima, navesti o kojim se to legitimnim interesima radi;
― postojanje prava da se od Grada Dubrovnika zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;
― postojanje prava na povlačenje privole;
― postojanje prava na podnošenje prigovora nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;
― izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;
― postojanje automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.
Grad Dubrovnik je dužan kod obrade osobnih podataka koji nisu prikupljeni i dobiveni izravno od ispitanika, ispitanika informirati:
― unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;
― najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom, ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom;
― najkasnije u trenutku kada su osobni podaci prvi put otkriveni, ako je predviđeno otkrivanje podataka drugom primatelju.
Ako Grad Dubrovnik namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, Grad Dubrovnik prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 1. ovog članka.
Grad Dubrovnik nije dužan informirati ispitanika:
― ako ispitanik već posjeduje te informacije;
― ako pružanje takvih informacija nije moguće ili bi zahtijevalo nerazmjerne napore (primjerice kod arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe);
― kada je dobivanje ili otkrivanje podataka izričito propisano zakonom;
― ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne ili poslovne tajne.
Pravo pristupa osobnim podacima
Članak 18.
Ispitanik ima pravo dobiti od Grada Dubrovnika potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
― svrsi obrade;
― kategorijama osobnih podataka o kojima je riječ;
― primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
― ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
― postojanju prava da se od Grada Dubrovnika zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu;
― pravo na podnošenje pritužbe nadzornom tijelu odnosno Agenciji za zaštitu osobnih podataka;
― ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
― postojanju automatiziranog donošenja odluka, uključujući izradu profila sukladno članku 22. Opće uredbe o zaštiti podataka.
Pravo na ispravak osobnih podataka
Članak 19.
Ispitanik ima pravo bez nepotrebnog odgađanja tražiti od Grada Dubrovnika ispravak netočnih osobnih podataka koji se na njega odnose.
Uzimajući u obzir svrhu obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke i dati dodatnu izjavu.
Pravo na brisanje osobnih podataka
Članak 20.
Ispitanik ima pravo od Grada Dubrovnika tražiti brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja.
Grad Dubrovnik ima obvezu brisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
― osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;
― ispitanik povuče privolu u skladu s odredbama ove Politike zaštite podataka i Opće uredbe o zaštiti podataka;
― ispitanik uloži prigovor na obradu a ne postoje jači legitimni razlozi za obradu;
― osobni podaci su nezakonito obrađeni;
― ako je brisanje osobnih podataka propisano pravom RH ili EU;
― osobni podaci su prikupljeni u vezi s ponudom usluga informacijskog društva djetetu.
Odredbe ovog članka neće se primjenjivati u mjeri u kojoj je obrada osobnih podataka nužna:
― radi ostvarivanja prava na slobodu izražavanja i informiranja;
― radi poštivanja i ispunjenja pravne obveze propisane propisom RH i EU za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Grada Dubrovnika kao voditelja obrade;
― zbog javnog interesa u području javnog zdravlja;
― u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
― radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Članak 21.
Grad Dubrovnik ažurira osobne podatke ispitanika na temelju zahtjeva ispitanika za ispravkom, brisanjem i/ili dopunom osobnih podataka.
Pravo na ograničenje obrade
Članak 22.
Ispitanik ima pravo od Grada Dubrovnika zahtijevati ograničenje obrade u sljedećim slučajevima:
― ako ispitanik osporava točnost osobnih podataka, na razdoblje kojim se Gradu Dubrovniku omogućava provjera točnosti osobnih podataka;
― obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
― Grad Dubrovnik više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
― ispitanik je uložio prigovor na obradu očekujući potvrdu nadilaze li legitimni razlozi Grada Dubrovnika kao voditelja obrade razloge ispitanika.
Ako je obrada ograničena stavkom 1. ovog članka, takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa RH ili EU.
Ispitanika koji je ishodio ograničenje obrade, Grad Dubrovnik izvješćuje prije nego što ograničenje obrade bude ukinuto.
Članak 23.
Grad Dubrovnik priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 19., člankom 20. i člankom 22. ove Politike zaštite podataka svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor.
Grad Dubrovnik obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.
Pravo na prenosivost podataka
Članak 24.
Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio Gradu Dubrovniku kao voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Grada Dubrovnika kao voditelja obrade kojem su osobni podaci pruženi:
― ako se obrada temelji na privoli ili ugovoru i
― ako se obrada provodi automatiziranim putem.
Prilikom ostvarivanja svojih prava na prenosivost podataka na temelju stavka 1. ovog članka ispitanik ima pravo na izravni prijenos od jednog voditelja obrade drugome ako je to tehnički izvedivo.
Pravo na prigovor
Članak 25.
Ispitanik ima pravo na temelju svoje posebne situacije uložiti prigovor na obradu osobnih podataka koji se odnose na njega.
Grad Dubrovnik više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na njegovo pravo ulaganja prigovora te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.
Pravo protivljenja profiliranju
Članak 26.
Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.
Stavak 1. ovog članka neće se primjenjivati ako je odluka:
― potrebna za sklapanje ili izvršenje ugovora između ispitanika i Grada Dubrovnika kao voditelja obrade;
― dopuštena je propisom RH ili EU;
― temeljena je na izričitoj privoli ispitanika.
U slučajevima iz stavka 2. točke 1. i 3. ovog članka Grad Dubrovnik provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.
Članak 27.
Grad Dubrovnik će omogućiti ispitanicima da svoja prava iz članka 15. do 26. ove Politike zaštite podataka, uključujući i pravo na povlačenje privole iz članka 9. ove Politike zaštite podataka ostvare putem Obrasca koji će se objaviti na službenim internet stranicama Grada Dubrovnika, a primjerak Obrasca ispitanik će moći preuzeti u Upravnom odjelu za poslove gradonačelnika Grada Dubrovnika.
Pravo na pristup informacijama
Članak 28.
Zakonom o pravu na pristup informacijama („Narodne novine broj 25/13., 85/15.) uređuje se pravo na pristup informacijama i ponovnu uporabu informacija koje posjeduju tijela javne vlasti, propisuju se načela, ograničenja, postupak i način ostvarivanja i olakšavanja pristupa i ponovne uporabe informacija, djelokrug, način rada i uvjeti za imenovanje i razrješenje Povjerenika za informiranje te inspekcijski nadzor nad provedbom Zakona.
Informacija je svaki podatak koji posjeduje tijelo javne vlasti u obliku dokumenata, zapisa, dosjea, registra, neovisno o načinu na koji je prikazan (napisani, nacrtani, tiskani, snimljeni, magnetni, optički, elektronički ili neki drugi zapis), koji je tijelo izradilo samo ili u suradnji s drugim tijelima ili dobilo od druge osobe, a nastao je u okviru djelokruga ili u vezi s organizacijom i radom tijela javne vlasti.
Informacije su dostupne svakoj domaćoj ili stranoj fizičkoj i pravnoj osobi u skladu s uvjetima i ograničenjima Zakona o pravu na pristup informacijama, a pravo na pristup informacijama i ponovnu uporabu informacija pripada svim korisnicima na jednak način i pod jednakim uvjetima i korisnici su ravnopravni u njegovom ostvarivanju.
Informacije u određenim slučajevima mogu sadržavati osobne podatke u smislu Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka.
U slučaju kada informacije sadrže osobne podatke Službenik za zaštitu podataka i Službenik za informiranje provest će test razmjernosti, te utvrditi da li prevladava pravo na zaštitu osobnih podataka ili pravo na pristup informacijama.
Ako u konkretnom slučaju prevladava pravo na pristup informaciji potrebno je utvrditi pravičan balans između tih dvaju prava, na način da se vodi briga o opsegu osobnih podataka koje određena informacija/dokument u sebi sadrži, odnosno primjenjujući načelo razmjernosti dati na korištenje samo nužan opseg osobnih podataka za utvrđenje određene svrhe, tj. objaviti osobne podatke fizičkih osoba u opsegu koji je nužan.
V. EVIDENCIJA AKTIVNOSTI OBRADE
Članak 29.
Grad Dubrovnik vodi Evidenciju aktivnosti obrade.
Evidencija aktivnosti obrade sadržava sve sljedeće informacije:
― ime i kontaktne podatke Grada Dubrovnika kao voditelja obrade i ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i Službenika za zaštitu podataka;
― svrha obrade;
― opis kategorija ispitanika i kategorija osobnih podataka;
― kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni;
― ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju;
― ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka (rok čuvanja);
― mjere zaštite (opći opis tehničkih i organizacijskih sigurnosnih mjera).
Evidencija iz stavka 1. ovog članka mora biti u pisanom obliku, uključujući elektronički oblik.
Grad Dubrovnik je dužan evidenciju iz stavka 1. ovog članka dati na uvid tijelu koje provodi nadzor nad zaštitom osobnih podataka u skladu sa propisima RH i EU.
VI. SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak 30.
Grad Dubrovnik kao voditelj obrade imenuje Službenika za zaštitu podataka.
Službenik za zaštitu podataka ima najvišu odgovornost za usklađenost cjelokupnog sustava zaštite osobnih podataka u Gradu Dubrovniku.
Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća utvrđenih Općom uredbom o zaštiti podataka.
Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
― informira i savjetuje voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim obvezama u skladu s Općom uredbom o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka,
― prati poštovanje Opće uredbe o zaštiti podataka te drugih odredaba Unije i Zakona o provedbi Opće uredbe o zaštiti podataka i politiku voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije,
― pruža savjete, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. Opće uredbe o zaštiti podataka i Zakona o o provedbi Opće uredbe o zaštiti podataka,
― surađuje s Agencijom za zaštitu osobnih podataka,
― djeluje kao kontaktna točka za Agenciju za zaštitu osobnih podataka o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. Opće uredbe o zaštiti podataka te savjetovanje, prema potrebi, o svim drugim pitanjima.
Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.
Grad Dubrovnik kao voditelj obrade i izvršitelj obrade osiguravaju da je Službenik za zaštitu podataka na primjeren način i pravodobno uključena u sva pitanja u pogledu zaštite osobnih podataka.
Grad Dubrovnik kao voditelj obrade i izvršitelj obrade podupiru Službenika za zaštitu podataka u izvršavanju zadaća iz članka 39. Opće uredbe o zaštiti podataka pružajući mu potrebna sredstva za izvršavanje tih zadaća i ostvarivanje pristupa osobnim podacima i postupcima obrade te za održavanje njenog stručnog znanja.
Grad Dubrovnik kao voditelj obrade i izvršitelj obrade osiguravaju da Službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ne smije razriješiti Službenika za zaštitu podataka dužnosti ili ga kazniti zbog izvršavanja njegovih zadaća.
Službenik za zaštitu podataka izravno odgovara gradonačelniku Grada Dubrovnika.
Ispitanici mogu kontaktirati Službenika za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz Opće uredbe o zaštiti podataka.
Službenik za zaštitu podataka ima obvezu tajnosti ili povjerljivosti glede obavljanja svojih zadaća, a sve u skladu s Općom uredbom o zaštiti podataka te drugih odredaba Unije i Zakona o provedbi Opće uredbe o zaštiti podataka.
Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. U tom slučaju voditelj obrade ili izvršitelj obrade osiguravaju da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Kontaktni podaci Službenika za zaštitu podataka biti će objavljeni i javno dostupni na web stranici Grada Dubrovnika te priopćeni Agenciji za zaštiti osobnih podataka.
VII. MJERE ZA ZAŠTITU OSOBNIH PODATAKA
Mjere zaštite
Članak 31.
Grad Dubrovnik provodi odgovarajuće tehničke, kadrovske i organizacijske mjere zaštite koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa, promjene ili objavljivanja i svake druge zlouporabe.
― Grad Dubrovnik provodi sljedeće mjere zaštite:
― mjere zaštite podataka od neovlaštenog pristupa i promjene;
― mjere zaštite podataka od gubitka ili uništenja;
― mjere zaštite posebnih kategorije osobnih podataka i povjerljivih podataka;
― mjere zaštite informatičke sigurnosti;
― opće mjere zaštite;
― posebne mjere zaštite.
Mjere zaštite podataka od neovlaštenog pristupa
Članak 32.
Grad Dubrovnik provodi sljedeće organizacijske i tehničke mjere zaštite osobnih podataka od neovlaštenog pristupa i promjene podataka:
― podaci u fizičkom obliku čuvaju se u zaključanim ormarima (organizacijska mjera);
― službenici i namještenici dužni su radne prostorije, u kojim se nalaze osobni podaci (u fizičkom i/ili digitalnom obliku) zaključati prilikom njihova napuštanja (organizacijska mjera);
― službenici i namještenici dužni su isključiti računala prilikom napuštanja radnih prostorija (organizacijska mjera);
― lozinkama ili na drugi prikladan način onemogućit će se uvid u podatke službenicima i namještenicima kojima ti podaci nisu potrebni za obavljanje poslova njihova djelokruga rada (tehnička mjera);
Mjera zaštite podataka od gubitka ili uništenja
Članak 33.
Grad Dubrovnik provodi sljedeće organizacijske i tehničke mjere zaštite osobnih podataka od gubitka ili uništenja:
― prostorije u kojima se nalaze podaci štite se zaključavanjem (organizacijska mjera);
― dokumenti koji sadrže osobne podatke (ugovori, isprave i slično) u fizičkom obliku zaključani su u ormare i pristup takvim podacima imaju samo ovlašteni službenici i namještenici (organizacijska mjera);
― za elektronske baze podataka svakodnevno se radi sigurnosna preslika datoteke odnosno backupa (tehnička mjera);
― u svrhu zaštite poslovnih podataka sadržanih na službenom računalu kojim se službenik i namještenik koristi, ažuriranja i instaliranja softvera mogu obavljati samo ovlaštene osobe informatičke službe (kadrovska mjera).
Mjere zaštite posebnih kategorija osobnih podataka i povjerljivih podataka
Članak 34.
Uvid u posebne kategorije osobnih podataka i povjerljivih podataka koje Grad Dubrovnik prikuplja i obrađuje ograničeno je samo na službenike i namještenike kojima su ti podaci nužno potrebni za obavljanje poslova njihove službe i u točno određenu svrhu.
Posebne kategorije osobnih podataka i povjerljivi podaci mogu se prenositi samo ako postoji legitimni interes Grada Dubrovnika ili posebna pisana privola ispitanika.
Za prijenos posebnih kategorija osobnih podataka i povjerljivih podataka potrebno je odobrenje Službenika za zaštitu podataka i Gradonačelnika Grada Dubrovnika.
Svi službenici i namještenici koji na bilo koji način i/ili po bilo kojoj osnovi dođu u posjed posebnih kategorija osobnih podataka i povjerljivih podataka, ne smiju ih priopćavati niti učiniti dostupnima neovlaštenim osobama.
Posebne kategorije osobnih podataka i povjerljivi podaci čuvaju se u bazama podataka na način da se jamči sigurnost i tajnost takvih podataka.
Mjere zaštite informatičke sigurnosti
Članak 35.
Mjere zaštite informatičke sigurnosti uključuju zaštitu informatičkog sustava, usklađivanje, nadzor, izobrazbu, te provedbu mjera i standarda informatičke sigurnosti.
Opće mjere zaštite
Članak 36.
Grad Dubrovnik provodi sljedeće opće mjere zaštite:
― mjere fizičke i tehničke zaštite imovine i osoba, mjere zaštite od požara, zaštite arhivskog gradiva i zaštite na radu;
― organizacijske mjere za osiguravanje ažurnosti, točnosti i pravilnosti obavljanja poslova, sprečavanja neovlaštene izmjene dokumentacije i podataka, te neovlaštenog korištenja informatičke opreme i mreže, kao i svi radni postupci utvrđeni u skladu sa standardima i uputama Gradonačelnika;
― mjere nadzora i kontrole;
― mjere za odražavanje informatičkog sustava u funkciji koje se poduzimaju radi sprečavanja opasnosti od zastoja u radu informatičke opreme odnosno sve aktivnosti i postupci kojima se osiguravaju tehnički i drugi uvjeti za rad, uključujući preventivne mjere i redovito ažuriranje i održavanje informatičkog sustava.
Posebne mjere zaštite
Članak 37.
Posebne mjere zaštite provode se kao fizička sigurnost svih prostorija Grada Dubrovnika i to:
― prostorije u kojima je smještena poslovna dokumentacija;
― prostorije u kojima su smješteni pravni spisi;
― prostorije u kojima su smješteni dokumenti o službenicima i namještenicima, podaci o obračunima plaće;
― prostorije u kojima je smještena arhiva.
Posebne mjere za zaštitu prostorija navedenih u prethodnom stavku ovog članka uključuju:
― ovlaštenje za ulazak i boravak u navedenim prostorijama samo osobama koje u njima obavljaju poslove u okviru svoje službe i time imaju ovlaštenje za ulazak;
― sve ostale osobe, stranke, službenici i namještenici u navedene prostorije mogu ući i boraviti u njima isključivo u nazočnosti osoba koje imaju ovlaštenje za ulazak i boravak u tim prostorijama;
― zaključavanje navedenih prostorija;
― zabranu iznošenja dokumentacije i informatičke opreme bez dopuštenja Gradonačelnika i Službenika za zaštitu podataka uz obvezno vođenje evidencije;
― druge mjere fizičke i tehničke zaštite.
Sigurnost obrade
Članak 38.
Radi redovitog odvijanja poslova Grada Dubrovnika, Grad Dubrovnik poduzima i provodi odgovarajuće mjere za osiguranje zaštite, dostupnosti, cjelovitosti i točnosti podataka i dokumentacije posebne važnosti.
Mjere zaštite za podatke i dokumentaciju od posebne važnosti su:
― čuvanje i pohranjivanje papirne dokumentacije i drugih nositelja podataka u odgovarajućim zaštićenim prostorijama ili sefu;
― čuvanje i pohranjivanje dokumentacije i podataka u odgovarajućem broju primjeraka;
― osiguravanje pojedinih primjeraka dokumentacije i podataka kojima se omogućava rekonstrukcija poslovnih događaja na odgovarajućim nositeljima podataka;
― obvezna izrada sigurnosnih kopija te čuvanje i pohranjivanje nositelja podataka u posebno zaštićenim prostorijama u Gradu Dubrovniku;
― obvezno čuvanje odgovarajuće sistemske i aplikativne programske podrške odnosno softvera onoliko dugo koliko se čuvaju sigurnosne kopije podataka ili pravodobno presnimavanje kopija na nove nositelje podataka.
Grad Dubrovnik za zaštitu osjetljivih podataka, a osobito papirne dokumentacija koja može sadržavati osobne podatke poput imena i prezimena, brojeva računa, OIB-a i drugih povjerljivih podataka, koristi tzv. ”uništavače papira” pomoću kojih strojno uništava papirnu dokumentaciju za koju nije propisana trajna obveza čuvanja i/ili koja nastane u svakodnevnom radu pročelnika, službenika i namještenika, primjerice kao pogrešno isprintan dokument, dokument sa greškom u pisanju i slični slučajevi.
Svi pročelnici, službenici i namještenici su dužni u obavljanju svojih redovitih zadataka uništavati papirnu dokumentaciju, za koju nije propisana trajna obveza čuvanja i/ili koja nastane u svakodnevnom radu pročelnika, službenika i namještenika, primjerice kao pogrešno isprintan dokument, dokument sa greškom u pisanju i slični slučajevi, te je zabranjeno odlaganje papirne dokumentacije koja sadrži osobne podatke u koševe za smeće u obliku koji bi omogućio identifikaciju ispitanika.
Grad Dubrovnik će sukladno mogućnostima i procjeni učinka na zaštitu osobnih podataka provesti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti, a uključujući prema potrebi i:
― pseudonimizaciju i enkripciju osobnih podataka;
― sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
― sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa istima u slučaju fizičkog ili tehničkog incidenta;
― proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
Vremensko razdoblje čuvanja i upotrebe podataka
Članak 39.
Dokumentacija i osobni podaci u zbirkama osobnih podataka, nositelji podataka od posebne važnosti, sistemski i aplikativni programi, kao i eventualno potrebna oprema za učitavanje odnosno pristup podacima, čuvaju se za svaku zbirku osobnih podataka posebno, odnosno temeljem isteka svrhe prikupljanja.
VIII. PROCJENA UČINKA NA ZAŠTITU PODATAKA
Članak 40.
Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, Grad Dubrovnik prije obrade provodi procjenu učinka predviđenih postupaka obrade za zaštitu osobnih podataka.
Procjene se provode pomoću metodologije i alata za provedbu procjena učinka (DPIA analize).
IX. POVREDE OSOBNIH PODATAKA
Upravljanje incidentima i obavješćivanje ispitanika o povredi osobnih podataka
Članak 41.
U cilju pravovremenog poduzimanja odgovarajućih mjera u slučaju povrede prava ispitanika definirana je Procedura za postupanje u slučaju povrede osobnih podataka koja detaljno uređuje aktivnosti u slučaju povrede osobnih podataka.
Sve prijave i tijek njihova rješavanja evidentiraju se u Evidenciji povreda osobnih podataka.
Aktivnosti i postupci vezani za upravljanje incidentima u vezi povrede osobnih podataka obuhvaćaju:
- Evidentiranje dojave o povredi osobnih podataka.
- Slanje obavijesti o povredi osobnih podataka.
- Obavješćivanje Agencije za zaštitu osobnih podataka o povredi osobnih podataka.
X. ODGOVORNOSTI
Članak 42.
Najvišu odgovornost za usklađenost cjelokupnog sustava sa zahtjevom Opće uredbe o zaštiti podataka ima Službenik za zaštitu podataka.
Osim Službenika za zaštitu podataka, Gradonačelnik, službenici i namještenici i druge osobe zaposlene u Gradu Dubrovniku imaju odgovornost:
― kontinuirano primjenjivati temeljna načela, propisana pravila i procedure za zaštitu osobnih podataka, svatko u svom djelokrugu rada;
― kontinuirano provoditi edukacijske aktivnosti radi podizanja razine svijesti o zahtjevima Opće uredbe o zaštiti podataka i potrebi zaštite podataka.
XI. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 43.
Ova Politika zaštite podataka stupa na snagu danom donošenja i objavljuje se u Službenom glasniku Grada Dubrovnika.
KLASA: 023-01/18-01/08
URBROJ:2117/01-01-18-03
Dubrovnik, 31. prosinca 2018.
Gradonačelnik
Mato Franković, v. r.
----------------------------