NAGRADNA IGRA: Usporedi osiguranja ili telekom usluge, ugovori na kompare.hr i osvoji Opel Mokku!
Usporedi, kupi i osvoji Opel Mokku!

Politika obrade osobnih podataka

Kompare Online d.o.o. i Custodia d.o.o.

Uprava Društva dana 21. svibnja, 2018. donosi akt: Politika o sustavu upravljanja osobnim podacima i zaštiti privatnosti pojedinca


I. UVODNE ODREDBE


Članak 1.
Politikom o sustavu upravljanja osobnim podacima i zaštiti privatnosti pojedinca (dalje u tekstu: Politika), Kompare Online d.o.o. uključujući i Custodia d.o.o. (dalje u tekstu: Društvo) određuje sustav upravljanja osobnim podacima, definira pravila, utvrđuje okolnosti prikupljanja i korištenja osobnih podataka te pravo pojedinca na zaštitu osobnih podataka.
Zaštita osobnih podataka ispitanika, odnosno korisnika usluga, radnika i drugih pojedinaca povezanih s Društvom glavni je prioritet Društva.


Članak 2.
Ovom politikom Društvo stvara temelj jedinstvene i visoke razine zaštite privatnosti, primjenjivu na obradu osobnih podataka u Društvu. Detaljni postupci po pojedinim područjima opisati će se u podređenim dokumentima.


II. PODRUČJE PRIMJENE


Članak 3.
Politika se primjenjuje na sve vrste obrade osobnih podataka unutar Društva bez obzira na mjesto prikupljanja podataka.


III. POJMOVI


Članak 4.
Osobni podatak – je svaki podatak koji se odnosi na fizičku osobu (pojedinca) čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, posebno na osnovi imena identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni
ili socijalni identitet. Ispitanik je fizička osoba (pojedinac) čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi imena, identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet.

Obrada – je svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Izrada profila/profiliranje – je svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.

Posebne kategorije osobnih podataka – su podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili danstvo u sindikatu, te genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje ili podaci o spolnom životu ili seksualnoj orijentaciji pojedinca.

Podaci koji se odnose na zdravlje – su osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga kojima se daju informacije o njegovu zdravstvenom statusu.

Voditelj obrade – je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima odreduje svrhe i sredstva obrade osobnih podataka. Kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade – je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Treća strana – je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijel koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

Primatelj – je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade.

Privola ispitanika – je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Zaštita osobnih podataka – je zaštita od povrede osobnih podataka koja znači kršenje sigurnosti, a koje kršenje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obradivani.


IV. PRIKUPLJANJE I DALJNJA OBRADA


Članak 5.
Društvo prikuplja i dalje obrađuje podatke o strankama koje dobrovoljno putem privole ostave svoje osobne podatke na internetskoj stranici kojom upravlja Društvo.
Obrada osobnih podataka se vrši kako bi se poduzele radnje na zahtjev stranke za pružanjem usluge koju nudi Društvo, odnosno kako bi se poduzele druge aktivnosti koje proizlaze iz tog poslovnog odnosa.
Druge obrade osobnih podataka su dozvoljene ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
– obrada je nužna radi poštovanja pravnih obveza Društva, što uključuje ali nije ograničeno na obvezu naknade štete oštećeniku kod ugovora o osiguranju od odgovornosti;
– na obveze Zakona o osiguranju, osobito u pogledu distribucije osiguranja;
– na obveze Zakona o zaštiti potrošača i Zakona o elektroničkoj trgovini osobito u pogledu distribucije telekom usluga;
– obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
– obrada je nužna za potrebe legitimnih interesa Društva, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka;
– ispitanik je dao privolu za obradu osobnih podataka ispitanika u jednu ili više posebnih svrha.

O obradi osobnih podataka nužnoj za potrebe legitimnih interesa Društva odlučuje Uprava Društva temeljem posebne odluke.


V. OBRADA TEMELJEM PRIVOLE


Članak 6.
Privola za obradu osobnih podataka mora biti:
– jasna;
– dokumentirana;
– ukoliko se daje u vidu pisane izjave koja se odnosi i na druga pitanja onda zahtjev  za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja; u razumljivom i lako dostupnom obliku;
– dokaziva;
– isključiva;
– nedvosmislena;
– dobrovoljna;
– opoziva, što znači da ju je moguće povući u svakom trenutku bez da to utječe na zakonitost obrade na temelju privole prije njezina povlačenja, o čemu se ispitanika obavješćuje prije davanja privole.

Posebnim aktom Društvo će regulirati način obrade podataka prikupljenih temeljem privole.


VI. TRANSPARENTNOST


Članak 7.
Prije prikupljanja osobnih podataka, ispitanicima se pružaju jasne informacije o identitetu voditelja, svrsi obrade, pravnoj osnovi, o mogućoj obradi osobnih podataka temljem legitimnih interesa Društva, radi li se o obveznom ili dobrovoljnom davanju podataka i o mogućim posljedicama uskrate davanja podataka, vrsti obrade u kojoj će se osobni podaci koristiti, razdoblju čuvanja osobnih podataka, pravima ispitanika
te primateljima i eventualnim trećim osobama koje će primiti podatke. Ukoliko Društvo nije prikupilo osobne podatke neposredno od ispitanika, pružiti će mu sve informacije iz prethodong stavka ovog članka, uključujući izvor osobnih podataka kao i kategorije osobnih podataka o kojima je riječ.

Ugovarateljima osiguranja, fizičkim osobama kao i ugovarateljima telekom usluga, fizičkim osobama se informacije iz stavka 1. ovog članka pružaju u dokumentu Informacije o korištenju osobnih podataka. Informacije iz stavka 1. ovog članka pružaju se u sažetom, transparetnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika.

Informacije se pružaju u pisanom obliku ili drugim sredstvima, medu ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrden identitet ispitanika.

Društvo savjetuje roditeljima i skrbnicima da poduče djecu o sigurnom i odgovornom postupanju s osobnim podacima na internetu. Društvo ne želi i nema namjeru prikupljati osobne podatke djece, neće ih ni na koji način rabiti niti će ih odati trećima.

Dijete može dati svoju privolu isključivo u odnosu na eventualne usluge
informacijskog društva i to dijete starije od 16 godina. Svaka druga obrada podataka djece ispod navedene dobne granice i druga obrada osim izričito navedene ovdje, za djecu do 18 godine života, dozvoljena je Društvu isključivo uz prethodnu privolu roditelja.

Ova Politika privatnosti dostupna je na stranicama www.kompare.hr te također i na recepcijama naših objekata.
Ako Društvo odluči mijenjati svoju politiku privatnosti, promjene će postaviti i objaviti na internet stranicama www.kompare.hr kao i na unutarnjem sustavu dostupnom radnicima Društva.


VII. NAČELA OBRADE OSOBNIH PODATAKA


Članak 8.
Načela obrade osobnih podataka su:
– zakonitost, poštenost i transparentnost – osobni podaci su zakonito, pošteno i transparentno obradivani s obzirom na ispitanika;

– ograničavanje svrhe – osobni podaci su prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obradivati na način koji nije u skladu s tim svrhama;
– smanjenje količine podataka – osobni podaci su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obraduju;
– točnost – osobni podaci su točni i prema potrebi ažurni;
– Društvo će poduzeti svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
– cjelovitost i povjerljivost – osobni podaci su obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera;
– ograničenje pohrane – osobni podaci se čuvaju u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, odnosno, u vremenu koje je navedeno u privoli;
– osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u statističke svrhe, što podliježe provedbi primjerenih tehničkih i
organizacijskih mjera;
– pouzdanost – Društvo je usklađeno sa svim ranije navedenim načelima i može to dokazati.


VIII. OBVEZA POŠTIVANJA POVJERLJIVOSTI


Članak 9.
Svi zaposlenici Društva moraju se pridržavati mjera definiranih ovom Politikom. Društvo će osigurati da se i treće strane koje u okviru svoje suradnje s Društvom ostvaruju pristup osobnim podacima upoznaju s mjerama definiranim ovom Politikom radi poštivanja istih.

Sve osobe temeljem ugovora o radu, ili bilo kojeg ugovora o poslovnom odnosu, koje posredno ili neposredno mogu doći do osobnih podataka u Društvu obvezuju se na poštivanje povjerljivosti i zaštitu privatnosti pojedinca, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene uporabe.


IX. DOSTAVA PODATAKA TREĆIM SUBJEKTIMA


Članak 10.
Društva prosljeđuju osobne podatke ugovaratelja osiguranja ili ugovaratelja telekom usluga odgovarajućim, odnosno, od stranke odabranim osigurateljima ili telekom operatorima s kojima ima ugovor o poslovnom zastupanju te su navedenim društvima osobni podaci potrebni temeljem zakona radi zasnivanja ugovora o osiguranju, odnosno, telekom usluzi.
Ako u okviru obrade podataka dolazi do iznošenja podataka u treće zemlje, Društvo osigurava poštivanje visokih standarda zaštite kako bi se poštovao najviši moguć standard zaštite osobnih podataka, a u skladu sa strogim zahtjevima Uredbe. U tom smislu, kada su u primjeni međunarodni prijenosi osobnih podataka, Društvo će informirati ispitanika o namjeri iznošenja osobnih podataka trećoj zemlji ili međunarodnoj organizaciji te o postojanju ili nepostojanju odluke Europske komisije o primjerenosti.
Ujedno, uputit će se ispitanika na prikladne ili odgovarajuće zaštitne
mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje ako prijenos podliježe odgovarajućim zaštitnim mjerama prema članku 46. Uredbe, primjeni obvezujućih korporativnih pravila prema članku 47. Uredbe ili ako je primjenjiv članak 49. stavak 1. podstavak 2. Uredbe. Svaki prijenos osobnih podataka u treće zemlje bit će izvršen u skladu s poglavljem V. Uredbe.


X. SVRHA PRIKUPLJANJA


Članak 11.
Neke osobne podatke Ispitanika Društvo može skupljati i za sljedeće svrhe:
• slanja ponuda
• ispunjenja ugovora o osiguranju
• ispunjenja ugovora o telekom usluzi
• u svrhe direktnog marketinga
• u svrhe zaštita imovine i sigurnosti pojedinaca primjenom mjera videonadzora

Društvo jamči da će se prikupljenim podacima koristiti samo u navedene svrhe. Društvo može koristiti depersonalizirane podatke u statističke svrhe.


XI. PRAVNA OSNOVA PRIKUPLJANJA


Članak 12.
Pravna osnova za navedene svrhe prikupljanja su:
• zakonska,
• ugovorna,
• legitimni interes koji je jači od interesa ispitanika ili

• privola ili izričita privola ispitanika,ovisno o svrsi obrade i vrsti osobnog
podatka


XII. VRIJEME ČUVANJA PODATAKA


Članak 13.
Podatke koje Društvo prikuplja na temelju zakona, dužno je čuvati onoliko vremena koliko određuje pojedini zakon ili drugi pozitivni propis.
Podatke koje Društvo prikuplja na temelju ugovornog odnosa čuvat će samo koliko je potrebno u svrhu sklapanja ugovora.
Podatke o imenu, prezimenu i e-mail adresi koje Društvo prikupi temeljem legitimnog interesa u svrhe izravnog marketinga čuvat će u svojoj bazi Ispitanika 10 godina.
Ostale podatke koje Društvo prikuplja temeljem izričite privole Ispitanika čuvat će u svojoj bazi 10 godina.
Društvo također može, temeljem izričite privole Ispitanika prikupljati i pohraniti podatke o sadržaju koji se pregledava na web stranicama (tzv. cookies), te će ih u tom slučaju čuvati u svojoj bazi u razdoblju od 1 godine.


XIII. PRAVA ISPITANIKA


Članak 14.
Ispitanik ima sljedeća prava:
1) Pravo na pristup – Ispitanik ima pravo u svakom trenutku kontaktirati Društvo i dobiti potvrdu obraduju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obraduju, zatražiti pristup osobnim podacima i informacijama na koje ima pravo u svezi zaštite osobnih podataka.
Društvo osigurava kopiju osobnih podataka koji se obraduju. Za sve dodatne kopije koje zatraži ispitanik Društvo može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom
obliku.
2) Pravo na ispravak – Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od Društva ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Društvo priopćuje svaki ispravak osobnih podataka svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Društvo obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.

3) Pravo na brisanje (pravo na zaborav) – Ispitanik ima pravo podnijeti zahtjev za brisanje osobnih podataka koji se na njega odnose. Opravdan zahtjev za brisanjem podataka mora se ispuniti bez nepotrebnog odgađanja. Ako ispitanik ima pravo na brisanje podataka, ali brisanje nije moguće ili nije razborito, podaci se moraju zaštiti blokiranjem od nedopuštene obrade. Moraju se poštovati propisani rokovi čuvanja
podataka. Društvo priopćuje svako brisanje osobnih podataka svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Društvo obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.
4) Pravo na ograničenje obrade – Ispitanik ima pravo od Društva ishoditi ograničenje obrade za slučajeve osporavanja točnosti, nezakonitosti obrade, prestanka potrebe za obradom, te nadilaženje legitimnih prava za obradu podataka. U skladu s primjenjivim propisima, Društvo može obrađivati osobne podatke i kada je obrada ograničena.
5) Pravo na prenosivost podataka – Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio Društvu u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva, ako se obrada temelji na privoli ili ugovoru i provodi se automatiziranim putem.
6) Pravo na prigovor – Ispitanik ima pravo u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se na njega odnose, ako se obrada temelji na legitimnim interesima Društva, uključujući izradu profila i obradu za potrebe izravnog marketinga.
7) Pravo na povlačenje privole – Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje,
8) Pravo na naknadu štete i odgovronost – ispitanik koji je pretrpio imovinsku ili neimovinsku štetu zbog kršenja propisanih zakonskih odredbi ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.
Način ostvarivanja prava – ispitanik može svoja prava navedena u ovom članku ostvariti putem kontakt podataka objavljenih na web stranicama Društva, te u zaprimljenim Informacijama o obradi osobnih podataka. Ukoliko smatra da je došlo do nepravilnosti u obradi njegovih osobnih podataka, ispitanik ima pravo kontaktirati službenika za zaštitu osobnih podataka Društva. Također, ispitanik ima pravo na podnošenje prigovora nacionalnom nadzornom tijelu.


XIV. SUSTAV VIDEONADZORA


Članak 15.
Društvo kao voditelj obrade ima legitimni interes provesti mjere videonadzora radi zaštite imovine i osoba, a u odnosu na određene radne pozicije i zakonsku dužnost postaviti nadzorne kamere koje snimaju zaposlenike i sve osobe koje se kreću u vidokrugu nadzorne kamere.
Društvo na propisani način označava sva mjesta na kojima je postavljen
videonadzor.

Društvo je svjesno da videozapisi sadrže osobne podatke svih osoba koje se kreću u vidokrugu kamere, te ih stoga čuva s posebnom pažnjom, ima uređen sustav sigurnosti, dostupnosti te politiku brisanja istih koja je uređena internim pravilima o sigurnosti Društva.
Videozapisi se redovito presnimavanu tako da se automatski brišu nakon najviše 15 dana od dana snimanja. Iznimno, videozapisi se čuvaju duže ako su dokaz u postupku pred nadležnim državnim tijelima. Izuzeti videozapisi će biti pohranjeni u centralnom dojavnom sustavu s izuzetno ograničenim pristupom.
U slučaju vođenja sudskih i/ili kaznenih postupaka, Društvo može koristiti navedene videozapise. Uvid u osobne podatke na videozapisima mogu imati i treće osobe, izvršitelji obrade, ugovorni partneri Društva registrirani i stručni za pružanje usluga zaštite osoba i imovine, a koji ni na koji način ne koriste samostalno navedene podatke nego se brinu o sigurnosti centralnih nadzornih i dojavnih sustava. Na sve ostale pojedinosti vezane uz video-nadzor primjenjuju se posebni propisi koji uređuju to područje.


XV. SUGLASNOST ISPITANIKA


Članak 16.
Prilikom davanja informacija Društvu, na bilo koji način (upit, ponuda, usporedba…)
Ispitanik jamči Društvu da su informacije koje je priložio/la točne, da je poslovno sposoban i ovlašten raspolagati danim informacijama te da je u cijelosti suglasan da Društvo njegove/njezine podatke upotrebljava i prikuplja u skladu sa zakonom i uvjetima ove politike privatnosti.


XVI. INFORMIRANJE


Članak 17.
Društvo osigurava da se ispitaniku pruže sve informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika ili ako osobni podaci nisu dobiveni od ispitanika, kao i da se ispitanika upozna s njegovim pravima iz prethodnog članka.
Društvo će informacije o zaštiti osobnih podataka objaviti na službenim web stranicama.


XVII. EVIDENCIJA I ČUVANJE PODATAKA


Članak 18.
Društvo je uspostavilo i održava evidencije osobnih podataka i obrada koje se nad njima provode, a za svaku obradu i vrstu osobnih podataka imenovat će odgovornu osobu. Odgovorna osoba osigurava da se u obradu uključuju isključivo osobni podaci za čiju obradu postoji zakonita osnova.


Članak 19.

Osobni podaci su primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se podaci obraduju. Zbog toga je osigurano da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci se obraduju samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, Društvo, kada postupa kao voditelj obrade, je odredilo rok za brisanje ili periodično preispitivanje. Poduzet je svaki opravdani korak radi osiguravanja da se netočni osobni podaci ili isprave izbrišu. Sukladno internom aktu Društva o arhiviranju propisani su način i rokovi čuvanja i arhiviranja osobnih podataka, dok se oni za koje ne postoji zakonita osnova
čuvanja, moraju bez odlaganja uništiti ili anonimizirati.


XVIII. TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA


Članak 20.
Osobni podaci koje Društvo prikuplja i obrađuje u svom radu smatraju se povjerljivim te se s njima mora postupati sa posebnom pažnjom, a koristiti se smiju isključivo u skladu s razlogom iz kojeg su prikupljeni. Društvo će osobne podatke prikupljati i pohranjivati isključivo u mjeri u kojoj je to potrebno za ispunjenje svrhe obrade.
Prilikom pohrane podataka, osobni će se podaci pohranjivati na najmanjem
mogućem broju mjesta na kojima moraju biti adekvatno zaštićeni. Pristup osobnim podacima smije biti omogućen isključivo na temelju poslovne potrebe. Zabranjeno je koristiti osobne podatke u svrhe razvoja ili testiranja IT sustava. Gdje god je to moguće, osobni podaci moraju biti zaštićeni enkripcijom ili anonimizacijom. Društvo će posebnim aktom definirati procedure i mjere za tehničku i integriranu zaštitu podataka.


XIX. EVIDENCIJE O AKTIVNOSTIMA OBRADE


Članak 21.
Društvo kao voditelj obrade i kao izvršitelj obrade vodi evidencije o aktivnostima obrade sa sljedećim podacima:
• ime i kontaktne podatke voditelja obrade (poslovni partneri Društva),
• svrhe obrade;
• opis kategorija ispitanika i kategorija osobnih podataka;
• kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
• ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;
• ako je to moguće, predviđene rokove za brisanje različitih kategorija
podataka;
• ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera


XX. UPRAVLJANJE INCIDENTIMA I IZVJEŠĆIVANJE O POVREDI


Članak 22.
Društvo uspostavlja:
a) Procedure odgovora na incidente vezane uz narušavanje sigurnosti osobnih podataka unutar Društva ili osobnih podataka Ispitanika koji su Društvu ustupili osobne podatke.
Društvo kao voditelj obrade osigurava da u slučaju povrede osobnih podataka bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadležno nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Društvo kao izvršitelj obrade podataka osigurava da u slučaju povrede
osobnih podataka bez nepotrebnog odgađanja i u rokovima određenim ugovorom o poslovnoj suradnji nakon saznanja o toj povredi izvijesti poslovnog partnera/poslovne partnere o povredi osobnih podataka.
Izvješće koje se dostavlja nadzornom tijelu sadržava sve informacije
sukladno Uredbi.
U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, Društvo će kao voditelj obrade bez nepotrebnog odgađanja obavjestiti ispitanika o povredi osobnih podataka. Ispitanike se neće obavijestiti u slučajevima kada Uredba propisuje da isto nije obvezno.
b) Strukturu odgovornosti za izvještavanje o incidentima vezanim uz sigurnost osobnih podataka.
Svaki radnik je odgovoran prilikom stjecanja saznanja o povredi osobnih
podataka izvijestiti Službenika za zaštitu osobnih podataka slanjem maila na szop@kompare.hr ili obavještavanjem svog voditelja ili pokretanjem “ticketa” u sustavu Društva.
Svaki radnik prilikom zapošljavanja i periodično tijekom rada prolazi edukaciju vezano za temu zaštite i sigurnosti obrade osobnih podataka.
Svaki radnik potpisnik je ugovora o radu u okviru kojeg je utvrđena
odgovornost za povredu tajnosti obrade osobnih podataka. Društvo je uspostavilo Politiku obrade osobnih podataka kao i Pravilnika o načinima obrade i korištenja osobnih podataka te Pravilnika o stegovnoj odgovornosti radnika. Dodatno, svaki radnik je potpisnik zasebne izjave o povjerljivosti podataka.
c) Mjere za detekciju neovlaštenog pristupa osobnim podacima i curenja osobnih podataka iz informacijskog sustava. Kako je gore navedeno u opisu tehničke zaštite sustava.


Članak 23.
U slučaju narušavanja sigurnosti osobnih podataka, Društvo će bez odlaganja, a najkasnije u roku od 72 sata po otkrivanju incidenta, o tome izvijestiti nadležno tijelo.

U slučaju odljeva osobnih podataka, Društvo će na prikladan način o tome
obavijestiti ispitanike čiji su podaci kompromitirani.


XXI. PROCJENA UČINKA NA ZAŠTITU PODATAKA


Članak 24.
Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i
uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, Društvo će prije obrade provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
Procjena učinka na zaštitu osobnih podataka nužna je za:
– sustavne i opsežne procjene osobnosti i izrade profila ispitanika (kod odluka koje mogu imati pravne učinke).


XXII. SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA


Članak 25.
Službenik za zaštitu osobnih podataka ima zadatak informirati i savjetovati voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim zakonskim obvezama o zaštiti osobnih podataka, pratiti zakonitost obrade, pružati savjete, kada je to zatraženo, u pogledu procjene učinka na zaštitu osobnih podataka i praćenje njezina izvršenja.
Zadaće Službenika za zaštitu osobnih podataka su osigurati da su rukovodeće osobe i radnici upoznati s obvezama u pogledu zaštite osobnih podataka, te u tu svrhu priprema odgovarajuću edukaciju i prati njezino provođenje.
Službenika za zaštitu osobnih podataka imenuje Uprava Društva.


XXIII. DIZANJE SVIJESTI


Članak 26.
Službenik za zaštitu osobnih podataka osigurava odgovarajuće informacije potrebne za edukaciju radnika o postupanju sa osobnim podacima i ovlašten je za savjetovanje i koordinaciju poslova u navedenom području.
Sve organizacijske jedinice Društva odgovorne su za upoznavanje radnika sa poštivanjem pravila i postupanjem iz područja zaštite osobnih podataka.


XXIV. ZAVRŠNE ODREDBE


Članak 27.

Nepridržavanje odredbi ove Politike i drugih akata koji će se temljem iste donijeti, od strane radnika Društva smatra se povredom radne obaveze koja stvara preduvjet za otkazivanje ugovora o radu, te će se provesti postupak utvrdivanja odgovornosti radnika za svaki pojedinačni slučaj nepridržavanja bilo koje od uputa ili odredbe ove Politike i podređenih akata.

Članak 28.
Predmetna Politika stupa na snagu usvajanjem od strane Uprave Društva.
Ova Politika objavit će se na Intranet stranicama Društva danom donošenja te se primjenjuje po isteku roka od 8 (osam) dana od dana objave.


Uprava Kompare Online d.o.o. I Custodia d.o.o.