Opća uredba o zaštiti osobnih podataka
Uvod
GDPR je Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine i predstavlja najznačajniju promjenu vezanu uz zaštitu osobnih podataka u posljednja dva desetljeća. Dizajnirana i izvedena je na takav način da u potpunosti ispunjuje potrebe digitalnog doba.
Dvadeset i prvo stoljeće donosi širu primjenu tehnologije u svakodnevnom životu, kao i nove definicije osobnih podataka. Cilj GPDR-a jest standardizirati zakone o zaštiti podataka na području Europske unije i time pružiti pojedincima veća i konzistentnija prava vezana uz pristup i kontrolu njihovim osobnim informacijama.
Naša predanost zaštiti podataka
Bonimed d.o.o. (u tekstu označeno kao i mi, naše) je u potpunosti predana cilju pružanja sigurnosti i zaštite osobnih podataka korisnika koji se obrađuju, kao i pružiti svojim korisnicima konzistentan pristup zaštiti podataka. Uvijek smo nastojali imati robustan i efektivan program zaštite podataka koji je u skladu s aktualnim zakonima, kao i osnovnim principima zaštite podataka. Unatoč tome, prepoznajemo potrebu za njegovim unapređenjem kako bi u potpunosti zadovoljio smjernice GDPR-a i zakone Republike Hrvatske.
Kako se pripremamo za GPDR
Bonimed d.o.o. na svim organizacijskim razinama ima konzistentnu razinu politiku i procese zaštite podataka, no kako bismo do 25. svibnja 2018. godine u potpunosti bili usklađeni sa smjernicama GDPR-a, proveli smo sljedeće korake:
- Reviziju informacija – na svim organizacijskim razinama je provedena revizija prikupljenih osobnih podataka, odnosno provjeren je njihov sadržaj, način na koji su prikupljeni, zašto se obrađuju i kome se otkrivaju.
- Politika i procedure – provedene su revizije i uvedene nove politike i procedure zaštite podataka koje ispunjavaju sve potrebe GDPR-a i svih pripadajućih zakona te uključuju sljedeće:
- Zaštita podataka – glavni dokument o politici i postupku zaštite podataka revidiran je kako bi ispunio standarde i zahtjeve GDPR-a. Odgovornosti i mjere upravljanja su uspostavljene kako bi se osiguralo da razumijemo, adekvatno širimo i dokazujemo naše obveze i odgovornosti s posebnim naglaskom na privatnost dizajna i prava pojedinaca
- Zadržavanje i brisanje podataka – ažurirali smo pravila i raspored zadržavanja kako bismo osigurali da zadovoljavamo načela “minimiziranja podataka” i “ograničenja pohrane” te da se osobni podaci pohranjuju, arhiviraju i uništavaju etički i u skladu s njima. Imamo konkretne postupke brisanja kako bismo ispunili novu obvezu “prava na brisanje” i svjesni smo kad se primjenjuju i ostala prava subjekta podataka – uz sve izuzetke, vremenske okvire odgovora i odgovornosti za obavještavanje
- Upravljanje prekršajima – naši postupci upravljanja prekršajima predstavljaju zaštitne mjere i postupke kako bismo identificirali, procijenili, istražili i prijavili kršenje osobnih podataka što je prije moguće. Naši postupci su robusni i dostupni svim zaposlenicima, a predstavljaju niz konkretnih koraka koje treba provesti.
- Međunarodni prijenosi podataka i objavljivanje trećim strana – gdje Bonimed d.o.o. pohranjuje ili prenosi osobne podatke izvan EU-a, postoje robusni postupci i zaštitne mjere kojima su podaci osigurani, šifrirani i održana je njihova cjelovitost. Naši postupci uključuju kontinuirani pregled zemalja s dovoljnim odlukama o adekvatnosti, kao i odredbe o obvezujućim korporativnim pravilima, kao i standardne klauzule zaštite podataka ili odobrenih kodeksa ponašanja za one zemlje bez dotičnih odluka. Provodimo stroge provjere o dubinskom pregledu sa svim primateljima osobnih podataka kako bismo procijenili i potvrdili da imaju odgovarajuće zaštitne mjere kako bi zaštitili informacije, osigurali provediva prava na predmetne podatke i imali učinkovite pravne lijekove za subjekte podataka gdje je to primjenjivo.
- Zahtjev za pristup subjektu (Subject Access Request – SAR) – izmijenili smo procedure SAR-a kako bismo udovoljili izmijenjenom vremenskom okviru od 30 dana za pružanje traženih informacija i za besplatnu naplatu ove odredbe. Naši novi postupci detaljno potvrđuju podatke, koje korake poduzimaju za obradu zahtjeva za pristup, koja se izuzeća primjenjuju i niz predložaka odgovora kako bi se osiguralo da su komunikacija s podacima o podacima sukladna, dosljedna i odgovarajuća.
- Pravni temelj za obradu – pregledavamo sve aktivnosti obrade kako bismo utvrdili pravne osnove za obradu i osiguranje na takav način da svaka baza bude prikladna za djelatnost na koju se odnosi. Tamo gdje je primjenjivo, također vodimo evidenciju o obradbenim aktivnostima, osiguravajući da su ispunjene obveze prema članku 30. GDPR-a i Priloga 1 Zakona o zaštiti podataka.
- Obavijest i pravila privatnosti – izmijenili smo obavijesti o privatnosti kako bismo se pridržavali GDPR-a, čime je osigurano da svi pojedinci čiji se osobni podaci obrađuju budu obaviješteni o tome zašto su nam podaci potrebni, kako se koriste, koja su njihova prava i koje zaštitne mjere postoje kako bi se podaci zaštitili.
- Dobivanje suglasnosti – revidirali smo mehanizme pristanka za prikupljanje osobnih podataka, osiguravajući da pojedinci razumiju ono što pružaju, zašto i kako ih upotrebljavamo te dajemo jasne i definirane načine da pristanu na obradu osobnih informacija. Razvili smo stroge postupke za snimanje pristanka, pazeći da možemo dokazati potvrdni opt-in, zajedno s vremenom i datumom zapisa. Na ovaj način lako je vidjeti i pristupiti načinu povlačenja suglasnosti u bilo kojem trenutku.
- Izravni marketing – revidirali smo tekst i postupke za izravni marketing te uključili jasne mehanizme za prijavu u direktni pretplatnički marketing (newsletter), kao i jasnu obavijest i način otklanjanja i pružanja značajki otkazivanja pretplate na svim naknadnim marketinškim materijalima.
- Procjena utjecaja na zaštitu podataka (Data Protection Impact Assessments – DPIA) – gdje obrađujemo osobne podatke koji se smatraju visokim rizikom, uključujući obradu velikih razmjera ili podatke o posebnim kategorijama/kaznenim uvjerenjima, razvili smo stroge postupke i predloške procjene za provođenje procjena utjecaja koji su u potpunosti u skladu sa zahtjevima članka 35. GDPR-a. Proveli smo dokumentacijske procese koji bilježe svaku procjenu, omogućuju nam da procjenjujemo rizik koji predstavlja obrada i provode mjere ublažavanja kako bismo smanjili rizik koji je izložen predmetu.
- Ugovori o vanjskoj obradi podataka – gdje koristimo neku treću stranu za obradu osobnih podataka u naše ime (npr. plaće, zapošljavanje, hosting i slično), sastavili smo odgovarajuće ugovore o procesima i postupke dubinske analize kako bismo osigurali da je sve u skladu s našim i njihovim obvezama prema GDPR-u. Ove mjere uključuju početne i stalne revizije pružene usluge, nužnost djelatnosti obrade, tehničke i organizacijske mjere i usklađenost s GDPR-om.
- Podaci posebne kategorije – u situacijama gdje pribavljamo i obrađujemo podatke posebne kategorije, svi su postupci u skladu s zahtjevima članka 9. i prisutno je šifriranje i zaštita na visokoj razini nad svim podacima ovog tipa. Podaci posebne kategorije obrađuju se samo tamo gdje je to potrebno i obrađuju se samo kada smo najprije identificirali odgovarajuću bazu članka 9. stavka 2. ili uvjet Priloga 1 Zakona o zaštiti podataka. Tamo gdje se oslanjamo na suglasnost za obradu, eksplicitno je potvrđeno potpisom, s pravom na izmjenu ili uklanjanje pristanka koji je jasno označen
Prava osobe čiji su podaci prikupljeni
Pored prethodno navedenih pravila i postupaka kojima se pojedincima mogu osigurati njihova prava na zaštitu podataka, pružamo pristup putem naših web stranica o pravu pojedinca za pristup svim osobnim podacima koje Bonimed d.o.o. obrađuje o njima. Osobe čiji su podaci prikupljeni imaju pravo zatražiti informacije o:
- Svim osobnim podacima koje posjedujemo o njima
- Svrsi obrade podataka
- Kategorijama osobnih podataka koje se obrađuju
- Svim stranama koje će imati uvid u osobne podatke
- Kako dugo će osobni podaci biti pohranjeni
- Izvoru podataka, ukoliko nismo prikupili podatke osobno od njih
- Pravu na ispravljanje nepotpunih ili pogrešnih podataka o njima, kao i procesu za pokretanje ispravljanja i nadopune podataka
- Pravu o zahtjevu za brisanje osobnih podataka ili zahtjevu za ograničavanje obrade podataka u skladu sa svim relevantnim zakonima za zaštitu podataka te pravu za ulaganje prigovora na bilo koji oblik direktnog marketinga prema njima i dobivanju uvida u sve automatizirane procese direktnog marketinga kojima je on proveden.
- Pravu za ulaganju prigovora ili traženju pravnog lijeka te koga je potrebno kontaktirati u tim situacijama
Sigurnost informacija te tehničko/organizacijske mjere
Bonimed d.o.o. ozbiljno shvaća privatnost i sigurnost pojedinaca, kao i njihovih osobnih podataka te poduzima sve razumne mjere i mjere opreza kako bi podaci koji se obrađuju bili zaštićeni. Postoje robusne sigurnosne politike i procedure za zaštitu osobnih podataka od neovlaštenog pristupa, izmjene, otkrivanja ili uništenja koje imaju nekoliko slojeva sigurnosnih mjera, uključujući:
- Kontrolu pristupa
- Pravila o lozinkama
- Šifriranje
- Pseudonimizacija
- Prakse
- Ograničenja
- IT
- Autentifikacija
GDPR uloge i zaposlenici
U ime Bonimed d.o.o. je određena Jana Bujas kao osoba zadužena za sigurnost podataka te je formirana grupa zadužena za implementaciju pravila i procedura u skladu s GDPR-om. Dotična grupa je zadužena za promicanje svijesti o GDPR-u u organizaciji, razumijevanje zaposlenika te kontinuiranu usklađenost s GDPR-om. Proveden je program osposobljavanja zaposlenika koji će biti dostupan svim zaposlenicima prije 25. svibnja 2018., a dio je i godišnjeg programa obuke na razini cjelokupne organizacije.
Slučaj kršenja privatnosti podataka
U slučaju kršenja privatnosti podataka ili narušenja integriteta podataka unutar naše ili baze nekog od naših ugovorenih partnera obavijestiti ćemo nadležna tijela te sve relevantne osobe u roku 72 sata od nastalog prekršaja.
U slučaju da želite saznati više o tome koje podatke pohranjujemo te na koje načine, ili bilo što vezano uz zaštitu osobnih podataka slobodno nas kontaktirajte na
Ova email adresa je zaštićena od spam robota, nije vidljiva ako ste isključili Javascript
Izjava o povjerljivosti
Ovom izjavom poduzeće Bonimed d.o.o. obvezuje se da će sukladno članku 18. stavku 2. Zakona o zaštiti osobnih podataka (Narodne novine, br. 106/12. – pročišćeni tekst) čuvati povjerljivost svih osobnih podataka kojima ima pravo i ovlast pristupa a koji se nalaze u zbirkama osobnih podataka u vlasništvu poduzeća.
Poduzeće Bonimed d.o.o. se također obvezuje da osobne podatke kojima ima pravo i ovlast pristupa neće dostavljati/davati na korištenje niti na bilo koji drugi način učiniti dostupnima trećim osobama ukoliko dotični podaci nisu neophodni za pružanje usluge (npr. dostava kupljenih proizvoda) te se obvezuje da će povjerljivost istih osobnih podataka čuvati i nakon prestanka ovlasti pristupa osobnim podacima.
Poduzeće Bonimed d.o.o. je upoznato da bilo kakvo neovlašteno raspolaganje osobnim podacima kojima ima pravo pristupa u svom radu predstavlja povredu radne obveze.