Zaštita podataka

I.

Osnovne odredbe

1. Svrha ove Politike je regulirati zaštitu i obradu osobnih podataka u vezi s aktivnostima koje provode ovlašteni predstavnici poslodavca, a poslodavac je tvrtka. ELLMAN d.o.o., 732/23 Muškátová,
Lozorno 900 55, broj upisa u sudski registar: 35 949 309 (u daljnjem tekstu nazvan „Kontrolor“).

 

2. Za potrebe ove Direktive „ovlaštena osoba“ znači zaposlenika voditelja obrade koji tijekom svog rada obrađuje osobne podatke ispitanika (u daljnjem tekstu "ovlaštena osoba").

 

II.

Opće obveze

1. Osobni podaci moraju biti adekvatno zaštićeni u svim slučajevima kada se obrađuju unutar organizacije. 

2. Ovlaštena osoba smije obrađivati osobne podatke samo kada je to potrebno za obavljanje svojih dužnosti ili na temelju pojedinačnog pisanog odobrenja Upravitelja. 

3. Ovlaštena osoba obvezna je čuvati povjerljivost osobnih podataka s kojima dođe u dodir tijekom svog rada ili aktivnosti koje proizlaze iz njenog mandata. 

4. Obveza povjerljivosti traje i nakon prestanka radnog odnosa s ovlaštenom osobom. 

5. Ovlaštena osoba smije obrađivati samo osobne podatke koji su nužni za obavljanje svojih poslova ili aktivnosti koje proizlaze iz njihovog mandata. 

6. Ovlaštena osoba smije obavljati samo one operacije na osobnim podacima koje su nužne za obavljanje njihovog posla ili aktivnosti koje proizlaze iz njihovog mandata. 

7. Ovlaštena osoba ne smije pribaviti informacije koje se odnose na osobne podatke izvan okvira svog rada ili mandata. 

8. Ovlaštena osoba je obvezna osigurati da tijekom obavljanja svojih radnih dužnosti ili aktivnosti koje proizlaze iz njezina mandata ne dođe do curenja obrađenih osobnih podataka ili bilo kakvog kršenja sigurnosti obrade.

9. Zabranjeno je uključiti osobni identifikacijski broj u ugovore sklopljene s fizičkom osobom.

 10. Zabranjeno je objavljivati fotografije i drugi sadržaj vezan uz posao na privatnim profilima na društvenim mrežama. 

11. Ovlaštena osoba je obvezna spremiti fotografije snimljene na osobnim uređajima na operaterov određeni uređaj te ih odmah ukloniti (izbrisati) sa svojeg osobnog uređaja.

III.

Prikupljanje osobnih podataka

1. Osobni podaci kontrolora pohranjuju se i sigurnosno kopiraju u vlastitoj bazi podataka s vanjskim skladištem. 

2. Ovlašteni korisnici mogu pristupiti bazi podataka putem namjenskog softvera, koji je dostupan na svakom računalu tvrtke koje pripada Operateru. 

3. Svaka ovlaštena osoba ima vlastito korisničko ime i lozinku potrebne za pristup softveru Operatora, a baza podataka će im pružiti osobne podatke ispitanika samo u mjeri potrebnoj za njihov rad ili mandat. 

4. Ako ovlaštena osoba treba pristup osobnim podacima izvan onoga što je dostupno u bazi podataka, mora zatražiti pojedinačnu pisanu suglasnost od kontrolora za dobivanje takvih podataka na zahtjev. 

5. Kontrolor će na zahtjev dati pisanu suglasnost i to samo u mjeri potrebnoj za ostvarenje svrhe ovlaštene osobe. 

6. Ovlaštena osoba potom podnosi pisani pristanak voditelju IT odjela, koji će joj dostaviti osobne podatke samo u mjeri dopuštenoj pristankom koji je dao voditelj obrade. 

7. Ovlaštena osoba ne smije otkriti dobivene osobne podatke bilo kojoj drugoj osobi.

8. Ovlaštena osoba ne smije otkriti svoje podatke za prijavu u softver Operatora drugim osobama.

9. Ovlaštena osoba ne smije koristiti softver Operatora u svoje svrhe.

 

IV.

Korištenje interneta

1. Korištenje internetskih usluga od strane ovlaštenih osoba namijenjeno je za obavljanje radnih zadataka.

2. Prilikom korištenja interneta treba uzeti u obzir povjerljivost prenosivih informacija.

3. Svaka ovlaštena osoba koja pristupa internetu mora se pridržavati sljedećih smjernica:

a. koristiti internet prvenstveno u skladu sa svojim opisom posla/ulogom,

b. pratite upute antivirusnog programa,

c. Ne posjećujte nepoznate web-stranice s neprovjerenim sadržajem, osim ako je to nužno za obavljanje vaših radnih dužnosti ili uloge.,

d. Nemojte koristiti lozinke koje se koriste za pristup internim informacijskim sustavima za pristup javnim internetskim uslugama.

 

V.

E-pošta

  1. E-pošta se koristi za internu i eksternu komunikaciju.

  2. Ovlaštena osoba je obvezna slati masovne e-poruke koristeći polje "Kopija za" (BCC) kako pojedinačni primatelji ne bi vidjeli adrese e-pošte ostalih primatelja.

  3. Zabranjeno je slati osobne podatke ispitanika u nešifriranim e-porukama ili nešifriranim privicima. Privici moraju biti zaštićeni lozinkom. Lozinka se mora poslati putem zasebnog komunikacijskog kanala, npr. SMS-om ili telefonom. Ako to nije moguće, lozinka se mora poslati u zasebnoj e-poruci.

  4.  U slučaju prestanka radnog ili drugog odnosa s ovlaštenom osobom, kontrolor će prestati koristiti adresu e-pošte te ovlaštene osobe u roku od 30 dana od prestanka tog odnosa.

 

Šesto.
Osobna sigurnost

  1. Po prestanku radnog odnosa ili drugog odnosa (npr. prestanku dužnosti generalnog direktora), ovlaštena osoba (zaposlenik, generalni direktor itd.) obvezna je predati svoju radnu dokumentaciju, uključujući dokumente, sve dodijeljene inventarne predmete, posuđene knjige i ključeve.

  2. Sve ovlaštene osobe moraju biti upoznate s osnovnim sigurnosnim načelima prije nego im se odobri pristup informacijskom sustavu kontrolora te moraju biti obaviještene o svrhama obrade. Upoznavanje provodi odgovorna osoba. Zapis o upoznavanju čuva se u kadrovskoj evidenciji zaposlenika.

  3. Ovlaštenoj osobi može se izdati komad opreme (npr. službeni mobitel ili prijenosno računalo) te mora potvrditi primitak opreme u obrascu za potvrdu primitka opreme. Prilikom vraćanja opreme ovlaštena osoba ima pravo zatražiti potvrdu predaje.

sedmi.

Fizička sigurnost

1. IT oprema (računala, prijenosna računala itd.) mora se čuvati u prostorijama s bravom. Prostorija u kojoj se nalazi IT oprema mora biti zaključana kad god ovlaštena osoba napusti prostoriju. Na kraju radnog dana ovlaštena osoba mora:

a. isključite računalo ili se odjavite s njega,

b. zaključati ormare koji sadrže osobne podatke (ako su ormari zaključivi).

 

Osmi.

Upravljanje ključevima i pristupnim karticama

 

  1. Po stupanju na rad ili na dužnost, ovlaštenoj osobi izdaje se jedan ključ za vrata koja vode do  

          prostorija u kojoj će obavljati svoj rad/dužnosti.

2. Svaka ovlaštena osoba mora bez odgode prijaviti gubitak uredskog ključa putem e-pošte. 

   svojem neposrednom voditelju i nadređenom.

3. Osoba kojoj su dodijeljeni ključevi odgovorna je za njih. Ovlaštena osoba je obvezna        

  predati svom nadređenom u slučaju prestanka njihovog radnog odnosa ili drugog odnosa.

 

IX.

Ostale mjere

1. Ovlaštena osoba (zaposlenik, direktor) mora zaključati prostoriju i ponijeti ključ sa sobom kad god napušta prostoriju, pod uvjetom da u prostoriji nema druge ovlaštene osobe.

2. Prije napuštanja prostorije, ovlaštena osoba mora provjeriti jesu li prozori u prostoriji zatvoreni.

3. Ovlaštena osoba ne smije mijenjati postavke antivirusnog programa ili onemogućiti rezidentni antivirusni program bez pristanka voditelja IT odjela.

4. Svaka ovlaštena osoba dužna je odmah prijaviti voditelju IT odjela svako sumnjivo ili neuobičajeno ponašanje računala ili bilo kakav kvar.

5. Ovlašteno osoblje ne smije instalirati računalne programe po vlastitom nahođenju, bilo s medija za pohranu ili s interneta. Programe smiju instalirati samo uz suglasnost svog neposrednog rukovoditelja, nakon prethodne konzultacije s voditeljem IT odjela.

6. Svaka ovlaštena osoba mora dobiti lozinku za autentifikaciju i mora je čuvati povjerljivom. Ovlaštena osoba ne smije otkriti lozinku koja se koristi za autentifikaciju. Lozinka se ne smije zapisivati niti pohranjivati na vidljivom ili lako dostupnom mjestu. Ovlaštena osoba odgovorna je za svako neovlašteno otkrivanje svoje lozinke drugoj osobi, a posljedično i za svaku zlouporabu iste i svu nastalu štetu.

7. Ovlaštena osoba ne smije dopustiti neovlaštenoj osobi da koristi računalo.

8. Ako više osoba koristi isto računalo, ovlašteni korisnik se mora prijaviti svojim korisničkim imenom i lozinkom tek nakon što se prethodni ovlašteni korisnik odjavio s računala.

 

X.

Povreda sigurnosti

1. U slučaju povrede osobnih podataka, ovlaštena osoba je obvezna bez odgode obavijestiti svog neposrednog rukovoditelja i voditelja IT odjela. 

2. Ovlaštena osoba je dužna obustaviti svoje aktivnosti i ne smije poduzimati nikakve radnje koje bi mogle povećati rizik za sigurnost osobnih podataka. 

3. Ovlaštena osoba je obvezna sastaviti zapisnik u kojem se navode svi detalji, uključujući: 

a. koji se osobni podaci obrađuju, 

b. kad je postalo svjesno sigurnosnog propusta, 

c. koja je vrsta sigurnosnog propusta nastala,

d. čim je saznala za ovaj proboj,

e. koje je korake poduzela.

4. Ovlaštena osoba dostavit će zapisnik voditelju IT odjela. 

5. Voditelj IT odjela obavijestit će kontrolora o prirodi i opsegu sigurnosnog propusta bez odgode nakon što postane svjestan toga. 

6. Rukovoditelj IT odjela mora uložiti sve napore kako bi osigurao da pri obradi osobnih podataka ne dođe do daljnjih povreda sigurnosti te mora što je prije moguće riješiti sve probleme koji se pojave.

7. Ovlaštena osoba može obavljati svoje dužnosti tek nakon što voditelj IT odjela da svoj pristanak, potvrdivši da obavljanje tih dužnosti ne predstavlja rizik za sigurnost osobnih podataka. 

8. Ravnatelj IT odjela mora sastaviti zapisnik koji mora sadržavati:

a. vrsta osobnih podataka koja je kompromitirana, 

b. porijeklo i priroda povrede, 

c. obujam poremećaja i predviđena razina rizika, 

d. poduzete mjere za otklanjanje situacije, 

e. poduzete mjere za osiguranje zaštite osobnih podataka.

9. Voditelj IT odjela dostavit će svoj izvještaj i izvještaj ovlaštene osobe kontroloru. 

XI.

Obrada zahtjeva ispitanika

 

1. Zahtjeve i prigovore ispitanika obrađuje osoba imenovana za to (u daljnjem tekstu „službenik za zaštitu podataka“). 

2. Po primitku zahtjeva, prigovora ili žalbe subjekta podataka (u daljnjem tekstu „podnesak“), voditelj obrade podataka obavještava subjekt podataka o primitku i sljedećim koracima. 

3. Kontrolor podataka mora procijeniti zahtjev ispitanika unutar 30 dana od njegova zaprimanja. 

4. Ako procjena zahtjeva zahtijeva više vremena, službenik za zaštitu podataka dužan je kontaktirati kontrolora i o tome obavijestiti ispitanike. 

5. Nakon što se podnesak ocijeni, odgovorna osoba je obvezna u propisanom roku primjereno obavijestiti subjekte podataka.

 

XII. 

Rad od kuće 

 

  1. Kada radite od kuće, morate koristiti radnu opremu (prijenosna i stolna računala).

  2. Ako to nije moguće pri radu od kuće koristeći vlastite uređaje, morate koristiti samo antivirusni softver i rješenja u oblaku koja preporučuje vaš poslodavac te osigurati da se softver koji koristite automatski ažurira. 

  3. Kada radite od kuće, morate koristiti aktivan VPN (Virtual Private Network) ili neku drugu sigurnu aplikaciju odobrenu od strane vašeg poslodavca. 

  4. Osim ako VPN nije aktivan, ne smijete otvarati nikakve dokumente ili programe koji sadrže osobne podatke ili druge osjetljive podatke. 

  5. Uređaji (prijenosna ili stolna računala) koji se koriste za rad od kuće ne smiju ostati odključani kada ovlašteni korisnik nije prisutan (čak i ako se na kratko udalji od uređaja, mora ga staviti u stanje mirovanja).

  6. Kada radite od kuće, morate se pridržavati odobrene politike lozinki i zaključati sve uređaje koji se koriste za posao kad niste za svojim stolom.

  7. Za online pohranu dokumenata koji sadrže osobne podatke i za slanje takvih dokumenata smiju se koristiti samo odobrena rješenja u oblaku i komunikacijske aplikacije.

  8. Kada radite od kuće, molimo vas da, gdje je to moguće, izbjegavate korištenje osobnih adresa e-pošte ili brojeva telefona.

  9. Prilikom rada od kuće zabranjeno je koristiti javno dostupne komunikacijske kanale (kao što su WhatsApp, Facebook itd.) za komunikaciju ili za slanje i dijeljenje dokumenata koji sadrže osobne podatke.

  10. Zabranjeno je koristiti uređaje putem kojih se obrađuju osobni podaci na javnim mjestima, a treba paziti na poštivanje općih sigurnosnih mjera za zaštitu uređaja od krađe ili kopiranja njihovog sadržaja (posebno, ne ostavljajte takve uređaje bez nadzora u prisustvu neznanaca ili prilikom njihovog prijevoza na javnim mjestima, npr. u prtljažniku automobila).

  11. U slučaju bilo kakvih sigurnosnih incidenata ovlaštena osoba je dužna odmah kontaktirati poslodavca i odgovornu osobu.

 

XIII.

Opće, prijelazne i završne odredbe

1. Ova Direktiva stupa na snagu 1. listopada 2021.

2. Ova Direktiva obvezuje sve ovlaštene osobe operatera.

U Lozornu 1. lipnja 2025.

  

  

 
×