POLITIKA OBRADE I ZAŠTITA OSOBNIH PODATAKA HRVATSKIH AUTOCESTA d.o.o.

Uvodne odredbe
Članak 1.

Politika obrade i zaštite osobnih podataka (u daljnjem tekstu: Politika) je temeljni akt koji opisuje svrhu i ciljeve prikupljanja, obrade i upravljanja osobnim podacima od strane Hrvatskih autocesta d.o.o., Zagreb, Širolina 4 (u daljnjem tekstu: HAC).

Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima ispitanika, odnosno korisnika usluga, radnika i drugih osoba čiji se osobnih podaci obrađuju, sukladno Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (u daljnjem tekstu: Uredba), zakonskim propisima i internim aktima Društva.

Definicije
Članak 2.

Osobni podaci - svi podaci koji se odnose na pojedinca (ispitanika) čiji je identitet utvrđen ili se može utvrditi izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Obrada osobnih podataka - svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Ograničavanje obrade - znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti.

Voditelj obrade - fizička ili pravna osoba koja sama ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka.

Izvršitelj obrade - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Informacijski sustav - sveobuhvatnost tehnološke infrastrukture, organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz te distribuciju informacija kao i raspolaganje njima. 

Primatelj - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.

Treća strana - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osoba koje je ovlaštena za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

Privola - svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Povreda osobnih podataka - kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja,  gubitka,  izmjene,  neovlaštenog  otkrivanja  ili  pristupa  osobnim  podacima  koji  su preneseni, pohranjeni ili na drugi način obrađivani.

Nadzorno tijelo - neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska ili druga država članica Unije radi kontrole i osiguranja provedbe Opće uredbe o zaštiti podataka (u Republici Hrvatskoj - Agencija za zaštitu osobnih podataka).

Načela obrade podataka
Članak 3.

Prilikom obrade osobnih podataka ispitanika  HAC se pridržava sljedećih osnovnih načela:

  1. Zakonitost, poštenje i transparentnost - HAC će obrađivati osobne podatke ispitanika sukladno važećim zakonima i obuhvaćajući sva prava ispitanika te će sukladno Uredbi pružati ispitanicima sve potrebne informacije o tome koji se  osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, na zahtjev osigurati ispitanicima uvid u njihove podatke, obrazloženje obrade, temelja i zakonitosti obrade. Ispitanik će  biti pravovremeno, odnosno prije samog prikupljanja osobnih podataka, upoznat sa svim relevantnim informacijama.
  2. Ograničenje svrhe -osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. 
  3. Smanjenje  količine  podataka -  HAC prikuplja  i obrađuje osobne podatke na način da su ti podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Svaka ustrojstvena jedinica unutar HAC-a osigurava da se ovo načelo adekvatno primjenjuje.
  4. Točnost i ažurnost - HAC osigurava da su podaci točni te će poduzeti sve razumne mjere radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju,  bez odlaganja izbrišu ili isprave. U tu svrhu ispitanici koji su u poslovnom odnosno ugovornom odnosu s HAC-om imaju pravo i obvezu ažuriranja svojih osobnih podataka.
  5. Ograničenje pohrane - osobni podaci ispitanika čuvaju se u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, a dulje ukoliko za to postoji legitimni interes (npr. ukoliko služe kao dokaz u sudskom postupku).
  6. Cjelovitost i povjerljivost  - HAC prikuplja i obrađuje podatke na način kojim se osigurava odgovarajuća sigurnost  osobnih  podataka,  uključujući zaštitu  od  neovlaštene  ili  nezakonite  obrade  te  od slučajnog  gubitka,  uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Provedba ovog načela osigurava se implementacijom sustava koji ima za cilj ograničenje pristupa podacima, detekciju i sprječavanja curenja podataka, metodama nadzora nad pristupom podataka i sl.

Svaka ustrojstvena jedinica HAC-a kao i izvršitelj obrade dužna je osigurati pridržavanje gore navedenih načela prilikom obrade osobnih podataka za koje je nadležna.

Sukladno navedenim načelima, radnici HAC-a će pristupati osobnim podacima ispitanika ovisno o njihovim ovlaštenjima, a kako bi uspješno obavili poslove vezane uz pojedina radnim mjesta.  

HAC će podatke ispitanika proslijediti drugim pravnim osobama i državnim institucijama u slučaju kad za to postoji zakonska osnova. 

Zakonitosti obrade
Članak 4.

Kako bi HAC bio u mogućnosti pružiti svoje usluge ispitanicima, nužno obrađuje njihove osobne podatke koji su potrebni za kvalitetno pružanje pojedine usluge. U suprotnom, odnosno ukoliko ispitanik odbije ustupiti takve osobne podatake, HAC neće biti u mogućnosti pružiti mu uslugu.

Sukladno tome, osobni podaci ispitanika obrađuju se zakonito kada je zadovoljen jedan od niže navedenih uvjeta  odnosno tzv. zakonitosti:
a)    Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se na zahtjev ispitanika poduzele radnje koje prethode sklapanju ugovora.
b)    Obrada je nužna radi poštovanja pravnih obveza HAC-a.
c)    Obrada je nužna za potrebe legitimnih interesa HAC-a,  osim kada su od tih interesa jači interesi ili temeljna  prava  i  slobode  ispitanika  koji  zahtijevaju  zaštitu  osobnih  podataka,  osobito  ako  je ispitanik dijete.
d)    Ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Privola mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik ima pravo u svakom trenutku istu povući pri čemu povlačenje privole mora biti jednako jednostavno kao i davanje privole. 
Obradu osobnih podataka radi pružanja ugovorenih usluga HAC smatra dijelom usluge te za istu neće zatražiti privolu ispitanika sve dok je sama obrada u skladu s načelima obrade iz članka 3. ove Politike te se temelji na nekoj od ovdje navedenih zakonitosti obrade. 
HAC će zatražiti privolu od ispitanika za obrade podataka i kontaktiranje za slučaj namjere direktnog marketinga putem kontakt podataka koje je ispitanik ustupio HAC-u.
e)    Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe.
f)    Obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti HAC-a kao voditelja obrade.

Svaka ustrojstvena jedinica HAC-a dužna je identificirati zakonitosti za svaku obradu koja je u njezinoj nadležnosti. 

Prava ispitanika
Članak 5.

HAC će ispitaniku u trenutku prikupljanja osobnih podataka pružiti informacije o:

  • identitetu i kontaktnim podacima HAC-a kao voditelja obrade,
  • kontaktnim podacima službenika za zaštitu podataka,
  • svrhama obrade radi kojih se prikupljaju osobni podaci te pravnu osnovu za obradu,
  • legitimnim interesima HAC-a,
  • primateljima ili kategorijama primatelja osobnih podataka,  ako takvih primatelja ima,
  • namjeri prijenosa osobnih podataka trećim zemljama, ako takva namjera postoji, 
  • razdoblju pohrane podataka,
  • pravu ispitanika na pristup osobnim podacima, ograničenju obrade i brisanje podataka, 
  • pravu na podnošenje prigovora Agenciji za zaštitu osobnih podataka.

    

Članak 6.

Ispitanikova prava temeljem Uredbe i ove Politike su:

Pravo na pristup podacima - ispitanik ima pravo dobiti od HAC-a potvrdu obrađuju li se njegovi osobni podaci te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i informacije o svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni, postojanju prava da zatraži ispravak, brisanje ili ograničenje obrade osobnih podataka te prava na ulaganje pritužbe nadzornom tijelu.

Pravo na ispravak - ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od HAC-a ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhu obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave. 

Pravo na brisanje (tzv. ,,pravo na zaborav“) - ispitanik ima pravo od HAC-a ishoditi brisanje osobnih podataka koji se na njega odnose, a HAC ima obvezu brisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni,
b) ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za obradu,
c) ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje imaju veću težinu od legitimnog interesa za obradu i/ili čuvanje osobnih podataka,
d) osobni podaci nezakonito su obrađeni,
e) osobni podaci moraju se brisati radi poštivanja pravne obveze iz prava Unije ili propisa Republike Hrvatske.

Pravo na ograničenje obrade - ispitanik ima pravo tražiti i ishoditi ograničenje obrade ako je ispunjeno sljedeće:

  • ispitanik osporava točnost osobnih podataka, na razdoblje kojim se HAC-u kao voditelju obrade omogućava provjera točnosti osobnih podataka,
  • obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe,
  • HAC više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva,
  • ispitanik je uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi HAC-a kao voditelja obrade razloge ispitanika.

Pravo na prigovor - ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. HAC kao voditelj obrade u takvoj situaciji više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Članak 7.

Ispitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od prava navedenih u članku 6. ove Politike. 

HAC će ispitaniku na njegov zahtjev pružiti informacije o poduzetim radnjama vezanima uz navedena prava u roku od 30 dana od dana zaprimanja urednog zahtjeva. Iznimno, HAC može iz opravdanih razloga produljiti rok za odgovor o čemu će obavijestiti ispitanika. 

Informacije se pružaju u pisanom obliku ili drugim sredstvima, ako je prikladno i elektroničkim putem.  Ako to zatraži ispitanik, informacije će se pružiti i usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika. 

U slučaju da HAC ne postupi po zahtjevu, obavijestit će ispitanika o razlozima  i o mogućnosti podnošenja pritužbe nadzornom tijelu.

Obveze HAC-a
Članak 8.

HAC kontinuirano provodi odgovarajuće tehničke i organizacijske mjere zaštite informacijskog sustava, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.

Mjere iz stavka 1. ovog članka uključuju provedbu odgovarajućih internih pravila zaštite podataka:

  • ne dopušta se neovlašteno prikupljanje, obrada ili korištenje osobnih podataka te je pristup podacima ograničen samo na one podatke koji su potrebni za obavljanje pojedinih poslovnih zadataka,
  • osobni podaci se štite od neovlaštenog pristupa, korištenja, izmjene te gubitka, bilo da su pohranjeni  u papirnatom ili elektroničkom obliku,
  • prilikom povjeravanja obrade osobnih podataka izvršiteljima obrade osigurava se da izvršitelji obrade podataka poduzimaju potrebne organizacijske i tehničke mjere za zaštitu podataka.

Kršenje obveze čuvanja tajnosti podataka prilikom njihove obrade, njihova zlouporaba, namjerno uništenje, kopiranje ili upotreba protivna svrsi za koju su namijenjeni od strane osoba koje tijekom procesa rada dođu u kontakt s osobnim podacima, bit će sankcionirano u skladu sa zakonom i internim aktima Društva.
 

Obrada posebnih kategorija osobnih podataka

Članak 9.

HAC ne obrađuje podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, članstvo u sindikatu, vjerska ili filozofska uvjerenja te genetske i  biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca, osim kad se obrada osobnih podataka vezanih uz članstvo u sindikatu kao i onih koji se odnose na zdravlje ispitanika provodi za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti, u mjeri u kojoj je to odobreno u okviru prava Europske Unije, prava Republike Hrvatske ili kolektivnog ugovora u skladu s pravom Republike Hrvatske.

Službenik za zaštitu osobnih podataka
Članak 10.

HAC je imenovao službenika za zaštitu osobnih podataka koji je neovisan i kao takav djeluje u interesu zaštite prava ispitanika i njihovih osobnih podataka te obavlja najmanje sljedeće zadaće:

  • informiranje i savjetovanje HAC-a i radnika koji obavljaju obradu o njihovim obvezama iz Uredbe te drugim odredbama Europske unije ili Republike Hrvatske o zaštiti podataka;
  • praćenje poštivanja Uredbe te drugih odredaba Europske Unije ili Republike Hrvatske o zaštiti podataka, internih akata i procedura od strane voditelja obrade i  izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući i raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
  • pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja;
  • suradnja s nadzornim tijelom;
  • djelovanje  kao  kontaktna  točka  za  nadzorno  tijelo  o  pitanjima  u  pogledu  obrade.

Ispitanici mogu Službenika za zaštitu osobnih podataka HAC-a kontaktirati putem e-mail adrese: sluzbenikzazop@hac.hr.

Evidencija aktivnosti obrade osobnih podataka

Članak 11.

HAC vodi evidenciju aktivnosti obrada za koje je odgovoran. Ta evidencija je u pisanom i elektroničkom obliku i sadržava najmanje sljedeće informacije:

  • ime i kontaktne podatke voditelja obrade i službenika za zaštitu podataka;
  • svrhu obrade,
  • opis kategorija ispitanika i kategorija osobnih podataka,
  • kategorije  primatelja  kojima  su  osobni  podaci  otkriveni  ili  će  im  biti  otkriveni,  
  • rokove čuvanja osobnih podataka, ako je to moguće,
  • opći opis tehničkih i organizacijskih sigurnosnih mjera.

Sve organizacijske jedinice unutar HAC-a odgovorne su za dostavu točnih i pravovremenih informacija kako bi se registar obrada vodio sukladno Uredbi. Službenik za zaštitu osobnih podataka odgovoran je za održavanje registra obrada.  

Incidenti i prava ispitanika
Članak 12.

HAC poduzima procesne i tehnološke mjere kako bi osobni podaci ispitanika bili adekvatno zaštićeni. 

Pored poduzimanja mjera tehničke zaštite osobnih podataka, svi radnici HAC-a dužni su u slučaju incidenta vezanog uz zaštitu osobnih podataka, o incidentu obavijestiti čelnika svoje ustrojstvene jedinice i Službenika za zaštitu osobnih podataka.

U slučaju povrede osobnih podataka, HAC je incident dužan prijaviti Agenciji za zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.

U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, HAC je dužan bez nepotrebnog odgađanja obavijestiti ispitanika o povredi njegovih osobnih podataka. 

Iznimno, HAC neće obavijestiti ispitanika u slučaju povreda osobnih podataka ako je ispunjen barem jedan od sljedećih uvjeta:

  • poduzete su odgovarajuće  tehničke  i  organizacijske  mjere  zaštite  i  te  su  mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one mjere koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti (kao što je enkripcija),
  • HAC je poduzeo naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika,
  • ako bi to podrazumijevalo nerazmjeran napor te će se u takvom slučaju primijeniti javno obavješćivanje ili slična mjera kojom  će se ispitanici obavijestiti na jednako djelotvoran način.

Ispitanik ima pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka u slučaju incidenta koji se tiče njegovih osobnih podataka ili ako smatra da HAC krši njegova prava definirana Uredbom.

Završne odredbe
Članak 13.

Ako je neka od odredbi općih uvjeta poslovanja HAC-a u suprotnosti s ovom Politikom, HAC se obvezuje u svom poslovanju primjenjivati ovu Politiku.

Ova Politika će se objaviti na oglasnim pločama HAC-a te će se učiniti dostupnom na službenoj web stranici HAC-a.

Ova Politika stupa na snagu i primjenjuje se od  25. svibnja 2018. godine. 

                                                                                                                                                  Hrvatske autoceste d.o.o.