1 UVOD

1.1 Svrha dokumenta

Namjena ovog dokumenta je definiranje opće politike i pravila koja se primjenjuju za zaštitu svih osobnih podataka koji se odnose na fizičke osobe, a do kojih dolazi Hrvatska komora inženjera građevinarstva (u nastavku: HKIG) tijekom svog redovnog poslovanja.

1.2 Područje primjene

Definirana politika primjenjuje se u cijeloj organizaciji HKIG, na sve obrade u kojima se koriste osobni podaci pojedinaca (ispitanika).

2 OPĆA POLITIKA ZAŠTITE OSOBNIH PODATAKA

U HKIG svjesni smo da naša uspješnost ovisi o zadovoljstvu članova Komore i zaposlenika ali i o mjerama koje poduzimamo u pogledu zaštite njihovih prava, u odnosu na osobne podatke koje nužno prikupljamo i obrađujemo obzirom na svrhu obrada i važeće propise koje primjenjujemo u našem poslovanju.

Stoga je zaštita osobnih podataka svih pojedinaca u svim postupcima koje svakodnevno provodimo radi ispunjavanja naših poslovnih i zakonskih obveza jedna od temeljnih politika i obveza kojih se pridržavamo u svom poslovanju.

Kroz sustavni pristup upravljanju zaštitom osobnih podataka želimo stvoriti sigurno okruženje za sve pojedince koje će našim zaposlenicima, članovima Komore i suradnicima, osigurati privatnost i temeljne slobode i prava u odnosu na osobne podatke.

Donošenjem ove politike i pratećih dokumenata kojima smo regulirali i uveli pravila i odgovornosti, procese, metode, tehnike i alate, obvezali smo sve naše zaposlenike i ostale sudionike u našim poslovnim procesima na primjenu ove politike, načela i propisanih pravila u pogledu zaštite osobnih podataka s ciljem sustavnog upravljanja i neprekidnog poboljšanja zaštite privatnosti i osobnih podataka.

Provođenje načela i smjernica iz ove politike u HKIG obavezno je nad cjelokupnim opsegom poslovanja u obradama u kojima se koriste i obrađuju osobni podaci.

Uz ovu opću Politiku HKIG primjenjuju se i drugi interni akti kojima se regulira zaštita osobnih podataka sukladno svrhama obrade i zakonskoj osnovi.

3 TEMELJNA NAČELA

Načela na kojima temeljimo našu politiku zaštite osobnih podataka i prema kojima sustavno gradimo i unaprjeđujemo naše procese, obrade i mjere zaštite osobnih podataka, proizlaze iz načela obrade osobnih podataka definirana Člankom 5. GDPR Uredbe. U skladu s time obvezna je primjena sljedećih načela:

• Zakonitost, poštenost, transparentnost
  Osobni podaci svih pojedinaca (ispitanika) moraju se prikupljati i obrađivati zakonito, pošteno i transparentno. U tom cilju obavezno je na jasan i razumljiv način informirati svakog pojedinca (ispitanika) o svrsi prikupljanja i obrade osobnih podataka, načinu i vremenu pohrane tih podataka te pravima koja ispitanici mogu ostvariti u pogledu svojih osobnih podataka.
• Ograničavanje svrhe
  Prikupljanje osobnih podataka od ispitanika potrebno je ograničiti isključivo u svrhu ispunjenja obveza preuzetih ugovornim odnosom s ispitanikom ili u svrhu ispunjenja zakonskih obveza.
• Smanjenje količine podataka
  Prilikom prikupljanja podataka od ispitanika potrebno je osigurati prikupljanje samo onih osobnih podataka koji su neophodni kako bi se ispunila svrha pojedine obrade.
• Točnost osobnih podataka
  Kroz redovne obradne i kontrolne aktivnosti obavezno je poduzimanje odgovarajućih mjera kako bi se osigurala točnost i ažurnost podataka i bez odlaganja izvršile potrebne korekcije ili brisanje netočnih podataka.
• Ograničenje pohrane osobnih podataka
  Čuvanje i pohrana osobnih podataka u obliku koji omogućuje identifikaciju ispitanika dozvoljeno je samo toliko vremena koliko je potrebno za ispunjenje svrhe obrade, u skladu s definiranim internim i zakonskim pravilima i rokovima čuvanja podataka.
• Cjelovitost i povjerljivost
  U svim obradama osobnih podataka moraju se primijeniti odgovarajuće tehničke i organizacijske mjere koji će osigurati odgovarajuću sigurnost osobnih podataka što uključuje zaštitu od neovlaštene ili nezakonite obrade te zaštitu od slučajnog gubitka, uništenja ili oštećenja.
• Pouzdanost
  U postupcima prikupljanja i obrade osobnih podataka obavezno je osigurati odgovarajuće zapise pomoću kojih u svakom trenutku možemo dokazati pouzdanost i usklađenost naših obrada s gore navedenim načelima.

4 SUSTAV ZAŠTITE OSOBNIH PODATAKA

4.1 Svrha prikupljanja i obrade osobnih podataka

U HKIG prikupljamo i obrađujemo osobne podatke u svrhu:

• ispunjavanja naših zakonskih obveza
• ispunjavanja ugovornih obveza
• informiranja članova Komore

Detaljni popis svih obrada osobnih podataka koje su u našoj nadležnosti redovno se vodi i održava u "Evidenciji obrada osobnih podataka" koja čini sastavni dio dokumentacije cjelovitog sustava zaštite osobnih podataka u HKIG.

4.2 Odgovornosti

S donošenjem ove opće politike definirana je organizacija i odgovornosti za zaštitu osobnih podataka u HKIG.

Odgovornost za usklađenost cjelokupnog sustava sa zahtjevima GDPR Uredbe ima uprava, službenik za zaštitu osobnih podataka, ostali članovi GDPR tima i svi zaposlenici.

Radi kvalitetnije provedbe obveza iz GDPR Uredbe u HKIG je imenovan GDPR tim koji se sastoji od službenika za zaštitu osobnih podataka, pravnika, informatičara - predstavnika izvršitelja obrade.

Zadaće službenika za zaštitu osobnih podataka propisane su člankom 19. GDPR Uredbe.

Osim Službenika za zaštitu osobnih podataka, Uprava i svi zaposlenici imaju odgovornost:

• kontinuirano primjenjivati temeljna načela, propisana pravila i procedure za zaštitu osobnih podataka, svatko u svom djelokrugu rada.
• kontinuirano provoditi edukacijske aktivnosti radi podizanja razine svijesti o zahtjevima GDPR Uredbe i potrebi zaštite osobnih podataka.

4.3 Izvršenje obrade

Obrade osobnih podataka zaposlenika

• Obrade se obavljaju isključivo temeljem zakonskih obveza vezano za radne odnose.
• Svi podaci o zaposlenicima se čuvaju i obrađuju na području RH, unutar službenih prostorija HKIG.
• Matične evidencije, evidencije prisustva na radu i ostale evidencije o zaposlenicima vode se korištenjem poslovnog informacijskog sustava.
• Prijenos podataka trećim osobama obavlja se isključivo u slučaju:
  
  
• U svrhu ispunjenja zakonskih obveza HKIG (obvezni podaci koji se dostavljaju u HZMO, Poreznu upravu i druge državne institucije)
• U svrhu ostvarivanja prava zaposlenika koji proizlaze iz ugovora o radu, podaci se dostavljaju u knjigovodstveni servis koji je izvršitelj obrade obračuna plaća i drugih knjigovodstveno-financijskih obrada za HKIG. Knjigovodstveni servis obavlja obrade temeljem ugovora kojim su regulirana pravila i obveze u pogledu zaštite osobnih podataka.
  
  

Obrade osobnih podataka kandidata za zaposlenje

• Obrade osobnih podataka se obavljaju povremeno, temeljem Odluke Uprave.
• Sve obrade se obavljaju u službenim prostorijama HKIG na opremi koju koristi organizacijska jedinica nadležna za ljudske resurse.
  
  

Obrade osobnih podataka članova Komore

• Obrade se obavljaju u svrhu ispunjenja zakonskih obveza koje proizlaze iz Zakona o komori arhitekata i komorama inženjera u graditeljstvu i prostornom uređenju (Narodne novine, br. 78/2015., 114/118. i 110/2019.) - članak 23.
• ugovorne obveze prema suradnicima HKIG i
• obrade za koje su članovi Komore/suradnici / zaposlenici dali izričite privole.
  
  

Putem kreiranih obrazaca suradnici su informirani o svrhama obrade i ostalim relevantnim informacijama koje im omogućuju ostvarivanje prava u pogledu osobnih podataka.

Sve obrade se obavljaju na opremi koja se nalazi u službenim prostorijama HKIG.

Prijenosi osobnih podataka provode se u svrhu ispunjenja zakonskih obveza.

Detaljniji podaci o obradama vode se u "Evidenciji obrada osobnih podataka".

4.4 Obrada osobnih podataka u svrhu informiranja

U cilju informiranja naših članova o izmjenama zakonodavne regulative i o svim drugim podacima od značaja za obavljanje poslova i djelatnosti u prostornom uređenju i gradnji povremeno se članovima Komore dostavljaju newsletteri, provodimo ankete i u tu svrhu prikupljamo i obrađujemo minimalni set osobnih podataka ciljanih skupina pojedinaca.

Pravila zaštite osobnih podataka prilikom provođenja informiranja i obrada na temelju anketa definirana su sljedećim dokumentima:

• Procedura provođenja informiranja
• Politika privatnosti (dostupna na web stranicama HKIG)
• Obrasci privola (dostupni za popunjavanje na web stranicama koje se koriste u marketinške svrhe)
  
  

4.5 Automatizirano donošenje odluka temeljem obrade

U HKIG ne provodimo obrade temeljem kojih se donose automatizirane odluke vezane za pojedince.

4.6 Obrade izvan područja Republike Hrvatske

Obrade osobnih podataka izvan područja RH ne provodimo.

4.7 Sigurnost obrade osobnih podataka i mjere zaštite

Uvođenjem odgovarajućih mjera zaštite i redovnim nadzorom njihove primjene nastojimo kontinuirano podizati razinu sigurnosti u svim obradama osobnih podataka.

Primjena tehničkih i organizacijskih mjera definirana je za svaku obradu u okviru "Evidencije obrada osobnih podataka".

4.8 Pohrana podataka

Osobni podaci pohranjuju se na vlastitoj opremi u službenim prostorima HKIG.

Rokovi čuvanja i pohrane osobnih podataka evidentiraju se u okviru "Evidencije obrada osobnih podataka", a procedurama koje propisuju pravila obrade propisani su rokovi i način pohrane te pravila pristupa tim podacima.

4.9 Pravila Privacy By Design

Primjena odgovarajućih mjera zaštite osobnih podataka i privatnosti ispitanika obavezna je u svim novim obradama koje uvodimo u naše poslovanje. U tu svrhu prilikom razvoja novih usluga ili bilo koje druge vrste obrade obavezno je pridržavanje pravila koja su definirana kroz procese i procedure dizajna i razvoja novih usluga.

Za redovno praćenje i kontrolu primjene tih procesa i procedura zaduženi su svi voditelji, Službenik za zaštitu osobnih podataka i Uprava HKIG.

4.10 Procjena učinka obrade osobnih podataka i procjena rizika

Za sve obrade u kojima se koriste osobni podaci obavezno je provođenje analize i procjene učinka obrade na osobne podatke te rizika koji proizlaze iz takvih obrada.

Procjenu provode osobe zadužene za izvršenje obrade. Procjene se provode pomoću metodologije i alata za provedbu procjenu učinka (DPIA analize) o čemu se vode i spremaju zapisi u "Evidenciji procjene učinka obrade na osobne podatke".

Za obrade koje imaju srednji i veći procijenjeni učinak, obavezno je provođenje procjene rizika te predlaganje odgovarajućih mjera za ublažavanje rizika. Prepoznati rizici evidentiraju se u "Evidenciji rizika", a odluku o primjeni mjera za ublažavanje rizika donosi Uprava.

4.11 Program podizanja svijesti o zaštiti osobnih podataka

Svi zaposlenici imaju dužnost i obvezu kontinuiranog podizanja razine znanja i svijesti o zahtjevima zaštite osobnih podataka.

4.12 Upravljanje zahtjevima ispitanika

Svim zaposlenicima i ostalim pojedincima omogućeno je ostvarivanje njihovih prava u skladu s pravilima GDPR Uredbe.

Vaša prava su sljedeća: pravo na pristup, pravo na ispravak, pravo na brisanje, pravo na ograničenje obrade, pravo na prigovor i pravo na prenosivost podataka. Ukoliko smatrate da se Vaša prava ne poštuju imate pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka.

Prava u pogledu osobnih podataka ispitanici mogu zatražiti pismenim putem pomoću obrazaca zahtjeva vezanim za osobne podatke koji su dostupni na web stranicama HKIG Službenika za zaštitu podataka možete kontaktirati i putem maila zop@hkig.hr .

4.13 Upravljanje incidentima

U cilju pravovremenog poduzimanja odgovarajućih mjera u slučaju povrede prava ispitanika (incidenti), definirana je ˝Procedura za postupanje u slučaju povrede osobnih podataka˝ koja se obavezno primjenjuje u svim organizacijskim dijelovima HKIG.

Za zaprimanje prigovora i prijava o povredama osobnih podataka zaduženi su djelatnici Kontakt Centra info@hkig.hr i službenik za zaštitu osobnih podataka na zop@hkig.hr .Sve prijave i tijek njihova rješavanja evidentiraju se u "Evidenciji povreda osobnih podataka".