Temeljem uredbe (EU) Europskog parlamenta i vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ ( u daljnjem tekstu: Uredba), članka 3. i. 7. Zakona o zaštiti osobnih podataka ( NN 103/03, 118/06,41/08,130/11, 106/12), te članka 19. Statuta, Skupština na svojoj sjednici održanoj dana 04. srpnja 2019. u Zagrebu donosi sljedeći Pravilnik o zaštiti osobnih podataka.
Opće odredbe
Hrvatsko biofizičko društvo ( dalje u tekstu: Društvo) je društvo koje djeluje u području obrazovanja, znanosti i istraživanja. Ciljane skupine Društva su: građani-opća populacija, znanstveno- obrazovne ustanove, znanstveno- obrazovni djelatnici, studenti i ostali.
Ciljevi Društva su promicanje i razvoj biofizičkih znanosti, nastave biofizike, primjene biofizike u drugim znanstvenim područjima i strukama i unaprjeđivanje ugleda i društvenog značenja biofizike i biofizičara.
Društvo djeluje sukladno Zakonu o udrugama. Članstvo u Društvu stječe se primanjem u članstvo Društva temeljem odredaba Statuta Društva. Ostvarivanjem ugovornog odnosa s Društvom, članstvom u Društvu ili izravnim ili neizravnim sudjelovanjem u radu Društva, fizička osoba/član povjerava svoje osobne podatke na obradu. Društvo je obvezno provoditi tehničke i organizacijske mjere kako bi osiguralo zaštitu osobnih podataka na način kako je to definirano Uredbom.
Stoga se, u svrhu provedbe mjera zaštite, definiranja koje podatke Društvo prikuplja, načina prikupljanja i obrade podataka, prava ispitanika i ostalih podataka važnih za primjenu prava zaštite osobnih podataka donosi ovaj Pravilnik.
Članak 1.
Društvo je voditelj zbirki osobnih podataka koji utvrđuju svrhu i način obrade podataka.
Društvo mora obrađivati osobne podatke pošteno i zakonito. Osobni podaci moraju biti točni, potpuni i ažurni, i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha. Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju.
Članak 2.
Definicije pojmova koji se koriste u ovom Pravilniku su sljedeće:
„osobni podatak“ je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati ( u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
„obrada osobnih podataka“ je svaki postupak ili skup postupaka izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, bilježenje, snimanje, organiziranje, strukturiranje, spremanje, prilagodba ili izmjena, povlačenje, uvid u korištenje, otkrivanje prijenosom, širenjem, objavljivanjem ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.
„zbirka osobnih podataka“ je svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili zemljopisnom temelju bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.
„treća strana“ je fizička ili pravna osoba, državno ili drugo tijelo, osim ispitanika, voditelja zbirke osobnih podataka ili izvršitelja obrade osobnih podataka i osoba koje voditelj zbirke ili izvršitelj obrade izravno ovlasti na obradu osobnih podataka.
„primatelj“ je fizička ili pravna osoba, tijelo javne vlasti, državno ili drugo tijelo kojem se osobni podaci otkrivaju, neovisno o tome je li on ujedno treća strana ili nije. Međutim, tijela javne vlasti koja mogu primati podatke u okviru provođenja istraga ne smatraju se primateljima.
„izvršitelj obrade“ je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
„privola ispitanika“ je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojom ispitanik izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
„službenik za zaštitu osobnih podataka“ je osoba imenovana od strane voditelja zbirke osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
Članak 3.
Društvo upotrebljava sljedeće podatke:
a) Osnovne identifikacijske podatke: ime i prezime, e- mail adrese
b) Identifikacijske podatke: ime i prezime, osobni identifikacijski broj (OIB), adresa prebivališta ili sjedišta, datum rođenja, kontakt podaci
c) Ostale osobne podatke koje ispitanik ili treća osoba stavlja na raspolaganje
Osobni podaci se prikupljaju neposredno od ispitanika usmenim i pisanim putem.
Članak 4.
Društvo za svaku svrhu obrade uspostavlja i vodi evidenciju aktivnosti obrade koja sadrži temeljem informacije o postupcima obrade, a osobito sljedeće podatke:
a) Svrha obrade
b) Opis kategorija ispitanika i kategorija osobnih podataka
c) Ime i kontakt podaci voditelja obrade i službenika za zaštitu podataka
d) Kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni
e) Predviđene rokove za brisanje različitih kategorija podataka
f) Opći opis tehničkih i organizacijskih sigurnosnih mjera
Članak 5.
Prilikom uvođenja nove svrhe obrade osobnih podataka ili kod izmjene postojeće svrhe obrade, Društvo će obavezno procijeniti potrebu za provođenjem procjena učinka na zaštitu podataka te sagledati implikacije na sustav obrade i njegovu sigurnost. Novu ili izmijenjenu svrhu potrebno je uvrstiti u Evidenciju aktivnosti obrade.
Članak 6.
Službenik za zaštitu podataka imenuje se iz reda redovnih članova, po mogućnosti i u pravilu između članova Upravnog odbora Društva.
Kontakt podatke službenika za zaštitu podataka Društvo objavljuje na svojim web stranicama te o osobi imenovanoj za službenika obavještava nadzorno tijelo.
Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja članova koji izravno ili neizravno sudjeluju u tijelima Društva, i ostalih članova koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Uredbe, prati provedbu Uredbe te drugih odredaba Unije ili države članice o zaštiti, omogućuje ispitaniku ostvarenje svojih prava definiranih Uredbom, djeluje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje sukladno odredbama iz Uredbe, i surađuje s nadzornim tijelom u svim drugim pitanjima u pogledu obrade i zaštite osobnih podataka.
Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.
Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Društvo mora osigurati mjere da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Službenik za zaštitu podataka izravno odgovara predsjedniku Društva. Društvo je dužno osigurati da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja svojih zadaća. Društvo ne smije razriješiti dužnosti službenika za zaštitu podataka ili ga kazniti zbog izvršavanja njegovih zadaća.
Društvo je dužno podupirati službenika za zaštitu podataka u izvršenju njegovih zadaća pružajući mu potrebna sredstva za izvršavanje tih zadaća i ostvarivanje pristupa osobnih podacima i postupcima obrade te za održavanje njegova stručnog znanja.
Članak 7.
Ispitanik ima pravo pristupa osobnim podatcima sadržanim u sustavu pohrane Društva koji se na njega odnose.
Društvo će bez odgađanja, odmah, a najkasnije u roku od mjesec dana od dana podnošenja zahtjeva ispitanika ili njegovog zakonskog zastupnika ili punomoćnika:
- dostaviti ispitaniku ispis osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose
- ispraviti netočne podatke koji se na njega odnose odnosno temeljem traženja ispitanika iste dopuniti
- provesti brisanje osobnih podataka koji se na njega odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji
- informirati ispitanika o svrsi obrade njegovih osobnih podataka, kategorijama osobnih podataka koji se obrađuju, o primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni te u slučaju kada se osobni podaci ne prikupljaju od ispitanika o njihovu izvoru
Rok iz st. 2. ovog članka može se prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Društvo obavještava ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
Zahtjev se podnosi elektroničkim putem, te osim ako ispitanik ne zatraži drukčije, informacije se pružaju u elektroničkom obliku.
Informacije pružene u skladu s ovim člankom pravilnika Društvo pruža bez naknade. Iznimno, ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani Društvo će naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti.
U slučaju da Društvo utvrdi da su osobni podaci nepotpuni, netočni ili neažurirani, dužno ih je samo dopuniti ili izmijeniti neovisno o zahtjevu ispitanika.
Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede prava nadležnom tijelu.
U svrhu zaštite osobnih podataka Društvo, u svim slučajevima kada je to moguće, a posebice prilikom javnog objavljivanja informacija sukladno Zakonu o pravu na pristup informacijama, provodi pseudonimizaciju podataka.
Članak 8.
Privole koje je ispitanik dao za ostvarivanje komunikacije s Društvom i u druge svrhe koje je Društvo zatražilo ispitanik može opozvati u bilo kojem trenutku bez posljedica.
Članak 9.
Osobni podaci koje Društvo obrađuje nisu namijenjeni otkrivanju drugim primateljima. Društvo je ovlašteno osobne podatke dati na korištenje drugim primateljima izričito na temelju pisanog zahtjeva primatelja, ako to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja.
Članak 10.
Društvo provodi organizacijske i tehničke mjere za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine obrade podataka, uključivanje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz Uredbe.
Redovni članovu Društva u okviru svojih ovlasti obrađuju osobne podatke i dužni su poduzeti odgovarajuće mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene primjene, nedopuštenog objavljivanja i svake druge zlouporabe, te utvrditi obvezu osoba koje su nadležne za obradu podataka. Tehničke mjere kojima se štite postupci obrade osobnih podataka uključuju minimalno fizičku kontrolu pristupa, sigurnost operativnog sustava i e-mail računa, upotrebu antivirusnog softvera, pristup putem sigurnih protokola i putem VPN kanala.
Članak 11.
Društvo se obavezno koristi izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima ove uredbe, ovog pravilnika i da se njome osigurava zaštita prava ispitanika.
Povjeravanje obrade izvršitelju obrade obavezno se uređuje ugovorom koji izvršitelja obrade obvezuje prema Društvu te navodi predmet i trajanje obrade, privolu i svrhu obrade, vrstu osobnih podataka, i kategoriju ispitanika, obveze i prava voditelja i izvršitelja obrade, upute voditelja o načinu izvršenja obrade, zahtjeve sigurne obrade, organizacijske i tehničke mjere i potrebne zapise.
Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog odobrenja Društva.
Članak 12.
Društvo nadzire postupke obrade i u slučaju otkrivanja povrede osobnih podataka obvezno je najkasnije u rolu od 72 sata nakon saznanja o povredi, izvijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.
U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, Društvo bez nepotrebnog odgađanja obavještava ispitanika o povredi osobnih podataka sukladno odredbama uredbe.
Društvo je dužno evidentirati sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete.
Članak 13.
Sve izmjene i dopune ovog Pravilnika donose se na isti način kao i ovaj Pravilnik.
Ovaj Pravilnik stupio je na snagu.
Predsjednik Društva
Dr. sc. Mario Cindrić