REPUBLIKA HRVATSKA
DJEČJI VRTIĆ MASLAČAK PAKRAC
UPRAVNO VIJEĆE
KLASA: 601-02/18-05/06
URBROJ: 2162/01-03-18-4
Pakrac, 18. lipnja 2018.godine
Na temelju čl. 3. st. 1. Opće uredbe o zaštiti osobnih podataka (EU) 2016/679 i čl. 41. Statuta Dječjeg vrtića Maslačak Pakrac, Upravno vijeće na 8. sjednici održanoj dana 18. lipnja 2018. godine, donosi
PRAVILNIK
O OBRADI I ZAŠTITI OSOBNIH PODATAKA
I.OPĆE ODREDBE
Članak 1.
U postupku obrade osobnih podataka i zaštite pojedinaca u pogledu obrade osobnih podataka i pravila povezanih sa slobodnim kretanjem osobnih podataka Dječji vrtić Maslačak Pakrac (u daljnjem tekstu: Vrtić) je obveznik primjene Opće uredbe o zaštiti podataka (EU) 2016/679.
Ovim Pravilnikom uspostavljaju se dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede voditelj.
Zaštita koja se pruža Općom uredbom o zaštiti podataka u svezi s obradom osobnih podataka odnosi se na pojedince bez obzira na njihovu nacionalnost ili boravište.
Članak 2.
Vrtić je sukladno čl. 4. Opće uredbe voditelj obrade osobnih podataka koji sam ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka u skladu s nacionalnim zakonodavstvom ili pravom EU.
Članak 3.
U skladu sa Općom uredbom o zaštiti podataka pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:
„osobni podatak“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.
„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
Članak 4.
Vrtić osobne podatke obrađuje zakonito, pošteno i transparentno.
Vrtić obrađuje samo primjerene i relevantne osobne podatke i to isključivo u posebne, izričite i zakonite svrhe te se isti dalje ne obrađuju na način koji nije u skladu s tim svrhama.
Osobne podatke koje Vrtić obrađuje su točni te se po potrebi ažuriraju. Oni podaci koji nisu točni Vrtić bez odlaganja briše ili ispravlja.
Vrtić osobne podatke čuva u obliku koji omogućuje identifikaciju ispitanika i to samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Iznimno, osobni podaci mogu se pohraniti i na dulja razdoblja ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Vrtić osobne podatke obrađuje isključivo na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuje.
Voditelj obrade odgovoran je za usklađenost s Uredbom te je mora biti u mogućnosti dokazati.
Dječji vrtić čuva prikupljene podatke u skladu s Pravilnikom o zaštiti i obradi arhivskog i registraturnog gradiva i popisu arhivskog gradiva.
II.SLUŽBENIK ZA ZAŠTITU PODATAKA
Članak 5.
Vrtić imenuje službenika za zaštitu podataka.
Službenik za zaštitu podataka imenuje se iz redova zaposlenika Vrtića.
Kontakt podatke službenika za zaštitu podataka Vrtić objavljuje na svojim web stranicama te o osobi imenovanoj za službenika obavještava nadzorno tijelo.
Službenik za zaštitu podataka obavlja poslove informiranja i savjetovanja odgovornih osoba Vrtića i njegovih zaposlenika koji neposredno obavljaju obradu osobnih podataka o njihovim obvezama iz Opće uredbe, prati poštivanje Uredbe te drugih odredaba Unije ili države članice o zaštiti te surađuje s nadzornim tijelom.
Službenik za zaštitu podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.
III. OBRADA OSOBNIH PODATAKA
Članak 6.
Vrtić osobne podatke obrađuje samo i u onoj mjeri ako je ispunjen jedan od sljedećih uvjeta:
- da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha
- da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka
- da je obrada nužna radi poštovanja pravnih obveza Vrtića
- da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
- da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju javnih ovlasti Vrtića
ili
- da je obrada nužna za potrebe legitimnih interesa Vrtića ili treće strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Članak 7.
Privola kojom ispitanik Vrtiću daje pristanak za obradu osobnih podataka koji se na njega odnose mora biti dobrovoljna, dana u pisanom obliku s lako razumljivim, jasnim i jednostavnim jezikom, jasno naznačenom svrhom za koju se daje i bez nepoštenih uvjeta.
Ako se radi o obradi osobnih podataka djeteta ispod dobne granice od 16 godina, privolu na način opisanom u stavku 1. ovog članka daje nositelj roditeljske odgovornosti nad djetetom (roditelj ili zakonski skrbnik djeteta).
Svaka obrada osobnih podataka utemeljena na privoli mora se provoditi po načelima cjelovitosti, povjerljivosti i točnosti, ograničenja pohrane, smanjenja količine podataka, ograničenja svrhe te zakonite, transparentne i poštene obrade.
Ispitanik ima pravo bez pojašnjenja u bilo kojem trenutku povući privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego je ista povučena.
Povlačenje privole mora biti jednostavno kao i njezino davanje.
Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Članak 8.
U postupku obrade osobnih podataka Vrtić na odgovarajući način (pisano ili izravno usmeno) ispitaniku pruža sve informacije vezano uz obradu njegovih osobnih podataka, a osobito o svrsi obrade podataka, pravnom osnovu za obradu podataka, legitimnim interesima Vrtića, namjeri predaje osobnih podataka trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili brisanje osobnih podataka i ograničavanje obrade, pravo na ulaganje prigovora.
IV.PRAVA ISPITANIKA
Članak 9.
Prilikom obrade osobnih podataka svaki ispitanik mora biti upoznat s pravom na pristup informacijama vezanim uz postupak obrade osobnih podataka.
Ispitanik ima pravo uvida u osobne podatke sadržane u sustavu pohrane Vrtića koji se na njega odnose.
Ispitanik ima pravo ispisa osobnih podataka sadržanih u sustavu pohrane koji se na njega odnose, kao i mogućnost traženja ispravka netočnih osobnih podataka, dopunu nepotpunih osobnih podataka, pravo na prenosivost podataka kao i pravo na brisanje osobnih podataka, pravo na povlačenje privole te pravo na podnošenje prigovora.
Vrtić će bez odgađanja, na zahtjev ispitanika ispraviti netočne podatke koji se na njega odnose odnosno temeljem traženja ispitanika iste dopuniti.
Ispitanik ima pravo dopuniti osobne podatke davanjem dodatne izjave.
Vrtić će bez odgađanja, temeljem zahtjeva ispitanika, provesti brisanje osobnih podataka koji se na njega odnose pod uvjetom da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili ako ispitanik povuče privolu na kojoj se obrada temelji.
Ispitanik koji smatra da mu je povrijeđeno neko pravo zajamčeno Općom uredbom o zaštiti podataka ima pravo podnijeti zahtjev za utvrđivanje povrede prava nadležnom tijelu.
Članak 10.
U svrhu zaštite osobnih podataka Vrtić, u svim slučajevima kada je to moguće, a posebice prilikom javnog objavljivanja informacija sukladno Zakonu o pravu na pristup informacijama, provodi pseudonimizaciju podataka.
V. SUSTAV POHRANE
Članak 11.
Vrtić prikuplja i obrađuje sljedeće vrste osobnih podataka:
- osobni podaci zaposlenika Vrtića
- osobni podaci obitelji zaposlenika
- osobni podaci djece korisnika usluga i članova njihovog zajedničkog kućanstva
- osobni podaci o zdravstvenom stanju djece korisnika usluga Vrtića
- osobni podaci djece s posebnim potrebama – korisnika usluga Vrtića
- osobni podaci o članovima Upravnog vijeća Vrtića
- osobni podaci o kandidatima koji sudjeluju u natječajnom postupku za zasnivanje radnog odnosa
- osobni podaci vanjskih suradnika
- osobni podaci djece potencijalnih korisnika usluga
- osobni podaci dobavljača
- posebne kategorije osobnih podataka: sindikat, vjeroispovijest i zdravstveno stanje.
Članak 12.
Pravna osnova za prikupljanje podataka navedenih u članku 11. ovog Pravilnika su Zakon o radu, Zakon o porezu na dohodak, Zakon o predškolskom odgoju i obrazovanju, Program zdravstvene zaštite djece, higijene i pravilne prehrane djece u dječjim vrtićima, Pravilnik o vrsti stručne spreme stručnih djelatnika te vrsti i stupnju stručne spreme ostalih djelatnika u dječjem vrtiću, Zakon o zdravstvenom osiguranju, Zakon o mirovinskom osiguranju, Zakon o zaštiti na radu te Pravilnik o upisu i ostvarivanju prava i obveza korisnika usluga Dječjeg vrtića Maslačak Pakrac.
Svrha prikupljanja osobnih podataka je sklapanje i izvršenje ugovora korisnika usluga predškolskog odgoja, poštivanje pravnih dužnosti vrtića, sklapanje i izvršenje ugovora o radu radnika i Dječjeg vrtića Maslačak Pakrac kao i ostvarenje prava i obveza koje proizlaze iz ugovornog odnosa.
Voditelj obrade prikupljene podatke neće prenijeti trećima, osim ako je to nužno radi izvršenja zakonske obveze samog voditelja obrade.
Članak 13.
Ravnatelj Vrtića donosi Proceduru kojom se definira način prikupljanja i obrade osobnih podataka iz članka 11. ovog Pravilnika.
VI. MJERE ZA ZAŠTITU OSOBNIH PODATAKA
Članak 14.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, u zaključanim ormarima.
Pristup ključu imaju samo ovlaštene osobe.
Podaci u računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je poznata zaposlenicima zaduženim za obradu i prikupljanje osobnih podataka.
Članak 15.
Osobe zadužene za obradu osobnih podataka dužne su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe.
Članak 16.
Ovaj Pravilnik objavit će se na oglasnoj ploči i mrežnim stranicama Dječjeg vrtića Maslačak Pakrac i stupa na snagu osmog dana od dana objave.
Pravilnik o obradi i zaštiti osobnih podataka objavljen je na oglasnoj ploči i mrežnim stranicama Dječjeg vrtića Maslačak Pakrac dana 19. lipnja 2018. godine, a stupa na snagu 27. lipnja 2018. godine.