Pravila privatnosti

Karlovac, 2.4.2019. godine

Prepoznajući važnost zaštite privatnosti po svekolike slobode pojedinca, Medicinska škola Karlovac iz Karlovca, dr. Andrije Štampara 5 (U daljem tekstu: Škola)  je na 4. sjednici Školskog odbora održanoj dana 2.4.2019. godine  donijela dokument:

POLITIKA ZAŠTITE PRIVATNOSTI

Uvod

Donošenjem ovog akta Škola želi naglasiti svoju predanost zaštiti privatnosti pojedinca u skladu s Općom uredbom o zaštiti podataka i važećim propisima Republike Hrvatske.

Jedna od zadaća Škole, kao pravne osobe koja obavlja javnu službu je provoditi proces obrade osobnih podataka učenika, osoblja i suradnika škole. Pod: proces obrade se podrazumijeva ukupnost postupanja s podacima, za razliku od užeg pojma: obrada podataka.

Ova Politika je jednostrani pravno obvezujući akt za Školu i njezine djelatnike. Isti ne obvezuje fizičke osobe čiji se osobni podaci obrađuju (U daljem tekstu: Subjekt podataka)

Cilj

Cilj Politike zaštite privatnosti (U daljem tekstu: Politika) je svim subjektima Škole koji učestvuju u njezinim aktivnostima (Odgojno–obrazovnom procesu, procesu školovanja) pružiti jasne informacije o korištenju njihovih osobnih podataka kako bi im se omogućio uvid i upravljanje s istima.

Zadatak

Zadatak Politike je osigurati razumijevanje djelatnika i o njihovim obvezama i odgovornostima u postupanju Škole s osobnim podacima, kao i o potrebi usklađenosti tih postupanja s Općom uredbom o zaštiti podataka (U daljem tekstu: Uredba).

Podaci

Osobni podaci predstavljaju informaciju pomoću koje se može jednoznačno odrediti određena fizička osoba.

            Uredba se odnosi na podatke:

• koji su zabilježeni u digitalnom obliku i pohranjeni su na digitalnim medijima,
• koji su pohranjeni u arhivama, na mikrofilmovima, ili u bilo kom drugom analognom obliku.

Posebne kategorije osobnih podataka

Posebne kategorije osobnih podataka sačinjavaju osobni podaci koji otkrivaju:

• rasno ili etničko podrijetlo,
• politička mišljenja,
• vjerska ili filozofska uvjerenja,
• sadržaj biometrijskih podataka,
• sadržaj genetskih podataka,
• podatke koji se odnose na zdravlje,
• podatke o spolnom životu ili seksualnoj orijentaciji pojedinca.

Obrada posebnih kategorija osobnih podataka je posebno regulirana. Načelno se ovi podaci ne smiju prikupljati ni obrađivati osim u posebnim slučajevima.

Obrade

Način postupanje škole s osobnim podacima proizlazi iz njezinog zakonom određenog statusa: Pravna osoba koja obavlja javnu službu. Taj status obvezuje Školu na postupanje s osobnim podacima u skladu s dva osnova:

• Iz statusa Škole kao Pravne osobe proizlazi njezina obveza postupanja s podacima u skladu s Uredbom,
• Iz prava Škole da obavlja javnu službu, slijedi njezina obveza prikupljanja određenih, zakonom propisanih grupa osobnih podataka i njihovog uključivanja u proces obrade.

Osim postupanja s osobnim podacima temeljenim na statusu Škole, ista može uz posebno odobrenje Subjekta podataka prikupljati i obrađivati osobne podatke van zakonom određenih grupa osobnih podataka. To odobrenje nazivamo: Suglasnost ili Privola. Suglasnošću Subjekt podataka ovlašćuje Školu da prikuplja i uključuje prikupljene podatke u proces obrade, isključivo pod uvjetima odobrenim Suglasnošću.

Zakonitost obrade

Kako bi postigla da se obrađuju samo minimalno potrebni osobni podaci, Uredba je uvela pojam: Zakonitih obrada. Osobni podaci se smiju obrađivati samo kroz Zakonite obrade. Ako se isti cilj može postići na drugi razuman način, obradu se ne može tretirati kao zakonitu.

Prije početka obrade potrebno je odrediti je li obrada zakonita. Obrada osobnih podataka je zakonita samo:

• ako postoji osnova za obradu (Pravna osnova) i
• ako se poštuju načela obrade određena

Osnova za obradu (Pravna osnova)

 Obrada osobnih podataka je zakonita ako se temelji na barem jednoj od šest Pravnih osnova:

• Izvršavanje zadaće od javnog interesa ili u okviru službene ovlasti (Registar zaposlenih, e-matica…),
• Nužnost za ispunjenje ugovora ili radnji koje prethode ugovoru, a vezane su za fizičku osobu (Radnje zasnivanja radnog odnosa..),
• Poštivanje pravnih obveza Škole (osobni podaci potrebni radi plaćanja alimentacije, podaci o stažu, o penzionom osiguranju, podaci police osiguranja u slučaju prometne nezgode, mjesečnog iznos rate kredita vjerovniku …),
• Ispunjenje legitimnog interesa Škole kad je isti dominantan (obrada u svrhu prisilne naplate neplaćenog računa za stanarinu u učeničkom domu..) ,
• Zaštita vitalnih interesa pojedinca (Ne javljaju na telefon roditelji učenika koji par dana za redom nije došao u školu, stoga se otkriva njegova adresa socijalnoj službi; ili dojava hitnoj pomoći krvne grupe i alergije na antibiotike nastradalog u auto-sudaru..)
• Dobivena je Suglasnost (odobrenje, privola) za obradu osobnih podataka u jednu ili više posebnih svrha (Objava imena i prezimena predsjednika razreda na web stranicama škole…).

Škola je dužna moći dokazati poštivanje odabranog Osnova obrade za svaku od obrada koje provodi.

Načela obrade

Drugi od dva uvjeta koje treba poštivati kako bi obrada osobnih podataka bila zakonita je istu provoditi u skladu s Načelima obrade navedenim u Uredbi. Škola je dužna moći dokazati poštivanje navedenih Načela obrade, prema kojima, da bi obrada bila Zakonita ista mora biti:

• zakonita, poštena i transparentna,
• provođena u skladu sa zakonitim svrhama,
• priređena na način da se svrha postigne s minimalnom količinom upotrijebljenih osobnih podataka,
• izvršena nad točnim podacima,
• sposobna omogućiti ograničeno vrijeme pohrane osobnih podataka
• otporna na neovlašten pristupe, nenamjerna oštećenja te gubitak ili uništenje podataka.

Obrada posebnih kategorija podataka

Zabranjeno je prikupljanje i obrada posebnih kategorija podataka, osim u slučajevima:

• ako je pravom države propisana dozvola njihovog prikupljanja i obrade,
• ako je obrada nužna radi potreba javnog interesa, pristupa sudu, u slučajevima prijetnje zdravlju nacije ili radi arhiviranja u svrhu javnog interesa,
• ako je obrada bitna za zaštitu životno važnih interesa pojedinca,
• ukoliko je Subjekt podataka svojom suglasnošću ili objavom odobrio njihovo prikupljanje i obradu.

Obrada papirnatih dokumenata

Proces obrade papirnih dokumenata je usklađen s Uredbom jedino ako Škola može potvrdno odgovoriti na donja pitanja:

• Je li ustrojen način pretrage (master indeks) za svaku grupu papirnatih dokumenata?
• Mogu li se jednostavno i brzo pronaći traženi dokumenti?
• Je li poznato koliko kopija i koliko različitih verzija istog dokumenta čuvamo?
• Je li osiguran način da papirnatim dokumentima mogu pristupiti samo ovlaštene osobe?
• Prati li Škola period važenja papirnatih dokumenata i da li se isti uništavaju na zakonit način?

Principi

Kako bi se procesi obrade odvijali u skladu s Uredbom, Škola će kontinuirano raditi na provođenju donjih principa prilikom prikupljanja i obrade osobnih podataka učenika, osoblja i partnera:

Podaci

• U proces obrade će se uključivati samo osobni podaci koji su:
• određeni zakonom ili
• potpisanom suglasnošću odobreni od strane Subjekta podataka.
• Podaci će se prikupljati i uključivati samo u procese obrade dozvoljene Uredbom,
• Koristit će se samo minimalno potrebni osobni podaci,
• Osobni podaci će se izlagati u najmanje mogućoj mjeri,
• Osobni podaci će se, u najkraćem mogućem roku uništavati nakon prestanka potrebe za istima, ukoliko ne postoji zakonska odredba za njihovim arhiviranjem,
• Zahtijevat će se striktno provođenje povjerljivosti od strane svih djelatnika koje imaju pristup osobnim podacima.

Proces obrade

• Proces obrade će se provoditi na zakonit, korektan i transparentan način.
• Ustrojit će se ažurna evidencija svakog od procesa obrade koja će sadržavati:
  • Naziv i adresu Škole,
  • Svrhu obrade,
  • Kategoriju Subjekta podataka i opis grupe osobnih podataka,
  • Period čuvanja podataka,
  • Primatelje osobnih podataka,
  • Opis tehničkih i organizacionih mjera zaštite podataka.

  Zaštita podataka

  Škola će u cilju zaštite podatka od eventualnog neovlaštenog ili nezakonitog pristupa te gubitka, oštećenja, uništenja ili nestanka tih podataka provoditi propisane tehničke i organizacione mjere u skladu s Uredbom.

  Video nadzor

  Škola će sve učenike, osoblje i posjetitelje na prikladan način obavijestiti o uspostavljenom video nadzoru u pojedinim prostorima. Ti prostori će biti vidno obilježeni znacima upozorenja da su pod video nadzorom.       

  Od video nadzora će biti isključeni svi  prostori u kojima je potrebno osigurati privatnost.

  Snimke video nadzora će se čuvati šest mjeseci. Pristup snimkama je dozvoljen samo ovlaštenim osobama.

  Izlaganje podataka

  Javno se smiju izlagati samo posebne grupe osobnih podataka za koje je je izlaganje:

  • Posebno odobreno od strane Subjekta podataka,
  • Precizirano Pravilnikom, a nije u suprotnosti s Uredbom.

  Suradnja i informiranje

  Razvijat će se suradnja s učenicima te njihovom roditeljima/skrbnicima, zaposlenicima i partnerima Škole, uz osiguranja njihovih prava te ohrabrenja za aktivnim učešćem u informiranju i praćenju stanja vlastitih osobnih podataka.

  Osigurat će se informativne podloge prilagođene različitim skupinama sudionika u procesu obrade na način da iste odgovaraju dobi i očekivanoj razini poznavanja tematike.

  Učenike te njihove roditelje/skrbnike, zaposlenike i partnere će Škola na prikladan način informirati o postupanju s osobnim podacima, te o postupcima za ostvarenje prava vezanih za osobne podatke.

  Odgovornost

  Za osiguranje i kontrolu usklađenosti postupanja pravnih osoba Hrvatske s Uredbom odgovorno je Državno tijelo: Agencija za zaštitu osobnih podataka (Skraćeno: AZOP).

  Ravnatelj određuje odgovornost pojedinih djelatnika vezano za procese obrade osobnih podataka, vodi evidenciju o dodijeljenim im pravima pristupa, i odgovoran je za ažuriranje prava pristupa ovisno kadrovskoj situaciji u Školi.

  Djelatnici s pravom pristupa pojedinim obradama su odgovorni za podatke u istima.

  Svi djelatnici Škole su odgovorni za sigurnost podataka u skladu sa zakonodavstvom te za poštivanje ove Politike o zaštiti privatnosti. 

  Ravnatelj Škole je ovisno o obradi, sam, ili skupa s zakonom određenim Voditeljem obrade odgovoran za provođenje i sigurnost podataka određene obrade.

  Ravnatelj Škole je odgovoran za ustrojavanje i poštivanje ove Politike te za provođenje navedenih Principa. Od njega se očekuje da iste u svakom trenutku može demonstrirati i dokazati njihovu usuglašenost s Uredbom.

  Prava Subjekta podataka

  Škola mora prije početka obrade upoznati Subjekt podataka o pravima u vezi njegovih osobnih podataka koji se obrađuju, ili će se obrađivati. Prava su regulirana III. poglavljem Uredbe, u Člancima 12. do 23. Ista su detaljizirana na način da osiguraju:

  Transparentnost

  Osobni podaci moraju biti čuvani na način da se Subjektu podataka mogu, na njegov zahtjev u bilo kom trenutku prikazati na njemu razumljiv način. Stoga isti moraju biti jasni, koncizni i razumljivi.

  Informiranje o izvoru i pravu pristupa osobnim podacima

  Subjekt podataka mora dobiti informacije o izvoru i o vrsti prikupljenih  podatka.  U tu svrhu je za svaki osobni podatak potrebno navesti:

  1. Naziv i kontakt podatke Škole,
  2. Kontakt podatke o ranijim obradama,
  3. Podatke o Službeniku za zaštitu podataka,
  4. Razlog i pravnu osnovu prikupljanja,
  5. Kategoriju osobnih podataka i da li se isti nekome prosljeđuju,
  6. Razdoblje čuvanja podataka,
  7. Pravnu osnovu obrade,
  8. Popis prava koja Subjekt podataka ima u odnosu na Školu,
  9. Mogućnost povlačenja Suglasnosti,
  10. Mogućnost prigovora,
  11. Izvor podataka,
  12. Mogućnost otkrivanja osobnih podataka drugoj osobi,
  13. Mogućnost upotrebe osobnih podataka za drugu namjenu osim izvorne,
  14. Rok u kome Škola mora odgovoriti na upit Subjekta podataka  

  Ispravak podataka

  Subjekt podataka ima pravo zahtijevati neodgodiv ispravak svojih netočnih, ili nadopunu svojih nepotpunih osobnih podataka. On može dostaviti i dodatnu Izjavu vezanu za osobne podatke koje želi ispraviti ili dopuniti.

  Brisanje

  Ukoliko je došlo do promjene vezano za osobne podatke Subjekta podataka na način da su isti:

  • Nepotrebni za svrhu radi koje su prikupljeni,
  • Postali nezakoniti jer je Subjekt podataka povukao ranije danu Suglasnost,
  • Podložni opravdanom prigovoru na obradu od strane Subjekta podataka,
  • Dosadašnjim postupanjem nezakonito obrađivani,
  • Podložni brisanju temeljem prava države,

  Subjekt podataka ima pravo od Škole ishoditi brisanje tih podataka, osim kad je Pravna osnova:

  1. Javni interes, ili
  2. Pravne obveze.

  Ograničenje obrade

  Subjekt podataka ima pravo od Škole ishoditi ograničenje obrade u slučajevima:

  • Podaci su netočni,
  • Obrada je nezakonita,
  • Osobni podaci više nisu potrebni,
  • Uložen je prigovor.

  Subjekt podataka ima pravo zaustaviti obradu dok se ne istraži prihvatljivost zahtijeva za ukidanjem.

  Gornje četiri točke se na poseban način tretiraju ako se radi o obradi čiji je Pravna osnova Javni interes ili Pravne obveze kojima podliježe Škola.

  Obaveza komuniciranja

  Škola je dužna svaki ispravak, brisanje ili ograničenje obrade osobnih podataka Subjekta podataka saopćiti svim primateljima podataka, ukoliko je isto u granicama njezine mogućnosti.

  Prenosivost

  Ako su podaci prikupljeni temeljem Suglasnosti, ili u svrhu Izvršenje ugovora, Škola je dužna Subjektu podataka dostaviti podatke koji se na njega odnose u lako prenosivom formatu, kako bi ovaj mogao s istima raspolagati. 

  Prigovor

  Subjekt podataka može u bilo kom trenutku staviti prigovor na obradu svojih osobnih podataka.

  Suglasnost (Odobrenje ili Privola)

  Dobivena Suglasnost je jedini način na koji Škola može obrađivati osobne podatke koji nisu propisani zakonom.

              Pri tome Škola treba razlikovati Osnovu za obradu: Legitimni interes od Osnove za obradu: Suglasnost, kako slijedi:

  • Suglasnost je dokument kojim osoba prihvaća objašnjenje Škole o načinu na koji će ova postupati s njezinim osobnim podacima.
  • Legitimni interes je objašnjenje Škole o namjeri postupanja s osobnim podacima osobe na način za koji Škola vjeruje da neće naštetiti osobi i moli ju da tu namjeru Škole ne spriječi.

  Da bi Suglasnost bila valjana ista mora biti:

  • pisana,
  • razumljiva,
  • dobrovoljna,
  • bez mogućih posljedica po davatelja,
  • jednoznačna i
  • dokaziva

  Suglasnost se, osim za pravo prikupljanja i obrade osobnih podataka van zakonom određenih kategorija, najčešće koristi za:

  • Objavu osobnih podataka i iznošenje istih u javnosti,
  • Izlaganje osobnih podataka na digitalnim platformama.

  Sigurnost podataka

  Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera. Radi osiguranja sukladnosti s Uredbom Škola će provesti mjere koje ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.

  Tehnička zaštita podataka

  U fazi projektiranja i izvođenja obrade Škola će provoditi odgovarajuće tehničke i organizacijske mjere, za osiguranje primjene načela zaštite podataka, kao što su:

  • smanjenje količine podataka,
  • uključenje zaštitnih mjera u obradu

  Integrirana zaštita podataka

  Škola provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu obradu. Ta se obveza primjenjuje na:

  • količinu prikupljenih osobnih podataka,
  • opseg njihove obrade,
  • razdoblje pohrane i
  • njihovu dostupnost

  Točnije, ovim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

  Sigurnost obrade

  Škola je obavezna provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurala odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

  • pseudonimizaciju i enkripciju osobnih podataka;
  • sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
  • sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta.
  • proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. 

  Škola će poduzimati mjere kako bi osigurala da svaki pojedinac koji djeluje pod odgovornošću Ravnatelja a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama Ravnatelja, osim ako je to obvezan učiniti sa zakonskim propisima. 

  Proboj podataka

  U slučaju povrede osobnih podataka Škola će najkasnije u roku od 72 sata izvijestiti AZOP o povredi.

  Škola mora u što kraćem roku obavijestiti i osobe na čija bi prava i slobode mogao utjecati incident.

  Škola će odmah nakon ustanovljavanja proboja podataka poduzeti sve potrebne mjere da sanira ili umanji nastalu štetu.

  Informiranost

  Škola će osigurati da sve zainteresirane osobe budu pravovremeno i na prikladan način upoznate s obvezom prikupljanja osobnih podataka i uključivanja tih podataka u proces obrade sukladno  statusu Škole: Pravna osoba koja obavlja javnu službu.

  Za provođenje ove Politike odgovoran je ravnatelj Škole. Za eventualne nejasnoće može se kontaktirati Službenika za zaštitu podataka na: zoran@apsplit.hr; tel. 021/319-819.

  Ova Politika stupa na snagu danom donošenja.

  KLASA: 003-05/19-01/4 

  URBROJ: 2133-43-19-01

  Predsjednik Školskog odbora:

  Kruno Smolčić, bacc. physioth.

  U Karlovcu, 2.4.2019.godine

   Ravnateljica škole:

  Jasminka Štajcer mag.nov.