Na temelju članka 52. točke 23. Statuta Primorsko- goranske
županije(»Službene novine« broj 23/09, 9/13, 25/ 13 - pročišćeni tekst, 5/18 i
8/18-pročišćeni tekst) i članka 25. Poslovnika o radu Župana Primorsko-goranske
županije (»Službene novine« broj 23/14, 16/15, 3/16 i 19/16-pročišćeni tekst),
Župan Primorsko-goranske županije dana 17. rujna 2018. godine, donio je
Članak 1.
Primorsko-goranska županija (dalje u tekstu: Županija) je temeljem Opće
uredbe o zaštiti podataka (EU) 2016/ 679 (u nastavku: Uredba) i Zakona o
provedbi Opće uredbe o zaštiti podataka (Narodne novine br: 42/18) (u nastavku:
Zakon) dužna nadzirati prikupljanje, obradu, korištenje i zaštitu osobnih
podataka svih fizičkih osoba čiji se podaci prikupljaju i koriste.
Ovaj Pravilnik propisuje koji se podaci prikupljaju, na koji način se
obrađuju, u koje se svrhe upotrebljavaju, prava osoba čiji se osobni podaci
prikupljaju i koriste, odgovornost osoba koje prikupljaju i obrađuju osobne
podatke, te mjere zaštite i unutarnjeg nadzora.
Članak 2.
»Osobni podatak« označava sve podatke koji se odnose na pojedinca čiji je
identitet utvrđen ili se može utvrditi (»ispitanik«); pojedinac čiji se
identitet može utvrditi jest osoba koja se može identificirati izravno ili
neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski
broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više
čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski,
kulturni ili socijalni identitet tog pojedinca
Članak 3.
Osobni podaci prikupljaju se u svrhu izvršavanja zakonskih obaveza Županije,
radi ispunjenja obveza od javnog interesa i izvršavanja javnih ovlasti, odnosno
u svrhu obavljanja poslova iz samoupravnog djelokruga županije kojima se
neposredno ostvaruju potrebe građana.
Članak 4.
Županija prikuplja i obrađuje sljedeće osobne podatke:
a) temeljne osobne podatke: ime i prezime, adresa, osobni identifikacijski
broj (OIB), datum rođenja, spol, podatke za kontakt (adresa, e-pošte, broj
telefona), informacije o vrsti ugovornog odnosa i sadržaju;
b) ostale osobne podatke, koje Ispitanik ili treće osobe stavljaju na
raspolaganje prilikom zasnivanja i/ili tijekom trajanja radnog odnosa ili
zasnivanja drugih vrsta ugovornih i drugih odnosa, kao što su podaci iz osobne
iskaznice, bankovni račun, stručna sprema, druga znanja i vještine.
Obrada posebne kategorije osobnih podataka (o rasnoj ili etničkoj
pripadnosti, političkim ili vjerskim nazorima ili svjetonazoru, genetički
podaci ili podaci o zdravstvenom stanju) obavlja se sukladno čl. 9. Uredbe.
Osobni podaci uzimaju se neposredno od ispitanika usmeno, pisanim putem ili
iz drugih izvora.
Članak 5.
Županija kao voditelj obrade, ako je primjenjivo, mora voditi i Evidenciju
aktivnosti sukladno čl.30.st.1. Uredbe, aevidencija aktivnosti obrade sadrži
najmanje sljedeće podatke:
a) ime i kontaktne podatke voditelja obrade i, ako je primjenjivo,
zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za
zaštitu podataka
b) svrhu obrade
c) opis kategorija ispitanika i kategorija osobnih podataka
d) kategorije primatelja kojima su osobni podaci otkriveni ili će im biti
otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije
e) ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili
međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili
međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1.
podstavka 2. Uredbe, dokumentaciju o odgovarajućim zaštitnim mjerama
f) ako je to moguće, predviđene rokove za brisanje različitih kategorija
podataka;
g) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz
članka 32. stavka 1. Uredbe.
Članak 6.
Županija osobne podatke obrađuje samo ako je ispunjen najmanje jedan od
sljedećih uvjeta:
a) da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili
više posebnih svrha
b) da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka
c) da je obrada nužna radi poštovanja pravnih obveza Županije
d) da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili
druge fizičke osobe
e) da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri
izvršavanju javnih ovlasti Županije
f) da je obrada nužna za potrebe legitimnih interesa Županije ili treće
strane, osim u slučaju kada su od tih interesa jači interesi ili temeljna prava
i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je
ispitanik dijete
Točka (f) stavka 1. ovoga Pravilnika ne odnosi se na obradu koju provodi
Županija pri izvršavanju svojih zadaća.
Članak 7.
Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se
jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih
tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima
iz Uredbe i da se njome osigurava zaštita prava ispitanika.
Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez
prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade.
Izvršitelj obrade obrađuje osobne podatke samo prema uputama voditelja, te
mora osigurati da se osobe ovlaštene za obradu obvežu na povjerljivost
potpisivanjem Izjave o povjerljivosti, a koja je sastavni dio ovog Pravilnika.
Članak 8.
Voditelj obrade sakuplja osobne podatke koji se odnose na:
- službenike i namještenike
- izvršno tijelo, članove predstavničkog tijela i članove radnih tijela
izvršnog i predstavničkog tijela
- građane
Članak 9.
Osobe koje prikupljaju osobne podatke od ispitanika uime i za račun
voditelja obrade dužne su mu predati:
a) Izjavu o zaštiti osobnih podataka (OB-IOZOP)
b) u slučaju akoje za obradu pojedinog osobnog podatka potreba privola dužni
su prije obradeosobnog podataka istu ishoditi.
III. PRIVOLA I ČUVANJE OSOBNIH PODATAKA
Članak 10.
Privola kojom ispitanik Županiji daje pristanak za obradu osobnih podataka
koji se na njega odnose jest dobrovoljna, u pisanom obliku s lako razumljivim,
jasnim i jednostavnim jezikom i jasno naznačenom svrhom za koju se daje.Privola
može biti sadržana u zasebnom obrascu, dodana na već postojeći obrazac, a
također može biti u sklopu ugovora i sl.
Ako se radi o obradi osobnih podataka djeteta ispod dobne granice od 16
godina, privolu na način opisan u stavku 1. ovog članka daje nositelj roditeljske
odgovornosti nad djetetom (roditelj ili zakonski skrbnik djeteta).
Članak 11.
Županija osobne podatke obrađuje isključivo na način kojim se osigurava
odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili
nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom
odgovarajućih tehničkih i organizacijskih mjera.
Županija osobne podatke čuva sukladno Planu klasifikacijskih oznaka
pojedinog predmeta, odnosno samo onoliko dugo koliko je potrebno u svrhe radi
kojih se osobni podaci obrađuju.
Iznimno od stavka 2. ovoga članka, osobni podaci mogu se pohraniti na dulje
razdoblje, ali samo ako će se isti obrađivati isključivo u svrhe arhiviranja u
javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u
statističke svrhe.
IV.DAVANJE OSOBNIH PODATAKA NA
KORIŠTENJE DRUGIM KORISNICIMA
Članak 12.
Osobni podaci koje prikuplja i obrađuje Županija daju se na korištenje na
temelju pisanog zahtjeva drugim korisnicima ako je to potrebno radi obavljanja
poslova u okviru zakonom utvrđene djelatnosti takvog korisnika.Prije davanja
osobnih podataka na korištenje drugim korisnicima Županija će o
tomeobavijestiti ispitanika (usmeno, elektronskim putem).
O osobnim podacima koji su dani na korištenje drugom korisniku, o drugom
korisniku i o svrsiza koju su dani podaci vodi se posebna evidencija.
V. PRAVA ISPITANIKA
Članak 13.
U postupku obrade osobnih podataka Županija na odgovarajući način (pisano
ili izravno usmeno) ispitaniku pruža sve informacije vezano uz obradu njegovih
osobnih podataka, a osobito o svrsi obrade podataka, pravnoj osnovi za obradu
podataka, legitimnim interesima Županije, namjeri predaje osobnih podataka
trećim osobama, razdoblju u kojem će osobni podaci biti pohranjeni, o
postojanju prava ispitanika na pristup osobnim podacima te na ispravak ili
brisanje osobnih podataka i ograničavanje obrade, prava na ulaganje prigovora i
dr.
Članak 14.
Županija će odmah, a najkasnije u roku od 30 dana od dana podnošenja
zahtjeva ispitanika ili njegovog zakonskog zastupnika ili punomoćnika pružiti
informacije o poduzetim radnjama iz članka 15. do 22. Uredbe (pravo pristupa
informacijama, ispravke i brisanja, ograničenja obrade, izvješćivanja,
prenosivosti podataka, pravo na prigovor i donošenje odluka automatiziranim
obradama).
Rok iz stavka 1. ovog članka može se prema potrebi produljiti za dodatnih60
dana, uzimajući u obzir složenost i broj zahtjeva.
Županija obavještava ispitanika o svakom takvom produljenju u roku od 30
dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
Ako je zahtjev ispitanika podnesen elektroničkim putem, informacija se pruža
elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.
O razlozima odbijanja zahtjeva ispitanika iz stavka 1. ovog članka Županija
će bez odgađanja, a najkasnije u roku od 30 dana od primitka zahtjeva,
izvijestiti ispitanika o razlozima odbijanja zahtjeva.
Članak 15.
Ispitanik koji smatra da je Županija povrijedila neko njegovo pravo
zajamčeno Uredbom ima pravo podnijeti zahtjev za utvrđivanje povrede prava
nadležnom tijelu sukladno Zakonu.
VI. MJERE ZAŠTITE I UNUTARNJEG NADZORA
Članak 16.
Županija će poduzeti sve potrebne tehničke, administrativne i fizičke mjere
zaštite osobnih podataka kako bi se podaci zaštitili od neovlaštenih pristupa i
moguće zlouporabe.
Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom
obliku čuvat će se u zaključanim ormarima/službenim prostorijama, a podaci u
računalu zaštićuju se dodjeljivanjem korisničkog imena i lozinke koja je
poznata samo službenicima zaduženim za obradu podataka.
Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i
dalje obrađivati u skladu s Uredbom i uz posebne mjere zaštite propisane
posebnim zakonima.
Nadzor nad provedbom postupanja sukladno zahtjevima Uredbe, Zakona i ovog
Pravilnika provodit će unutarnja revizija te auditori (ISO 9001/ISO 27001)
sukladno svojim planovima.
Pisana izvješća o nadzoru dostavit će se izvršnom tijelu Županije sukladno
važećim planskim i izvještajnim dokumentima.
VII.SLUŽBENIK ZA ZAŠTITU OSOBNIH
PODATAKA
Članak 17.
Župan donosi odluku o imenovanju službenika za zaštitu osobnih podataka.
Službenik za zaštitu osobnih podataka ima odgovarajuća stručna znanja u
skladu s člankom 37. točkom 5. Uredbe, a imenuje se iz redova službenika
Županije.Kontakt podaci službenika za zaštitu osobnih podataka dostupni su na
web stranicama Županije.
Službenik za zaštitu osobnih podataka dužan je čuvati povjerljivost svih
informacija koje sazna u obavljanju svoje dužnosti.
Prije prikupljanja bilo kojih osobnih podataka, službenici Županije dužni su
informirati ispitanika čiji se podaci prikupljaju o kontakt podacima službenika
za zaštitu osobnih podataka.
O svakoj povredi zaštite osobnih podataka, odnosno poduzetim korektivnim
radnjama, svako upravno tijelu Županije dužno je pisanim putem izvijestiti
službenika za zaštitu osobnih podataka.
Članak 18.
Službenik za zaštitu osobnih podataka ne smije biti:
a) Župan i njegovi zamjenici,
b) pročelnik,
c) službenik ili namještenik koji prikuplja i obrađuje osobne podatke,
d) voditelj Službe za odnose s javnošću i protokol,
e) voditelj Službe za pravne, kadrovske i ustrojstvene poslove,
f) voditelj Službe za informatičke poslove,
g) i osoba koja nasvojem položaju utvrđuje svrhu i način obrade osobnih
podataka.
VIII.ODGOVORNOST OSOBE KOJA PRIKUPLJA I OBRAĐUJE OSOBNE PODATKE
Čanak 19.
Stručno i administrativno osoblje Županije koje prikuplja i obrađuje osobne
podatke a koje je imenovano i određeno od Voditelja obrade dužno je:
a)postupati u skladu s Uredbom, ovim Pravilnikom i ostalim aktima i odlukama
koje se odnose na osobne podatke ispitanika,
b)poduzeti sve mjere zaštite osobnih podataka koje su potrebne da bi se
osobni podaci zaštitili od slučajnog gubitka ili uništenja, od nedopuštenog
pristupa ili nedopuštene promjene, nedopuštenog objavljivanja i svake druge
zlouporabe,koji propust čini osobito tešku povredu radne obveze zbog koje se
može izreći izvanredni otkaz radnog odnosa prema osobi počinitelju.
Osobe iz stavka 1. ovoga članka dužne su u roku od 30 dana od dana stupanja
na snagu ovog Pravilnika potpisati Izjavu o povjerljivosti (OB-IOP) kojom će se
obvezati:
a) da će čuvati povjerljivost svih osobnih podataka na kojima imaju pravo i
ovlast pristupa, a koje se nalaze u zbirkama osobnih podataka,
b) da će osobne podatke koristiti isključivo u točno određenu (propisanu)
svrhu,
c) da će se s osobnim podacima služiti onoliko vremena koliko je to nužno za
ostvarenjesvrhe za koju su uzeti te ih neću dalje obrađivati u neku drugu
svrhu,
d) da osobne podatke na kojima imaju pravo i ovlast pristupa neće
dostavljati/davati nakorištenje niti na bilo koji drugi način učiniti
dostupnima trećim (neovlaštenim)osobama, te
e) da će povjerljivost osobnih podataka čuvati i nakon prestanka ovlasti
pristupa osobnimpodacima.
Izjava o povjerljivosti (OB-IOP) sastavni je dio ovog Pravilnika.
VIII. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 20.
Za pitanja koja nisu uređena ovim Pravilnikom primjenjuju se odredbe Uredbe
(EU) broja2016/679 Europskog parlamenta i vijeća od dana 27. travnja 2016.
godine o zaštiti pojedincau vezi s obradom osobnih podataka i o slobodnom
kretanju takvih podataka, Zakonom o provedbi Opće uredbe o zaštiti podataka
(Narodne novine broj 42/ 18)i ostalih pozitivnih zakonskih propisa Republike
Hrvatske koji uređuju provedbu Uredbe ili se odnose na osobne podatke koji su
na snazi.
Članak 21.
Ovaj Pravilnik objavit će se u »Službenim novinama Primorsko-goranske
županije«, a stupa na snagu 1. listopada 2018. godine.
KLASA: 022-04/18-01/32
URBROJ: 2170/1-01-01/5-18-5
Rijeka, 17. rujna 2018.
Ž u p a n
Zlatko Komadina, dipl.ing.
