Suncani Hvar Hotels

Sažetak

Politika zaštite podataka (“Politika zaštite podataka”) određuje pravila zaštite osobnih podataka u društvu SUNČANI HVAR d.d., Ive Miličića 3, 21 450 Hvar, OIB 29834131149 (“Društvo”). Određuju pravila zaštite osobnih podataka i odnosi se na pravila o zaštiti podataka propisana GDPR-om i drugim nacionalnim propisima o zaštiti osobnih podataka.

Društvo ozbiljno shvaća zaštitu osobnih podataka i postupa s osobnim podacima s opreznošću i odgovornošću pri izvršavanju svih poslovnih aktivnosti. Povreda zaštite osobnih podataka može rezultirati ozbiljnim zakonskim i ekonomskim posljedicama za Društvo, zaposlenike i davatelje podataka. Može također uzrokovati štetu ugledu Društva. Provedbom ove Politike zaštite podataka unutar Društva, rizici koji proizlaze iz povrede zaštite podataka bit će minimizirani.
 

Obavijest o obradi osobnih podataka

Područje primjene

Politika zaštite osobnih podataka je obvezujuća za Društvo i sve zaposlenike Društva. Odnosi se na svu obradu osobnih podataka na koju se primjenjuje GDPR i nacionalno zakonodavstvo.  

1.   Postupci i kompetencije

Sljedeći članci opisuju postupke koje poštuje Društvo pri obradi osobnih podataka. Osim toga, daje i kratak opis podjele kompetencija i ključnih uloga u Društvu u područje obrade osobnih podataka.

1.1    Opća obveza

Društvo je poduzelo i nastavit će poduzimati tehničke i organizacijske mjere da bi osiguralo zaštitu osobnih podataka od zloupotrebe, gubitka i štete, i obradu u skladu s GDPR-om i nacionalnim zakonodavstvom za područje zaštite podataka. Zaštita podataka primjenjuje se na obradu osobnih podataka partnera, zaposlenika, njihovih članova obitelji, kao i kandidata za posao, klijenata i drugih pojedinaca čije osobne podatke Društvo obrađuje.

1.2     Osnovna načela zaštite osobnih podataka

Društvo poštuje osnovna načela propisana GDPR-om pri obradi osobnih podataka. Odgovarajuća osnovna načela navedena su niže:

• Načelo zakonitosti – obrada osobnih podataka se mora uvijek temeljiti na najmanje jednoj zakonskoj osnovi;
• Načelo ograničenosti svrhom – osobni podaci mogu se obrađivati samo zbog prethodno definiranih opravdanih svrha;
• Načelo minimalnog unosa podataka – za svaku legitimnu svrhu, samo ako je potrebno mogu se obraditi  bitni i odgovarajući osobni podaci;
• Načelo korektnosti i transparentnosti – otvorena i transparentna obrada podataka davatelja podataka;
• Načelo integriteta i povjerljivosti, primjena načela „potrebe za informacijama“ – provedba potrebnih organizacijskih i tehničkih mjera da bi se osiguralo ograničavanje pristupa osobnim podacima zbog sprječavanja neovlaštene ili nezakonite obrade;
• Načelo ispravnosti –obrada točnih i ažuriranih osobnih podataka;
• Režim upravljanja kontroliranim izmjenama – promjena trenutnog sustava obrade na novu metodu podliježe razmatranju službenika za zaštitu podataka ili voditelja i mogućoj naknadnoj pripremi za procjenu učinka zaštite podataka;
• Definiranje uloga/odgovornih osoba u zaštiti osobnih podataka u Društvu.

1.3    Zakonite osnove i svrhe obrade osobnih podataka

Obrada osobnih podataka uvijek se mora temeljiti na zakonitim osnovama, što uključuje pristanak za obradu osobnih podataka, sukladnost sa zakonskom obvezom, izvršenje ugovora, legitimni interes, javni interes ili zaštita interesa davatelja podataka.

1.4    Obrada posebnih kategorija osobnih podataka i podataka vezanih uz kaznene postupke

Posebne kategorije osobnih podataka i osobnih podataka vezanih uz kaznene postupke posebno su osjetljive, te se stoga primjenjuje viši stupanj zaštite. Prije svake obrade posebnih kategorija osobnih podataka mora se prvo posavjetovati sa Službenikom za zaštitu podataka.

1.5    Prijenos osobnih podataka

Društvo može omogućiti dostupnost osobnih podataka trećim osobama (uključujući prijenos osobnih podataka unutar grupe) pod određenim uvjetima. Osobni podaci mogu biti dostupni samo trećim osobama izvršiteljima, na temelju Ugovora o obradi osobnih podataka. Osobni podaci mogu biti dostupni drugoj trećoj osobi koja djeluje u svojstvu voditelja ili zajedničkog voditelja, na temelju odgovarajućih ugovora.

U slučaju zahtjeva za ispravak ili brisanje osobnih podataka ili ograničavanje obrade, u određenim okolnostima, Društvo obavještava određene treće osobe, kojima su osobni podaci bili dostupni, osim ako to nije izvedivo ili zahtjeva nerazmjeran trud. Društvo obavještava davatelja podataka o trećim osobama kojima su spomenuti osobni podaci bili otkriveni, samo ako to zatraži davatelj podataka.

Društvo može pod određenim uvjetima prenositi osobne podatke trećim zemljama izvan EEA ili Europske Unije ili međunarodnim organizacijama. Za procjenu zakonskih uvjeta pod kojima se prenose podaci trećim zemljama ili međunarodnim organizacijama, Društvo je ovlastilo Službenika za zaštitu podataka za savjetovanje.

1.6    Prava davatelja podataka

Društvo poduzima sve potrebne korake za provedbu prava davatelja podataka propisanih GDPR-om. Vezano uz obradu osobnih podataka, davatelji podataka imaju pravo pristupa osobnim podacima, pravo na ispravak podataka, pravo na ograničenje obrade, prenosivosti ili brisanja osobnih podataka, pravo na prigovor na obradu podataka i pravo da ne podliježu odlukama koje se temelje isključivo na automatskoj obradi osobnih podataka.

Davatelj podataka može zatražiti ostvarivanje prava putem pisanog ili usmenog zahtjeva. U svrhu osiguranja odgovarajuće zaštite osobnih podataka koje Društvo obrađuje i u svrhu sprječavanja zlouporabe osobnih podataka, Društvo je uvelo pravila za provjeru identiteta davatelja podataka, koja su navedena niže.

Pisani zahtjev

Radi ostvarivanja određenog prava pisanim putem, davatelj podataka mora ispuniti obrazac zahtjeva koji se nalazi u prilogu ove Politike zaštite osobnih podataka i koji je dostupan kod DPO-a. Potpis davatelja podataka na obrascu zahtjeva, mora biti službeno ovjeren. Svoj potpis možete ovjeriti u uredu javnog bilježnika, putem odvjetnika, u konzulatu ili u slučaju dostave zahtjeva e-mailom na adresu DPO-a, zahtjev možete ovjeriti elektroničkim potpisom. Ako se pisani zahtjev podnosi direktno u prostorijama Društva, ovjera potpisa nije potrebna, već je dovoljno da osobno pristupite uz predočenje valjane osobne iskaznice.

Usmeni zahtjev

Davatelj podataka može zatražiti ostvarivanje svojih prava osobno, u sjedištu Društva, na adresi: Ive Miličića 3, 21 450 Hvar, Hrvatska. Vaš identitet će utvrditi ovlašteni zaposlenik Društva (npr. na recepciji) na temelju predočenja jednog od sljedećih dokumenata: osobne iskaznice, putovnice ili drugog dokumenta sa slikom koji je prikladan da omogući Vašu jasnu identifikaciju.

Ostvarivanje prava davatelja podataka ne utječe na prava trećih osoba. Imajte na umu da ako Vaši zahtjevi budu očigledno neosnovani ili prekomjerni, osobito zbog njihovog ponavljajućeg karaktera, Društvo može zahtijevati razumnu naknadu koja ne prelazi potrebne troškove pružanja navedenih informacija ili pripreme za ostvarivanje Vaših prava u svrhu odgovaranja na Vaš zahtjev.

Društvo osigurava dostatnu komunikaciju i suradnju u svrhu obrade svih zaprimljenih zahtjeva u prikladnom roku. Odjeli Društva usko surađuju kako bi pružili određenom davatelju podataka odgovor u propisanim rokovima.

1.7    Uloge i odgovornosti

Društvo i njegova statutarna tijela su odgovorna za osiguranje usklađenosti sa GDPR-om i relevantnim nacionalnim zakonodavstvom o zaštiti podataka.

1.8    DPO

Društvo je imenovalo Službenika za zaštitu osobnih podataka (DPO) sa funkcionalnom i organizacijskom odgovornosti za usklađenost sa zakonskim propisima i internim aktima Društva o zaštiti osobnih podataka.

Službeniku za zaštitu osobnih podataka se možete obratiti e-mailom na: dataprotection@suncanihvar.com ili putem pošte na adresu: Ive Miličića 3, 21 450 Hvar, Hrvatska.

1.9    Odgovornosti nositelja obrade i svih zaposlenika

Svi nositelji obrade unutar Društva i svi zaposlenici su obvezni obrađivati osobne podatke u skladu sa internim aktima Društva, GDPR-om i drugim nacionalnim zakonodavstvom o zaštiti osobnih podataka.

1.10  Obavijest o povredi zaštite osobnih podataka

Društvo odmah prijavljuje svako navodno kršenje sigurnosti osobnih podataka DPO-u, a u svakom slučaju unutar roka od 24 sata. Ako povreda zaštite osobnih podataka ispunjava uvjete za prijavu nadležnom nadzornom tijelu i/ili davatelju podataka, DPO izvršava tu obvezu unutar roka od 72 sata od nastanka povrede osobnih podataka.

1.11  Brisanje osobnih podataka

Društvo obrađuje osobne podatke samo na određeno potrebno razdoblje. Društvo je obvezno brisati i anonimizirati osobne podatke, ponajviše ako je:

• svrha za koju su osobni podaci obrađeni istekla i nema druge opravdane svrhe;
• osobni podaci više nisu potrebni za svrhe za koje su prikupljeni ili drugačije obrađeni; 
• davatelj podataka povuče privolu na temelju koje su osobni podaci obrađeni i nema drugog zakonskog razloga za obradu;
• davatelj podataka se protivi obradi i nema drugih opravdanih razloga za obradu, ili
• osobni podaci su nezakonito obrađeni.

Društvo se brine o poštivanju potrebnih sigurnosnih mjera za vrijeme brisanja ili anonimizacije podataka.

1.12  Objava osobnih podataka u medijima i na intranetu

Društvo može objaviti osobne podatke  na intranetu, internetu ili drugim medijima samo uz privolu davatelja podataka, osim ako postoji druga zakonska osnova u specifičnim slučajevima.

2.   Osnovni pojmovi/Kratice

2.1 Davatelj podataka

Identificiran ili pojedinac koji se može identificirati čiji su osobni podaci obrađeni; identificirajući pojedinac je osoba koja se može identificirati bilo, izravno ili neizravno, koristeći točno određeni identifikator, kao što je ime, identifikacijski broj, podaci o lokaciji, online identifikacijska oznaka ili jedan ili više posebnih elemenata fizičkog, fiziološkog, genetskog, psihičkog, ekonomskog, kulturnog ili socijalnog identiteta pojedinca.  

2.2 Voditelj obrade

Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo, koje, sam ili zajednički s drugima, određuje svrhe i sredstva obrade osobnih podataka.

2.3 Izvršitelj

Fizička ili prava osoba javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime i za račun voditelja obrade.

2.4 Osobni podaci

Svaki podatak o identificiranoj osobi ili osobi koja se može identificirati.

2.5 Posebne kategorije osobnih podataka 

Osobni podaci koji pružaju informacije o rasnom ili etničkom porijeklu, političkom mišljenju, religijskim ili filozofskim uvjerenjima ili članstvu u sindikatu te obrada genetskih podataka, biometrijskih podataka za svrhe jedinstvenog identificiranja fizičkih osoba, podataka vezanih uz seksualni život ili seksualnu orijentaciju fizičke osobe.

2.6 Nacionalni zakonski propisi o zaštiti podataka zemalja članica.

Zakonski propisi o zaštiti osobnih podataka usvojeni u zemljama članicama u skladu s GDPR-om. 

2.7 GDPR

Uredba (EU) 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba vezano uz obradu osobnih podataka i o slobodnom kretanju takvih podataka, te stavljanje izvan snage Direktive br. 95/46/EC (Uredba o zaštiti općih podataka).

2.8 Obrada osobnih podataka

Svaka radnja ili skup radnji koje se obavljaju na osobnim podacima ili na skupu osobnih podataka, bilo automatiziranim putem, kao što je prikupljanje, evidencija, organizacija, strukturiranje, pohrana, usvajanje ili izmjena, ponovno prikupljanje, savjetovanje, upotreba, otkrivanje prijenosom, širenje ili drugačija metoda omogućavanja dostupnosti podataka, usklađivanje ili kombinacija, ograničavanje, brisanje ili uništavanje.

2.9 DPO

Službenik za zaštitu podataka (DPO)

2.10 Anonimizirani podaci

Podaci koji se ne odnose na identificiranu ili osobu koja se može identificirati, uključujući anonimizirane osobne podatke, tako da se davatelj podataka ne može identificirati ili da prestaje mogućnost identificiranja.

2.11 Treće osobe

Svaka pravna osoba koja nije zaposlenik Društva, osim davatelja podataka.

2.12 Privola

Svaka dobrovoljno dana, specifična, informirana i jasna odluka davatelja podataka, kojom se on ili ona slaže  s obradom osobnih podataka, koji se odnose na njega ili nju.

Prilog 1. – Obrazac zahtjeva

GDPR Obrazac zahtjeva za davatelje osobnih podataka

Obavijest o obradi osobnih podataka

Napomene:

• Molimo ispunite ovaj obrazac čitko.
• Netočni, nečitki ili nepotpuni podaci mogu uzrokovati netočnu obradu ili odbacivanje zahtjeva.
• U svrhu obrade zahtjeva, davatelj podataka mora biti jasno identificiran na jedan od sljedećih načina:
  • Ovjera potpisa u slučaju podnošenja pisanog zahtjeva poštom;
  • Identifikacija davatelja podataka uz predočenje identifikacijskog dokumenta u slučaju podnošenja zahtjeva fizički u objektu,
  • Ovjera elektroničkim putem pošiljatelja - davatelja podataka.
• Zahtjev može biti poslan preko pošte na registrirano sjedište društva ili fizički podnesen u sjedištu društva unutar uobičajenog radnog vremena.
• Zahtjev mora uvijek biti označen kao „GDPR zahtjev“ (npr. na omotnici), inače se obrada zahtjeva može oduljiti.
• U slučaju zastupanja davatelja podataka, molimo priložite dokument na kojem se temelji zastupanje davatelja podataka (npr. punomoć).
• Email nije obavezan, ali olakšava obradu zahtjeva.

U slučaju bilo kakvih pitanja vezanih uz GDPR zahtjev, obratite se na adresu: dataprotection@suncanihvar.com. Imajte na umu da email komunikacija nije 100% siguran način komunikacije te njezina sigurnost, izvor i isporuka nije zajamčena.