Temeljem odredaba Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ ( (u daljnjem tekstu: Opća uredba o zaštiti podataka), Zakona o provedbi Opće uredbe o zaštiti podataka (NN, broj 42/18.) i članka 56. Statuta Osnovne škole Šimuna Kožičića Benje -Zadar, Školski odbor na sjednici, održanoj dana 05. lipnja 2020. godine, donio je

PRAVILNIK O OBRADI I ZAŠTITI OSOBNIH PODATAKA

Članak 1.

Ovim Pravilnikom definiraju se pravila za zaštitu osobnih podataka koja se primjenjuju u svim obradama osobnih podataka koje provodi Osnovna škola Šimuna Kožičića Benje – Zadar (u daljnjem tekstu: Voditelj obrade), a na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016., o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Uredba) i Zakona o provedbi Opće uredbe o zaštiti podataka (NN br. 42/2018) (u daljnjem tekstu: Zakon).

Izrazi koji se koriste u ovom Pravilniku, a koji imaju rodno značenje, bez obzira na to jesu li korišteni u muškom ili ženskom rodu, obuhvaćaju na jednak način muški i ženski rod.

U skladu sa Općom uredbom pojedini izrazi u ovom Pravilniku imaju sljedeće značenje:

Osobni podaci – svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

Obrada – znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

Voditelj obrade – znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

Izvršitelj obrade – fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje  obrađuje osobne podatke u ime Voditelja obrade;

Primatelj – znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravo Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

Treća strana – znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

Privola ispitanika – znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

Povreda osobnih podataka znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili su na drugi način obrađivani.

Članak 2.

Posebne kategorije podataka

Posebnu kategoriju osobnih podataka predstavljaju podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

Osobne podatke iz stavka 1. ovog članka Voditelj obrade ne smije obrađivati osim:

  • da je ispitanik dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha,
  • da je obrada nužna za potrebe izvršavanja zakonskih obveza,
  • kada je obrada nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu,
  • kada se obrada odnosi na osobne podatke za koje je očito da ih je objavio ispitanik,
  • kada se obrada provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tih tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika.

Članak 3.

Nadzorno tijelo u smislu odredbe članka 51. Opće uredbe o zaštiti podataka je Agencija za zaštitu osobnih podataka (AZOP).

Članak 4.

Voditelj obrade se pridržava općih pravila vezano uz zaštitu osobnih podataka koja su definirana  Općom uredbom o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka.

Osobe ovlaštene za obradu osobnih podataka

Članak 5.

U sklopu obavljanja svojih svakodnevnih zadaća, a u provođenju svoje djelatnosti, Škola kao voditelj obrade osobnih podataka obrađuje osobne podatke učenika, djelatnika i drugih fizičkih i pravnih osoba koji na bilo koji način ostvaruju određenu suradnju sa Školom, a do čijih osobnih podataka Škola može doći.

Obradu osobnih podataka, a u sklopu obavljanja svojih svakodnevnih radnih obveza, u Školi provode: ravnatelj, tajnik, voditelj računovodstva, psiholog, pedagog, defektolog, knjižničar, učitelji i drugi radnici sa zakonskim ovlaštenjem.

Obrada osobnih podataka u Školi vrši se temeljem zakonske obveze, ugovorne obveze ili privole ispitanika.

Načela obrade osobnih podataka

Članak 6.

Osobni podaci obrađuju se isključivo u skladu s Općom uredbom o zaštiti podataka. Prema tome, osobni podaci moraju biti:

  • zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”);
  • prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);
  • primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);
  • točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);
  • čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);
  • obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);
  • Voditelj obrade odgovoran za poštivanje načela i  teret dokaza je na njemu („načelo pouzdanosti“)  

Zakonitost obrade

Članak 7.

Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega

  • ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  • obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  • obrada je nužna radi poštovanja pravnih obveza Voditelja obrade;
  • obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  • obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti Voditelja obrade;
  • obrada je nužna za potrebe legitimnih interesa Voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Voditelj obrade će za obradu osobnih podataka tražiti privolu ispitanika samo u onim slučajevima kada ne postoji neka druga osnova za zakonitost obrade podataka. Ispitanik ima pravo u svakom trenutku povući privolu.

Članak 8.

Prava ispitanika obuhvaćaju:

Pravo na pristup podacima – Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi podaci obrađuju, pristup osobnim podacima i informacije, među ostalim, o obrađenim osobnim podacima, o svrsi obrade, roku pohrane, iznošenju u treće zemlje i drugim podacima.

Pravo na ispravak podataka – Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave

Pravo na brisanje („pravo na zaborav“) – Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose, te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja, osim ako postoji opravdani razlog (npr. pravna obveza voditelja obrade)

Pravo na ograničenje obrade podataka – u pojedinim situacijama kada je točnost podataka osporavana ili kada pravo na brisanju ispitanik želi da voditelj obrade zadrži njegove podatke, ispitanik ima pravo zahtijevati da se obrada ograniči uz iznimku pohrane i nekih drugih vrsta obrade uz obvezu točnog navođenja osobnih podataka za koje se traži ograničenje obrade.

Pravo na prenosivost podataka – Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Voditelja obrade, ako se obrada provodi automatiziranim putem i temelji na privoli ili ugovoru

Pravo na prigovor – ispitanik ima pravo uložiti prigovor na obradu osobnih podataka ako se ista ne temelji na zadaće od javnog interesa, na izvršavanje službenih ovlasti Voditelja obrade ili na legitimne interese Voditelja obrade.

U slučaju uloženog prigovora, Voditelj obrade ne smije više obrađivati osobne podatke ispitanika osim ako dokaže da legitimni razlozi za obradu nadilaze interese ispitanika te radi zaštite pravnih zahtjeva.

Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (profiliranje) –  ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i Škole, ako je dopuštena zakonom kojim se propisuju odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika ili temeljena na izričitoj privoli ispitanika.

Evidencija aktivnosti obrade osobnih podataka

Članak 9.

Voditelj obrade osobnih podataka ima obvezu voditi evidenciju aktivnosti obrade pod uvjetima iz  članka 30. Opće uredbe o zaštiti podataka. Opća uredba ne propisuje poseban obrazac evidencije aktivnosti obrade. 

 U školi je uspostavljena Evidencija aktivnost obrada osobnih podataka. Ta evidencija sadrži slijedeće bitne elemente obrade:

  • Podatke o Voditelju obrade i službeniku za zaštitu podataka,
  • odgovorna osoba Voditelja obrade,
  • svrha obrade,
  • pravni temelj obrade
  • opis kategorija ispitanika i kategorija osobnih podataka,
  • kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni,
  • prijenos osobnih podataka u  treće zemlje, ako je primjenjivo
  • predviđene rokove čuvanja podataka
  • opis tehničkih i organizacijskih sigurnosnih mjera za zaštite podataka
  • druge potrebne elemente obrade nužne za vođenje evidencije o aktivnostima obrade

Upravljanje povredama/incidentima u vezi osobnih podataka

Članak 10.

Cilj svih poduzetih mjera vezanih uz zakonitost i sigurnost obrade osobnih podataka je izbjegavanje povreda/incidenata. U slučaju da se dogodi povreda/incident , postupanje u slučaju povrede/incidenta u vezi osobnih podataka opisano je u Proceduri za postupanje u slučaju povrede osobnih podataka. Sve eventualne povrede evidentiraju se u Evidenciji povreda osobnih podataka, te se prema potrebi izvješćuju ispitanici i/ili nadzorno tijelo.

Izvješćivanje nadzornog tijela

Ukoliko dođe do povrede osobnih podataka, a postoji vjerojatnost da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika, Škola je obvezna bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije u roku od 72 sata nakon saznanja o toj povredi izvijestiti nadzorno tijelo o povredi osobnih podataka.

Ukoliko se propusti rok iz stavka 1. ovog članka, Škola je u obvezi naknadno izvijestiti nadzorno tijelo o povredi osobnih podataka te obrazložiti razloge kašnjenja.

Izvješće iz stavka 1. ovog članka treba minimalno sadržavati:

  • opis povrede uz informacije o ispitanicima i povrijeđenim osobnim podacima,
  • opis mogućih posljedica povrede,
  • opis mjera koje su poduzete ili predložene za rješavanje povrede te
  • ime i prezime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od kojih je moguće dobiti više potrebnih informacija.

Izvješćivanje Ispitanika

U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, Voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka. Voditelj obrade nije u obvezi obavijestiti ispitanika o povredi osobnog podatka ako je ispunjen bilo koji od slijedećih uvjeta:

  • ako je Škola poduzela odgovarajuće tehničke i organizacijske mjere zaštite kojima je spriječila korištenje povrijeđenih osobnih podataka (npr. enkripcija),
  • ako je Škola poduzela naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika,
  • ako se osobni podataka odnosi na veliku skupinu ispitanika i njihovo obavještavanje bi zahtijevao nerazmjeran napor.

U slučaju navedenom u stavku 1. točka 3. ovog članka mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

Organizacijske i tehničke mjere zaštite osobnih podataka 

Članak 11.

Voditelj obrade dužan je poduzimati tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja, kao i od neovlaštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake drugo zloupotrebe, te utvrditi obvezu osoba koje provode obradu osobnih podataka, na čuvanje tajnosti podataka odnosno potpisivanje Izjave o povjerljivosti koja se može uglaviti u ugovor o radu.

Članak 12.

Da bi se izbjegao neovlašteni pristup osobnim podacima, podaci u pisanom obliku čuvaju se u registratorima, a koji registratori se nalaze sefovima ili zaključanim ormarima, u prostorijama koje se zaključavaju i kojima imaju pristup samo ovlaštene osobe.

Pristup osobnim podacima koji su pohranjeni u elektroničkom obliku dozvoljen je samo ovlaštenim osobama uz korištenje korisničkog imena i lozinke.

Voditelj obrade dužan je na svim računalima instalirati antivirusni program koji se redovito obnavlja. Svi radnici koji u radu koriste računala upoznati su sa osnovama sigurnog rada na računalima i obvezom da se ne otvaraju e-mail poruke nepoznatih pošiljatelja i sumnjivog sadržaja i obvezom da se koristi samo licencirani softver koji odobri nadležna osoba Voditelja obrade.

U Školi se osobni podaci čuvaju na način, u postupku, odgovornostima i rokovima koji su utvrđeni Pravilnikom o zaštiti i obradi arhivskog gradiva te Posebnog propisa gradiva s rokovima čuvanja Škole kao i drugim provedbenim propisima.

Članak 13.

Voditelj obrade  je imenovao službenika za zaštitu osobnih podataka.

Službenik za zaštitu podataka isključivo odgovara odgovornoj osobi Voditelja obrade.

Voditelj obrade je javno objavio kontakt podatke službenika za zaštitu osobnih podataka na svojim web stranicama. Službenik za zaštitu osobnih podataka dužan je čuvati povjerljivost svih informacija koje sazna u obavljanju svoje dužnosti.

 

Članak 14.

Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:

  • informirati i savjetovati Voditelja obrade, ili izvršitelja obrade te radnike škole, koji obavljaju obradu, o njihovim obvezama iz Opće uredbe o zaštiti podatak te drugim propisima glede zaštite podataka,
  • pratiti poštivanje Opće uredbe o zaštiti podatak te drugih propisa o zaštiti podataka i politika u školi u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije,
  • pružati savjete, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. Opće uredbe o zaštiti podataka,
  • suradnja s nadzornim tijelom,
  • djelovati kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. Opće uredbe o zaštiti podataka te savjetovanje, prema potrebi, o svim drugim pitanjima,
  • Ispitanicima, a temeljem njihova zahtjeva, dati odgovor na sva njihova pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Opće uredbe o zaštiti podataka.

Članak 15.

U Školi se osobni podaci čuvaju na način, u postupku, odgovornostima i rokovima koji su utvrđeni Pravilnikom o zaštiti i obradi arhivskog gradiva te Posebnog propisa gradiva s rokovima čuvanja Škole kao i drugim provedbenim propisima.

Članak 16.

  U dijelu o zaštiti, nadzoru nad prikupljanjem, obradi i korištenju osobnih podataka koji nije uređen ovim Pravilnikom, neposredno se primjenjuje Opća uredba o zaštiti osobnih podataka (GDPR)

Članak 17.

Ovaj Pravilnik stupa na snagu danom donošenja i bit će objavljen na oglasnoj ploči Voditelja obrade.

KLASA: 602-01/20-01/111  

URBROJ: 2198/01-26/20-01

Zadar, 05. lipnja 2020. godine

Predsjednik Školskog odbora

Lidija Lazanja

Ovaj Pravilnik objavljen je na oglasnoj ploči Škole dana 08. lipnja 2020. godine.

                                                            Ravnatelj:

                                                                            Dražen Adžić, prof.

 

OŠ Šimuna Kožičića Benje Zadar