1. О ОВОЈ ПОЛИТИЦИ

СЦ 1ТП58Т СРЛ је обавезан, као део своје друштвене одговорности, да се придржава међународног права о заштити података, Уредба (ЕУ) 2016/679 о заштити физичких лица у вези са обрадом личних података и о слободном кретању таквих података и о стављању ван снаге Директиве 95/46/ЕЗ. Ова политика се заснива на важећем европском законодавству и румунским директивама о заштити података. Заштита података је основа за односе поверења – како на нивоу запослених, тако и за односе са пословним партнерима.

Ова директива садржи преглед најрелевантнијих прописа о заштити података које морају да поштују руководство и запослени у оквиру RHEIN VISION. Поступак заштите података RHEIN VISION је такође доступан свим запосленима за информације и објашњења о теми заштите података.

2. ПОЈМОВИ И ДЕФИНИЦИЈЕ

Важећи прописи о заштити података (у даљем тексту: Закон о заштити података) користе сопствену терминологију. Ово омогућава сажета објашњења у тексту и побољшава читљивост.

У овој политици заштите података користимо следеће термине:

Лични подаци – било која информација која се односи на идентификовано или идентификовано физичко лице („субјект података”). Идентификовано физичко лице је оно које се може идентификовати, директно или индиректно, посебно позивањем на идентификатор као што је име, идентификациони број, подаци о локацији, онлајн идентификатор или на један или више фактора специфичних за физички, генетски, ментални, економски, културни или друштвени идентитет тог физичког лица.

Закон о заштити података односи се на употребу „личних података”, тј. свих информација о физичком лицу чији је идентитет одређен или се може утврдити. Такве информације могу бити име, датум рођења, адреса, број телефона, ИП адреса итд. Детаљи о општем понашању или навикама особе (нпр. вредносни судови), као и фотографије и слике снимљене надзорном камером такође су лични подаци.

Стога, кад год се информација може приписати физичком лицу, мора се претпоставити примена закона о заштити података.

  • Дотична особа –свако физичко лице чији се подаци обрађују.

Обрада података – Обрада личних података подразумева сваки поступак, са или без помоћи аутоматизованих процеса, за прикупљање, складиштење, организовање, измену, преузимање, коришћење, пренос, дистрибуцију или комбиновање и упаривање података. Такође укључује уклањање, брисање и блокирање података и контролора података.

  • Обрада – стр.обрада, прерада, складиштење, адаптација или измена, претраживање, консултација, коришћење, обрада, откривање преносом, дистрибуцијом или на други начин стављањем на располагање, усклађивање или комбиновање, ограничавање, брисање или уништавање.
  • Ограничење обраде – rОграничење обраде је обележавање сачуваних личних података са циљем ограничавања њихове обраде у будућности.
  • Профилисање – стр.Профилисање значи сваки облик аутоматизоване обраде личних података који се састоји од коришћења личних података за процену одређених личних аспеката који се односе на физичко лице, посебно за анализу или предвиђање аспеката учинка физичког лица на послу, економске ситуације, здравља, личних преференција, интересовања, поузданости, понашања, локације или кретања.
  • Псеудоним – обрада личних података на такав начин да се лични подаци више не могу приписати одређеном лицу на које се подаци односе без употребе додатних информација, под условом да се такве додатне информације чувају одвојено и да су предмет техничких и организационих мера којима се осигурава да се лични подаци не приписују идентификованом или идентификованом физичком лицу.
  • Контролор или лице одговорно за обраду – физичко или правно лице, јавни орган, агенција или друго тело које, самостално или заједно са другима, одређује сврхе и средства обраде личних података; тамо где су сврхе и средства такве обраде одређени правом Уније или државе чланице, контролор или посебни критеријуми за његово именовање могу бити предвиђени правом Уније или државе чланице.
  • Процесор – физичко или правно лице, јавни орган, агенција или друго тело које обрађује личне податке у име контролора.
  • Прималац – Прималац, физичко или правно лице, јавни орган, агенција или друго тело, коме се откривају лични подаци, без обзира да ли је у питању трећа страна или не. Међутим, јавни органи који могу примити личне податке у контексту одређене истраге у складу са правом Уније или државе чланице неће се сматрати примаоцима; обрада таквих података од стране тих јавних органа мора бити у складу са важећим правилима о заштити података у складу са сврхом обраде.
  • Трећа страна – физичко или правно лице, јавни орган, агенција или тело које није носилац података, контролор, обрађивач и лица која су, под директним овлашћењем контролора или обрађивача, овлашћена да обрађују личне податке.
  • Сагласност – свака конкретна, информисана и недвосмислена изјава о жељи лица на које се подаци односе којом оно, изјавом или јасном потврдном радњом, означава сагласност са обрадом личних података који се на њега односе.

Сагласност је писана изјава јасним и једноставним језиком. Лице на које се подаци односе је обавештено да има право да повуче сагласност у било ком тренутку. Повлачење сагласности не утиче на законитост обраде спроведене на основу сагласности пре њеног повлачења.

Ако се обрађују и лични подаци малолетних лица носилаца података, потребна је сагласност малолетника старијих од 16 година; у случају осталих, старатељ је тај који даје сагласност.

  • Колачићи –текстуалне датотеке које се чувају у рачунарском систему путем интернет прегледача.

Многи веб-сајтови и сервери користе колачиће. Многи колачићи садрже ИД колачића. ИД колачића је јединствени идентификатор за колачић. Састоји се од низа знакова помоћу којих се веб-сајтови и сервери могу доделити интернет прегледачу у којем је колачић сачуван. Ово омогућава посећеним веб-сајтовима и серверима да разликују појединачни прегледач субјекта података од других интернет прегледача који садрже друге колачиће. Одређени интернет прегледач може се препознати и идентификовати помоћу јединственог ИД-а колачића.

Коришћењем колачића, можемо корисницима ове веб странице понудити услуге које су једноставније за коришћење, а које не би биле могуће без претходног подешавања.

Помоћу колачића, информације и понуде на нашој веб страници могу се оптимизовати према кориснику. Колачићи нам омогућавају, као што је горе поменуто, да препознамо кориснике наше веб странице. Сврха овог препознавања је да корисницима олакшамо коришћење наше веб странице. Корисник веб странице који користи колачиће, нпр. не мора да уноси податке за приступ сваки пут када приступа веб страници, јер то преузима веб страница и колачић се тако чува на рачунарском систему корисника.

Инцидент у вези са заштитом података – догађај у којем постоји основана сумња да су лични подаци откривени, прикупљени, измењени, копирани, пренети или коришћени незаконито. Ово се може односити на радње које предузимају и трећа лица и запослени.

3. ПРИНЦИПИ ЗА ОБРАДУ ЛИЧНИХ ПОДАТАКА

  • Праведност и законитост

Лични подаци морају бити прикупљени и обрађивани законито.

  • Обим

Обрада личних података може се обављати само у сврхе за које су подаци прикупљени. Ретроспективне измене сврхе су могуће само у одређеним границама и захтевају образложење.

  • Транспарентност

Лице на које се подаци односе мора бити обавештено о поступању са његовим/њеним подацима. У принципу, лични подаци морају бити прикупљени од самог лица на које се подаци односе. Приликом прикупљања података, лице на које се подаци односе мора бити барем упознато са следећим или бити сходно томе обавештено:

  • идентитет одговорног органа
  • сврха обраде података
  • одређени периоди складиштења
  • трећа лица или категорије трећих лица којима се подаци преносе

Контролор је дужан да лице на које се подаци односе обавести о предузетим мерама по захтеву без непотребног одлагања, а у сваком случају не касније од месец дана од пријема захтева. Овај рок се може продужити за два месеца где је то потребно, узимајући у обзир сложеност и број захтева. Контролор је дужан да обавести лице на које се подаци односе о сваком таквом продужењу у року од месец дана од пријема захтева, наводећи разлоге за одлагање. Када лице на које се подаци односе поднесе захтев у електронском формату, информације се достављају у електронском формату где год је то могуће, осим ако лице на које се подаци односе не захтева други формат.

Ако контролор не предузме мере по захтеву лица на које се подаци односе, обавестиће лице на које се подаци односе, без непотребног одлагања, а најкасније месец дана од пријема захтева, о разлозима за непредузимање мера и о могућности подношења жалбе надзорном органу и тражења судског лека.

Када су захтеви лица на које се подаци односе очигледно неосновани или претерани, посебно због њихове понављајуће природе, контролор може:

(а) или наплатити разумну накнаду узимајући у обзир административне трошкове пружања информација или комуникације или предузимања тражене радње;

(б) или одбити да удовољи захтеву.

У овим случајевима, контролор сноси терет доказивања да је захтев очигледно неоснован или претеран. Контролор може захтевати пружање додатних информација неопходних за потврду идентитета лица на које се подаци односе.

Информације које се пружају субјектима података могу се пружити у комбинацији са стандардизованим пиктограмима како би се пружио смислен преглед намераване обраде на лако видљив, разумљив и јасно читљив начин. Када су пиктограми представљени у електронском формату, морају бити машински читљиви.

  • Избегавање података и економија података

Пре обраде личних података, мора се проверити да ли је и у којој мери неопходно за постизање сврхе повезане са обрадом. Ако је могуће постизати сврху и ако је мера прикладна у односу на предвиђену намену, треба користити анонимизоване или статистичке податке. Лични подаци се не смеју чувати у будуће сврхе, осим ако то није прописано или дозвољено националним законом.

  • Ограничење брисања и складиштења

Лични подаци који више нису потребни након истека законских рокова чувања морају се избрисати. Уколико у појединачним случајевима постоје разлози за интересе вредне заштите ових података, подаци морају остати сачувани док се интерес вредан заштите правно не разјасни.

  • Тачност процеса заштите података

Сачувани лични подаци морају бити тачни, потпуни и – у мери у којој је то потребно – ажурирани. Морају се предузети одговарајуће мере како би се осигурало да се небитни, непотпуни или застарели подаци бришу, исправљају, допуњавају или ажурирају.

  • Приватност и безбедност података

Поверљивост се односи на личне податке. Морају се третирати поверљиво и бити заштићени одговарајућим организационим и техничким мерама од неовлашћеног приступа, незаконите обраде или преноса, као и случајног губитка, измене или уништења.

4. ДОПУСТИВОСТ ОБРАДЕ ПОДАТАКА / ОКОЛНОСТИ ПРИЈЕМА

Прикупљање, обрада и коришћење личних података дозвољено је само ако је испуњена једна од доле наведених околности овлашћења. 

  • Обрада података за потребе уговорног односа

Лични подаци купца, добављача или другог пословног партнера могу се обрађивати у сврху, извршења и испуњења уговора. У такозваној фази иницирања уговора (израда понуде, контакт са заинтересованим лицима користећи податке које су они дали), обрада личних података је такође дозвољена.

  • Уговор о обради података

Обрада података може се одвијати уз сагласност погођеног лица. Пре давања сагласности, лице на које се подаци односе мора бити упознато са прописима. Изјава о сагласности мора бити дата у писаној или електронској форми, из разлога доказивања. У одређеним околностима, на пример, телефонске консултације, сагласност се може дати и у усменом облику. Издавање мора бити документовано.

НАПОМЕНА! Сагласност може бити повучена у било ком тренутку од стране лица које је предмет обраде личних података.

  • Обрада података на основу законске дозволе

Обрада личних података је дозвољена и ако национални законски прописи захтевају, налажу или дозвољавају обраду података. Врста и обим обраде података морају бити неопходни за закониту обраду података и бити усмерени ка тим прописима.

  • Обрада података на основу легитимног интереса

Обрада личних података може се вршити и ако је неопходна за остваривање легитимног интереса компаније. Обрада личних података на основу легитимног интереса не може се вршити ако у појединачном случају постоје разлози заштите интереса погођеног лица који превазилазе интерес за обраду. Интереси који достојни заштите морају бити проверени и документовани за сваку обраду.

  • Обрада посебних категорија личних података

Обрада таквих личних података, посебно осетљивих података, може се вршити само ако је то законски прописано или ако је лице на које се подаци односе изричито дало сагласност за то. Обрада таквих података је такође дозвољена ако је апсолутно неопходна за успостављање, остваривање или одбрану правних захтева против лица на које се подаци односе.

  • Аутоматизоване појединачне одлуке

Аутоматизована обрада личних података, путем које се процењују појединачне личне карактеристике, не може бити једини основ за одлуке са негативним правним последицама или значајним компромисима за Субјект података. Субјект података мора бити обавештен о чињеници и резултату аутоматизоване појединачне одлуке и мора му се пружити прилика да се изјасни. Да би се избегле погрешне одлуке, мора се обезбедити контрола и провера веродостојности од стране запосленог.

  • Кориснички подаци и интернет

Ако се лични подаци прикупљају, обрађују и користе на веб-сајтовима, они на које се то односи су о томе обавештени у изјавама о заштити података и обавештењима о колачићима, ако је применљиво. Заштита података и, ако је применљиво, обавештења о колачићима морају бити интегрисана на такав начин да су лако препознатљива, приступачна и трајно доступна Субјекту података.

Ако се профили коришћења (праћење) састављају ради процене понашања корисника веб-сајтова и апликација, погођена лица морају у сваком случају бити обавештена у декларацијама о заштити података. Ако се праћење врши под псеудонимом, лице на које се подаци односе мора имати могућност да се успротиви (одјави) у декларацијама о заштити података.

  • Обрада података за потребе радног односа

За радни однос могу се обрађивати лични подаци који су неопходни за закључивање, извршење и раскид уговора о раду.

Током започињања радног односа, могу се обрађивати лични подаци кандидата. У случају одбијања кандидата, подаци кандидата морају бити избрисани, узимајући у обзир законске пробне рокове, осим ако кандидат није пристао на даље чување за накнадни поступак селекције.

У постојећем радном односу, обрада података мора увек бити у вези са сврхом уговора о раду, у мери у којој се не примењује један од следећих услова за овлашћење за обраду података.

Приликом започињања радног односа или у постојећем радном односу, ако је потребно прикупити додатне информације о подносиоцу захтева од треће стране, морају се узети у обзир одговарајући законски прописи. У случају сумње, мора се затражити сагласност од лица на које се подаци односе.

  • Обрада података на основу законске дозволе

Обрада личних података запослених је дозвољена и ако националне законске директиве захтевају, налажу или дозвољавају обраду података. Врста и обим обраде података морају бити неопходни за закониту обраду података и бити оријентисани ка овим прописима. Ако постоји правна слобода, морају се узети у обзир интереси запосленог достојни заштите.

(1) Обрада је законита само ако и у мери у којој је испуњен барем један од следећих услова:

(а) лице на које се подаци односе дало је сагласност за обраду својих личних података у једну или више одређених сврха;

(б) обрада је неопходна за извршење уговора чија је страна лице на које се подаци односе или ради предузимања корака на захтев лица на које се подаци односе пре закључења уговора;

(ц) обрада је неопходна ради испуњења законске обавезе којој подлеже контролор;

(d) обрада је неопходна ради заштите виталних интереса лица на које се подаци односе или другог физичког лица;

(е) обрада је неопходна за обављање задатка који се спроводи у јавном интересу или у вршењу службеног овлашћења које је додељено контролору;

(ф) обрада је неопходна у сврху легитимних интереса које следи контролор или трећа страна, осим када интереси или основна права и слободе лица на које се подаци односе надјачавају те интересе и захтевају заштиту личних података, посебно када је лице на које се подаци односе дете.

  • Колективни прописи за обраду података

Ако обрада превазилази сврху извршења уговора, дозвољена је ако је одобрена колективним прописом. Колективни прописи су колективни уговори о платама или споразуми између послодаваца и представника запослених у контексту могућности одговарајућег радног закона. Прописи се морају проширити на конкретну сврху тражене обраде и могу се успоставити у вези са националним законом о заштити података.

  • Сагласност за обраду података

Обрада података запослених може се одвијати уз сагласност погођеног лица. Изјаве о сагласности морају бити дате добровољно. Недобровољни споразуми су неважећи. Изјава о сагласности мора бити дата у писаној форми или електронски, из разлога доказивања. Ако околности то не дозвољавају као изузетак, сагласност се може дати у усменом облику. Сагласност мора, у свим случајевима, бити на одговарајући начин документована. У случају добровољне информисане изјаве о подацима од стране Субјекта података, сагласност се може претпоставити ако национални закон не предвиђа изричиту сагласност. Пре сагласности, Субјект података мора бити обавештен у складу са овим смерницама о заштити података.

  • Обрада података на основу оправданог интереса

Обрада личних података запослених може се вршити и ако је то неопходно за остваривање легитимног интереса компаније. Легитимни интереси се обично заснивају на правним (нпр. успостављање, остваривање или одбрана правних захтева) или комерцијалним разлозима.

Обрада личних података на основу легитимног интереса не може се извршити ако у појединачном случају постоје разлози за веровање да интереси запосленог који достојни заштите превазилазе интерес за обраду. Присуство легитимних интереса мора се проверити за сваку обраду.

Контролне мере које захтевају обраду података запослених могу се спроводити само ако постоји законска обавеза или оправдан разлог. Чак и у случају оправданог разлога, мора се проверити сразмерност контролне мере. Легитимни интереси компаније у спровођењу контролне мере (нпр. усклађеност са законским директивама и интерним прописима компаније) морају бити уравнотежени са могућим легитимним интересом запосленог на кога се мера односи и могу се спроводити само ако су сразмерни. Легитимни интерес компаније и могући легитимни интереси запослених морају бити утврђени и документовани пре сваке мере. Поред тога, сви други захтеви који постоје у складу са националним законодавством.

  • Обрада података који достојни заштите

Компанија не обрађује лични подаци који откривају расно или етничко пореклополитичка мишљењафилозофска уверења или чланство у синдикату и обраду генетски подаци, подаци о сексуални живот или сексуална оријентација физичког лица.

Здравствене податке запослених обрађује здравствени радник; компанија је обавештена о способности/неспособности лица на које се подаци односе за обављање активности. Тумачење здравствених података обрађује компанија, уз сагласност запосленог. Обрада је неопходна у сврхе везане за превентивну или медицину рада, ради процене радне способности запосленог.

Исто тако, подаци о осудама (нпр. кривичне евиденције) често се могу обрађивати само под посебним условима утврђеним националним законом.

Обрада мора бити изричито дозвољена или прописана националним законом. Поред тога, обрада може бити дозвољена ако је то потребно како би одговорна функција могла да испуни своја права и обавезе у области радног права.

  • Аутоматизоване одлуке

У мери у којој радни однос подразумева аутоматизовану обраду података помоћу којих се процењују индивидуалне особине личности (нпр. као део селекције особља или процене квалификационих профила), таква аутоматизована обрада не може бити искључива основа за одлуке са негативним или значајним последицама.

Да би се избегле погрешне одлуке, мора се осигурати у аутоматизованим поступцима да физичко лице спроводи процену чињеничног садржаја и да је та процена основа за одлуку. Погођени запослени биће обавештен о чињеници и резултату аутоматизоване појединачне одлуке и добиће прилику да се изјасни.

  • Телекомуникације и интернет

Телефонски системи, имејл адресе, интранет и интернет, као и интерне друштвене мреже, обезбеђује се у првом реду од стране компаније у сврху пословних задатака. Они представљају подршку у раду и ресурс компаније. Могу се користити у складу са важећим законским прописима и интерним смерницама компаније.

Постоји општи надзор телефонске и имејл комуникације, као и коришћења интранета и интернета. Да би се спречили напади на ИТ инфраструктуру или на појединачне кориснике, на мрежним интерфејсима компаније су имплементиране заштитне мере, које блокирају технички штетан садржај или анализирају обрасце напада. Из безбедносних разлога и разлога праћења, документује се коришћење телефонских система, имејл адреса, интранета, интернета и интерних друштвених мрежа.

Личне процене ових података могу се вршити само у случају конкретне и оправдане сумње на кршење закона или смерница компаније. Ове провере могу се вршити само у складу са принципом пропорционалности. Национални закони морају се поштовати заједно са важећим прописима компаније.

5. ПРЕНОШЕЊЕ ЛИЧНИХ ПОДАТАКА

Пренос личних података примаоцима ван RHEIN VISION подлеже условима овлашћења за обраду личних података. Прималац података је дужан да их користи само у наведене сврхе.

У случају преноса података примаоцу ван групе компанија у трећој земљи, прималац мора да обезбеди ниво безбедности података еквивалентан овој уредби о заштити података. Ово се не односи ако је пренос последица законске обавезе.

У случају преноса података од стране трећих лица групи компанија, мора се осигурати да се подаци могу користити у предвиђене сврхе.

6. ДОДЕЉЕНА ОБРАДА (у случају доделе, преноса, спајања итд.)

Подизвођачка обрада је када је извођачу поверена обрада личних података без преноса одговорности за повезани пословни процес. У тим случајевима, уговор о подизвођачкој обради мора бити закључен са спољним извођачима.

Компанија која додељује посао задржава пуну одговорност за правилно обављање обраде података. Извођач радова може обрађивати личне податке само у вези са упутствима извођача радова.

  1. Извођач радова мора бити изабран на основу своје подобности да обезбеди неопходне техничке и организационе мере заштите.
  2. Задатак мора бити издат у писаној форми. Упутства за обраду података и одговорности извођача радова и извођача радова морају бити документована.
  3. Извођач радова мора бити уверен пре почетка обраде података да су обавезе испуњене. Извођач радова може доказати усклађеност са захтевима за безбедност података, посебно представљањем одговарајућег сертификата. У зависности од ризика обраде података, провера се мора редовно понављати, ако је потребно током уговорног периода.
  4. У случају обраде података за прекогранични задатак, морају бити испуњени одговарајући национални захтеви за пренос личних података у иностранство. Посебно, обрада личних података из Европског економског простора у трећој земљи може се вршити само ако извођач радова може да докаже ниво безбедности података еквивалентан овој Директиви о заштити података.

7. ПРАВА ЛИЦА НА КОЈЕ СЕ ОБРАЂУЈУ ПОДАЦИ

Свако погођено лице може да оствари следећа права. Њихов захтев ће бити одмах обрађен од стране надлежног подручја и не сме резултирати било каквом штетом за Субјекта података.

  1. Лице на које се подаци односе може захтевати информације о томе који се лични подаци из ког извора чувају и у коју сврху. Ако су у радном односу предвиђена додатна права увида у документа послодавца (нпр. лични досије), то није погођено.
  2. Ако се лични подаци преносе трећим лицима, морају се доставити и информације о идентитету примаоца или категоријама прималаца.
  3. Ако су лични подаци нетачни или непотпуни, лице на које се подаци односе може захтевати њихову исправку или допуну.
  4. Лице на које се подаци односе може да приговори обради својих личних података у сврху оглашавања или истраживања тржишта и анкетирања. Подаци морају бити блокирани у ове сврхе.
  5. Лице на које се подаци односе има право да захтева брисање својих података ако не постоји или више није применљив правни основ за обраду података. Исто важи и ако сврха обраде података више не важи због протека времена или из других разлога. Морају се узети у обзир постојеће обавезе чувања и интереси вредни заштите који надмашују брисање.
  6. Лице на које се подаци односе има основно право да се успротиви обради својих података, што се мора узети у обзир ако његов легитимни интерес за заштиту превазилази интерес за обраду због одређене личне ситуације. Ово се не односи ако законски пропис захтева да се обрада изврши.

8. ПОВЕРЉИВОСТ ОБРАДЕ

Лични подаци су предмет поверљивости података. Неовлашћено прикупљање, обрада или коришћење од стране запослених је забрањено.

Свака обрада коју запослени врши, а да није прописно именован и овлашћен за то у обављању својих задатака, сматра се неовлашћеном. Примењује се принцип „потреба да се зна“: запосленима се може одобрити приступ личним подацима само ако и у мери у којој је то неопходно за њихове одговарајуће задатке. То захтева пажљиву расподелу и одвајање улога и одговорности, као и њихову имплементацију и одржавање као дела концепата овлашћења.

Запослени не смеју користити личне податке у приватне или комерцијалне сврхе, преносити их неовлашћеним лицима или их на било који други начин учинити доступним.

9. БЕЗБЕДНОСТ ОБРАДЕ ПОДАТАКА

Лични подаци морају бити у сваком тренутку заштићени од неовлашћеног приступа, незаконите обраде или преноса, као и од губитка, фалсификовања или уништења. Ово важи без обзира на то да ли се обрада података врши електронским путем или на папиру. Пре увођења нових поступака обраде података, посебно нових ИТ система, морају се успоставити и спровести техничке и организационе мере за заштиту личних података. Ове мере морају бити усклађене са тренутном технологијом, ризицима повезаним са обрадом и захтевима заштите података (утврђеним поступком класификације информација).

Узимајући у обзир тренутно стање развоја, трошкове имплементације и природу, обим, контекст и сврхе обраде, као и ризик са различитим степеном вероватноће и озбиљности за права и слободе физичких лица, контролор и обрађивач ће спровести одговарајуће техничке и организационе мере како би обезбедили ниво безбедности који одговара том ризику, укључујући, између осталог, где је то применљиво:

(а) псеудонимизација и шифровање личних података;

(б) способност обезбеђивања континуиране поверљивости, интегритета, доступности и отпорности система и услуга обраде;

(ц) могућност благовременог обнављања доступности и приступа личним подацима у случају физичког или техничког инцидента;

(d) процес за периодично тестирање, евалуацију и процену ефикасности техничких и организационих мера ради обезбеђивања безбедности обраде.

Техничке и организационе мере за заштиту личних података део су управљања безбедношћу информација и заштитом података на нивоу целе компаније и морају се континуирано прилагођавати техничком развоју и организационим променама.

10. КОНТРОЛА ЗАШТИТЕ ПОДАТАКА

Усклађеност са директивама о заштити података и важећим законима о заштити података редовно се проверава путем ревизија заштите података и додатних контрола.

Резултати ревизија заштите података морају бити обавештени руководству.

11. ИНЦИДЕНТ У ОБЛАСТИ ЗАШТИТЕ ПОДАТАКА

Сваки запослени треба одмах да обавести службеника за заштиту података о сваком кршењу ове Директиве о заштити података или других прописа за заштиту личних података (инциденти заштите података). Обавештење се може послати е-поштом на адресу dpo@rhein-vision.com у случајевима:

  • незаконито преношење личних података трећим лицима,
  • незаконит приступ трећих лица личним подацима или
  • губитак личних података

Обавештења унутар компаније морају се доставити без одлагања како би се постојеће обавезе извештавања о инцидентима у вези са заштитом података могле испунити у складу са националним законом.

Обавештавање надзорног органа у случају повреде личних података

У случају повреде личних података, контролор је дужан да без непотребног одлагања и, где је то изводљиво, не касније од 72 сата од сазнања о повреди личних података обавести надзорни орган надлежан у складу са чланом 55, осим ако је вероватно да ће то довести до ризика по права и слободе физичких лица. Уколико се обавештење не изврши у року од 72 сата, уз њега се доставља образложење надзорног органа у ком случају.

Обрађивач је дужан да обавести контролора без непотребног одлагања након што сазна за повреду безбедности личних података.

Обавештење наведено у ставу:

(а) описати природу повреде личних података, укључујући, где је то могуће, категорије и приближан број дотичних субјеката података, као и категорије и приближан број дотичних записа личних података;

(б) саопштити име и контакт податке службеника за заштиту података или друге контакт особе где се могу добити додатне информације;

(ц) описује вероватне последице повреде личних података;

(д) описати мере које је предузео или предложио да предузме контролор ради отклањања повреде личних података, укључујући, где је то применљиво, мере за ублажавање њених могућих негативних последица.

(4) када и у мери у којој није могуће пружити информације истовремено, оне се могу пружити у неколико фаза, без непотребног одлагања.

(5) Контролор ће водити евиденцију о свим повредама личних података, укључујући опис чињеничних околности у којима је дошло до повреде личних података, њених последица и предузетих мера за исправљање. Ова документација ће омогућити надзорном органу да провери усклађеност са овим чланом.

12. ОДГОВОРНОСТИ И САНКЦИЈЕ

Руководство је одговорно за обраду личних података у складу са директивом.

Стога је обавезна да обезбеди да се поштују законски захтеви за заштиту података (нпр. националне обавезе извештавања).

У случају провера заштите података од стране надлежних органа, службеник за заштиту података мора бити одмах обавештен.

Руководство је именовало службеника за заштиту података. Службеник за заштиту података може да врши провере и мора да упозна запослене са садржајем смерница за заштиту података. Руководство је обавезно да подржи координатора за заштиту података у његовом задатку.

Руководство мора да обезбеди да су запослени у потребној мери информисани о заштити података. Неодговарајућа обрада личних података или друга кршења закона о заштити података имају правне последице у многим земљама и могу довести до захтева за накнаду штете. Прекршаји за које су одговорни појединачни запослени могу довести до дисциплинских мера.

13. СЛУЖБЕНИК ЗА ЗАШТИТУ ПОДАТАКА

Као специјализовани интерни ентитет, службеник за заштиту података обезбеђује усклађеност са прописима о заштити података. Он је одговоран за праћење усклађености са прописима о заштити података. Службеник за заштиту података одмах обавештава руководство о ризицима безбедности података.

Свако погођено лице може контактирати службеника за заштиту података са предлозима, питањима, захтевима за информацијама или жалбама у вези са заштитом или безбедношћу података. Захтеви и жалбе се третирају поверљиво на захтев.

14. IMPLEMENTARE

Овај документ мора бити доступан свим заинтересованим лицима.