Pravila o obradi osobnih podataka
Ovaj dokument objašnjava kako upravljamo informacijama koje prikupljamo tijekom naše poslovne suradnje. Pročitajte pažljivo kako bi razumjeli našu praksu.
Naša uloga u upravljanju vašim podacima
Natalia Luminara, sa sjedištem na adresi Gornjodravska obala 79, 31000 Osijek, preuzima odgovornost za način na koji se vaše informacije prikupljaju, čuvaju i koriste. Odluke o tome koji podaci će biti obrađivani i u koju svrhu donosi naša organizacija.
Naša djelatnost uključuje zaštitu IT infrastrukture te pružanje stručnih savjeta u području sigurnosti informacijskih sustava. Priroda posla zahtijeva da vodimo evidenciju o kontaktima, komunikaciji i projektnim zahtjevima.
Kako nastaju zapisi o vama
Informacije nastaju kroz izravnu komunikaciju koju započinjete vi ili mi. Telefonski pozivi, razmjena elektroničke pošte, ispunjavanje kontaktnih obrazaca na web stranici ili osobni sastanci stvaraju bilješke koje se odnose na vaše potrebe i zahtjeve.
Razgovori i konzultacije
Tijekom početnih konzultacija bilježimo detalje o vašoj IT infrastrukturi, sigurnosnim izazovima s kojima se susrećete i specifičnim zahtjevima projekta. Ti zapisi postaju temelj za izradu prilagođenih rješenja.
Dokumentacija projekata
Realizacija sigurnosnih projekata podrazumijeva izradu tehničke dokumentacije, izvještaja o procjenama ranjivosti i planova implementacije zaštitnih mjera. Ti dokumenti često sadrže kontaktne informacije osoba odgovornih za tehničku infrastrukturu, kao i opise postojećih sustava.
Administrativni procesi
Sklapanje ugovora, izdavanje računa te održavanje službene korespondencije stvara dodatne zapise koji uključuju tvrtke ili imena fizičkih osoba, adrese, porezne identifikacijske brojeve i podatke o plaćanju.
Što točno zapisujemo
Sadržaj zapisa ovisi o fazi suradnje i vrsti usluge koju pružamo. Ovdje donosimo pregled kategorija bez uljepšavanja stvarnosti.
| Kategorija podatka | Konkretni primjeri | Izvor nastanka |
|---|---|---|
| Identifikacijski elementi | Ime, prezime, titula, pozicija u tvrtki, službena adresa elektroničke pošte, telefonski broj ureda ili mobilni kontakt | Kontaktni obrazac, vizitkarta, elektronička pošta, telefonski poziv |
| Poslovni kontekst | Naziv tvrtke ili organizacije, djelatnost, broj zaposlenih, OIB, matični broj subjekta, adresa sjedišta | Službena dokumentacija, trgovački registar, razgovori |
| Tehnički zahtjevi | Opisi postojećih IT sustava, vrste korištene opreme i softvera, specifični sigurnosni problemi, želje vezane za zaštitu podataka | Konzultacije, tehnički upitnici, pregledi infrastrukture |
| Financijski odnosi | Broj računa za plaćanje, evidencija izdanih faktura, povijest transakcija, uvjeti plaćanja | Ugovorni odnosi, računovodstveni sustav |
| Komunikacijski tragovi | Sadržaj poruka elektroničke pošte, zabilješke sa sastanaka, evidencija telefonskih razgovora (samo činjenica da je razgovor obavljen, ne snimke) | Dnevna poslovna komunikacija |
Važno: Ne prikupljamo podatke o vjerskim uvjerenjima, političkim stavovima, zdravstvenom stanju ili biometrijskim karakteristikama osim ako takvi podaci slučajno budu spomenuti u komunikaciji koju ste vi započeli. U tom slučaju, ti će elementi biti zanemareni ili izbrisani iz naših evidencija.
Zašto zadržavamo te informacije
Postojanje zapisa proizlazi iz praktičnih potreba poslovanja te pravnih obveza koje moramo ispuniti. Ovo nije retorika – svaka kategorija podataka ima konkretnu svrhu.
Izvršavanje ugovornih obveza
Kada potpisujemo ugovor o pružanju usluga IT sigurnosti, moramo znati s kim smo ugovor sklopili i kako kontaktirati odgovorne osobe. Ostvarenje usluge zahtijeva kontinuirani pristup vašim tehničkim specifikacijama i sigurnosnim zahtjevima.
Odgovor na upite i zahtjeve
Osobe koje nas kontaktiraju putem web obrasca ili elektroničke pošte očekuju odgovor. Da bismo odgovorili, potrebno je zadržati kontaktne podatke barem dok komunikacija traje.
Računovodstvena i porezna usklađenost
Hrvatski zakonski okvir nameće obvezu čuvanja računovodstvene dokumentacije tijekom određenog vremenskog perioda. Fakture i povezani podaci ne mogu biti izbrisani samo zato što klijent to zatraži – mora postojati pravni temelj za njihovo zadržavanje.
Zaštita legitimnih interesa
U nekim situacijama obrada podataka proizlazi iz potrebe za zaštitom naših poslovnih interesa ili interesa treće strane. Primjerice, zadržavanje evidencije o prethodnim sigurnosnim incidentima može biti nužno za prevenciju budućih problema ili za utvrđivanje odgovornosti u slučaju spora.
Dobrovoljno davanje pristanka
U rijetkim slučajevima, obrada određenih podataka može se temeljiti na vašem izričitom pristanku. To se odnosi na situacije poput slanja promotivnih poruka ili sudjelovanja u anketama o zadovoljstvu uslugom. Kada je pristanak temelj obrade, imate pravo povući ga u bilo kojem trenutku.
Rad s informacijama unutar organizacije
Pristup podacima unutar naše organizacije nije neograničen. Zaposlenici imaju pristup samo onim segmentima koji su potrebni za obavljanje njihovih radnih zadataka.
Segmentacija pristupa
Osobe koje se bave tehničkom implementacijom sigurnosnih mjera imaju uvid u tehničke specifikacije vašeg sustava, ali ne nužno i u financijske podatke. S druge strane, računovodstveni odjel ima pristup fakturacijskim podacima, ali ne i detaljnoj tehničkoj dokumentaciji projekata.
Automatski procesi
Dio operacija odvija se automatski, bez ljudske intervencije. Sustavi za upravljanje elektroničkom poštom automatski bilježe vrijeme dolaska poruka i čuvaju njihov sadržaj. Računovodstveni softver generira izvještaje na temelju unesenih podataka bez potrebe za ručnim pregledom svake stavke.
Kada informacije napuštaju našu organizaciju
U određenim okolnostima, vaši podaci mogu biti proslijeđeni izvan naše izravne kontrole. Ta je praksa ograničena i uvijek ima jasan razlog.
Tehnički dobavljači
Poslužitelji na kojima se nalaze naše web stranice i baze podataka nisu fizički smješteni u našim uredima. Korištenje hosting usluga znači da treća strana ima tehnički pristup infrastrukturi na kojoj se pohranjuju vaše informacije. Ti pružatelji usluga djeluju isključivo prema našim uputama i obvezni su na tajnost.
Računovodstvene i pravne usluge
Vanjski računovođa koji vodi naše poslovne knjige ima pristup financijskim podacima koji uključuju informacije o klijentima. Odvjetnici koje konzultiramo u pravnim pitanjima mogu primiti dokumentaciju koja sadrži vaše podatke ako je to potrebno za pružanje savjeta.
Državna tijela i regulatori
Porezna uprava, inspekcije ili sudovi mogu zatražiti uvid u poslovnu dokumentaciju. Takvi zahtjevi se ispunjavaju u skladu s pravnim obvezama.
Potencijalni kupci ili investitori
Ako se u budućnosti pojavi namjera prodaje poslovanja, spajanja s drugom tvrtkom ili privlačenja investicija, dio poslovne dokumentacije može biti dostupan zainteresiranim stranama tijekom procesa due diligence. U takvim slučajevima primjenjuju se ugovori o povjerljivosti.
Nikada ne prodajemo baze podataka trećim stranama u komercijalne svrhe. Ne sudjelujemo u data broker aktivnostima niti omogućavamo masovno marketinško korištenje vaših kontakata.
Prekogranično kretanje podataka
Većina podataka ostaje unutar Europske unije, što znači da vrijede europski standardi zaštite privatnosti. Međutim, neki tehnološki alati koje koristimo mogu imati poslužitelje ili korisničku podršku smještenu izvan EU.
U takvim situacijama osiguravamo da postoje pravni mehanizmi koji pružaju adekvatnu zaštitu. To može biti odluka Europske komisije o prikladnosti razine zaštite u trećoj zemlji, standardne ugovorne klauzule ili specifični certifikati poput Privacy Shield nasljednika (ako i kada postanu dostupni).
Ako vas zanima konkretna lokacija pohrane podataka za određenu vrstu usluge, kontaktirajte nas za detaljne informacije.
Trajanje zadržavanja
Podatke ne čuvamo beskonačno. Svaka kategorija ima logičku granicu nakon koje više nije potrebna ili dopuštena za pohranu.
Aktivni projekti
Dok traje suradnja, svi relevantni podaci ostaju dostupni. Nakon završetka projekta, tehnička dokumentacija se arhivira, ali kontaktni podaci mogu ostati aktivni ako očekujemo nastavak suradnje ili pružanje podrške.
Računovodstvena evidencija
Zakoni o računovodstvu zahtijevaju čuvanje faktura i povezane dokumentacije tijekom perioda od najmanje jedanaest godina od kraja kalendarske godine u kojoj je poslovni događaj nastao. To znači da vaši podaci povezani s fakturama mogu biti pohranjeni dugo nakon što je suradnja prekinuta.
Marketinška komunikacija
Ako ste dali pristanak za primanje naših obavijesti, vaša adresa elektroničke pošte ostaje u bazi dok ne zatražite isključivanje. Nakon isključivanja, podaci se uklanjaju iz aktivne liste, ali mogu ostati u arhivskim zapisima radi ispunjenja pravnih obveza.
Neaktivni kontakti
Osobe koje su pokazale interes za naše usluge ali nisu postale klijenti obično ostaju u našoj bazi tijekom tri godine. Nakon tog perioda, ako nije bilo dodatne interakcije, zapisi se brišu automatski.
Sigurnosne mjere i preostali rizici
Zaštita podataka se ne postiže samo dobrim namjerama. Primjenjujemo konkretne tehničke i organizacijske mjere koje smanjuju vjerojatnost neovlaštenog pristupa, gubitka ili zlouporabe.
Što činimo
- Koristimo šifrirane kanale za prijenos osjetljivih informacija
- Pristup bazama podataka zaštićen je jakim lozinkama i višefaktorskom autentifikacijom
- Redovito ažuriramo sigurnosne zakrpe na svim sustavima
- Provodimo kontrolu pristupa tako da svaki zaposlenik vidi samo ono što mu je potrebno
- Stvaramo sigurnosne kopije kako bi podaci bili dostupni i u slučaju tehničkog kvara
- Edukciramo osoblje o sigurnosnim prijetnjama i pravilima rukovanja podacima
Što ne možemo garantirati
Ni jedan sustav nije apsolutno siguran. Sofisticirani napadi, ljudske pogreške ili nepredviđeni tehnički kvarovi mogu dovesti do sigurnosnih incidenata unatoč najboljem trudu. Internet kao medij komunikacije također ima inherentne ranjivosti.
Ako dođe do povrede sigurnosti koja uključuje vaše podatke i koja predstavlja visok rizik za vaša prava, obavijestit ćemo vas u razumnom roku nakon što postanemo svjesni incidenta. Također ćemo prijaviti povredu nadzornom tijelu u skladu sa zakonskim obvezama.
Vaše mogućnosti kontrole
Zakoni o zaštiti podataka daju vam niz prava. Ova prava nisu apsolutna – u nekim situacijama mogu postojati ograničenja ili uvjeti pod kojima se mogu ostvariti.
Uvid u ono što znamo
Možete zatražiti potvrdu obrađujemo li vaše osobne podatke. Ako jest, imate pravo dobiti kopiju tih podataka zajedno s informacijom o svrsi obrade, kategorijama primatelja kojima su podaci otkriveni, planiranom trajanju pohrane i drugim relevantnim detaljima.
Ispravak netočnosti
Ako primijetite da su informacije koje držimo o vama netočne ili nepotpune, možete zatražiti njihovu ispravku. Reagirat ćemo na takve zahtjeve odmah, osim ako postoji legitiman razlog za zadržavanje postojećih podataka.
Zahtjev za brisanje
Poznato kao "pravo na zaborav", ova mogućnost vam omogućava da zatražite brisanje vaših podataka u sljedećim okolnostima:
- Podaci više nisu potrebni za svrhe za koje su prikupljeni
- Povlačite pristanak na kojem se temeljila obrada i ne postoji drugi pravni temelj
- Prigovarate obradi i ne postoje prevladavajući legitimni razlozi za nastavak
- Podaci su obrađeni nezakonito
- Brisanje je potrebno radi ispunjavanja pravne obveze
No, ne možemo izbrisati podatke ako je njihova obrada potrebna za ispunjavanje pravnih obveza, utvrđivanje ili obrana pravnih zahtjeva, ili zbog drugih zakonom propisanih razloga.
Ograničenje obrade
U nekim situacijama možete zatražiti da privremeno ograničimo korištenje vaših podataka umjesto potpunog brisanja. To je primjenjivo kada osporavate točnost podataka, kada se protivite brisanju podataka obrađenih nezakonito, ili kada vam podaci trebaju za pravne postupke iako nam više nisu potrebni.
Prigovor na obradu
Ako se obrada temelji na našim legitimnim interesima, imate pravo prigovora. U tom slučaju moramo dokazati da postoje uvjerljivi legitimni razlozi za nastavak obrade koji prevladavaju nad vašim interesima.
Prenosivost podataka
Za podatke koje ste nam dali na temelju pristanka ili ugovora, i koji se obrađuju automatski, možete zatražiti da vam ih dostavimo u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu. Također možete zatražiti da te podatke prenesemo izravno drugom voditelju obrade ako je to tehnički izvedivo.
Pravni temelji obrade
Europski zakon o zaštiti podataka zahtijeva postojanje legitimnog pravnog temelja za svaku aktivnost obrade. Naše operacije se oslanjaju na sljedeće temelje:
| Pravni temelj | Primjena u našem kontekstu |
|---|---|
| Izvršavanje ugovora | Kada sklapamo ugovor o IT sigurnosnim uslugama, obrada podataka je nužna za ispunjenje ugovornih obveza prema vama |
| Zakonska obveza | Računovodstvena evidencija, porezno izvještavanje i ispunjavanje drugih regulatornih zahtjeva zahtijeva obradu određenih podataka |
| Legitimni interesi | Poboljšanje usluga, unutarnja administracija, prevencija prijevara i zaštita pravnih interesa organizacije |
| Pristanak | Slanje marketinških poruka, korištenje podataka izvan izvornih svrha ili obrada posebnih kategorija podataka (ako takva obrada postane potrebna) |
Automatsko odlučivanje i profiliranje
Ne koristimo automatske sustave za donošenje odluka koje bi imale pravne učinke ili značajno utjecale na vas bez ljudske intervencije. Ni jedna odluka o pružanju usluga, cijenama ili uvjetima suradnje ne donosi se isključivo na temelju algoritamske obrade.
Ne provodimo ni sustavno profiliranje u marketinške svrhe – ne kategoriziramo klijente u segmente na temelju automatske analize ponašanja ili karakteristika.
Maloljetne osobe
Naše usluge nisu namijenjene pojedincima mlađim od osamnaest godina. Svjesno ne prikupljamo podatke djece ili maloljetnika. Ako postanemo svjesni da smo nenamjerno zaprimili podatke maloljetnika, poduzet ćemo korake za brisanje tih informacija.
Promjene u ovim pravilima
Poslovne prakse, tehnološke mogućnosti i pravni okvir nisu statični. Ova pravila mogu se mijenjati kako bi odražavala razvoj naše organizacije i promjene u načinu na koji upravljamo informacijama.
Kada dođe do značajnih promjena koje utječu na način obrade vaših podataka, objavit ćemo ažurirani dokument na web stranici. Ako promjena zahtijeva novi pristanak ili ako bi značajno utjecala na vaša prava, kontaktirat ćemo vas izravno prije nego što nove prakse stupi na snagu.
Trenutna verzija: Ovaj dokument je sastavljen i objavljen u siječnju 2025. godine. Posljednje ažuriranje: 15. siječnja 2025.
Žalbe i eskalacija
Ako vjerujete da nismo postupili u skladu s propisima o zaštiti podataka ili ako niste zadovoljni načinom na koji smo odgovorili na vaš zahtjev, imate pravo podnijeti žalbu nadzornom tijelu.
U Hrvatskoj, nadležno tijelo je Agencija za zaštitu osobnih podataka (AZOP), sa sjedištem na adresi Selska cesta 136, 10000 Zagreb. Više informacija možete pronaći na njihovoj službenoj web stranici azop.hr.
Prije eskalacije na regulatorno tijelo, potičemo vas da nas prvo kontaktirate izravno. Mnogi problemi se mogu riješiti kroz direktan razgovor.
Kako nas kontaktirati
Za sva pitanja, zahtjeve ili nedoumice vezane uz ova pravila ili način na koji upravljamo vašim podacima, možete nas doseći putem:
Odgovorit ćemo na vaš upit u roku od trideset dana od primitka. Ako je zahtjev kompleksan ili ako primimo veći broj zahtjeva istovremeno, rok se može produljiti za dodatna dva mjeseca, o čemu ćemo vas obavijestiti.