SPECIJALNA BOLNICA ZA
MEDICINSKU REHABILITACIJU LIPIK

Nastavna baza Medicinskog fakulteta Sveučilišta J.J. Strossmayera Osijek

 

Politika privatnosti

POLITIKA PRIVATNOSTI I ZAŠTITA OSOBNIH PODATAKA

Specijalna bolnica za medicinsku rehabilitaciju Lipik (u daljnjem tekstu Bolnica) nastoji u svom poslovanju biti usklađena sa svim relevantnim zakonskim odredbama i propisima koji se odnose na osobne podatke u svim zemljama u kojima posluje. Ovaj dokument određuje temeljne principe po kojima Bolnica obrađuje osobne podatke kupaca, potrošača, dobavljača, poslovnih suradnika, zaposlenika i drugih te utvrđuje uloge i odgovornosti u svim odjelima tvrtke prilikom obrade osobnih podataka.

Ova politika se odnosi na Bolnicu koji posluje s Europskim gospodarskim prostorom (EEA) ili obrađuju osobne podatke subjekata unutar ili izvan EU.

Korisnici ovog dokumenta su svi zaposlenici na neodređeno ili određeno vrijeme, kao i svi ugovorni izvođači koje Bolnica angažira.

 

Definicije

Definicije navedene u ovom dokumentu definira čl. 4. Opće uredbe o zaštiti podataka:

Osobni podaci: svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi;

Ispitanik: osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

Osjetljivi osobni podaci: osobni podaci, koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda, zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti osobni podaci obuhvaćaju podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetičke podatke, biometrijske podatke pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija pojedinca, podatke koji se tiču zdravlja ili podatke o spolnom životu ili seksualnoj orijentaciji pojedinca;

Voditelj obrade: fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo, koje samo ili zajedno s drugima, određuje svrhe i sredstva obrade osobnih podataka;

Izvršitelj obrade: fizička ili pravna osoba,tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

Obrada: svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

Anonimizacija: nepovratno de identificirani osobni podaci na način da se osoba ne može identificirati u razumnom vremenu, troškovima ili tehnologijom, bilo od strane voditelja obrade ili neke druge osobe koja bi mogla identificirati tog pojedinca. Načela obrade osobnih podataka ne primjenjuju se na anonimizirane podatke;

Pseudonimizacija: obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi. Pseudonimizacija smanjuje, ali ne eliminira u potpunosti povezivanje osobnih podataka s ispitanikom. Kako pseudonimizacija još uvijek predstavlja osobni podatak, obrada pseudonimiziranih podataka treba biti u skladu s načelima obrade osobnih podataka;

Prekogranična obrada osobnih podataka: obrada osobnih podataka koja se odvija u EU u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili obrada osobnih podataka koja se odvija u EU u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice;

Nadzorno tijelo: neovisno tijelo javne vlasti koje je osnovala država članica u skladu s čl. 51. Opće uredbe o zaštiti podataka;

Vodeće nadzorno tijelo: nadzorno tijelo prvenstveno nadležno za prekograničnu obradu podataka, primjerice kada ispitanik iskaže prigovor u vezi obrade osobnih podataka; nadležno je i za zaprimanje obavijesti o povredi osobnih podataka, o rizičnim radnjama u obradi, te ima punu ovlast u postupku usklađivanja s odredbama Opće uredbe o zaštiti podataka;

Lokalno nadzorno tijelo: bit će nadležno na svom državnom području i pratit će svaku lokalnu obradu podataka koja se tiče ispitanika ili obradama koje provodi EU ili ne-EU voditelj ili izvršitelj onda kada njihovi ciljani ispitanici borave na njegovom državnom području. Njihovi zadaci i ovlasti obuhvaćaju provođenje istraga i primjenu administrativnih mjera i kazni, promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka, kao i osiguravanje pristupa svim objektima voditelja ili izvršitelja, uključujući svu opremu i sredstva;

Glavni poslovni nastan voditelja obrade: što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u EU, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u EU te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem se slučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;

Glavni poslovni nastan izvršitelja obrade: što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u EU, ili, ako izvršitelj obrade nema središnju upravu u EU, poslovni nastan izvršitelja obrade u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;

Grupa poduzetnika obuhvaća poduzetnika u vladajućem položaju i njemu podređene poduzetnike.

 

Osnovna načela obrade osobnih podataka

Načela zaštite podataka definiraju glavne odgovornosti unutar organizacije koja raspolaže osobnim podacima. Čl. 5. st. 2. Opće uredbe o zaštiti podataka određuje da je “voditelj obrade odgovoran za usklađenost sa st. 1. te mora biti u mogućnosti isto i dokazati (pouzdanost).”

Zakonita, poštena i transparentna obrada

Osobni podaci u Bolnici obrađuju se na zakonit, pošten i transparentan način u odnosu na ispitanika.

Ograničenje svrhe

Osobni podaci prikupljeni su u skladu sa zakonskim obavezama i legitimnim interesima Bolnice, te se ne smiju obrađivati na bilo koji način koji nije u skladu s tim svrhama.

Minimalna količina podataka

Osobni podaci odgovaraju i ograničeni su na temu koja je nužna za ispunjavanje svrhe obrade. Bolnica prilikom definiranja svrhe obrade primjenjuje anonimizaciju i pseudonimizaciju osobnih podataka ako je moguće, kako bi se smanjio rizik za ispitanika.

 

Točnost

 

Osobni podaci su točni i prema potrebi se ažuriraju. Ukoliko se tijekom obrade pojave neki podaci koji nisu točni Bolnica kao Voditelj obrade poduzima mjere kojima se ti podaci bez odlaganja brišu ili ispravljaju.

Ograničenje vremena pohrane

Osobni podaci moraju se držati samo onoliko koliko je potrebno u svrhe radi kojih se obrađuju. Rokovi i procedura čuvanja podataka definirani su u Politici čuvanja podataka Bolnice.

Nepovredivost i povjerljivost

Vodeći računa o tehnološkim dostignućima i ostalim raspoloživim sigurnosnim mjerama, troškovima implementacije i različitim vjerojatnostima ozbiljnog rizika po zaštitu podataka, Bolnica je implementirala odgovarajuće tehničke i organizacijske mjere kako bi se obrada osobnih podataka odvijala na način koji pruža sigurnost osobnih podataka te između ostalog zaštitu od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa.

Pouzdanost

Bolnica je ozbiljna tvrtka i u svakom je trenutku u stanju dokazati poštovanje načela koja su prethodno navedena.

 

Obavješćivanje ispitanika

Opća uredba o zaštiti podataka propisuje načine obavješćivanja i komunikacije s ispitanikom o njegovim osobnim podacima (čl. 12. i 13. te čl. 15. – 22.) te obavješćivanje o povredi podataka (čl. 34.).

Čl. 12. posebno traži da se obavješćivanje i komunikacija s ispitanikom mora provoditi na način da slijedi sljedeća pravila:

  • mora biti precizna, transparentna, nedvosmislena i lako razumljiva
  • komunicirana jasnim i jednostavnim jezikom
  • mora biti u pismenom obliku (elektronskom ili papirnatom)
  • gdje to ispitanik zatraži mora biti informiran i usmenim putem i
  • mora biti besplatna

 

Ispitanikov izbor i privola

Čl. 4. st. 11. propisuje da privola ispitanika mora biti slobodno dana, specifična, informirana i nedvosmislena te kojom on daje pristanak za obradu osobnih podataka koji se odnose na njega.

 

Prikupljanje

Bolnica prikuplja najmanje moguće količine osobnih podataka. Ako se osobni podaci prikupljaju od treće strane, ravnatelj Bolnice mora u pripremi i definiranju svrhe obrade osigurati da se prikupljanje vrši na zakonit način.

 

Korištenje, pohrana i uklanjanje

Svrha, metode, ograničenje pohrane i razdoblje zadržavanja osobnih podataka moraju biti sukladne s informacijama sadržanim u Izjavi o privatnosti. Bolnica je u mogućnosti očuvati točnost, integritet, povjerljivost i relevantnost osobnih podataka temeljenih na svrhama obrada koje ima u svom poslovnom procesu. Odgovarajući sigurnosni mehanizmi čiji je cilj zaštita osobnih podataka koriste se radi sprečavanja krađe, povrede prava ili zlouporabe osobnih podataka. Ravnatelj Bolnice nadležan je za poštivanje zahtjeva navedenih u ovom poglavlju.

 

Otkrivanje trećim stranama

U slučajevima kada i ako Bolnica angažira isporučitelja treće strane ili poslovnog partnera za obradu osobnih podataka, ravnatelj je dužan osigurati da Izvršitelj obrade poduzme sigurnosne mjere zaštite osobnih podataka koje odgovaraju mogućim rizicima koji se mogu pojaviti tijekom obrade. U tu svrhu koristi se Upitnik o usklađenosti s Općom uredom o zaštiti podataka.

Bolnica ugovorom definira i traži da isporučitelj ili poslovni partner osigura istu razinu zaštite podataka koja je zastupljena u njezinom poslovnom procesu. Isporučitelj ili poslovni partner smije obrađivati osobne podatke jedino onda kada izvršava svoje ugovorne obveze prema Bolnici ili po nalogu Bolnice. Kada Bolnica obrađuje osobne podatke zajedno s neovisnom trećom stranom, izričito će specificirati svoje kao i odgovornosti treće strane, kroz odgovarajući ugovor ili bilo koji drugi pravno obvezujući dokument.

 

Prava ispitanika na pristup podacima

Kada je u ulozi Voditelja obrade, Bolnica je dužan ispitanicima osigurati prihvatljiv mehanizam pristupa njihovim osobnim podacima. Ispitanicima je osigurano i ažuriranje, ispravljanje, brisanje ili prenošenje osobnih podataka ako je to primjenjivo ili propisano zakonom.

 

Prenosivost podataka

Ispitanici imaju pravo, na zahtjev, dobiti kopiju svojih podataka koje Bolnica obrađuje, u strukturiranom formatu i te podatke besplatno prenijeti drugom voditelju obrade. Ravnatelj Bolnice je nadležan osigurati da se takvi zahtjevi procesiraju unutar 30 (trideset) dana, da nisu pretjerani i da ne utječu na prava zaštite osobnih podataka drugih pojedinaca.

 

Pravo na zaborav

Na zahtjev, ispitanici imaju pravo tražiti od Bolnice brisanje svojih osobnih podataka. Kada je Bolnica ujedno i Voditelj obrade, ravnatelj mora poduzeti potrebne radnje (uključujući i tehničke mjere) kako bi informirao treće strane koje koriste ili obrađuju te podatke, o potrebi usklađivanja sa zahtjevom.

 

Smjernice za poštenu obradu podataka

Osobni podaci smiju se obrađivati samo ako su izričito odobreni od ravnatelja Bolnice.

Bolnica prilikom definiranja obrade mora odlučiti hoće li primijeniti Procjenu učinka zaštite podataka za svaku aktivnost obrade podataka sukladno Smjernicama za procjenu učinka zaštite podataka.

 

Obavijesti ispitanicima

Tijekom ili prije prikupljanja osobnih podataka za bilo koju vrstu obrade; uključujući i proizvode za prodaju, usluge ili marketinške aktivnosti; ravnatelj Bolnice je nadležan za propisno obavješćivanje ispitanika o sljedećem: vrsta osobnih podataka koja se prikuplja, svrha obrade, metode obrade, prava ispitanika u kontekstu vlastitih osobnih podataka, razdoblju čuvanja, mogućem međunarodnom prijenosu podataka, mogućem dijeljenju s trećim stranama i sigurnosnim mjerama Bolnice o zaštiti osobnih podataka. Ove informacije nalaze se u Izjavi o privatnosti.

Bolnica ovisno o aktivnosti obrade i kategorijama prikupljenih osobnih podataka kreira razne obavijesti koje se razlikuju prema samim procesima u sklopu obrade (npr. za slanje dopisa ili za otpremu robe).

Kada se osobni podaci dijele s trećoj stranom, ravnatelj Bolnice mora osigurati da su ispitanici o tome obaviješteni putem Izjave o privatnosti.

Kada se osobni podaci prenose u treću državu sukladno Politici prekograničnog prijenosa podataka, Bolnica u Izjavi o privatnosti navodi jasno gdje i kojoj instituciji se osobni podaci prenose.

Kada se prikupljaju osjetljivi osobni podaci, Službenik za zaštitu podataka dužan je osigurati da se u Izjavi o privatnosti izričito navede za koga se prikupljaju predmetni osjetljivi osobni podaci.

 

Pribavljanje privole

Kada se obrada osobnih podataka temelji na privoli ispitanika ili po nekoj drugoj zakonskoj osnovi, ravnatelj Bolnice dužan je osigurati adekvatno čuvanje evidencije predmetnih privola. Ravnatelj Bolnice je dužan omogućiti ispitaniku opcije za davanje privole te ga informirati i osigurati da se njegova privola (uvijek kada se koristi kao zakonska osnova za obradu) može povući u bilo kojem trenutku.

Kada se prikupljanje osobnih podataka odnosi na dijete ispod 16 godina, Bolnica će osigurati roditeljsku privolu prije početka prikupljanja korištenjem Obrasca roditeljske privole.

U slučaju zahtjeva za ispravkom, dopunom ili uništavanjem evidencija osobnih podataka; Bolnica mora osigurati da se s takvim zahtjevima postupa u razumnom vremenskom roku. Bolnica mora također osigurati da se svaki takav zahtjev zabilježi.

Osobni podaci u Bolnici se procesuiraju samo u svrhe za koje se izvorno prikupljaju. U slučaju da Bolnica želi obrađivati prikupljene osobne podatke u drugu svrhu, uvijek traži dozvolu svojih ispitanika jasnim i nedvosmislenim pisanim putem. Svaki takav zahtjev uključuje izvornu namjenu za koju su podaci prikupljani, kao i novu ili dodatnu svrhu (ili svrhe). Zahtjev također uključuje i razlog zbog kojeg je došlo do promjene svrhe. Službenik za zaštitu podataka nadležan je za usklađivanje s pravilima iz ovog poglavlja.

Bolnica je osigurao da su metode prikupljanja u skladu s relevantnim zakonom, dobrim poslovnim praksama i važećim sigurnosnim standardima.

 

Organizacija i odgovornosti

Odgovornost za pružanje primjerene obrade podataka leži na svakome tko radi za Bolnicu ili sa Bolnicom, te ima pristup osobnim podacima koje Bolnica obrađuje.

Glavna područja odgovornosti za obradu osobnih podataka nalaze se u sljedećim organizacijskim ulogama:

Ravnateljstvo donosi odluke ili odobrava opće strategije Bolnice za zaštitu osobnih podataka.

Službenik za zaštitu podataka, odgovoran je za upravljanje programima za zaštitu podataka, te za razvoj i promoviranje politike zaštite osobnih podataka od njezinog prvog do zadnjeg elementa kao što je definirano u Opisu poslova Službenika za zaštitu podataka.

Službenik za zaštitu podataka prati i analizira zakone o osobnim podacima, promjene regulative, kreira zahtjeve za usklađivanjem te pomaže poslovnim odjelima u postizanju ciljeva vezanih za osobne podatke.

 

Procedura u slučaju povrede osobnih podataka

Kada Bolnica posumnja ili sazna da je došlo do povrede osobnih podataka, ravnatelj Bolnice mora poduzeti internu istragu i pokrenuti korektivne mjere popravljanja štete. Ukoliko se utvrdi da postoje bilo kakvi rizici za prava i slobode ispitanika, Bolnica mora bez odgađanja, a maksimalno u roku od 72 sata otkad je rizik ili incident uočen, obavijestiti nadzorno tijelo AZOP.