Poštovani,

S primjenom Opće uredbe o zaštiti osobnih podataka dobivate više prava na zaštitu i privatnost svojih osobnih podataka. Most Nezavisnih Lista strogo provodi ovu pravnu regulativu. Stoga u skladu s novom Uredbom ovim putem želimo obnoviti vašu suglasnost o korištenju osobnih podataka koja će u cijelosti izraziti vaše želje i interese.

Klikom na poveznicu u nastavku otvara se jednostavan obrazac. Na obrascu ćete potvrditi namjeru da i dalje želite primati obavijesti iz Mosta Nezavisnih Lista o našim aktivnostima, inicijativama, pozivnice na događaje i ostale novosti.

Hvala vam na povjerenju,
Most Nezavisnih Lista

NAPRIJED NA OBRAZAC

Pravila o zaštiti osobnih podataka

Most Nezavisnih Lista (u daljnjem tekstu: MOST) nastoji u svom poslovanju biti usklađen sa svim relevantnim zakonskim odredbama i propisima koji se odnose na osobne podatke. Ovaj dokument određuje temeljne principe po kojima MOST obrađuje osobne podatke članova, simpatizera, donatora, poslovnih suradnika, zaposlenika i drugih te utvrđuje uloge i odgovornosti u svim dijelovima organizacije prilikom obrade osobnih podataka.

Ova politika se odnosi na MOST koji obrađuje osobne podatke unutar Republike Hrvatske i Europske Unije, u skladu s Općom uredbom o zaštiti podataka (GDPR – EU 2016/679) i Zakonom o zaštiti osobnih podataka Republike Hrvatske.

Osnovni pojmovi i definicije

Definicije navedene u ovom dokumentu definira čl. 4. Opće uredbe o zaštiti podataka:

• Osobni podaci: svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi
• Ispitanik: osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
• Osjetljivi osobni podaci: osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda, zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti osobni podaci obuhvaćaju podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetičke podatke, biometrijske podatke, podatke koji se tiču zdravlja ili podatke o spolnom životu ili seksualnoj orijentaciji pojedinca
• Voditelj obrade: fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo, koje samo ili zajedno s drugima, određuje svrhe i sredstva obrade osobnih podataka
• Procesor obrade (izvršitelj obrade): fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade
• Obrada: svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, automatiziranim ili neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
• Anonimizacija: nepovratno obrađeni osobni podaci na način da se osoba ne može identificirati u razumnom vremenu, troškovima ili tehnologijom
• Pseudonimizacija: obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama
• Prekogranična obrada osobnih podataka: obrada osobnih podataka koja se odvija u EU u kontekstu aktivnosti poslovnih nastana u više od jedne države članice
• Nadzorno tijelo: neovisno tijelo javne vlasti koje je osnovala država članica u skladu s čl. 51. Opće uredbe o zaštiti podataka

Osnovna načela obrade osobnih podataka

Načela zaštite podataka definiraju glavne odgovornosti unutar organizacije koja raspolaže osobnim podacima. Čl. 5. st. 2. Opće uredbe o zaštiti podataka određuje da je “voditelj obrade odgovoran za usklađenost sa st. 1. te mora biti u mogućnosti isto i dokazati (pouzdanost).”

MOST obrađuje osobne podatke u skladu sa sljedećim osnovnim načelima:

• Zakonita, poštena i transparentna obrada: osobni podaci obrađuju se na zakonit, pošten i transparentan način u odnosu na ispitanika
• Ograničenje svrhe: osobni podaci prikupljeni su u skladu sa zakonskim obavezama i legitimnim interesima MOST-a, te se ne smiju obrađivati na bilo koji način koji nije u skladu s tim svrhama
• Minimalna količina podataka: osobni podaci odgovaraju i ograničeni su na ono što je nužno za ispunjavanje svrhe obrade. MOST prilikom definiranja svrhe obrade primjenjuje anonimizaciju i pseudonimizaciju osobnih podataka ako je moguće, kako bi se smanjio rizik za ispitanika
• Točnost: osobni podaci su točni i prema potrebi se ažuriraju. Ukoliko se tijekom obrade pojave neki podaci koji nisu točni, MOST kao voditelj obrade poduzima mjere kojima se ti podaci bez odlaganja brišu ili ispravljaju
• Ograničenje vremena pohrane: osobni podaci čuvaju se samo onoliko koliko je potrebno da se ispuni svrha radi koje se obrađuju
• Nepovredivost i povjerljivost: vodeći računa o tehnološkim dostignućima i ostalim raspoloživim sigurnosnim mjerama, troškovima implementacije i različitim vjerojatnostima ozbiljnog rizika po zaštitu podataka, MOST je implementirao odgovarajuće tehničke i organizacijske mjere kako bi se obrada osobnih podataka odvijala na način koji pruža sigurnost osobnih podataka
• Pouzdanost: MOST je u svakom trenutku u stanju dokazati poštovanje načela koja su prethodno navedena

Voditelj obrade podataka

Voditelj obrade vaših osobnih podataka je Most Nezavisnih Lista, politička stranka sa sjedištem na adresi Draškovićeva 23, 10000 Zagreb, Hrvatska, OIB: 67345817198.

Za sva pitanja u vezi s obradom vaših osobnih podataka i ostvarivanjem vaših prava, možete nas kontaktirati na e-mail adresu: ured@most-hrvatska.hr.

Koju vrstu osobnih podataka prikupljamo?

U skladu s načelom minimizacije podataka, prikupljamo samo one osobne podatke koji su neophodni za ostvarivanje svrhe obrade. Konkretno prikupljamo i obrađujemo sljedeće kategorije osobnih podataka:

• Osnovni identifikacijski podaci: ime i prezime (ako ste nam ih pružili)
• Kontakt podaci: e-mail adresa (obavezno za slanje newslettera)
• Podaci o komunikaciji: informacije o odabranim načinima komunikacije i preferencijama
• Tehnički podaci: IP adresa (prilikom posjete naših web-stranica i otvaranja newslettera)
• Podaci o privoli: datum i vrijeme davanja privole, izvor privole (web-stranica, događaj, itd.), status privole (aktivan/opozvan)
• Podaci o interakciji: informacije o otvaranju newslettera, klikovima na poveznice, segmentaciji (ako ste nam to dozvolili)

Ne prikupljamo posebne kategorije osobnih podataka (osim ako eksplicitno ne pristanete na obradu u političke svrhe, što se može smatrati posebnom kategorijom podataka prema GDPR čl. 9).

Obrada osobnih podataka u političke svrhe

Kao politička stranka obrađujemo vaše osobne podatke u svrhu političke komunikacije, informiranja o aktivnostima, događajima, inicijativama i javnim politikama Mosta Nezavisnih Lista. Takva obrada uključuje slanje newslettera s političkim sadržajem, pozivnice na događaje, informacije o javnim politikama i pozicijama stranke.

Ova obrada temelji se na vašoj izričitoj privoli, u skladu s člankom 6. stavkom 1. točkom (a) i člankom 9. stavkom 2. točkom (a) Opće uredbe o zaštiti podataka (GDPR).

Važno je napomenuti da obrada osobnih podataka u političke svrhe predstavlja posebnu kategoriju obrade podataka prema GDPR-u, što zahtijeva vašu izričitu privolu. Privolu možete povući u bilo kojem trenutku, bez utjecaja na zakonitost obrade prije povlačenja.

Nakon povlačenja privole, vaši osobni podaci neće se više koristiti za političku komunikaciju, osim ako to ne zahtijeva zakon ili ako postoji druga zakonska osnova za obradu.

Koje su pravne osnove za obradu vaših osobnih podataka?

U skladu s važećim zakonodavstvom iz područja zaštite osobnih podataka, vaše osobne podatke obrađujemo na temelju sljedećih pravnih osnova:

• Izričita privola (GDPR čl. 6(1)(a) i čl. 9(2)(a)): ako ste nam dali izričitu suglasnost za obradu vaših osobnih podataka, posebno za obradu u političke svrhe. Privolu možete u bilo kojem trenutku opozvati bez negativnih posljedica
• Zakonski interes (GDPR čl. 6(1)(f)): ako je obrada nužna zbog zakonskih interesa koje provodi Most Nezavisnih Lista, kao što je informiranje javnosti o aktivnostima stranke, osiguravanje transparentnosti rada stranke, ili zaštita pravnih interesa stranke
• Zakonska obveza (GDPR čl. 6(1)(c)): ako to zahtijeva zakon, na primjer obveze izvješćivanja tijelima vlasti, poštivanje sudskih odluka, ili druge zakonske obveze

Za svaku svrhu obrade jasno navodimo koja je pravna osnova primjenjiva. U slučaju da se oslanjamo na privolu, uvijek možete povući privolu bez utjecaja na zakonitost obrade prije povlačenja.

Za koje namjene obrađujemo vaše osobne podatke?

Osobne podatke obrađujemo samo za određene, eksplicitne i legitimne namjene i nećemo ih obrađivati ni na koji način koji nije u skladu s tim namjenama. Konkretno obrađujemo vaše osobne podatke za sljedeće namjene:

• Slanje newslettera i informiranje: slanje redovitih newslettera s informacijama o aktivnostima Mosta Nezavisnih Lista, novostima, događajima i inicijativama
• Politička komunikacija: informiranje o javnim politikama, pozicijama stranke, političkim inicijativama i aktivnostima
• Pozivnice na događaje: slanje pozivnica na javne događaje, sastanke, konferencije i druge aktivnosti koje organizira Most Nezavisnih Lista
• Komunikacija s vama: odgovor na vaša pitanja, zahtjeve i komentare
• Unaprjeđenje usluga: analiza učinkovitosti komunikacije, unaprjeđenje iskustva posjete naših web-stranica, personalizacija sadržaja (uz vašu privolu)
• Ispunjavanje zakonskih obveza: izvješćivanje tijelima vlasti kada to zahtijeva zakon, poštivanje sudskih odluka

Vaše osobne podatke nećemo koristiti za svrhe koje nisu navedene u ovoj politici privatnosti, osim ako dobijemo vašu izričitu privolu ili ako to zahtijeva zakon.

Korištenje usluge Mailchimp i prijenos podataka izvan EU

Za slanje newslettera, upravljanje kontaktima i komunikaciju s vama koristimo platformu Mailchimp, koju pruža The Rocket Science Group LLC, sa sjedištem u Sjedinjenim Američkim Državama (675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, SAD).

Važno: U okviru korištenja Mailchimpa, vaši podaci (ime i prezime, e-mail adresa, preferencije komunikacije, IP adresa, podaci o interakciji s newsletterom) mogu biti preneseni i obrađivani izvan Europske unije, uključujući Sjedinjene Američke Države.

Ovo je važna informacija koju morate znati prije davanja privole. Ako ne pristanete na prijenos podataka izvan EU, možete nam se obratiti na ured@most-hrvatska.hr kako bismo razmotrili alternativne načine komunikacije.

Pravne osnove za prijenos podataka:

• Mailchimp sudjeluje u programu EU-US Data Privacy Framework (DPF), koji je priznat odlukom Komisije kao odgovarajući mehanizam zaštite podataka za prijenos iz EU u SAD
• Mailchimp koristi Standardne ugovorne klauzule (SCC – Standard Contractual Clauses) kao dodatnu pravnu osnovu za prijenos podataka iz EU, u skladu s GDPR čl. 46
• S Mailchimpom imamo sklopljen Ugovor o obradi podataka (DPA – Data Processing Agreement), koji regulira uvjete obrade podataka i osigurava da Mailchimp postupa u skladu s GDPR-om

Ugovor o obradi podataka (DPA) s Mailchimpom:

DPA je pravno obvezujući dokument koji definira odgovornosti i obveze Mailchimpa kao procesora podataka. DPA osigurava da:

• Mailchimp obrađuje osobne podatke samo u skladu s našim pisanim uputama i u svrhe koje smo definirali
• Mailchimp primjenjuje odgovarajuće tehničke i organizacijske mjere za zaštitu podataka
• Mailchimp ne koristi podatke za vlastite svrhe osim u skladu s ugovorom
• Mailchimp osigurava da svi sub-procesori poštuju iste standarde zaštite podataka
• Mailchimp nas obavještava o svim povredama podataka u skladu s GDPR-om
• Mailchimp pomaže u ostvarivanju prava ispitanika (pristup, brisanje, itd.)
• Nakon završetka obrade, Mailchimp briše ili vraća sve osobne podatke

DPA je automatski uključen u Mailchimpove uvjete korištenja kada koristimo njihove usluge. DPA je dostupan na Mailchimpovoj web-stranici i uključuje sve potrebne klauzule u skladu s GDPR čl. 28.

Sub-procesori Mailchimpa: Mailchimp može koristiti sub-procesore (treće strane) za pružanje svojih usluga. Popis sub-procesora možete pronaći u Mailchimpovoj politici privatnosti. Svi sub-procesori su obvezni poštivati iste standarde zaštite podataka kao i Mailchimp.

Više informacija o Mailchimpovoj obradi podataka, sigurnosnim mjerama i pravima koja imate možete pronaći u njihovoj politici privatnosti dostupnoj na: https://mailchimp.com/legal/privacy/

U slučaju da imate pitanja o prijenosu podataka ili želite ostvariti svoja prava u vezi s podacima koji se obrađuju putem Mailchimpa, možete nas kontaktirati na ured@most-hrvatska.hr ili direktno Mailchimp na njihovu adresu za zaštitu podataka.

Lokacija obrade i pohrane podataka

Vaši osobni podaci se obrađuju i pohranjuju na sljedećim lokacijama:

• Mailchimp platforma: podaci se pohranjuju na serverima Mailchimpa, koji se mogu nalaziti u Sjedinjenim Američkim Državama i drugim zemljama izvan EU. Mailchimp koristi sigurne podatkovne centre koji su certificirani prema međunarodnim standardima sigurnosti
• Lokalni računalni sustavi: u ograničenom opsegu, određeni podaci mogu biti pohranjeni na lokalnim računalnim sustavima Mosta Nezavisnih Lista, koji se nalaze u Hrvatskoj (EU)
• Sigurnosne kopije: Mailchimp provodi redovite sigurnosne kopije podataka, koje se također mogu nalaziti na lokacijama izvan EU, ali su zaštićene istim sigurnosnim mjerama

Svi podaci koji se prenose izvan EU su zaštićeni mehanizmima navedenim u prethodnoj sekciji (EU-US DPF i SCC).

Koliko dugo čuvamo vaše osobne podatke?

Osobne podatke čuvamo u skladu s važećim Zakonom o zaštiti osobnih podataka i GDPR-om. Spremamo ih onoliko dugo koliko je potrebno za namjene za koje se obrađuju ili za postupanje u skladu sa zakonom.

Konkretni rokovi čuvanja:

• Podaci obrađivani na temelju privole: Osobne podatke koje obrađujemo na temelju vaše izričite suglasnosti, pohranjujemo do vašeg opoziva suglasnosti. Nakon opoziva suglasnosti, vaše osobne podatke brišemo u roku od 30 dana, osim ako postoji zakonska obveza zadržavanja podataka ili dokazivanje suglasnosti u slučaju prigovora
• Podaci obrađivani na temelju zakonskog interesa: Osobne podatke obrađujemo dok postoji legitimni interes za obradu ili dok ne zatražite brisanje podataka (ako nemate prigovor na obradu)
• Neaktivnost: U slučaju neaktivnosti (npr. neotvaranje newslettera u periodu od 2 godine), vaše osobne podatke možemo obrisati ako više nisu potrebni za svrhu obrade. Prije brisanja pokušat ćemo vas kontaktirati kako bismo potvrdili želite li i dalje primati naše komunikacije
• Zakonske obveze: Ako postoji zakonska obveza zadržavanja određenih podataka (npr. računovodstveni podaci, dokazi o privoli), podatke čuvamo u skladu s tim zakonskim obvezama

Nakon isteka roka čuvanja, vaši osobni podaci se sigurno brišu ili anonimiziraju tako da više ne možete biti identificirani.

Na koji način štitimo vaše osobne podatke?

Upotrebljavamo tehničke i organizacijske sigurnosne mjere kako bismo zaštitili vaše osobne podatke od ilegalnog ili neovlaštenog pristupa ili upotrebe, kao i od slučajnog gubitka ili gubitka dijela podataka. Oblikovali smo ih uzimajući u obzir svoju IT infrastrukturu, potencijalni utjecaj na vašu privatnost i troškove te u skladu s trenutnim standardima i praksom.

Tehničke mjere zaštite:

• Šifriranje podataka u prijenosu (TLS/SSL protokoli)
• Šifriranje podataka u mirovanju na sigurnim serverima
• Redovite sigurnosne kopije podataka
• Zaštita od zlonamjernog softvera i napada
• Nadzor i praćenje pristupa podacima
• Sigurnosni sustavi za sprječavanje neovlaštenog pristupa

Organizacijske mjere zaštite:

• Ograničen pristup podacima samo ovlaštenim osobama koje imaju potrebu za pristupom u svrhu obavljanja svojih radnih zadataka
• Dvofaktorska autentifikacija (2FA) za pristup sustavima koji obrađuju osobne podatke
• Redovita edukacija osoblja o zaštiti osobnih podataka
• Dokumentirane procedure za rukovanje osobnim podacima
• Periodične revizije sigurnosnih mjera i pristupa podacima
• Upravljanje sigurnosnim incidentima i procedure za reagiranje na povrede podataka

Mjere zaštite kod procesora podataka: Mailchimp, kao naš procesor podataka, primjenjuje vlastite sigurnosne mjere u skladu s međunarodnim standardima (npr. ISO 27001). Više informacija o Mailchimpovim sigurnosnim mjerama možete pronaći na njihovoj web-stranici.

Održavanje sigurnosti podataka znači zaštitu povjerljivosti, cjelovitosti i dostupnosti vaših osobnih podataka:

• Povjerljivost: vaši osobni podaci zaštićeni su od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja
• Cjelovitost: osiguravamo da se vaši osobni podaci ne mijenjaju neovlašteno ili slučajno
• Dostupnost: osigurat ćemo da ovlaštene osobe za obradu podataka imaju pristup vašim osobnim podacima kada je to potrebno

U slučaju povrede podataka koja može predstavljati visok rizik za vaša prava i slobode, obavijestit ćemo vas i nadzorno tijelo u roku od 72 sata od saznanja o povredi, u skladu s GDPR čl. 33 i 34.

Tko obrađuje osobne podatke?

Ovisno o namjenama za koje obrađujemo vaše osobne podatke, primatelje podataka možemo podijeliti u sljedeće kategorije:

a) Unutar naše organizacije:

• naše ovlašteno osoblje i ugovorni suradnici koji imaju potrebu za pristupom podacima u svrhu obavljanja svojih radnih zadataka (npr. osoblje ureda, PR tim, IT podrška)
• naši područni Uredi, ukoliko je to potrebno za lokalnu komunikaciju i aktivnosti

Svi zaposlenici i suradnici koji imaju pristup osobnim podacima su obvezni poštivati pravila o zaštiti podataka i povjerljivosti.

b) Procesori podataka (treće strane):

• Mailchimp (The Rocket Science Group LLC, SAD): za slanje newslettera, upravljanje kontaktima, segmentaciju i analitiku. Mailchimp djeluje kao procesor podataka u skladu s GDPR-om i našim DPA-om
• Sub-procesori Mailchimpa: Mailchimp može koristiti sub-procesore za pružanje svojih usluga (npr. hosting, sigurnost, analitika). Svi sub-procesori su obvezni poštivati iste standarde zaštite podataka
• Ostali procesori podataka: drugi procesori podataka koji pružaju tehničke usluge potrebne za rad naših web-stranica i komunikacije (npr. hosting provideri, servisi za analitiku web-stranica, ako se koriste)

Svi procesori podataka su obvezni poštivati GDPR i imaju sklopljene ugovore o obradi podataka s nama.

Osiguravanje usklađenosti procesora: U skladu s GDPR čl. 28, MOST osigurava da svi procesori podataka (uključujući Mailchimp i njihove sub-procesore):

• imaju sklopljen pisani ugovor o obradi podataka (DPA) koji ih obvezuje na poštivanje GDPR-a
• primjenjuju odgovarajuće tehničke i organizacijske mjere za zaštitu podataka
• obrađuju osobne podatke samo u skladu s našim pisanim uputama
• ne koriste podatke za vlastite svrhe
• osiguravaju da svi sub-procesori poštuju iste standarde
• nas obavještavaju o svim povredama podataka
• pomažu u ostvarivanju prava ispitanika
• nakon završetka obrade brišu ili vraćaju sve osobne podatke

MOST redovito provjerava usklađenost procesora s GDPR-om i našim DPA-om. U slučaju da procesor ne poštuje svoje obveze, MOST će poduzeti potrebne mjere, uključujući prekid suradnje ako je potrebno.

c) Ostale treće strane (primatelji podataka):

• kada to zahtijeva zakon ili je zakonski potrebno radi zaštite Mosta Nezavisnih Lista
• poštivanje zakona, na zahtjev tijela vlasti, sudske odluke, pravni postupci, obveze izvješćivanja i informiranja nadležnih tijela itd.

U slučaju prijenosa podataka trećim stranama na temelju zakonske obveze, obavijestit ćemo vas o tome, osim ako to nije zabranjeno zakonom.

Automatizirana obrada i segmentacija

Za potrebe slanja relevantnog sadržaja i unaprjeđenja komunikacije možemo koristiti alate za segmentaciju i analitiku unutar Mailchimpa. Ova segmentacija uključuje:

• Grupiranje kontakata prema interesima ili preferencijama (ako ste nam to dozvolili)
• Analitiku otvaranja newslettera i klikova na poveznice
• Personalizaciju sadržaja na temelju vaših interakcija s našim komunikacijama

Važno: Ova segmentacija ne uključuje automatizirano donošenje odluka koje proizvodi pravne učinke za vas ili vas značajno utječe na način koji bi zahtijevao vašu izričitu privolu prema GDPR čl. 22. Ne koristimo potpuno automatizirane sustave za donošenje odluka bez ljudske intervencije.

Imate pravo prigovoriti takvoj automatskoj obradi podataka. Ako želite prigovoriti automatskoj obradi, kontaktirajte nas na ured@most-hrvatska.hr.

U slučaju da u budućnosti uvedemo automatizirano donošenje odluka koje proizvodi pravne učinke, obavijestit ćemo vas o tome i zatražiti vašu izričitu privolu.

Pohrana privola i evidencija obrade

Vodimo detaljnu evidenciju o danim privolama, uključujući:

• Datum i vrijeme davanja privole
• Izvor privole (web-stranica, događaj, osobni kontakt, itd.)
• Preferencije komunikacije (koje vrste komunikacije ste odabrali)
• Status privole (aktivan/opozvan)
• Datum i vrijeme opoziva privole (ako je opozvana)
• IP adresu s koje je privola dana (za web-privole)

Ova evidencija nam omogućava dokazivanje da ste dali privolu, što je važno za zaštitu vaših prava i naših obveza. Privole čuvamo do opoziva ili dok više nisu potrebne za svrhu obrade, u skladu s važećim zakonodavstvom.

Evidencija aktivnosti obrade podataka (ROPA)

U skladu s GDPR čl. 30, vodimo evidenciju aktivnosti obrade podataka (ROPA – Record of Processing Activities), koja uključuje sve relevantne informacije o obradi vaših osobnih podataka. Ova evidencija sadrži:

• Voditelj obrade: Most Nezavisnih Lista, Draškovićeva 23, 10000 Zagreb, Hrvatska, OIB: 67345817198
• Svrha obrade: slanje newslettera, politička komunikacija, informiranje članova i simpatizera
• Kategorije ispitanika: članovi, simpatizeri, primatelji newslettera, podupiratelji
• Kategorije podataka: ime, prezime (ako postoji), e-mail adresa, IP adresa, podaci o preferencijama prema komunikaciji (privola)
• Pravna osnova obrade: izričita privola u skladu s GDPR (čl. 6(1)(a) i čl. 9(2)(a) za političke podatke)
• Lokacija obrade i pohrane podataka: Mailchimp platforma (SAD), lokalni računalni sustavi (Hrvatska, EU)
• Primatelji podataka (procesori): Mailchimp (The Rocket Science Group LLC) i ovlaštene osobe u organizaciji
• Međunarodni prijenos podataka: da — SAD (Mailchimp). Temelj: EU-US Data Privacy Framework + Standardne ugovorne klauzule (SCC)
• Rok čuvanja podataka: do povlačenja privole ili maksimalno dok postoji svrha obrade
• Tehničke i organizacijske mjere zaštite: ograničen pristup, lozinke, 2FA, dokumentirane procedure, periodične revizije, šifriranje podataka
• Postupak brisanja podataka: automatski putem Mailchimp unsubscribe funkcije + ručno brisanje na zahtjev

Ova evidencija je dostupna nadzornom tijelu (Agencija za zaštitu osobnih podataka) na zahtjev i redovito se ažurira.

Koje su vaše mogućnosti i prava u vezi s dostavljenim osobnim podacima?

U skladu s GDPR-om, imate sljedeća prava u vezi s vašim osobnim podacima:

• Pravo na pristup podacima (GDPR čl. 15): uvijek nam se možete obratiti na kontakt za zaštitu podataka na mail ured@most-hrvatska.hr kako biste saznali koje vaše osobne podatke imamo u bazi, iz kojeg smo ih izvora dobili, za koje svrhe ih obrađujemo, tko ima pristup podacima, i koliko dugo ih čuvamo. Odgovorit ćemo vam u roku od mjesec dana
• Pravo na ispravak (GDPR čl. 16): ako u osobnim podacima nađete pogrešku ili ako vam se čini da podaci nisu potpuni ili točni, možete zatražiti ispravak ili dopunu na mail ured@most-hrvatska.hr. Ispravit ćemo podatke u najkraćem mogućem roku
• Pravo na brisanje – “pravo na zaborav” (GDPR čl. 17): možete zatražiti da izbrišemo bilo koje podatke o vama. Brisat ćemo podatke u sljedećim slučajevima: ako podaci više nisu potrebni za svrhu obrade, ako opozovete privolu, ako se protivite obradi, ili ako je obrada nezakonita. Postoje određeni izuzeci kada možemo zadržati podatke (npr. ako je to potrebno prema zakonu, za dokazivanje prava, ili za zaštitu pravnih interesa)
• Pravo na ograničenje obrade (GDPR čl. 18): možete zatražiti ograničenu obradu osobnih podataka u sljedećim slučajevima: dok se provjerava točnost vaših osobnih podataka, ako se protivite obradi, ako podaci više nisu potrebni ali ih trebamo za dokazivanje prava, ili ako se protivite obradi dok se provjerava je li naš legitimni interes jači od vašeg
• Pravo na prijenos podataka (GDPR čl. 20): u određenim uvjetima imate pravo na prikaz osobnih podataka koje ste nam proslijedili, u najčešće upotrebljavanom strukturiranom strojno čitljivom obliku (npr. CSV format), kao i pravo poslati osobne podatke bilo kojoj trećoj strani po svom izboru. Ovo pravo se primjenjuje na podatke koje ste nam pružili i koje obrađujemo na temelju privole ili ugovora
• Pravo na prigovor (GDPR čl. 21): također se možete usprotiviti upotrebi vaših osobnih podataka za svrhe izravnog marketinga (uključujući profiliranje u svrhu izravnog marketinga) i protiviti se samo automatskoj obradi, uključujući obradu u političke svrhe. U slučaju prigovora, prestajemo obrađivati vaše podatke za te svrhe, osim ako možemo dokazati da postoje opravdani razlozi za obradu koji nadmašuju vaše interese
• Pravo na povlačenje privole (GDPR čl. 7): suglasnost za obradu osobnih podataka možete opozvati u bilo kojem trenutku tako da nam se obratite na mail ured@most-hrvatska.hr ili putem opcije za odjavu u newsletteru. Povlačenje privole ne utječe na zakonitost obrade prije povlačenja
• Pravo na žalbu nadzornom tijelu (GDPR čl. 77): imate pravo žaliti se nadzornom tijelu za zaštitu osobnih podataka ako smatrate da naša obrada vaših osobnih podataka krši GDPR. U Hrvatskoj, nadzorno tijelo je Agencija za zaštitu osobnih podataka (AZOP), Martićeva 14, 10000 Zagreb, tel: +385 1 4609 000, e-mail: azop@azop.hr, web: https://azop.hr

Postupak ostvarivanja prava: Za ostvarivanje bilo kojeg od navedenih prava, kontaktirajte nas na ured@most-hrvatska.hr. Odgovorit ćemo vam u roku od mjesec dana od primitka zahtjeva. Ako je zahtjev složen ili imamo više zahtjeva, rok može biti produžen za dodatna dva mjeseca, o čemu ćemo vas obavijestiti.

Radi pouzdane identifikacije u slučaju ostvarivanja prava u vezi s osobnim podacima možemo od vas zatražiti dodatne podatke (npr. kopiju osobne iskaznice), a djelovanje možemo samo odbiti ako se dokaže da vas ne možemo pouzdano identificirati.

Odbijanje pristanka na obradu osobnih podataka ne nosi sa sobom negativne posljedice ili sankcije.

Kome se mogu obratiti ako imam pitanja u vezi s mojim osobnim podacima?

Na raspolaganju vam je osoba za kontakt koja će se baviti vašim pitanjima ili zahtjevima u vezi s vašim osobnim podacima (i njihovom obradom) i ostvarivanjem vaših prava.

Kontakt za zaštitu podataka:

• E-mail: ured@most-hrvatska.hr
• Adresa: Draškovićeva 23, 10000 Zagreb, Hrvatska
• Telefon: +385 1 3450819

Radi pouzdane identifikacije u slučaju ostvarivanja prava u vezi s osobnim podacima možemo od vas zatražiti dodatne podatke, a djelovanje možemo samo odbiti ako se dokaže da vas ne možemo pouzdano identificirati.

U slučaju da imate pitanja o obradi podataka putem Mailchimpa, možete nas kontaktirati ili direktno Mailchimp na njihovu adresu za zaštitu podataka.

Kako mogu opozvati suglasnost?

Suglasnost se može otkazati na nekoliko načina:

• E-poštom: pisanom izjavom ili porukom koju nam možete poslati e-poštom na adresu ured@most-hrvatska.hr
• Putem newslettera: putem opcije za odjavu (unsubscribe) u svakom newsletteru koji vam šaljemo – ovo je najbrži i najjednostavniji način
• Pisanom izjavom: pisanom izjavom koju možete poslati na našu adresu: Draškovićeva 23, 10000 Zagreb, Hrvatska

Nakon što opozovete privolu, prestajemo obrađivati vaše osobne podatke za svrhe koje su zahtijevale privolu. Vaše osobne podatke brišemo u roku od 30 dana od opoziva privole, osim ako postoji zakonska obveza zadržavanja podataka.

Odbijanje pristanka na obradu osobnih podataka ne nosi sa sobom negativne posljedice ili sankcije. Možete se u bilo kojem trenutku ponovno prijaviti za primanje naših komunikacija.

Promjene ove politike privatnosti

Most Nezavisnih Lista zadržava pravo ažurirati i mijenjati ovu politiku privatnosti kako bi odražavala promjene u našim praksama obrade podataka, zakonodavstvu ili tehnologiji.

U slučaju značajnih promjena ove politike privatnosti (npr. promjena svrhe obrade, novi procesori podataka, promjene u vašim pravima), obavijestit ćemo vas o promjenama putem e-pošte ili obavijesti na našoj web-stranici najmanje 30 dana prije nego što promjene stupe na snagu.

U slučaju da promjene zahtijevaju novu privolu (npr. dodavanje novih svrha obrade), zatražit ćemo vašu novu privolu prije nego što počnemo obrađivati vaše podatke za nove svrhe.

Preporučujemo vam da redovito pregledavate ovu politiku privatnosti kako biste bili informirani o tome kako štitimo vaše osobne podatke.

Datum zadnje izmjene ove politike privatnosti: [DATUM]

Obavješćivanje ispitanika

Opća uredba o zaštiti podataka propisuje načine obavješćivanja i komunikacije s ispitanikom o njegovim osobnim podacima (čl. 12. i 13. te čl. 15. – 22.) te obavješćivanje o povredi podataka (čl. 34.).

Čl. 12. posebno traži da se obavješćivanje i komunikacija s ispitanikom mora provoditi na način da slijedi sljedeća pravila:

• mora biti precizna, transparentna, nedvosmislena i lako razumljiva
• komunicirana jasnim i jednostavnim jezikom
• mora biti u pismenom obliku (elektronskom ili papirnatom)
• gdje to ispitanik zatraži, mora biti informiran i usmenim putem
• mora biti besplatna

MOST osigurava da su sve informacije o obradi vaših osobnih podataka dostupne u ovom dokumentu i da su jasno i razumljivo prezentirane.

Ispitanikov izbor i privola

Čl. 4. st. 11. GDPR-a propisuje da privola ispitanika mora biti slobodno dana, specifična, informirana i nedvosmislena te kojom on daje pristanak za obradu osobnih podataka koji se odnose na njega.

MOST prikuplja najmanje moguće količine osobnih podataka. Ako se osobni podaci prikupljaju od treće strane, MOST mora u pripremi i definiranju svrhe obrade osigurati da se prikupljanje vrši na zakonit način.

Kada se obrada osobnih podataka temelji na privoli ispitanika, MOST je dužan omogućiti ispitaniku opcije za davanje privole te ga informirati i osigurati da se njegova privola (uvijek kada se koristi kao zakonska osnova za obradu) može povući u bilo kojem trenutku.

Osobni podaci u MOST-u se obrađuju samo u svrhe za koje se izvorno prikupljaju. U slučaju da MOST želi obrađivati prikupljene osobne podatke u drugu svrhu, uvijek traži dozvolu svojih ispitanika jasnim i nedvosmislenim pisanim putem. Svaki takav zahtjev uključuje izvornu namjenu za koju su podaci prikupljani, kao i novu ili dodatnu svrhu (ili svrhe).

Dječja privatnost

Kada se prikupljanje osobnih podataka odnosi na dijete ispod 16 godina, MOST je dužan osigurati roditeljsku privolu prije početka prikupljanja. Ako ste roditelj ili skrbnik i smatrate da je vaše dijete dalo osobne podatke MOST-u bez vaše privole, molimo kontaktirajte nas na ured@most-hrvatska.hr kako bismo poduzeli potrebne mjere.

Organizacija i odgovornosti

Odgovornost za pružanje primjerene obrade podataka leži na svakome tko radi za MOST ili s MOST-om, te ima pristup osobnim podacima koje MOST obrađuje.

Glavna područja odgovornosti za obradu osobnih podataka nalaze se u sljedećim organizacijskim ulogama:

• Rukovodstvo MOST-a: donosi odluke ili odobrava opće strategije MOST-a za zaštitu osobnih podataka
• Odgovorna osoba za zaštitu podataka: prati i analizira zakone o osobnim podacima, promjene regulative, osmišljava zahtjeve za usklađivanjem te pomaže poslovnim odjelima u postizanju ciljeva vezanih za osobne podatke. Kontakt: ured@most-hrvatska.hr
• Osoblje i suradnici: svi zaposlenici i suradnici koji imaju pristup osobnim podacima su obvezni poštivati pravila o zaštiti podataka i povjerljivosti

MOST je osigurao da su metode prikupljanja u skladu s relevantnim zakonom, dobrim poslovnim praksama i važećim sigurnosnim standardima.

Procjena učinka zaštite podataka (DPIA)

MOST prilikom definiranja obrade mora odlučiti hoće li primijeniti Procjenu učinka zaštite podataka (DPIA – Data Protection Impact Assessment) za svaku aktivnost obrade podataka sukladno Smjernicama za procjenu učinka zaštite podataka (GDPR čl. 35).

DPIA se provodi kada obrada, osobito korištenjem novih tehnologija, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, može predstavljati visok rizik za prava i slobode fizičkih osoba.

Za obrade koje uključuju prijenos podataka izvan EU, automatiziranu obradu u političke svrhe, ili obradu osjetljivih osobnih podataka, MOST provodi DPIA kako bi identificirao i minimizirao rizike za vaša prava i slobode.

Procedura u slučaju povrede osobnih podataka

Kada MOST posumnja ili sazna da je došlo do povrede osobnih podataka, odgovorna osoba u MOST-u mora poduzeti internu istragu i pokrenuti korektivne mjere popravljanja štete.

U skladu s GDPR čl. 33, ukoliko se utvrdi da povreda osobnih podataka može predstavljati rizik za prava i slobode ispitanika, MOST mora bez odgađanja, a maksimalno u roku od 72 sata otkad je rizik ili incident uočen, obavijestiti nadzorno tijelo odnosno Agenciju za zaštitu osobnih podataka (AZOP).

U skladu s GDPR čl. 34, ako povreda osobnih podataka predstavlja visok rizik za prava i slobode ispitanika, MOST će bez odgađanja obavijestiti ispitanika o povredi. Obavješćivanje ispitanika nije potrebno ako:

• MOST je primijenio odgovarajuće tehničke i organizacijske mjere zaštite koje su bile primijenjene na osobne podatke pogođene povredom, osobito mjere kao što je šifriranje koje čini osobne podatke nerazumljivim za svaku osobu koja nije ovlaštena pristupiti tim podacima
• MOST je poduzeo naknadne mjere kako bi osigurao da visok rizik za prava i slobode ispitanika više nije vjerojatan
• obavješćivanje bi zahtijevalo nesrazmjerno velike napore. U takvom slučaju, MOST će umjesto toga poduzeti javnu komunikaciju ili sličnu mjeru kojom će ispitanici biti jednako učinkovito obaviješćeni

Obavješćivanje ispitanika o povredi mora biti napisano jasnim i jednostavnim jezikom i mora sadržavati informacije o prirodi povrede, kontakt podatke odgovorne osobe, moguće posljedice povrede i mjere koje je MOST poduzeo ili predlaže poduzeti kako bi se riješila povreda i smanjio njezin mogući negativan učinak.

Dodatne informacije

Za dodatne informacije o zaštiti osobnih podataka i vašim pravima, možete posjetiti:

• Web-stranicu Agencije za zaštitu osobnih podataka (AZOP): https://azop.hr
• Europski portal za zaštitu podataka: https://edpb.europa.eu
• Tekst Opće uredbe o zaštiti podataka (GDPR): dostupan na web-stranici Europske komisije

Za sva pitanja, molimo kontaktirajte nas na ured@most-hrvatska.hr.