Zaštita osobnih podataka

Temeljem Zakona o zaštiti osobnih podataka (NN 103/03, 118/06, 41/08, 130/11, 106/12), Zakona o provedbi opće uredbe o zaštiti podataka (NN 42/18), te Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP) (SL L 119, 4. 5. 2016.) WEIBA ADRIA j.d.o.o, Stancija Paradiž 98, Butkovići, OIB: 22850342285;zastupan po Marku Weilbach-u, u daljnjem tekstu Agencija, donosi dana 01.01.2023. slijedeći

PRAVILNIK O OBRADI I ZAŠTITI OSOBNIH PODATAKA(GDPR) – WEIBA ADRIA, agencija za nekretnine

Članak 1
Prije sklapanja ugovornih odnosa, za vrijeme njihova trajanja, te po njihovom prestanku, Agencija je dužna obrađivati određene podatke ispitanika/klijenta u svrhu propisanih izvještavanja nadležnih nadzornih tijela i javnih ustanova. U skladu s navedenim, a u cilju odgovornog poslovanja Agencije , postoji legitiman interes obrađivanja određenih osobnih podataka. Prikupljeni podaci koriste se isključivo u svrhu poslovanja.

Članak 2
U skladu sa važećim Zakonom o suzbijanju pranja novca i financiranja terorizma, kojeg je obveznik iAgencija , prikupljeni osobni podaci mogu biti iskorišteni za provođenje dubinske analize i identifikacije stvarnog vlasnika stranke, te utvrđivanja činjenice da li je ispitanik/klijent politički izložena osoba (za što su potrebne preslike osobnog dokumenta, izvodi iz javnih registara, informacije o porijeklu novca te potvrde o transakciji).  Navedena se provjera može odnositi na identitet ispitanika/klijenta, identitet osoba ovlaštenih za zastupanje/opunomoćenika, stvarnih vlasnika, a uključuje procjenu prirode poslovnog odnosa koji se uspostavlja, utvrđivanje porijekla sredstava, te kontinuirani nadzor poslovnog odnosa ukoliko je procjenjen visok rizik od pranja novca ili financiranja terorizma.

Članak 3
Pojedini pojmovi i nazivi u smislu ovog Pravilnika imaju slijedeće značenje:
Ispitanik/klijent – pojedinac na kojeg se osobni podaci odnose, te čiji se identitet može utvrditi ili čiji je identitet utvrđen tijekom poslovnog procesa
Identifikacijski podaci – ime i prezime, datum, mjesto i država rođenja, adresa, državljanstvo, OIB (identifikacijski broj), identifikacijska isprava (naziv, broj, datum izdavanja, naziv izdavatelja)
Dokaz o identitetu – preslika osobne iskaznice ili putovnice
Kontakt podaci – broj telefona, mobitela, e-mail
Ugovorni podaci – podaci o usluzi posredovanja, podaci o kupoprodaji / najmu / zakupu, datum sastavljanja ugovora
Financijski podaci – broj transakcijskog računa (IBAN) za sklapanje kupoprodajnih ugovora i ugovora o najmu / zakupu, porijeklo novca isključivo u iznimnim okolnostima predviđenima Zakonom o sprječavanju pranja novca i financiranja terorizma
Privola – izričito i slobodno dano očitovanje volje ispitanika / klijenta, kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe
Bonitetni podaci – podaci o kreditnoj sposobnosti, te ostali podaci potrebni kod ishodovanja kredita
Podaci o nekretnini – naziv Katastarske općine, broj zemljišnoknjižnog uloška i poduloška, broj katastarske čestice, vlasnik, adresa nekretnine, lokacijska, građevinska, uporabna dozvola, katastarski plan, izvadak iz zemljišne knjige, izvadak iz knjige položenih ugovora, posjedovni list
Knjigovodstveni podaci – zakonom propisani elementi računa, te zapisi o provedenim plaćanjima u skladu s važećim računovodstvenim propisima
Obrada osobnih podataka – zakonita je ako je ispunjeno najmanje jedno od slijedećeg – legitimni interes prikupljanja i obrade podataka, javni i osobni interes, zakonska obveza, ugovorna obveza te privola
Voditelj zbirke osobnih podataka (Voditelj obrade) – zakonom propisano imenovanje fizičke ili pravne osobe koja utvrđuje svrhu i način obrade osobnih podataka, Agencija Upravljanje nekretninama d.o.o.
Službenik za zaštitu osobnih podataka - zakonom propisano imenovanje odgovorne osobe za zaštitu osobnih podataka za Voditelja obrade i Izvršitelja obrade
Izvršitelj obrade – zakonom propisano imenovanje fizičke ili pravne osobe koja obrađuje osobne podatke u ime voditelja obrade

Članak 4
Podaci ispitanika/klijenta obrađuju se u skladu s važećim propisima bilo da je poslovna suradnja s Agencijom  ostvarena u svojstvu kupca / prodavatelja / najmodavca / najmoprimca / zakupodavca / zakupoprimca, osobe ovlaštene za zastupanje/opunomoćenika te uključuju, ali se ne ograničavaju, na slučajeve osobnih podataka koji su dostavljeni u bilo kojem zahtjevu; pisanim, usmenim ili elektroničkim putem, obrascu o stvarnom vlasniku, obrascu o poslovnom subjektu ili kupoprodajnom ugovoru.

Članak 5
Svaka daljnja obrada podataka, po navedenim osnovama, dopuštena je samo u svrhe koje su podudarne s prvobitnom svrhom prikupljanja podataka, a to su radnje i postupci vezani uz kupoprodaju nekretnine te u takvom slučaju nije potrebna posebna pravna osnova obrade, jer ista predstavlja zakonitu osnovu za daljnju obradu podataka.

Članak 6
Temeljem navedene Uredbe i Zakona, evidenciju aktivnosti postupaka obrade dužni su voditi svi voditelji i izvršitelji obrade s više od 250 zaposlenih, osim u slučaju velikog rizika ili obrade posebnih kategorija osobnih podataka te ako obrada nije povremena. Shodno tome, potrebno je evidentirati slijedeće:
a) Izvor informacija
b) Svrha obrade
c) Kategorija ispitanika i kategorija osobnih podataka
d) Kategorije primatelja
e) Prijenose osobnih podataka u treće zemlje
f) Predviđene rokove za brisanje
g) Tehničke i organizacijske mjere zaštite osobnih podataka
Članak 7
Temeljem Zakona o zaštiti osobnih podataka i Uredbe o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka, Agencija za posredovanje u prometu nekretnina vodi zbirke osobnih podataka, uspostavlja i vodi evidencije koje sadrže osnovne informacije o zbirci.
Naziv zbirke:
Zbirka osobnih podataka –kupoprodaja, najam i zakup nekretnina
Zbirke podataka moguće je dodavati, mijenjati i brisati ovisno o potrebama poslovanja.

Članak 8
Zbirka se odnosi na sve prodavatelje, najmodavce i zakupodavce nekretnina te kupce, najmoprimce i zakupoprimce istih.

VRSTE PODATAKA SADRŽANE U ZBIRKAMA PODATAKA

Članak 9
Zbirke sadrže slijedeće vrste podataka :
1. PODACI O STRANCI PRAVNOJ OSOBI ILI IZJEDNAČENOM SUBJEKTU
1.1. Naziv / tvrtka
1.2. Pravni oblik
1.3. Adresa sjedišta/obavljanja djelatnosti (ulica i kućni broj)
1.4. Mjesto
1.5. Država
1.6. Identifikacijski broj
2. PODACI O STRANCI FIZIČKOJ OSOBI
2.1. Ime i prezime
2.2. Prebivalište/uobičajeno boravište(ulica i kućni broj)
2.3. Mjesto prebivališta/ uobičajenog boravišta
2.4. Država prebivališta/ uobičajenog boravišta
2.5. Državljanstvo
2.6. Identifikacijski broj
2.7. Datum rođenja
2.8. Mjesto i država rođenja
2.9. Identifikacijska isprava (naziv, broj, datum izdavanja i naziv izdavatelja)
2.10. Da li je stranka politički izložena osoba (DA / NE)
3. PODACI O FIZIČKOJ OSOBI STVARNOM VLASNIKU
3.1. Ime i prezime
3.2. Prebivalište/uobičajeno boravište(ulica i kućni broj)
3.3. Datum rođenja
3.4. Mjesto i država rođenja
4. PODACI O PREDVIĐENOJ PRIRODI POSLOVNOG ODNOSA ILI TRNSAKCIJE
4.1. Vrsta poslovnog odnosa
4.2. Svrha poslovnog odnosa
4.3. Vrsta transakcije (gotovinska, bezgotovinska i dr.)
5. DODATAK ZA POJAČANU DUBINSKU ANALIZU
5.1. Ukoliko je stranka politički izložena osoba
5.1.1. Podaci o izvoru sredstava i imovine koji jesu ili će biti predmet poslovnog odnosa ili transakcije
5.2. Ukoliko stranka nije nazočna kod uspostavljanja poslovnog odnosa
5.2.1. Dodatne isprave, podaci ili informacije na osnovi kojih je provjeren identitet stranke

SVRHA OBRADE PODATAKA

Članak 10
Osobni podaci prikupljaju se u svrhu izvršavanja zakonskih obveza Agencije.

PRAVNI TEMELJ USPOSTAVE ZBIRKE PODATAKA

Članak 11
Pravni temelj za uspostavu zbirke osobnih podataka proizlazi iz Zakona o zaštiti osobnih podataka, Zakona o sprječavanju pranja novca i financiranja terorizma, Zakona o posredovanju u prometu nekretnina, Zakona o porezu na promet nekretnina, Zakona o procjeni vrijednosti nekretnina, Zakona o zemljišnim knjigama, Zakona o vlasništvu i drugim stvarnim pravima, Zakona o gradnji, Zakona o najmu stanova, Zakona o subvencioniranju stambenih kredita, Zakona o obveznim odnosima.

OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

Članak 12
Agencija za posredovanje u prometu nekretnina ne obavlja obradu posebnih kategorija osobnih podataka.

PRAVA ISPITANIKA / KLIJENTA

Članak 13
Vezano uz obradu osobnih podataka, ispitanici/klijenti mogu koristiti slijedeća prava:
1. Pravo na pristup informacijama o korištenim osobnim podacima Ispitanici/klijenti mogu zatražiti potvrdu Agencije za posredovanje u prometu nekretnina, obrađuju li se njihovi osobni podaci i u kojoj mjeri, pod uvjetom da je ispitanikov/klijentov identitet nedvojbeno utvrđen i to uvidom u dokument sa slikom.
2. Pravo na ispravak
Ukoliko se izvrši obrada nepotpunih ili netočnih osobnih podataka, njihov ispravak odnosno njihovu nadopunu ispitanik/klijent može u svako doba zatražiti davanjem dodatne izjave i pod uvjetom da je ispitanikov/klijentov identitet nedvojbeno utvrđen i to uvidom u dokument sa slikom.
3. Pravo na brisanje
Podaci će biti brisani ukoliko ispitanik/klijent dokaže da razlozi iz kojih se obrađuju osobni podaci višenisu dopustivi ili potrebni s obzirom na svrhu u koju su prikupljeni, te ukoliko to ne brane važeći pravni propisi, ili se pak radi o obradi podataka u statističke svrhe kada osobni podaci više ne omogućuju identifikaciju osobe na koju se odnose, odnosno, ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.
4. Pravo na ograničenje obrade
Ograničenje obrade ne odnosi se na: pohranu osobnih podataka ili ako su osobni podaci nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe. Ispitanik/klijent može zatražiti privremeno blokiranje obrade osobnih podataka, ako osporava točnost tih osobnih podataka. Za vrijeme ograničene obrade osobnih podataka, pa dok ograničenje obrade ne bude ukinuto, predmetni podaci se mogu obrađivati samo na temelju privole ispitanika / klijenta.
5. Pravo na povlačenje dane privole
Ispitanik/klijent ima pravo povući danu privolu za prikupljanje i obradu svojih osobnih podataka u bilokoje vrijeme, pismenim putem, na za to predviđenom obrascu za podnošenje zahtjeva za povlačenje privole, pod uvjetom da je ispitanikov/klijentov identitet nedvojbeno utvrđen i to uvidom u dokument sa slikom.
6. Pravo pritužbe
Ispitanik/klijent ima pravo u svakom trenutku uložiti prigovor, u pismenoj formi, uz navođenje razloga, a Agencija je tada u obvezi dostaviti obavijest o tome da li su povrijeđeni posebni interesi, prava i slobode ispitanika/klijenta.
7. Pravo pritužbe nadzornom tijelu
Prigovori ispitanika/klijenta podnose se Agenciji za zaštitu osobnih podataka (AZOP), odnosno nadzornom tijelu unutar EU.

SUSTAV POHRANE

Članak 14
Zakonske obveze Agencije za posredovanje u prometu nekretnina uključuju i obvezu arhiviranja dokumentacije ispitanika/klijenta, te adekvatne pohrane podataka na sigurnim sustavima obrade s ciljem ispunjenja zakonskih obveza za arhiviranje i pohranu podataka.

VODITELJ ZBIRKE OSOBNIH PODATAKA (VODITELJ OBRADE)

Članak 15
Voditelj zbirke osobnih podataka (Voditelj obrade) dužan je voditi brigu o zaštiti osobnih podataka na pošten i zakonit način kako bi se osigurala njihova zaštita / povjerljivost, a što podrazumijeva da se osobni podaci obrađuju u točno određenu i zakonitu svrhu, uz postojanje pravnog temelja propisanog Zakonom o zaštiti osobnih podataka.

Članak 16
Voditelj zbirke osobnih podataka prije prikupljanja osobnih podataka u obvezi je informirati ispitanike / klijente o svom identitetu, o svrsi obrade osobnih podataka te o pravnom temelju za obradu osobnih podataka.

Članak 17
Voditelj zbirke osobnih podataka dužan je na zahtjev ispitanika / klijenta, odnosno njegovog zakonskog zastupnika / opunomoćenika, omogućiti ostvarivanje prava na uvid u korištenje svojih osobnih podataka ili prava na ispravak netočnih podataka.

Članak 18
Voditelj zbirke osobnih podataka poduzima odgovarajuće tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka kako bi se podaci zaštitili od neovlaštenih pristupa i moguće zlouporabe.

Članak 19
Voditelj zbirke osobnih podataka postupa po nalozima Agencije za zaštitu osobnih podataka kao nadzornog tijela u području zaštite osobnih podataka, te omogućuje Agenciji (AZOP-u) pristup svim zbirkama osobnih podataka i drugoj dokumentaciji, kao i sredstvima obrade osobnih podataka.

Članak 20
Voditelj zbirke osobnih podataka uspostavlja Evidencije o zbirkama osobnih podataka koje vodi te po potrebi, dostavlja Evidencije u središnji registar koji se vodi kod Agencije za zaštitu osobnih podataka. Obrazac Evidencije o zbirci osobnih podataka je sastavni dio ovog Pravilnika.

Članak 21
Voditelj zbirke osobnih podataka internom Odlukom imenuje Službenika za zaštitu osobnih podataka.

VREMENSKO RAZDOBLJE ČUVANJA PODATAKA

Članak 22
Svi podaci ispitanika / klijenta, na temelju kojih je moguće izvršiti identifikaciju, pohranjivati će se u ograničenom vremenskom razdoblju. Anonimizirati će se podaci istekom svrhe, a trajno brisati u skladu sa zakonskim propisima.
Osobni podaci prikupljeni temeljem privole brišu se trenutkom njezina povlačenja, osim u slučaju kada postoji druga pravna osnova za obradu.

MJERE ZA ZAŠTITU OSOBNIH PODATAKA

Članak 23
Osobni podaci koje obrađuje Agencija za posredovanje u prometu nekretnina odgovarajuće su zaštićeni od slučajne ili namjerne zlouporabe, neovlaštenih promjena ili dostupa, te su poduzete tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka.

Članak 24
Tehničke mjere zaštite osobnih podataka podrazumijevaju:
1. računalo i dodijeljena mail adresa u agenciji koriste se isključivo u službene svrhe
2. svaki agent ima svoju ulaznu lozinku za PC
3. svaki agent ima svoju pristupnu lozinku za ulaz u aplikaciju
4. svi dokumenti, istekom roka ili svrhe, uništavaju se fizički ili rezačem papira
5. podposrednici i zaposlenici dužni su lozinke koje koriste u radu čuvati od dostupa neovlaštenih osoba
6. podposrednici i zaposlenici upoznati su s internim Pravilnikom o zaštiti osobnih podataka

Članak 25
Organizacijske mjere zaštite osobnih podataka podrazumijevaju:
1. izrada evidencija aktivnosti obrade o zbirkama osobnih podataka,
2. definiraje obaveznih klauzula u ugovorima s izvršiteljima obrade,
3. definiranje informacija danih ispitaniku,
4. izrada internog Pravilnika o zaštiti osobnih podataka,
5. izrada Izjave o povjerljivosti za djelatnike i podposrednike

Članak 26
Kadrovske mjere zaštite osobnih podataka podrazumijevaju:
a) pristup podacima dozvoljen je samo ovlaštenim osobama zaposlenim kod Voditelja zbirke osobnih podataka, ili podposrednicima, ovisno o vrsti poslova koju obavljaju (izjava o povjerljivosti)
b) ovlaštene osobe imaju različite nivoe pristupa obradi, ovisno o vrsti poslova koju obavljaju, odnosno, količinu podataka koju unose u aplikaciju
c) pristup oglašavanju na web stranicama i ima voditelj zbirke osobnih podataka

Članak 27
Voditelj zbirke osobnih podataka bez odgađanja, a najkasnije 72 sata nakon saznanja o povredi osobnih podataka, izvješćuje nadzorno tijelo (AZOP) o povredi osobnih podataka, osim ako postoji mogućnost da povreda osobnih podataka prouzroči rizik za prava i slobode pojedinca.

Članak 28
Za razloge kašnjenja u izvješćivanju unutar 72 sata, potrebno je :
1. opisati prirodu povrede osobnih podataka;
2. navesti ime i kontaktne podatke voditelja zbirke osobnih podataka;
3. opisati moguće posljedice povrede osobnih podataka;
4. opisati mjere koje je voditelj zbirke osobnih podataka poduzeo za rješavanje problema povrede osobnih podataka.

Članak 29
U slučaju povrede osobnih podataka, voditelj zbirke osobnih podataka bez nepotrebnog odgađanja obavješćuje i ispitanika / klijenta o povredi osobnih podataka. U obavijesti se navodi priroda povrede osobnih podataka s uporabom jasnog i jednostavnog jezika.

Članak 30
U slučaju povrede obrade osobnih podataka potrebno je:
1. provjeriti svrhu i opseg prikupljanja osobnih podataka
2. provjeriti izvor prema kojem su osobni podaci obrađeni
3. ispitanika / klijenta izvijestiti obrascem Obavijest o kršenju osobnih podataka ispitanicima
4. obraditi obavijest izvršitelja obrade dostavljenu voditelju obrade
5. voditelj obrade izvješćuje nadzorno tijelo obrascem Obavijest o kršenju osobnih podataka nadzornom tijelu

XV ZAKLJUČNE ODREDBE

Članak 31
Ovaj Pravilnik je usklađen sa Zakonom o zaštiti osobnih podataka (NN 103/03, 118/06, 41/08, 130/11, 106/12), Zakonom o provedbi opće uredbe o zaštiti podataka (NN 42/18), te Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP) (SL L 119, 4. 5. 2016.), stupio je na snagu 26. svibnja 2018. godine.


U Vodnjanu, 01.01.2023.