GDPR EN
Sadržaj
OPĆA PRAVILA VEZANA ZA POSTUPANJE S OSOBNIM PODACIMA
DRUŠTVA SIGMA TAX CONSULTING d.o.o.
za porezno savjetništvo (dalje: Opća pravila)
POLAZNA OSNOVA
Stupanjem na snagu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka – GDPR) jamče se prava fizičkih osoba u svrhu zaštite njihovih osobnih podataka i propisuju načini ostvarivanja tih prava.
Ovim Općim pravilima uređuju se opća pravila koja društvo SIGMA TAX CONSULTING d.o.o. za porezno savjetništvo (dalje: STC) primjenjuje kada prikuplja, obrađuje i čuva osobne podatke, osim u slučaju kada za određene specifične usluge vrijede posebna pravila o čemu će u takvim slučajevima primatelji naših usluga biti obaviješteni ili osim u slučaju ako bi se podaci prikupljali za određene posebne svrhe uz primjenu posebnih pravila u kojim slučajevima primjena posebnih pravila mora biti jasno i transparentno naznačena prilikom prikupljanja takvih podataka. U svim slučajevima kada nisu primjenjiva posebna pravila, primjenjuju se ova Opća pravila.
Ova Opća pravila se primjenjuju i u slučaju primjene posebnih pravila, u mjeri u kojoj nisu u suprotnosti s posebnim pravilima.
Sukladno Općoj uredbi o zaštiti podataka – GDPR, termin „osobni podaci“ označava sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (ispitanik), a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
STC obrađuje osobne podatke korisnika, odnosno naručitelja STC-ovih usluga (dalje: korisnik STC-ovih usluga) ili osobne podatke primljene od korisnika STC-ovih usluga (npr. osobni podaci osoba zaposlenih kod korisnika STC-ovih usluga) ili primljene od strane druge osobe u ime korisnika STC-ovih usluga, u mjeri u kojoj je potrebno za obavljanje STC-ovih usluga.
NAČIN I SVRHE OBRADE
STC vodi računa o tome da pri prikupljanju, obradi i čuvanja osobnih podataka postupa zakonito, transparentno, ograničavajući postupke samo na nužno potrebne te pazeći da podaci budu točni, cjeloviti te adekvatno zaštićeni.
Načini i sredstva prikupljanja, obrade i čuvanja te pravna i legitimna osnova za prikupljanje, obradu i čuvanje osobnih podataka razlikuju se ovisno o svrsi i vrsti ugovorene usluge, no u svim slučajevima se vodi računa o tome da STC prima samo one osobne podatke koji su mu nužno potrebi da bi mogao obaviti svoju uslugu, te da se podaci obrađuju na zakonit, pošten i transparentan način.
STC prilikom obavljanja svojih usluga zaprima osobne podatke te se u vezi s njima može pojaviti kao primatelj obrade, voditelj obrade ili izvršitelj obrade. U kojem svojstvu se STC javlja će primarno ovisiti o tome u kojem svojstvu i za koju svrhu određene podatke zaprima. U slučajevima ako STC radi po uputama korisnika STC-ovih usluga, STC se u pravilu smatra izvršiteljem obrade. U slučajevima kada STC ne radi po uputama korisnika STC-ovih usluga, tada se u pravilu smatra voditeljem obrade. U slučaju kada STC nastupa kao izvršitelj obrade, osim ovih Općih pravila u obzir uzima i posebne zahtjeve, sporazume, pravila, politike i sl. primjenjive od strane voditelja obrade, a sukladno posebnom dogovoru s voditeljem obrade.
STC svoje usluge pruža temeljem ugovora te u skladu s nacionalnim zakonskim propisima iz djelatnosti koju STC obavlja, a za što su nam u nekim slučajevima potrebni osobni podaci korisnika usluge ili osobni podaci ispitanika korisnika usluge. Obuhvat osobnih podataka koji su nam potrebni značajno ovisi o vrsti i obuhvatu naše usluge i potrebama naših klijenata. U mjeri u kojoj su nam osobni podaci potrebni za pružanje naših usluga, takve podatke možemo prikupljati izravno od korisnika usluge ili od njegovih zaposlenika ili drugih osoba (npr. članovi uprave i sl.). Sve osobne podatke za potrebe izvršenja usluge koristimo samo u svrhu ispunjenja profesionalne usluge korisnika usluge te ih ne koristimo u druge svrhe.
To se odnosi i na osobne podatke koje smo kao porezni savjetnici obavezni prikupiti, obrađivati i čuvati sukladno zahtjevima Zakona o sprječavanju pranja novca i financiranja terorizma. Podatke koje prikupljamo zbog ove zakonske obaveze, obrađujemo i čuvamo na način da poštujemo i odredbe Zakona o sprječavanju pranja novca i financiranja terorizma (kao posebnog propisa) i odredbe Opće uredba o zaštiti podataka – GDPR (kao općeg propisa) te Zakona o provedbi Opće uredbe o zaštiti podataka.
STC ima pravo osobne podatke koje je primio od korisnika svojih usluga ili od druge osobe u ime korisnika svojih usluga dostaviti nadležnim tijelima (Porezna uprava, Upravni sud i sl.) samo onda ako dostavljanje nadležnim tijelima proizlazi iz zakona ili drugih propisa ili ako se dostava nadležnim tijelima vrši u okviru usluge STC-a dogovorene s korisnikom usluga.
SIGURNOST I LOKACIJA OBRADE
Sigurnost svih prikupljenih osobnih podataka koje prikupljamo je od velikog značaja te stoga STC kontinuirano procjenjuje adekvatnost postojećih mjera za zaštitu podataka te po potrebi provodi potrebna unapređenja, uzimajući u obzir prirodu podataka, svrhu obrade, trošak provedbe određenih postupaka kao i rizike koji proizlaze iz obrade određenih podataka.
STC vodi računa o tome da u praksi primjenjuje primjerene organizacijsko-tehničke mjere za zaštitu podataka te educira zaposlenike vezano za sigurnost i zaštitu osobnih podataka, a odgovarajuće mjere zaštite poduzima i slučaju kada angažira podizvođače.
STC podatke obrađuje na području Republike Hrvatske, i to u poslovnim prostorijama STC-a ili na terenu – u slučaju kada usluge koje pruža zahtijevaju terenski rad (npr. korištenje prijenosnog računala pri radu kod klijenta).
PRISTUP TREĆIM OSOBAMA
Ako je za izvršenje STC-ovih usluga angažiran podizvođač ili je druga stručna osoba angažirana u određenom dijelu (npr. pribavljanje stručnog mišljenja), STC ima pravo osobne podatke koje je primio od korisnika STC-ove usluge ili druge osobe u ime korisnika STC-ove usluge dostaviti podizvođaču ili drugoj stručnoj osobi pod sljedećim uvjetima: i) pod uvjetom da su predmetni podaci dostavljeni za potrebe njihovog angažmana ili da su uključeni u dokumente koji im se dostavljaju za potrebe njihovog angažman te ii) pod uvjetom da STC zatraži od podizvođača ili druge stručne osobe da s tim podacima postupaju u skladu s odredbama Opće uredbe o zaštiti podataka – GDPR te Zakona o provedbi Opće uredbe o zaštiti podataka.
STC osobne podatke može dijeliti i s određenim dobavljačima (npr. dobavljači IT usluga, i sl.), ali samo u mjeri u kojoj je nužno da bi dobavljači mogli obaviti usluge koje pružaju STC-u. U takvim slučajevima uspostavljamo sigurnosne mehanizme kako bismo zaštitili podatke.
POSTUPANJE U SLUČAJU POVREDE OSOBNIH PODATAKA
Ukoliko STC ili bilo koji njegov zaposlenik primijeti da je došlo do povrede osobnih podataka, o tome će izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako STC kao voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca.
Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest treba biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.
U slučajevima kada STC podatke prikuplja, obrađuje i čuva u svojstvu izvršitelja obrade, u slučaju da primijeti da je došlo do povrede osobnih podataka, on će odmah čim to primijeti bez odgode o tome obavijestiti voditelja obrade kako bi on unutar gore navedenog roka mogao izvijestiti nadležno nadzorno tijelo.
BRISANJE I UNIŠTAVANJE OSOBNIH PODATAKA
STC će osobne podatke koje za potrebe pružanja svojih usluga primi od korisnika svojih usluga ili od druge osobe u ime korisnika svojih usluga uništiti na zahtjev korisnika svojih usluga, odnosno osobe od koje je podatke primio. Takav se zahtjev obavezno dostavlja u pisanom obliku na sljedeću email adresu: info@sigmabc.eu ili nam se obratite na opće kontakt podatke navedene na našoj web stranici za daljnje upute.
U tom je zahtjevu potrebno precizno navesti na koje se točno osobne podatke odnosi te kada i od strane koga su oni dostavljeni STC-u.
STC ima pravo takav zahtjev odbiti u sljedećim slučajevima: i) u slučaju ako još nije istekao zakonski rok unutar kojeg je STC obvezan čuvati takve podatke (na primjer, odredbe propisa o sprečavanju pranja novca), ii) u slučaju ako nije nastupila zastara prema poreznim propisima za godine i poreze na koje se odnose usluge STC-a u svezi s kojima su podaci dostavljeni te iii) i u drugim opravdanim slučajevima (npr. ako su podaci dostavljeni za potrebe usluge STC-a koja se odnosi na porezni spor ili sličan postupak koji je još u tijeku). U slučaju odbijanja zahtjeva, STC je obvezan o tome u pisanom obliku obavijestiti podnositelja zahtjeva te obrazložiti razlog za odbijanje.
PRAVA POJEDINACA VEZANO ZA OSOBNE PODATKE
Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo određeno člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU), dok su određena prava pojedinaca, kao i obveze izvršitelja obrade, voditelja obrade te primatelja osobnih podataka detaljnije određena Općom uredbom o zaštiti podataka – GDPR kao i Zakonom o provedbi Opće uredbe o zaštiti podataka.
Neovisno o pravnom temelju prikupljanja, obrade i čuvanja osobnih podataka, pojedinci čiji se osobni podaci prikupljaju, obrađuju i čuvaju kod STC-a imaju pravo na pristup, izmjenu ili dopunu podataka, brisanje, odnosno uništavanje (osim ako je zbog ispunjavanja obveza koje proizlaze iz posebnih propisa koji se odnose na našu djelatnost ili zbog izvršavanja ugovornih obveza bitno podatke čuvati određeno vrijeme (npr. rokovi porezne zastare) ili trajno), pravo na ulaganje prigovora STC-u na obradu podataka kao i pravo na podnošenje prigovora nadležnom nadzornom tijelu (Agenciji za zaštitu osobnih podataka).
Pojedinci svoj pisani zahtjev vezan za ostvarenje njihovih prava mogu uputiti STC-u na sljedeću email adresu: info@sigmabc.eu ili nam se mogu obratiti putem općih kontakt podataka navedenih na našoj web stranici za daljnje upute. Obradit ćemo i odgovoriti na sve zahtjeve pojedinaca koje zaprimimo u roku od 30 dana.
PRIMJENA OPĆIH PRAVILA OD STRANE STC-a NA OSOBNE PODATKE PRIMLJENE OD SVOJIH ZAPOSLENIKA ILI DOBAVLJAČA
Kada STC prima, obrađuje i čuva određene osobne podatke od svojih zaposlenika ili dobavljača, STC će postupati sukladno odredbama Opće uredbe o zaštiti podataka – GDPR te Zakona o provedbi Opće uredbe o zaštiti podataka, te će primjenjivati i gore navedena Opća pravila u mjeri u kojoj su primjenjiva na takve podatke.
PRIMJENA OPĆIH PRAVILA OD STRANE KORISNIKA STC-ovih USLUGA
Ako korisnik STC-ovih usluga primi određene osobne podatke od STC-a, njegovih zaposlenika ili podizvođača (npr. dokumenti koji sadrže osobne podatke zaposlenika STC-a, npr. punomoć), korisnik STC-ovih usluga će biti obvezan u vezi takvih podataka postupati sukladno odredbama Opće uredbe o zaštiti podataka – GDPR te Zakona o provedbi Opće uredbe o zaštiti podataka.
U Zagrebu, ožujak 2021. godine
